網上投稿
2003年SARS病毒(俗稱非典)、2014年埃博拉病毒疫情肆虐剛淡出了人們的視野,近日新型冠狀病毒感染的肺炎疫情來勢洶洶,又一次刺痛了廣大民眾的神經。引起大眾關注的是疫情,但疫情背后應是理性的思考。
此次疫情與2003年的SARS病毒疫情非常相似,但隨著交通的發達和人流量的增大,2020年的新型冠狀病毒肺炎疫情傳播更具廣泛性,全國大多數地區已經啟動疫情一級響應措施,國家亦把此次疫情納入乙類病毒,采取甲類措施進行防控。有別于2003年,近年來,我國公共醫療衛生領域吸納了國內外當前先進的信息技術,信息化程度得到很大提高。我國衛生統計建立了覆蓋國家、省、市、縣、鄉、村六級的、從業人員達數十萬人的工作網絡,建立了動態的醫療衛生機構、衛生人力等信息庫,及衛生資源與衛生服務利用、疾病報告與健康監測等大型數據資源庫。
自2020年1月20日起,全國開始每天公布新型冠狀病毒感染的肺炎疫情信息,各級省、市也陸續公布轄區內肺炎疫情信息。在這場沒有硝煙的新型冠狀病毒戰役中,在舉國攻艱的特殊時期下,政府如何及時、準確地公開政府信息,同時保護個人信息安全、尊重個人隱私,是應對新型冠狀病毒感染的肺炎疫情的重要策略。
一、疫情防控背景下的個人信息收集和使用
(一)個人信息收集和使用應當符合依法行政和高效便民的原則
《中華人民共和國傳染病防治法》第十二條規定,在中華人民共和國領域內的一切單位和個人,必須接受疾病預防控制機構、醫療機構有關傳染病的調查、檢驗、采集樣本、隔離治療等預防、控制措施,如實提供有關情況。
《突發公共衛生事件應急條例》第四十條規定,傳染病暴發、流行時,街道、鄉鎮以及居民委員會、村民委員會應當組織力量,團結協作,群防群治,協助衛生行政主管部門和其他有關部門、醫療衛生機構做好疫情信息的收集和報告、人員的分散隔離、公共衛生措施的落實工作,向居民、村民宣傳傳染病防治的相關知識。
根據上海警方于2020年2月3日晚發布的通告:個人、機關、企事業單位、社會團體和其他組織應依法接受疾病預防控制機構、醫療衛生機構及社會組織有關傳染病的調查、樣本采集、檢測、隔離治療等防控措施,如實提供相關信息;凡來自或者途經疫情重點地區的人員進入本市的,以及與上述人員、確診或疑似新型冠狀病毒感染肺炎病例有密切接觸的人員,應主動接受體溫檢測,如實填寫《健康狀況信息登記表》,自覺實施居家或者積極配合集中隔離醫學觀察14天。對未按照規定主動登記,在工作人員詢問時不如實告知,或者拒絕執行相關檢測、居家隔離、集中隔離觀察措施的將承擔法律責任。
鑒于新型冠狀病毒肺炎疫情傳播的特征,行政機關依法收集個人健康信息符合法律規定和疫情現狀。同時,鑒于信息體量較大,行政機關可采取與其他衛生機構通力合作的方式,將疫情傳播工作落實到群眾中。上海警方所采用的《健康狀況信息登記表》,及疾病預防控制機構、醫療衛生機構和其他社會組織對疫情的防控措施,亦是在依法行政的原則下,做到信息收集的高效便民。
(二)疫情防控背景下個人信息收集和使用亦應受到相應規制
《中華人民共和國傳染病防治法》《突發公共衛生事件應急條例》中的相應條款賦予了有關部門和機構出于疾病防控目的而收集個人信息的權力,且在特殊情況下,該等權力的行使具有強制性和單方意志性。不過,這并不意味著有關部門和機構在收集個人信息時不應受到任何規制。縱觀我國現階段個人信息保護的立法,主要立足于民事領域,以及行政主管部門對平等主體之間信息收集與被收集的監管。對于行政主體收集公民個人信息的行政行為,仍然缺乏完善的法律規制。除了呼吁盡快完善立法外,我們認為,在疫情防控背景下的特殊時期,有關部門和機構在收集個人信息時,可參考其他有關規范性文件、標準和指南,切實維護被收集者的合法權利,并重點做到以下幾點:
1、主體適格
收集個人信息的主體應獲得法律的明確授權,或其他有權收集主體的授權。
2、手段合理
收集個人信息的途徑和方式必須按照規范性文件的規定執行;沒有特殊規定的,應當確保手段的合理性;不得以欺詐、竊取、利誘、侵入計算機信息系統等不正當手段收集個人信息。
3、目的明確
所收集的個人信息僅能用于疫情防控的既定目的,未經本人許可,其信息不得被用于其他目的。
4、事前告知
收集個人信息前,實施收集工作的主體應當向被收集者說明信息收集的相關情況,包括但不限于:信息收集者的身份、信息收集的法律依據和授權來源、信息收集的目的和方式、所收集信息將來的處理方式和使用范圍。
除以上四點外,在此特殊時期收集個人信息還應遵循“最少夠用”原則。誠然,越詳盡的數據越有利于病毒特性的分析,但對于非確診的武漢返鄉者、途徑武漢者等人員,可按風險等級進行劃分,再合理確定個人信息的收集范圍,避免收集與疫情防控無關的個人信息。
同時,用個人隱私換取其他便利本身也是得不償失的。個人隱私和信息保護工作的疏漏可能會造成群眾對信息披露的恐慌、以及對信息披露技術的擔憂。為避免在政府收集和使用個人信息出現疏漏,應注意不得損害他人合法權益及社會公共利益,并堅持合法使用、合理披露的原則。
二、疫情防控背景下的個人信息傳輸
(一)行政機關應規范個人信息傳輸行為
個人信息的傳輸工作主要分為兩大類,即不同系統之間的信息傳輸和同一系統內部的信息傳輸。
不同系統之間的信息傳輸,主要存在于衛生健康系統與交通運輸、食品藥品、教育、公安等系統之間的數據共享。在該等模式下,數據信息的發送方和接收方往往均為行政機關,其傳輸行為將遵循一定的內部格式和流程,且受到上級機關的監督和指導,因而較為規范。
但需要注意的是,由于相關數據信息包含了個人信息,甚至個人敏感信息。因此,該等數據并不宜向各系統全面分發。早前,部分城市已嘗試就不同系統間數據共享的問題進行了細化規范,如貴陽市人民政府于2018年發布了《貴陽市政府數據共享開放實施辦法》,其中第18條規定,政府數據按共享類型分為無條件共享、有條件共享、不予共享等三類;有條件共享的政府數據,數據提供機關可以提供給相關行政機關共享使用或者僅能部分提供給所有行政機關共享使用;涉及健康保障、社會保障、食品藥品安全、安全生產、價格監管、能源安全、信用體系、城鄉建設、社區治理、生態環保、應急維穩等主題信息資源,應當在行政機關之間有條件共享。
2020年01月29日,交通運輸部發布《關于統籌做好疫情防控和交通運輸保障工作的緊急通知》(交運明電〔2020〕33號)。通知強調,要依法嚴格保護個人隱私和個人信息安全,除因疫情防控需要,向衛生健康等部門提供乘客信息外,不得向其他機構、組織或者個人泄露有關信息、不得擅自在互聯網散播。
同時,《互聯網群組信息服務管理規定》第九條規定:互聯網群組建立者、管理者應當履行群組管理責任,依據法律法規、用戶協議和平臺公約,規范群組網絡行為和信息發布,構建文明有序的網絡群體空間;第十條規定,互聯網群組信息服務提供者和使用者不得利用互聯網群組傳播法律法規和國家有關規定禁止的信息內容。數據的發送方除按內部規范和上級指示做好傳輸共享工作外,還應在傳輸前核實數據接收方的接收資格,即接收方是否獲得了法律的明確授權,或其他有權接收數據的機關的授權,確保包含個人信息的數據僅在必要范圍內傳播,同時準確記錄和保存個人信息的傳輸共享情況,包括日期、規模、目的,以及接收方的基本情況等。
(二)行政機關在個人信息傳輸過程中應當遵循的規則
同一系統內部的信息傳輸,主要存在于多人員協同工作、上下級信息呈報,也是本次疫情中個人信息泄漏的“重災區”。在該等模式下,為方便工作,不少工作人員選擇采用微信等個人社交軟件傳輸含有公民個人信息的數據,該等傳輸方式有其便捷、靈活、高效的一面,但另一方面也將因為其易復制、易傳播、不受限的特性而使數據一經發送便不再受控,成為信息泄露的“溫床”。
由國家保密局主管的“保密觀”微信公眾號就曾多次發文提醒微信辦公的信息泄露風險并指出,“原則上不提倡使用微信辦公,因工作特殊、確有需要的,可以在控制范圍內組建工作群,交流內容嚴格限定為周知性的一般信息,禁止傳播一切國家秘密、工作秘密、商業秘密以及個人信息”。
《中華人民共和國保守國家秘密法》第二十六條規定,禁止在互聯網及其他公共信息網絡或者未采取保密措施的有線和無線通信中傳遞國家秘密。
《中華人民共和國治安管理處罰法》第四十二條亦對侵犯公民隱私作出處罰型規定:有下列行為之一的,處五日以下拘留或者五百元以下罰款;情節較重的,處五日以上十日以下拘留,可以并處五百元以下罰款:···(六)偷窺、偷拍、竊聽、散布他人隱私的。
針對公民個人信息,雖暫無立法性質的文件對其傳輸方式加以限制,但考慮到疫情期間所收集數據的特殊性和受關注度,其中個人信息一旦遭到泄漏,將對信息主體的名譽權、隱私權等權利造成極大的損害,且易引起社會性恐慌,各部門有必要對特殊時期個人信息的傳輸工作予以特殊重視:
1、公私隔離
應提倡使用辦公專用軟件傳輸包含個人信息的數據,該等軟件應確保與工作人員的社交圈隔離,有條件的行政機關可自建或委托籌建辦公專用平臺,做到公民個人信息的有限、受控傳播。
2、專題教育
前文所述微信辦公導致信息泄露的問題,關鍵并不在于微信本身,而在于相關人員的公民信息保護意識淡薄。因此,各部門有必要開展專題教育,讓相關人員認識到微信的開放性質,普及信息網絡安全知識,提高工作人員的信息保護風險意識和責任意識。
3、規范流程
各部門應完善內部報告與協作機制,制定特殊時期數據傳輸工作的方案和預案,將公民個人信息的保護工作作為一項重要工作納入前述方案和預案中。
三、疫情防控背景下的個人信息儲存
(一)武漢返鄉人員個人信息儲存中的數據泄漏問題
目前,《中華人民共和國刑法》于第二百五十三條設立“侵犯公民個人信息罪”,其中第一款規定:違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑并處罰金。
同時,《中華人民共和國居民身份證法》則以第十九條對國家機關及其他單位對個人信息的合理使用做出規定:國家機關或者金融、電信、交通、教育、醫療等單位的工作人員泄露在履行職責或者提供服務過程中獲得的居民身份證記載的公民個人信息,構成犯罪的,依法追究刑事責任;尚不構成犯罪的,由公安機關處十日以上十五日以下拘留,并處五千元罰款,有違法所得的,沒收違法所得。
另,《中華人民共和國護照法》也在其第二十條對護照簽發過程中的公民個人信息保護作出特別規定:護照簽發機關工作人員在辦理護照過程中有下列行為之一的,依法給予行政處分;構成犯罪的,依法追究刑事責任:
···(五) 泄露因制作、簽發護照而知悉的公民個人信息,侵害公民合法權益的;
如上所述,雖然部分條款賦予了有關部門和機構出于疾病防控的目的等特殊情況下收集個人信息的權力,但如國家機關泄露或非法使用個人信息,將面臨行政責任或刑事責任。
2020年01月29日,中共益陽市紀律檢查委員會、益陽市監察委員會發布《關于赫山區衛生健康局副局長舒慶國等人違反疫情防控工作紀律的情況通報》。通報稱,湖南省益陽市赫山區衛生健康局黨組成員、副局長舒慶國、赫山區財政局財評股工作人員段君飛、赫山區財政局監督股股長鄧偉等人將屬于內部工作文件且涉及多人隱私的《關于益陽市第四人民醫院報告一例新型冠狀病毒感染的肺炎病例的調查報告》轉發給無關人員,進而傳播至微信群,違反疫情防控工作紀律并侵害他人隱私,造成嚴重社會影響,經市紀委市監委同意,赫山區紀委監委決定對舒慶國予以黨紀立案調查,對段君飛、鄧偉給予誡勉談話。
(二)我國已初步建立個人信息存儲管理體系
《中華人民共和國民法總則》第一百一十一條規定,自然人的個人信息受法律保護。《中華人民共和國網絡安全法》第四十一條規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
上述法律規定表明,個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。
疫情當前,即使出于維護社會公共利益的需要,也不應全盤犧牲個人利益,政府更應做好特殊時期的個人信息保護工作,確保各有關部門、機構、人員,特別是協助行政機關從事管理工作的基層群眾性自治組織及其工作人員,嚴格依法收集、傳輸和披露涉及個人信息的數據。
同時,依法負有網絡安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。
四、疫情防控背景下政府信息公開中的個人信息披露
(一)實踐中政府信息公開已發生的問題
吉林磐石市政府曾于其政府官網先后發布《磐石市2017年考核整改建檔立卡數據信息調整和補錄工作新識別貧困戶名單公示》《關于磐石市2019年申請由租賃補貼轉實物配租的家庭名單公示的通知》,但未對相應人員的姓名、身份證號碼、家庭人口數完整公示出來,對身份證號碼未做任何模糊處理 [1] ;又例如湖南新寧縣政府曾于其官網 “通知公告”欄目發布《新寧縣城鎮住房保障事務配租審核對象名單公示》,未將相應人員的姓名、身份證號碼等信息做模糊化處理,且在公示期完結后依然保留 [2] 。
(二)依法行政原則下對個人信息披露的要求
《中華人民共和國政府信息公開條例》于第十五條設立了對個人隱私信息的保密性規定:涉及商業秘密、個人隱私等公開會對第三方合法權益造成損害的政府信息,行政機關不得公開。但是,第三方同意公開或者行政機關認為不公開會對公共利益造成重大影響的,予以公開。
《國務院辦公廳關于印發2018年政務公開工作要點的通知》則于第十四條再次強調了政府信息公開的保密性審查義務:
加強政府信息公開審查工作。政府信息公開前要依法依規嚴格審查,特別要做好對公開內容表述、公開時機、公開方式的研判,避免發生信息發布失信、影響社會穩定等問題。要依法保護好個人隱私,除懲戒公示、強制性信息披露外,對于其他涉及個人隱私的政府信息,公開時要去標識化處理,選擇恰當的方式和范圍。
據此,我國已要求政府機關在信息公開的過程中,應當遵守對保密信息包括個人隱私的審查工作,非因權利人同意或對公共利益可能造成重大影響的,應當予以保護,不得公開。
(三)疫情防控背景下政府信息公開應堅持的原則
在法有明令禁止的情況下,政府信息公開應當保護個人隱私。在當前疫情防控背景下,即便需及時更新和通報疫情現狀,也應當在發布過程中注意對個人隱私的保護。不過,在《中華人民共和國政府信息公開條例》第十五條授權行政機關于“第三方同意公開或者行政機關認為不公開會對公共利益造成重大影響”時可公開涉及個人隱私的政府信息,及第六條要求行政機關在“發現影響或者可能影響社會穩定、擾亂社會和經濟管理秩序的虛假或者不完整信息的,應當發布準確的政府信息予以澄清”的情況下,目前政府已經并應堅定地將“信息公開”作為應對新型冠狀病毒感染的肺炎疫情的重要策略之一。在疫情防控背景下,政府信息發布應當堅持如下原則:
1、 據實發布,擇重公開。由于本次疫情傳播快、影響面大,出于公共安全保護的角度,在接收疑似或確診病例后,政府信息公開應當根據患者入院前實際接觸的人群、地點、車輛等可能造成疫情蔓延的信息進行發布。在本次疫情的政府信息公開中,攜帶患者的列車信息、各地分別發布的轄區內以人流集中區域為單位的患者數量、患者入院前實際前往的區域等,均是在未明確患者身份的同時,公布了可能存在病毒的場所,并對可能接觸病毒的人群作出了相應檢查提示。
2、 對個人信息予以去標識化管理。在“一場同學會6人確診”這一事件里,合肥市衛健委于其公布的1月29日合肥市報告新型冠狀病毒感染的肺炎疫情情況中,對因參加同學聚會而確診多名男性患者,僅公布了其姓氏、年齡、現居地區、聚會時間、發病時間、入院時間,對首個攜帶病毒者則僅多公布了其從武漢回肥的時間,同時公布了患者“病情穩定”,在對個人信息去標識化的同時,提示群眾回避聚會,并對疫情情況作出了準確描述,避免了群眾產生過分的緊張情緒。
3、 堅持行政機關與專業力量的聯動。由于個人信息保護技術的復雜性,及政府信息公開的嚴肅性,行政機關可選擇與專業第三方力量建立信息發布聯動,熟練地運用法律和信息技術知識對相關問題加以分析和解決。值得注意的是,政府也是信息收集處理的一方當事人,出于社會管理職能需要對個人信息進行收集,同時又承擔著互聯網行業和其他機構(包括自己)的監管職責,在平衡公共利益與個人利益的同時,不妨與社會專業力量聯動,實現政府信息公開的合法化與高效化。當然,政府機關在信息披露中借助第三方專業力量時,也應當要求第三方按反洗錢法律、行政法規的要求,采取了客戶身份識別和身份資料保存的必要措施。
五、疫情防控背景下個人信息的銷毀工作
個人信息銷毀作為數據信息生命周期中最后一個環節,同樣需要按照一定的規范來完成。同樣的,在疫情防控背景下的個人信息最終也應當在恰當的時間完成銷毀,為整個數據信息生命周期形成完整的閉合。
《人口健康信息管理辦法(試行)》第12條規定,責任單位發生變更時,應當將所管理的人口健康信息完整、安全地移交給主管部門或承接延續其職能的機構管理,不得造成人口健康信息的損毀、丟失。因此,本節我們討論的需要銷毀的個人信息并不包含涉及人口健康信息的部分。
《信息安全技術·個人信息安全規范》(GB/T 35273-2017)提出,個人信息保存期限應為實現目的所必需的最短時間,且在超出前述個人信息保存期限后,應對個人信息進行刪除或匿名化處理。
如本文開篇所述,為應對本次重大突發公共衛生事件,各地先后開展了流動人員信息申報、摸排、登記工作,該等個人信息的收集均系出于疫情防控的必要,故待本次疫情結束后,若相關信息主體并未感染2019-nCoV(如:武漢返鄉無病史人員個人信息等),同時相關信息根據法律法規的規定以及行政機關的內部歸檔要求確無必要繼續保存,且無其他與本次疫情有關的科學研究價值的,相關部門、機構、人員應當出于對公民個人信息的安全負責的態度,將其銷毀或作匿名化處理。
需要注意,個人信息的銷毀工作應符合以下安全要求:
1、個人信息數據從相關存儲設備刪除之后,應當采取措施防止通過技術手段恢復;
2、對于存儲過個人信息的設備,在進行新信息的存儲時,應當將之前的內容全部刪除;
3、廢棄存儲設備時,應當在刪除個人信息數據后再進行處理。
六、結語
在移動互聯網時代,全民監督成為可能。疫情防控背景下,及時、完整的疫情信息公開必然能夠幫助人們增加其對“新型冠狀病毒肺炎”風險的了解,但由此造成個人信息泄露則得不償失。各級政府部門在疫情信息發布過程中,應對涉及個人隱私的信息應當堅持“最少夠用原則”,合理、合法的收集和使用個人信息,重視信息傳輸、存儲工作的安全性,在擇重公開的同時對個人隱私采取去標識化處理,則于合理時間后對非重要信息開展合理的銷毀工作。在政府信息公開工作中做到統籌兼顧、突出重點,在疫情防控背景下堅持建設令人民滿意的服務型政府。
[1] 環球網:吉林磐石市政府官網泄露居民個人信息,回應:立即通知整改,網絡來源:https://baijiahao.baidu.com/s?id=1653875840436230127&wfr=spider&for=pc
[2]安全圈:政府官網公示泄露個人信息 提升保護意識是關鍵,網絡來源:https://baijiahao.baidu.com/s?id=1654598953809845067&wfr=spider&for=pc
滬公網安備 31010402007129號
