摘要: 新型冠状病毒疫情的暴发,是继非典之后又一重大紧急的公共卫生突发事件。各级政府机关、公务人员积极抗击疫情,同时也收集了大量的公民个人信息。然而,部分该类信息却在微信群聊、朋友圈上悄然泄密,被广泛转发,公民的个人姓名、身份证号、工作单位、家庭住址甚至配偶、父母等亲密亲属信息也被一览无余的被曝光。公民个人信息关乎公民个人隐私,公民的人格独立和人格尊严不受非法侵犯。本文从当下硝烟尚未漫去的新型冠状病毒疫情出发,非法搜集和利用公民个人信息,应受到合法性规则、必要性规则、关联信息原则、企业支持原则的规制。
Abstract:
The outbreak of the new coronavirus epidemic is another major emergency public health emer-gency after SARS. Government agencies and public servants at all levels are actively fighting the epidemic, while also collecting a large amount of personal information of citizens. However, some of this type of information was quietly leaked on WeChat group chats and Moments, and was widely forwarded. Citizens’ personal names, ID numbers, work units, home addresses, and even the infor-mation of close relatives such as spouses and parents were also unobstructed exposure. Citizen’s personal information is related to citizens’ personal privacy, and citizens’ personal independence and personal dignity are not illegally violated. This article starts from the current novel coronavirus epidemic that has not yet spread. The illegal collection and use of citizens’ personal information should be regulated by legality rules, necessity rules, related information principles, and corporate support principles.
1. 问题的提出
2020年初,新型冠状病毒(COVID-19)疫情在我国肆虐并迅速蔓延到祖国各地。1月底,以世界卫生组织宣布将此次爆发的新型冠状病毒疫情列为举世关注的突发公共卫生紧急事件为标志,我国的疫情迎来了大爆发期。我国各地(省、市、自治区)紧急启动突发公共卫生一级响应,各级政府及时研讨对策并迅速实施防控举措,不断加大和提高防控力度。如:停止大型群众性活动、暂停营业非市民日常生活必须场所、外地返乡人员实行居民或者集中医学观察、定点到人到户收集公民行程等,以此来达到疫情防控的目的。收集公民个人信息是疫情防控中不可或缺的一环,但公民个人信息的不当泄露和曝光也随之而来。借此,本文以新型冠状病毒疫情为基点,探寻如何进一步完善公民个人信息保护和利用,以达到一个相对平衡之限度。
2. 个人信息概述
“个人信息”在我国法学理论和立法实操中均有不同定义,如:王利明教授认为,个人信息蕴含着商业价值而具有财产的属性,但这不是主要特征,个人信息的可识别性特征体现人格特征。对于人身属性,其表现在与主体密不可分,是一种精神利益,而财产属性则表现为在特定条件下可以成为一种特殊的商品用于交易,参与市场流通 [1]。学界大多认可此观点。在《民法典》正式颁布以后,对“个人信息”的定义首次有了中华人民共和国法典意义上的正式确立。2020年最新颁布的《民法典》人格权编正式对“个人信息”作出了定义,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、行踪信息等。值得我们注意的是,《民法典》相比之前的《民法典(草案)》对“隐私权和个人信息保护”章节进行了一定改动,尤其是在个人信息的定义上面,将自然人的“电子邮箱地址”和“行踪信息”以成文法律的形式纳入了个人信息的范畴。
王春晖教授认为,对“个人信息”的定义应当进一步加大对个人隐私信息的描述,尤其应当增加自然人的“账号、密码和财产状况” [2]。账号是大数据时代的代表产物,公民登录社交账号、电子邮箱、网上购物、网络支付等都需要注册并使用账号,密码则是公民为了维护其账户安全的一把钥匙,它们保障着大数据时代公民的个人信息和重要隐私。QuestMobile发布的《2019中国网民理财保险需求洞察报告》显示,截止到2019年9月,电子支付行业用户规模超过7亿,居民收入持续提高、传统金融机构持续布局线上,让金融理财各个细分行业月活用户规模快速增长,网银、现金贷、股票交易增速均在20%以上,记账理财超过45%。另外,iiMedia Research (艾媒咨询)数据显示,中国移动支付交易规模在2019年第三季度已经达到252.2万亿元,用户规模在年底预计超过7.3亿人,覆盖更多层级的用户,全国普及程度持续提高。中国移动支付行业正在往标准化和规范化发展,市场竞争加剧。随着人脸技术的成熟,刷脸支付加快普及,iiMedia Research (艾媒咨询)数据显示,预计到2019年刷脸支付用户规模将会达到1.18亿人。当今时代是互联网时代,大数据时代,电子支付早已和现金支付并驾齐驱,成为人们消费的首选方式,甚至隐隐约超越、灭亡现金支付之势。大数据时代的电子账号密码将公民的个人信息和重要隐私空间与外界隔离,保障着公民各类账户安全。“电子账户和密码”,已经超越了自然人“不愿为他人知晓”的信息,更多的是禁止、拒绝、排斥他人知晓,“个人信息”定义中应将“账号、密码和财产状况”纳入其中,因为它是一种应时而生、应运而生大数据时代的一项隐私权利。针对此次疫情,有些不法公民非法登陆武汉返乡人员账户,发表诸多不实负面信息。公民个人账户信息泄露,使得许多不知真相的网民盲目跟风、造谣诋毁。这使得无辜受害的公民不堪其扰,甚至造成政府公信力的下降。这也是需要将“账号、密码和财产状况”纳入“个人信息”的一大促因。《民法总则》《刑法》与《网络安全法》均明确规定,任何组织和个人不得非法获取个人信息,更不能非法出售或非法公开 [3]。应运而生的2021年颁布实施的《个人信息保护法》对此也有相关类似规定。
3. 公共卫生突发事件中个人信息的保护
在我国,为实现早日战疫成功,政府主体、相关部门对于公民个人信息的采集、整理、加工、利用甚至公布都是应对特殊公共卫生突发事件的必要措施。虽然疫情防控在先,但公民的个人信息保护更应该秉彻着“从公民出生,到公民死亡,公民对其个人信息享有自决权”这一理念 [4]。疫情防控期间,公民的个人信息保护和个人信息利用必须要在私权利和国家利益、公共利益间作出平衡,甚至一定的让步。但这种让步绝对不是“无限退步”,而是一种“在不损害民事主体人格独立和人格尊严间的合宪性的让步” [5]。在疫情防控中,我们应该以下列基本原则为准则:
(一) 合法性原则
对信息的收集、处理和使用需满足合法性原则,必须遵守法律、法规的相关规定,任何国家机关、政府部门、社会团体和组织以及公民个人都不得以应对突发公共卫生事件(非典、新型冠状病毒疫情等)为由非法搜集、处理和使用其他公民的个人信息。在疫情防控期间,一些app违规收集和处理公民个人信息,触碰了公民个人隐私的红线和底线,“个人姓名、性别、手机号码、电子邮箱、身份证号码、有无疾病史、现居住地有无疑似病例、本家庭成员是否为确诊病例或疑似病例等”往往被非法搜集和利用,例如信息整合出售给他人牟利作商业使用、非法批露确诊病例和疑似病例引起社会恐慌……其实,不仅是app如此,一些政府部门及相关工作人员在工作群、家庭群中非法转发致使个人信息被大量传播泄漏的事件也大量存在。针对公共卫生突发事件(如非典、新型冠状病毒疫情等),合法性原则应做进一步针对于此的专项解释,具体如下:
其一,信息收集利用主体法定:信息收集和利用的主体必须是法律法规明确规定的合法适格主体 [6]。根据《传染病防治法》《突发公共卫生应急条例》规定,各级人民政府、卫生行政部门、疾病预防控制机构、医疗机构、街道、乡镇以及居民委员会、村民委员会,港口、机场、铁路疾控机构及国境卫生检疫机关等有权以疫情防控为目的收集个人信息。笔者认为,在该条款的最后,应将“……等有权以疫情防控为目的收集个人信息”改为“……等有权以疫情防控为目的收集、处理和使用个人信息”。在疫情防控中,收集个人信息是必要措施,但处理和利用也是不可或缺之措。另外,应增加一条“任何社会团体和组织、其他个人不得违反法律法规收集、处理和使用公民个人信息”。这是一条兜底条款,也是一项补充性措施。
其二,信息收集针对对象法定:在《传染病防治法》和《突发公共卫生事件应急条例》中明确要求任何单位和个人均应该配合,在2020年2月9日中央网信办公开发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中明确规定,“收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。”
其三,信息收集利用应符合法定权限、内容和程序 [7]。对公民个人信息的收集和利用,应注意权限是否合法、内容是否合法、程序是否合法。前文赘述的合法主体在收集和利用公民个人信息时,应当在现有法律法规的指导下办事,依照法定权限、内容和程序依法行政。例如,在《突发公共卫生事件应急条例》第二十五条规定,国务院卫生行政主管部门负责向社会发布突发事件的信息。必要时,可以授权省、自治区、直辖市人民政府卫生行政主管部门向社会发布本行政区域内突发事件的信息。信息发布应当及时、准确、全面。但在本次疫情防控初期,部分省为了减轻责任,“能拖就拖,不能再报”,疫情信息发布往往不及时、不准确、不全面,从而本省导致疫情程度更加严重。
其四,违规违法收集使用公民个人信息应当依法追责。在2020年2月9日中央网信办公开发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中第6条明确指出:任何组织和个人发现违规违法收集、使用、公开个人信息的行为,可以及时向网信、公安部门举报。网信部门要依据《中华人民共和国网络安全法》和相关规定,及时处置违规违法收集、使用、公开个人信息的行为,以及造成个人信息大量泄露的事件;涉及犯罪的公安机关要依法严厉打击。
(二) 必要性原则
必要性原则强调在疫情防控联控工作中收集利用个人信息,手段和目的间要具有均衡性和联结性 [8],即既要照顾公共利益,也要考量个人利益,在达到公共利益得到满足的点时,不应当再去过度收集利用公民的个人信息 [9]。必要性原则要求有关政府机关在收集利用公民个人信息时,要注意手段和目的的度量衡,达到疫情防控联控的需求即可,在维护公共利益的前提下最大限度的保障公民个人信息,防止个人信息被过度收集利用甚至泄漏、贩卖。在本次疫情防控联控中,青岛某网友在办理小区出入证时,物业发放了居民信息登记表。其中,除了基本的姓名、手机号、住址,还要填写民族、政治面貌、学历、身高、血型、婚姻状况、微信号等信息。这显然超出了防疫控疫的必要性限度,违背了必要性原则,使本不该公之于众的个人信息受到侵犯。
(三) 关联信息原则
与突发公共卫生事件防治有关的信息才是应当予以公开的信息。收集的信息包括一般信息和关联信息两大类:一般信息是指与突发性公共事件无关联的个人信息,如真实姓名、身份证号、肖像、具体住址和电话号码等,这些个人敏感信息一般不涉及公共利益,也不存在给公众带来其他风险,仍然应该受到保护 [10]。关联信息是指因突发公共卫生事件的暴发而与特定当事人发生了某种关联而产生的信息 [11]。这些信息有助于了解新冠肺炎及其发展情况,对于疫情防控有着重要的作用,如当事人被疫情所感染的情况、治疗情况、隔离情况以及乘客的返乡日期、活动区间等,可以予以收集公布。
(四) 企业支持原则
企业支持原则是指鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持。该原则是《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中国家针对新型冠状病毒感染肺炎疫情防控联控特殊情态下所作出的针对个人信息保护一项全新的收集利用个人信息的基本原则。这项新原则的确立,主要目的在于国家意在充分调动起互联网大数据企业的积极性,与有关政府部门合作共赢,在联防联控新常态下及时、准确、全面掌握和分析报告疫情特点和传播规律,从而更有效的严防死守疫情的传播与扩散。政企合作,是政府部门和有能力有资历的互联网大数据企业合作,必须要坚持中国共产党的领导,坚持有关政府部门的指导作用。该类企业在收集和利用个人信息时,应该不越红线,不抄底线,在合法合规的情形下进行。因此,相关企业应当遵循下列守则:
第一,有关企业在收集和利用大数据的过程中,应当始终坚持有关部门的指导,不违法相关法律、法规;
第二,有关企业在收集利用个人信息的过程中,要严格保护公民个人信息,做好数据脱敏工作;
第三,企业应该是由相关政府部门认可的有能力有资历的互联网大数据企业 [12],公民个人信息和个人隐私是不可侵犯的,有过侵犯公民个人信息行政处罚、违法犯罪记录的企业即使有能力有资历也坚决杜绝与其合作;
第四,有能力有资历的企业必须积极配合相关政府部门工作,消极怠工、违反违规收集利用公民个人信息的企业应追究其相应责任;
第五,有能力有资历的企业在收集、利用公民个人信息时应遵守相关法律法规规定,且涉及到公民个人重要隐私时应得到公民的授权同意,否则应承担相应的法律责任。
4. 结语
在这场至今尚未结束的新型冠状病毒疫情防控联控战役中,公民个人信息的收集与利用、保护和挽救是一场旷日持久的战争。时至今日,仍旧有一些与本次疫情相关联的个人信息泄露事件在发生。更多的是,疫情期间泄露和传播的个人信息部分仍然在互联网上流传。如何保护个人信息我们尚且做的不甚完善,至于挽救和弥补这一方面往往更是不足居多。个人信息的收集和利用往往涉及人格独立和人格尊严甚至人格自由,即使在突发公共卫生事件中我们因保护公共利益而使个人利益受到限制和侵犯,但是这种限制和侵犯应当以“达到维护公共利益的必要限度为限”。唯有如此,疫情防控中个人信息的保护和利用才会达到一个相对平衡之限度。