疫情防控有关的十大个人信息保护问题

发布时间:2020-02-18

文 | 黄春林 合伙人 吴旻奇 汇业律师事务所

疫情当前,社会各界应当团结一致,全力防控疫情,这一点毋庸置疑。但是,在防控疫情过程中,社会各界应当严格按照法律规定,把握好防控效率与正当性之间的平衡,做到近水解渴,远源清流。

本文中,汇业黄春林律师团队从个人信息保护角度,详细解读疫情防控过程中应当注意的个人信息保护问题,倡导法治精神、人性关怀与疫情防控同等重要。

一、 是否可以收集疫情有关人员的个人信息?

根据《传染病防疫法》、《突发公共卫生事件应急条例》等规定,任何机构和个人有义务配合国家有关机关防控传染病有关的工作,这里的配合责任就包括传染病有关的调查和信息采集,“任何单位和个人不得以任何理由予以拒绝”。

同时,参照《个人信息安全规范》等内容,若收集信息与公共卫生直接相关的,可以不经信息主体同意。此外,《信息安全技术个人信息告知同意指南(征求意见稿)》明确列举“例如加强口岸防控人感染特定流感疫情,对疑似病例人员采样进行病原体监测,详细登记其个人信息等”无需征得信息主体同意。

但是,根据《网络安全法》等规定,获取个人信息的基本制度框架是“告知”+“同意”。上述规定仅仅豁免了信息主体“同意”,但并没有豁免信息控制者的“告知”。因此,相关机关在依法收集疫情有关人员的个人信息时,仍然应当通过隐私政策、告知书等形式依法告知收集的目的、方式和范围等。

此外,通过本次疫情,我们也看到《网络安全法》、《关于加强网络信息保护的决定》等的不足之处:(1)在个人信息收集规则方面,缺乏与其他法律、法规的衔接规定;(2)缺乏线下收集个人信息的行政监管规定;等。希望在未来的《个人信息保护法》中有进一步完善。

二、 可以收集疫情有关人员的哪些个人信息?

我们看到,本次疫情面前,很多地方为了更好的防控疫情扩张,地毯式、网格化收集居民广泛个人信息(例如家庭关系、工作/学习背景、实时位置信息等),一则违背了个人信息收集的最小化原则,二则也违背了《传染病防疫法》、《突发公共卫生事件应急条例》等规定的初衷。

《传染病防疫法》、《突发公共卫生事件应急条例》明确将收集信息的范围限定在“疫情相关的”、“有关传染病的”。而对于普通居民而言,即便为了配合流行病学调查、口岸防控等目的,与“疫情相关的”也仅仅应当限于联系方式、14天内旅行史、14天内接触史、当前疾病症状等。

为了符合最小化、比例原则,上述流行病学调查或口岸防控亦采取“消极收集法”,即尽量用“是否”方式选择,而不宜用“列举”方式填空,上述应当严格限定在“14天以内”的记录,且具体身份信息亦仅留手机号码,不宜留姓名、身份证等敏感信息。

这一点,《突发事件应对法》第十一条规定就是很好的范例,即“有多种措施可供选择的,应当选择有利于最大程度地保护公民、法人和其他组织权益的措施。”

三、 公共大数据是否可以用于疫情防控?

交通、电信、网络等大数据是否可以用于本次疫情防控?答案取决于“大数据”的范畴。

如果“大数据”是指集群性公民的具体通信内容、通信记录等个人信息,则不可以。例如根据《电信条例》第六十五条规定,“除因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外,任何组织或者个人不得以任何理由对电信内容进行检查。”这里的排除情形并不包括公共卫生事件,这也是法律对于公民“通信自由”这一基本人权的保护。如果“大数据”是不能定位具体个人的海量的数据、人群画像等(例如人群流动趋势、易感人群年龄段等),则根据《网络安全法》第四十二条可以用于疫情防控。

但是,根据《数据安全管理办法(征求意见稿)》第三十六条规定,“国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,依照法律、行政法规的规定,要求网络运营者提供掌握的相关数据的,网络运营者应当予以提供。”或许也正是参照这一条背后的逻辑,之前工信部才率先宣布利用大数据保障疫情防控。

四、 谁可以收集疫情有关人员的个人信息?

如前所述,可以基于疫情防控目的,搜集疫情相关人员的与疫情有关的个人信息。但是,谁有权收集呢?目前,各基层单位(学校、单位、社区、交通等)及社会机构、媒体均在广泛收集疫情有关人员的个人信息,他们有收集个人信息的合法权利吗?

事实上,不论是《突发事件应对法》还是《传染病防疫法》,都将收集主体严格限定在有权机关,例如《传染病防疫法》第七条规定,“各级疾病预防控制机构承担传染病监测、预测、流行病学调查、疫情报告以及其他预防、控制工作。”

但是社区、居委是否可以收集呢?我们认为是可以的。根据《传染病防疫法》第七条规定,“城市社区和农村基层医疗机构在疾病预防控制机构的指导下,承担城市社区、农村基层相应的传染病防治工作。”此外,根据《突发公共卫生事件应急条例》第四十条规定,“传染病暴发、流行时,街道、乡镇以及居民委员会、村民委员会应当组织力量,团结协作,群防群治,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作。”

除上述机构外,行业组织、工作单位、公益组织等,收集疫情有关人员的个人信息缺乏有效的法律依据。汇业黄春林律师团队特别提醒,部分商业机构以疫情防控为由,收集网络用户的位置信息、旅行及交通信息(例如查询周边疫情时收集位置信息,查询疑似通行航班时收集旅行信息等),应当严格遵守《网络安全法》及其配套规则的有关要求。

五、 收集疫情有关人员个人信息的网络系统应当满足什么条件?

疫情爆发后,部分地区开通了网络特别系统/渠道,收集通关、返程人员的个人信息。但根据《网络安全法》、《网络安全等级保护条例(征求意见稿)》等法律法规规定,该等网络系统收集大量个人敏感信息,依法应当符合包括但不限于:

(1) 所用网络域名应当办理ICP备案,网站及APP应当办理公安联网备案;

(2) 所用网络系统应当办理等保三级以上备案,并参照《GB-T 22239-2019-信息安全技术-网络安全等级保护基本要求》等标准采取必要的安全措施;

(3) 依法制定网络安全有关的制度(例如网络安全应急预案),依法公示个人信息收集和使用的规则(例如隐私政策);

(4) 设置专门的岗位和人员;等等。

六、 疫情有关人员的个人信息应当如何使用?

基于疫情防控目的收集的个人信息,应当仅能用于疫情防控之目的,不能用于其他目的(包括安全管理、社区统计、信用评价、行业评价等)。超出原定范围使用个人信息的,应当严格按照《网络安全法》等法律法规及其配套规则、标准之规定,履行必要的告知+同意程序,法律另有规定除外。

对于“四类人员”的个人信息用于隔离、医疗、医药等用途的,还应当严格按照《执业医师法》、《医疗机构病历管理规定》、《国家健康医疗大数据标准、安全和服务管理办法》、《传染病信息报告管理规范》等规定执行。

七、 疫情有关人员的个人信息是否可以用作教学研究?

根据《个人信息安全规范》规定,若将非四类人员的个人信息用于疫情防控等教学研究目的的,可以不经信息主体同意。

若将四类人员的病历信息用于医疗、医药性教学研究目的的,主要有两种渠道:(1)根据《医疗机构病历管理规定》第十六条规定的借阅-同意程序;(2)使用脱敏处理后的信息,并采取切实有效的安全防护措施。

若将该等个人信息用于境外教学研究的,还应当遵从医疗健康数据跨境转移有关的限制性规定;若使用数据属于人类遗传、国民健康等关键信息数据的,相关数据及系统还应当满足相应的防护措施及合规要求。

八、 疫情有关人员的个人信息应当如何存储?

首先,根据《网络安全法》等规定,存储的个人信息应当采取分级分类存储,并采取必要的存储防护措施。

其次,根据最小化和必要性原则,疫情有关人员的个人信息存储的期限应当于收集目的实现,即流行病学观察期结束后即应当删除或销毁,最迟不得晚于疫情得到有效控制之日。

对于四类人员的个人信息或病历信息的保存,还应当遵守《传染病防疫法》、《医疗机构病历管理规定》等相关规定。

九、 是否可以披露疑似或确诊患者的个人信息?

根据《网络安全法》等规定,“未经被收集者同意,不得向他人提供个人信息”。根据《个人信息安全规范》等内容,个人信息原则上不得公开披露,经法律授权或具备合理事由确需公开披露时,应当:(1)匿名化处理,例如“患者4”、“某某小区XX号”;或者(2)向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意。

此外,根据《传染病防治法》规定,严禁泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料。此外,根据《医疗机构病历管理规定》,“医疗机构及其医务人员应当严格保护患者隐私”。因此,目前社会上部分基层单位、医疗机构及医务人员通过网络公开披露疑似或确诊患者个人信息(例如姓名、家庭成员、详细住址)的行为,不仅有违职业道德,缺乏基本的人道关怀,更是违法违规的行为。

十、 疫情有关人员是否有查询、修改、删除的权利?

对于普通公众,有权依照《网络安全法》等法律法规及其配套制度享有查询、更正、删除其个人信息的权利,法律另有规定除外。

对于四类人员,有权依照《医疗机构病历管理规定》等规定查询、复制其病历信息;他人违规披露其个人信息的,还有权要求删除。


返回列表