王志杰
自新型冠狀病毒疫情暴發(fā)以來(lái),大數(shù)據(jù)技術(shù)利用海量的個(gè)人信息在疫情態(tài)勢(shì)預(yù)測(cè)、人員流動(dòng)管理、疫苗研發(fā)、診斷方案改善、復(fù)工復(fù)產(chǎn)等多方面都發(fā)揮了積極作用(詳見表1)。
由表1可知,大數(shù)據(jù)在助力疫情防控的過(guò)程中,個(gè)人的身份證號(hào)、聯(lián)系方式、家庭人員、財(cái)產(chǎn)賬戶、就診記錄、出行信息、健康狀況等大量個(gè)人信息被收集、使用和公開。這些個(gè)人信息可分為六類:由地方教育部門掌握的武漢高校學(xué)生名單;由公安部門掌握的交通數(shù)據(jù);由基層工作人員和物業(yè)逐戶登記的手機(jī)號(hào)、身份證號(hào)、近期行程等數(shù)據(jù);由電信運(yùn)營(yíng)商通過(guò)手機(jī)信令掌握的客戶24小時(shí)定位信息;由互聯(lián)網(wǎng)公司掌握的人口流動(dòng)數(shù)據(jù)、住址等信息;由醫(yī)療機(jī)構(gòu)、疾病防控部門掌握的患者的健康信息和醫(yī)療就診信息。[1]
然而,由于法治意識(shí)淡薄、缺乏信息分享監(jiān)督機(jī)制、缺乏統(tǒng)一的收集數(shù)據(jù)標(biāo)準(zhǔn)、安全技術(shù)有漏洞、缺乏公開信息的規(guī)范、公民的恐慌情緒等等,這些數(shù)據(jù)控制方在收集、使用、公布個(gè)人信息的過(guò)程中存在很大的個(gè)人信息安全隱患。例如,2020年1月24日,山西臨汾姚某因擅自在微信群散發(fā)密切傳播者名單被拘留;1月27日,江西宜豐兩名干部因泄露湖北返鄉(xiāng)人員名單被政務(wù)立案;1月30日,湖南一區(qū)衛(wèi)生局局長(zhǎng)涉嫌泄露患者隱私被立案調(diào)查;2月8日,江西漣水警方抓獲利用疫情收集個(gè)人信息來(lái)犯罪的嫌疑人薛某某等等,個(gè)人信息安全被侵害的程度可見一斑。
被泄露的個(gè)人信息在疫情發(fā)酵下宛如一張張“通緝令”,給信息主體的人身與財(cái)產(chǎn)安全、心理健康等都帶來(lái)了很大危害,也影響著疫情防控后續(xù)采集信息的效率和準(zhǔn)確度,不利于早日戰(zhàn)勝疫情。那么這些數(shù)據(jù)控制方是否有權(quán)收集、使用、公布這些個(gè)人信息呢?個(gè)人信息面臨著些什么具體風(fēng)險(xiǎn)及如何防控之?被侵權(quán)后有什么救濟(jì)途徑?本文擬予探討,期能為疫情防控背景下個(gè)人信息的保護(hù)提供一個(gè)合理的路徑。
表1 大數(shù)據(jù)在疫情防控中發(fā)揮的積極作用
個(gè)人信息所涉的法益復(fù)雜:既有財(cái)產(chǎn)法益,也有人格法益;既有積極權(quán)能,也有消極權(quán)能。[2]
1.人格權(quán)。
第一,隱私權(quán)。個(gè)人信息的保護(hù)對(duì)隱私權(quán)至關(guān)重要:首先,私密信息一般與信息主體有著很強(qiáng)的特定聯(lián)系,具有很高的可識(shí)別性,被包括在個(gè)人信息之中;其次,大數(shù)據(jù)時(shí)代,數(shù)據(jù)挖掘、用戶畫像等技術(shù)的發(fā)展,使不具有私密性的個(gè)人信息也存在泄露隱私的風(fēng)險(xiǎn)。
第二,人格尊嚴(yán)權(quán)、名譽(yù)權(quán)、平等權(quán)。個(gè)人信息的泄露會(huì)導(dǎo)致信息主體的性別、地址、生理健康信息等被他人掌握。疫情下恐慌情緒和焦慮情緒的蔓延,使信息主體可能被等同視為“病毒”,遭受旁人或社會(huì)的排擠、歧視、人身攻擊、侮辱等,其人格尊嚴(yán)權(quán)、名譽(yù)權(quán)、平等權(quán)會(huì)遭到嚴(yán)重侵犯。
第三,人格的自由發(fā)展權(quán)。一方面,公民自主使用個(gè)人信息本就是其人格自由發(fā)展的一個(gè)體現(xiàn)。[3]信息主體有權(quán)決定個(gè)人信息使用的方式、范圍、內(nèi)容;另一方面,如何使用個(gè)人信息的自我判斷,是實(shí)現(xiàn)人格自由發(fā)展的關(guān)鍵。個(gè)人信息過(guò)度暴露,在與外部環(huán)境的互動(dòng)過(guò)程中必然會(huì)受到更多影響,嚴(yán)重者甚至?xí)豢刂?,人格自由自然?huì)被限制。
2.人身和財(cái)產(chǎn)權(quán)。
個(gè)人信息的可識(shí)別性和社交關(guān)聯(lián)性為某些不法之徒制造了違法犯罪的機(jī)會(huì):通過(guò)信息主體的聯(lián)系方式,可以很方便地實(shí)施電信詐騙、敲詐、恐嚇;利用信息主體的身份證號(hào)和賬戶信息可以實(shí)施盜竊銀行卡、銀行卡;利用信息主體的地址可以實(shí)施綁架、搶劫、盜竊、殺人等??梢?,個(gè)人信息的不當(dāng)暴露使信息主體的人身和財(cái)產(chǎn)都危機(jī)四伏。
由國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《個(gè)人信息安全規(guī)范(2020年)》這一國(guó)家標(biāo)準(zhǔn)中,將“個(gè)人信息”界定指為可以識(shí)別信息主體身份或者反映信息主體活動(dòng)狀況的信息。①據(jù)此,個(gè)人信息的關(guān)鍵特征為“可識(shí)別性”,包括直接可識(shí)別和間接可識(shí)別(即與其他信息結(jié)合后可識(shí)別)的信息。故,在疫情防控中泄露的個(gè)人信息,諸如個(gè)人身份證號(hào)、家庭住址、手機(jī)號(hào)碼、活動(dòng)范圍等無(wú)可爭(zhēng)議地屬于法律保護(hù)的“個(gè)人信息”。
個(gè)人信息又分為敏感信息和非敏感信息。敏感信息和非敏感信息的區(qū)別在于“場(chǎng)景的不同”:信息所泄露的場(chǎng)景是否會(huì)給個(gè)人的人身、財(cái)產(chǎn)、心理帶來(lái)負(fù)面影響。如上文所述,疫情蔓延的背景下,個(gè)人信息主體的人格權(quán)、人身安全、財(cái)產(chǎn)安全等法益都面臨著嚴(yán)峻的威脅,因此應(yīng)該界定涉疫情人員的相關(guān)個(gè)人信息為“敏感信息”而予以特殊保護(hù)。
由前文可知,個(gè)人信息涉及隱私、尊嚴(yán)、安全等法益,具有人格權(quán)和財(cái)產(chǎn)權(quán)雙重屬性,保護(hù)個(gè)人信息安全是法治的應(yīng)有之義。大數(shù)據(jù)時(shí)代,個(gè)人信息被侵害的風(fēng)險(xiǎn)空前加劇,各國(guó)在法律上紛紛完善個(gè)人數(shù)據(jù)保護(hù)法規(guī)。那么,我國(guó)法律在處理個(gè)人信息時(shí)應(yīng)遵循什么的基本原則?在疫情防控期間,個(gè)人信息保護(hù)是否存在例外條款?相關(guān)機(jī)構(gòu)、人員在疫情防控期間對(duì)個(gè)人信息的收集、利用、公開是否有法律依據(jù)?這是本文需要討論的重要內(nèi)容。
現(xiàn)行法中處理個(gè)人信息的主要合法性基礎(chǔ)是——“同意原則”(詳見表2)。
由此可見,知情同意原則,是我國(guó)個(gè)人信息保護(hù)的核心條款和基本原則。其具體有三個(gè)要素:一是事先同意,即任何主體要收集、利用、披露個(gè)人信息都應(yīng)該先取得信息主體的同意;二是明示同意為原則,默示同意為例外,其中敏感信息必須取得明示同意;三是充分告知,即只有信息主體充分了解信息所收集、處理、披露的內(nèi)容、范圍、方式和可能的后果之后而允諾的同意,才是有效的。
但是,知情同意原則是不是處理個(gè)人信息的唯一一個(gè)合法性基礎(chǔ)?特別是在疫情防控中,是否有知情同意原則的例外呢?
1.目的正當(dāng)性。
如前述表1所示,大數(shù)據(jù)技術(shù)利用個(gè)人信息在疫情防控的各領(lǐng)域發(fā)揮了至關(guān)重要的作用。疫情防控具有著極高的急迫性,而疫情所涉人員眾多,逐一獲取信息主體的同意顯然是不現(xiàn)實(shí)的。對(duì)信息主體而言,生命健康權(quán)較個(gè)人信息權(quán)有優(yōu)先性;對(duì)公共利益而言,在矛盾的情況下較個(gè)人利益有優(yōu)先性。因此,疫情防控應(yīng)構(gòu)成“知情同意”原則的例外情形,因其具有目的正當(dāng)性。
2.法律合法性。
目的正當(dāng)性并不構(gòu)成個(gè)人信息處理“知情同意原則”例外情形的充分理由,同時(shí)有法律上的依據(jù)(詳見表3)。
綜上,法律層面上,《傳染病防治法》《突發(fā)事件應(yīng)對(duì)法》和《突發(fā)事件應(yīng)急條例》授予縣級(jí)以上政府、醫(yī)療單位、疾病預(yù)防控制機(jī)構(gòu)等在疫情防控時(shí)使用個(gè)人信息的權(quán)利,并要求個(gè)人配合;行業(yè)標(biāo)準(zhǔn)層面上,《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》和《個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱“相關(guān)行業(yè)標(biāo)準(zhǔn)”)也將涉及公共安全、公共衛(wèi)生、重大公共利益列為“同意原則”的例外場(chǎng)景。疫情防控構(gòu)成處理個(gè)人信息“同意原則”的例外情形,具有合法性基礎(chǔ)。
疫情防控雖然在法律上構(gòu)成“同意原則”的例外情形,為抗擊疫情提供了支持,但是一些配套規(guī)范的缺失卻給信息安全保護(hù)帶來(lái)了很大風(fēng)險(xiǎn)。
第一,采集主體不適格。由前述表2可知,我國(guó)《傳染病防治法》《突發(fā)事件應(yīng)對(duì)法》《突發(fā)公共事件應(yīng)急條例》(以下簡(jiǎn)稱“相關(guān)法律”)未授予縣級(jí)以下政府及有關(guān)部門收集個(gè)人信息的權(quán)力。疫情防控實(shí)踐中,村/居委會(huì)、物業(yè)、街道辦等組織卻都享有個(gè)人信息的采集權(quán),且未明確這些組織對(duì)所采集個(gè)人信息的法律責(zé)任。同時(shí),互聯(lián)網(wǎng)公司、電信運(yùn)營(yíng)商也是個(gè)人信息的采集者,它們不僅沒(méi)有法律授權(quán),而且作為盈利機(jī)構(gòu),極有可能存在借疫情為由過(guò)度收集用戶信息以備日后商業(yè)利用。
表2 個(gè)人信息處理的“同意原則”
表3 疫情防控構(gòu)成“知情同意”原則例外情形的法律依據(jù)
第二,采集范圍不統(tǒng)一。相關(guān)法律規(guī)定個(gè)人應(yīng)配合疾病預(yù)防機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)、衛(wèi)生部門等收集信息,但未明確收集的范圍,導(dǎo)致各地標(biāo)準(zhǔn)參差不齊,多地有收集財(cái)產(chǎn)賬戶、戶籍信息、超過(guò)醫(yī)學(xué)觀察期的出行信息甚至性取向等明顯與疫情無(wú)關(guān)信息的情形。
第三,未明確告知原則,加重過(guò)度采集風(fēng)險(xiǎn)。逐一獲取信息主體的同意自然不現(xiàn)實(shí),但是告知信息主體采集信息的目的和范圍顯而易見是可行的。否則極易為過(guò)度采集蒙上遮羞布,相關(guān)法律卻未明確這一原則。
第四,違法分子“釣魚收集”的風(fēng)險(xiǎn)。違法分子可能會(huì)將病毒偽裝成“填寫表單搶購(gòu)口罩”“當(dāng)?shù)匾咔閱?wèn)卷調(diào)查”等對(duì)普通民眾有吸引力的程序,客戶打開填寫后便可侵入其電腦,收集、竊取相關(guān)個(gè)人信息。
第一,數(shù)據(jù)控制方可能因?yàn)榉ㄖ我庾R(shí)薄弱、隱私意識(shí)不強(qiáng),難以保障個(gè)人信息的安全。疫情期間的個(gè)人信息泄露案件多為基層工作人員個(gè)人信息保護(hù)意識(shí)薄弱,擅自轉(zhuǎn)發(fā)擴(kuò)散等所致。
第二,大數(shù)據(jù)時(shí)代,個(gè)人信息多存儲(chǔ)在云空間,一些黑客會(huì)趁機(jī)竊取個(gè)人信息犯罪,一旦保密技術(shù)有技術(shù)性漏洞,海量信息將落入犯罪分子之手,后果不堪設(shè)想。我國(guó)《民法總則》《網(wǎng)絡(luò)安全法》明文規(guī)定了信息傳輸、存儲(chǔ)階段的安全義務(wù),但作為宣示性條款,缺乏具體的制度與技術(shù)安排。
第一,使用、披露主體不合格?!鞍俣冗w徙”地圖的人口遷徙數(shù)據(jù)大公開、各大電信運(yùn)營(yíng)商的“武漢手機(jī)用戶遷返報(bào)告”、部分媒體對(duì)武漢人員個(gè)人信息的直接披露等都缺乏法律/有關(guān)部門的授權(quán)?!秱€(gè)人信息安全規(guī)范》和《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》對(duì)數(shù)據(jù)控制者提出了要求,但作為推薦性標(biāo)準(zhǔn),約束力太弱,缺乏強(qiáng)制力和執(zhí)行力更好的保護(hù)條令。
第二,缺少統(tǒng)一的操作規(guī)范。相關(guān)法律未對(duì)使用、披露個(gè)人信息的方式、范圍進(jìn)行規(guī)定,導(dǎo)致基層在實(shí)際執(zhí)行時(shí)存在疏于對(duì)披露數(shù)據(jù)進(jìn)行脫敏處理、公開年齡、戶籍、家庭人員等無(wú)關(guān)信息等情形。
第三,缺乏對(duì)告知原則的規(guī)定。這和采集階段類似。
第四,缺乏監(jiān)督機(jī)制。我國(guó)《民法總則》《網(wǎng)絡(luò)安全法》等未規(guī)定具體侵權(quán)責(zé)任;《刑法修正案九》及相關(guān)司法解釋雖然規(guī)定了保護(hù)個(gè)人信息的刑事責(zé)任,但也僅為事后懲戒,缺乏事中的監(jiān)督機(jī)制。
第一,責(zé)權(quán)劃分不明確,數(shù)據(jù)交換、共享過(guò)程中不可避免存在數(shù)據(jù)擁有者和管理者分離、數(shù)據(jù)所有權(quán)和使用權(quán)分離的情況。但相關(guān)法律及標(biāo)準(zhǔn)未規(guī)定交換、共享個(gè)人信息雙方的權(quán)利與義務(wù),安全監(jiān)管責(zé)任不清晰,不僅隱含著濫用數(shù)據(jù)的風(fēng)險(xiǎn),也可能導(dǎo)致交換效率低,無(wú)法打破“數(shù)據(jù)孤島”,影響抗擊疫情。
第二,交換、共享范圍不明確,過(guò)程不公開。防控實(shí)踐中多為“一刀切”打包交換共享,但個(gè)人信息不應(yīng)該全部被允許交換、共享,應(yīng)按敏感程度分級(jí),加以不同等級(jí)的保護(hù),應(yīng)用不同的共享規(guī)則。同時(shí)為了防止暗箱操作,過(guò)程也應(yīng)對(duì)公眾公開。
第三,信息共享涉及大量數(shù)據(jù)的集中,一方面極易成為黑客的攻擊目標(biāo),如果技術(shù)安保不到位,大量個(gè)人信息將泄露;另一方面也面臨著內(nèi)部的安全風(fēng)險(xiǎn),例如員工過(guò)量下載等問(wèn)題。
目前對(duì)于疫情疫情結(jié)束之后個(gè)人信息的后續(xù)處理沒(méi)有相關(guān)政策或規(guī)定。防控實(shí)踐中涉及海量復(fù)雜的個(gè)人信息,很多部門或組織是受疫情影響經(jīng)上級(jí)授權(quán)充當(dāng)臨時(shí)信息控制者。這些臨時(shí)控制者一方面數(shù)據(jù)管理制度不完善,管理能力有限,對(duì)長(zhǎng)期處理海量的個(gè)人信息力不從心;另一方面,疫情之后大部分機(jī)構(gòu)持有個(gè)人信息的行為都喪失了合法性基礎(chǔ),易給信息主體帶來(lái)后續(xù)的隱私困擾等。
疫情下對(duì)個(gè)人信息權(quán)的限制和縮減雖有其合理性和合法性,但是這種限制并不是沒(méi)有邊界,必須遵循基本的原則,符合合理的限度,予以基本的保護(hù)。[4]
梳理域外法制經(jīng)驗(yàn)和我國(guó)《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》(以下簡(jiǎn)稱“聯(lián)防聯(lián)控通知”)要求,可以發(fā)現(xiàn)保護(hù)個(gè)人信息需要遵守一些基本原則:比例原則、合法原則、公開原則、目的限制原則、信息安全原則和保護(hù)“數(shù)據(jù)被遺忘權(quán)”原則。根據(jù)這些原則,提出具體的保護(hù)建議:
1.比例原則。
收集、使用、公開個(gè)人信息對(duì)于抗擊疫情目的而言應(yīng)是適當(dāng)?shù)?、必要的,但不能?duì)信息主體造成過(guò)度負(fù)擔(dān)。參考?xì)W盟的一般數(shù)據(jù)保護(hù)條例(General Data Protection Regulation,以下簡(jiǎn)稱“GDPR”)規(guī)定,為了控制傳染病收集個(gè)人信息必須滿足數(shù)據(jù)最小化原則(最少夠用原則)[5];亞太經(jīng)合組織的《APEC隱私框架》,其第十三條要求在“使用隱私保護(hù)的例外原則時(shí)需要限縮于與例外條款相關(guān)之目的并符合比例原則”[6];我國(guó)“聯(lián)防聯(lián)控通知”有最小范圍原則要求②。
具體而言,首先,明確收集數(shù)據(jù)的范圍:對(duì)確診患者、疑診患者、醫(yī)學(xué)觀察期內(nèi)的接觸者的信息收集,限于姓名、年齡、行蹤軌跡、健康信息、家庭住址、共同生活人員等和疫情相關(guān)的關(guān)系,對(duì)其財(cái)產(chǎn)狀況、籍貫等無(wú)關(guān)信息禁止收集;對(duì)正常健康人員的信息收集,限于健康信息、年齡、性別、住址這些檢測(cè)健康狀況必須的基本信息,其他信息都禁止收集。[7]其次,明確數(shù)據(jù)使用、公布、共享的范圍:應(yīng)該將所收集的個(gè)人信息進(jìn)行分類,非必要情況不公布敏感度較高的個(gè)人信息,也要先進(jìn)行脫敏或匿名化處理。
2.合法原則。
合法原則的基本要求是主體適格、權(quán)責(zé)分明,即對(duì)個(gè)人信息的采集、使用、共享、公布都應(yīng)該嚴(yán)格依照相關(guān)法律的規(guī)定。根據(jù)“聯(lián)防聯(lián)控通知”的第一條規(guī)定,縣級(jí)以下政府及部門,互聯(lián)網(wǎng)企業(yè)、電信運(yùn)營(yíng)商等不適格主體,必須得到有權(quán)部門的授權(quán),并且明確其應(yīng)該承擔(dān)的數(shù)據(jù)安全責(zé)任,才能參與收集、處理個(gè)人信息。參考?xì)W盟“GDPR”規(guī)定,只允許特定成員國(guó)的有權(quán)機(jī)構(gòu)才能相互交換收集的個(gè)人信息,同時(shí)成員國(guó)要對(duì)信息后續(xù)流轉(zhuǎn)承擔(dān)全部法律責(zé)任的規(guī)定。[8]因此,完善我國(guó)的數(shù)據(jù)共享規(guī)則,建議共享雙方簽訂共享協(xié)議,明確各自的安全監(jiān)管責(zé)任等。
3.公開原則。
其一,公開原則要求告知個(gè)人信息主體收集、使用、公開信息的目的、方式、范圍、內(nèi)容。相關(guān)法律賦予了醫(yī)療機(jī)構(gòu)、疾病防控部門等在疫情背景下不經(jīng)個(gè)人同意收集使用信息的權(quán)力,但并沒(méi)有賦予其更多的特權(quán)。告知是個(gè)人信息主體知情權(quán)不可剝離的一部分,也是對(duì)數(shù)據(jù)控制者的一種約束。
其二,要以明確、簡(jiǎn)單、易懂的方式向公眾公開收集到的疫情信息,避免因?yàn)楣姷目只?、猜忌情緒給信息主體帶來(lái)次生傷害。
4.目的限制原則。
對(duì)個(gè)人信息的收集、使用、公開、共享限于防控疫情這一目的,不可濫用于他途。尤其是需要加強(qiáng)對(duì)互聯(lián)網(wǎng)企業(yè)、電信運(yùn)營(yíng)商等盈利機(jī)構(gòu)的監(jiān)管,明確與政府合作的過(guò)程中收集、使用個(gè)人信息的目的和應(yīng)承擔(dān)的責(zé)任,督促其加強(qiáng)內(nèi)部的員工管理等,以防止日后海量信息用作商用。同時(shí),政府管理部門也應(yīng)警惕,不可將個(gè)人信息用作一般的公安偵查等,否則都是違反了目的限制原則,突破了對(duì)個(gè)人信息權(quán)的合理限制程度。
5.信息安全原則。
一方面,要加強(qiáng)對(duì)不同信息處理行為中數(shù)據(jù)控制者的法治素養(yǎng)和信息保護(hù)意識(shí),明確不同控制者的信息安全責(zé)任,加大執(zhí)法力度,嚴(yán)禁泄露或違規(guī)使用個(gè)人信息,否則,可以使用《網(wǎng)絡(luò)安全法》《刑法修正案(九)》等予以懲戒,同時(shí)還需要進(jìn)一步完善我國(guó)侵犯公民個(gè)人信息罪的定罪量刑標(biāo)準(zhǔn);另一方面,要加強(qiáng)和研發(fā)更完善的數(shù)據(jù)安全技術(shù),充分調(diào)動(dòng)產(chǎn)學(xué)研各界的積極性,加強(qiáng)數(shù)據(jù)安全監(jiān)管技術(shù),筑牢防火墻,減少技術(shù)漏洞、抵御黑客攻擊的潛在風(fēng)險(xiǎn)。
6.保護(hù)數(shù)據(jù)“被遺忘權(quán)”原則。
在疫情防控結(jié)束后,為了信息主體的生活安寧,個(gè)人信息主體有權(quán)要求數(shù)據(jù)控制者刪除其個(gè)人信息??梢詤⒖肌癎DPR”的“為了控制傳染病而收集的個(gè)人信息存儲(chǔ)時(shí)間不得超過(guò)12個(gè)月”限期存儲(chǔ)的規(guī)定,[9]在疫情結(jié)束后限期刪除收集的原始個(gè)人信息,并采取技術(shù)措施防止私人恢復(fù)。一些不具有可識(shí)別性的聚合信息若有日后研究的必要可由疾病控制部門封存,確保以保密性和安全性;若信息主體同意,也可以保留一些可識(shí)別個(gè)人信息以供日后的智慧醫(yī)療建設(shè)等合理目的使用,但要注意假名化等技術(shù)脫敏處理。
綜上所述,在疫情防控各個(gè)階段的個(gè)人信息保護(hù)途徑如下圖所示:
圖 疫情防控各階段個(gè)人信息的保護(hù)路徑
1.自我保護(hù)措施。
第一,謹(jǐn)慎提交、填寫個(gè)人信息。手機(jī)下載app或掃碼時(shí)關(guān)注是否存在個(gè)人信息收集行為,如填報(bào)手機(jī)號(hào)、要求打開權(quán)限等;確認(rèn)存在個(gè)人信息收集行為后,關(guān)注信息收集者是否是具備疫情防控相關(guān)授權(quán)的機(jī)構(gòu);填寫信息時(shí)只填寫與疫情防控相關(guān)的必填項(xiàng)信息;對(duì)于存在疑問(wèn)的填寫項(xiàng),與相關(guān)人員進(jìn)行溝通,了解原因及目的后再進(jìn)行填寫。
第二,監(jiān)督后續(xù)保護(hù)措施。對(duì)于已經(jīng)提交的個(gè)人信息,主動(dòng)了解、詢問(wèn)收集方將如何存儲(chǔ)、處理、公開,并進(jìn)行監(jiān)督。
2.權(quán)利救濟(jì)。
第一,申訴舉報(bào)。若遇到個(gè)人、互聯(lián)網(wǎng)機(jī)構(gòu)、企業(yè)等泄露、傳播個(gè)人信息或者有其他侵權(quán)行為時(shí)可以參考表4進(jìn)行申訴維權(quán)。
表4 個(gè)人申訴舉報(bào)的正規(guī)渠道
第二,司法救濟(jì)。(1)刑事訴訟。根據(jù)我國(guó)《刑法修正案(九)》以及《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》相關(guān)規(guī)定,如果侵害個(gè)人信息的情節(jié)嚴(yán)重,信息主體可以提起刑事自訴,信息控制者可能因?yàn)榍址腹駛€(gè)人信息罪、拒不履行信息網(wǎng)絡(luò)安全義務(wù)罪受到刑事制裁。(2)民事訴訟。信息主體發(fā)現(xiàn)個(gè)人信息在疫情防控中被違規(guī)收集、泄露的可以以“人格權(quán)糾紛”項(xiàng)下的“隱私權(quán)糾紛”為案由提起民事訴訟;若信息主體與違法行為者系商家與消費(fèi)者的關(guān)系,或存在服務(wù)合同等協(xié)議,也可以“消費(fèi)者權(quán)益保護(hù)糾紛”或“合同糾紛”為案由提起民事訴訟。(3)行政復(fù)議或行政訴訟。信息主體認(rèn)為政府機(jī)構(gòu)等公權(quán)力組織存在違法違規(guī)收集使用個(gè)人信息行為的,可以向上級(jí)行政機(jī)關(guān)復(fù)議舉報(bào),或提起行政訴訟。
舉證責(zé)任方面,基于合法原則和信息控制者較個(gè)人而言的支配地位,信息控制者承擔(dān)“過(guò)錯(cuò)推定責(zé)任”,舉證自己已經(jīng)遵守法律,履行了信息安全保護(hù)義務(wù),否則,就要承擔(dān)舉證不力的法律后果。
疫情防控之下,公民個(gè)人的信息權(quán)有所縮減和限制具有一定合法和正當(dāng)性基礎(chǔ),但是,這種限制舉措并非沒(méi)有邊界,應(yīng)遵循比例原則、合法原則、公開原則、目的限制原則、信息安全原則和保護(hù)“數(shù)據(jù)被遺忘權(quán)”等原則開展個(gè)人信息的收集與后續(xù)處理活動(dòng),同時(shí),需要修訂和完善《突發(fā)事件應(yīng)對(duì)法》《傳染病防治法》等相關(guān)法律中有關(guān)主體的權(quán)利與義務(wù)、具體的信息保護(hù)措施和法律責(zé)任等規(guī)定,出臺(tái)規(guī)范的公民《個(gè)人信息保護(hù)法》,完善個(gè)人信息主體安全的保護(hù)路徑,明確權(quán)利救濟(jì)渠道。唯有如此,才能實(shí)現(xiàn)疫情防控的公共衛(wèi)生安全和個(gè)人信息保護(hù)的平衡,在法治下早日迎來(lái)疫情防控攻堅(jiān)戰(zhàn)的勝利。
注釋
①《個(gè)人信息安全規(guī)范》第三條第一款:“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)狀況的各種信息”。
②《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》第二條:“收集聯(lián)防聯(lián)控所必需的個(gè)人信息應(yīng)參照國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》,堅(jiān)持最小范圍原則”。