再谈疫情防控有关的八大个人信息保护问题
发布时间:2020-12-09
文 | 黄春林 合伙人 柴明银 合伙人 汇业律师事务所
近期以来,多地发生本地疫情。与此同时,疑似病例、确诊病例、密切接触者等四类人员有关的个人信息及隐私被大面积泄露、曝光及传播,严重侵害了相关人员的合法利益,违反了国家法律法规之规定,造成了极其恶劣的社会影响。在《个人信息保护法》、《民法典》及其相关配套规则即将发布、生效,个人信息保护相关的执法、司法活动如火如荼推进,社会各界的个人信息保护意识大幅度提高的大背景下,社会各界应当平衡好疫情防控效率与合法性之间关系,严格遵守相关法律规定,依法收集、提供及公开疫情防控有关的个人信息,切勿踩法律红线。
结合近期立法、执法及监管实践,汇业黄春林律师团队从个人信息保护角度,详细解读疫情防控过程中应当注意的八大个人信息保护问题。
一、是否可以收集疫情有关人员的个人信息?
根据《传染病防疫法》、《突发公共卫生事件应急条例》等规定,任何机构和个人有义务配合国家有关机关防控传染病有关的工作,这里的配合责任就包括传染病有关的调查和信息采集,“任何单位和个人不得以任何理由予以拒绝”。
同时,参照《个人信息保护法(草案)》、《个人信息安全规范(2020)》等内容,若收集信息目的是为了控制、减轻突发公共卫生事件且直接相关的,可以不经信息主体同意。此外,《信息安全技术个人信息告知同意指南(征求意见稿)》明确列举“例如加强口岸防控人感染特定流感疫情,对疑似病例人员采样进行病原体监测,详细登记其个人信息等”无需征得信息主体同意。此外,《网络数据处理安全规范(征求意见稿)》也有类似的规定。
但是,根据《网络安全法》、《民法典》等规定,获取个人信息的基本制度框架是“告知”+“同意”,因此前述规定仅仅豁免了信息主体“同意”,但并没有豁免信息控制者的“告知”。因此,参照《个人信息保护法(草案)》等规定,相关机关在依法收集疫情有关人员的个人信息时,仍然应当通过知情同意书、隐私政策、告知书等形式依法告知收集的目的、方式和范围等。
二、谁可以收集疫情有关人员的个人信息?
《突发事件应对法》、《传染病防疫法》及《关于做好个人信息保护利用大数据支撑联防联控工作的通知》等规定,收集主体应严格限定在法定有权机关。例如,根据《传染病防疫法》第七条规定,“各级疾病预防控制机构承担传染病监测、预测、流行病学调查、疫情报告以及其他预防、控制工作。”此外,参照《网络数据处理安全规范(征求意见稿)》相关内容,应对公共卫生事件收集、披露个人信息的,应当“由指定机构实施,经全国突发公共卫生事件应急指挥部或者国务院卫生健康行政部门同意的除外。
此外,根据《传染病防疫法》第七条规定,“城市社区和农村基层医疗机构在疾病预防控制机构的指导下,承担城市社区、农村基层相应的传染病防治工作。”同时,根据《突发公共卫生事件应急条例》第四十条规定,“传染病暴发、流行时,街道、乡镇以及居民委员会、村民委员会应当组织力量,团结协作,群防群治,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作。”因此,经有权机关授权的社区、居委会等,可以协助收集疫情防控有关的个人信息。
而提供健康码、行程码查询服务的部分机构,则应当由国务院卫生健康行政部门或者省级人民政府有关部门指定,并应当按照与国务院卫生健康行政部门或者省级人民政府有关部门签订的服务合同或者其他有约束力的协议,履行个人信息保护要求。
除上述机构外,任何行业组织、工作单位、公益组织、网络平台、个人等,无权收集疫情有关人员的个人信息。
三、是否可以公开披露疑似或确诊患者的个人信息?
根据《网络安全法》等规定,“未经被收集者同意,不得向他人提供个人信息”;根据《个人信息安全规范》等内容,个人信息原则上不得公开披露,经法律授权或具备合理事由确需公开披露除外;根据《个人信息保护法(草案)》规定,个人信息处理者不得公开其处理的个人信息;取得个人单独同意或者法律、行政法规另有规定的除外。
此外,根据《关于做好个人信息保护利用大数据支撑联防联控工作的通知》等规定,“任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。”
因此,即便是有权机关对外发布疫情信息时公开相关信息的,应当:(1)匿名化处理,例如“患者4”、“某某小区XX号”,公布的行程信息、位置信息等不具有回溯性;或者(2)向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意。
此外,根据《传染病防治法》规定,严禁泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料。此外,根据《医疗机构病历管理规定》,“医疗机构及其医务人员应当严格保护患者隐私”。
因此,目前社会上部分基层单位、医疗机构及医务人员、社会公众通过网络公开披露疑似或确诊患者个人信息(例如姓名、照片、社交媒体账号、家庭成员、详细住址、行踪轨迹等)的行为,不仅为侵犯相关人员的隐私权及个人信息利益,同时也属于典型违法违规的行为。
四、违法违规收集、公开、传播疫情有关人员个人信息需承担什么责任?
非法定机构,未经法定程序,收集、使用疫情有关人员个人信息,或对外公开、传播疫情有关人员个人信息的,依法应当承担相应的民事、行政甚至刑事法律责任。
根据《民法典》等规定,侵犯他人隐私权或个人信息权益的,依法承担停止侵权及相应的违约、赔偿责任。
根据《网络安全法》、《个人信息保护法(草案)》等规定,违法违规收集、公开、传播疫情有关人员个人信息的,依法承担警告、吊销许可证、责令停业、罚款等处罚。单位罚款可达5000万元甚至更高,直接责任人员最高罚款可达100万元。
根据《刑法》及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等规定,非法获取、出售或者提供(1)行踪轨迹信息、通信内容、征信信息、财产信息50条以上的,(2)住宿信息、通信记录、健康生理信息、交易信息等500条以上的;(3)其他个人信息5000条以上的,构成侵犯公民个人信息罪,最高可判处三年以上七年以下有期徒刑。
五、可以收集疫情有关人员的哪些个人信息?
本次疫情初期,很多地方为了更好的防控疫情扩张,地毯式、网格化收集居民海量个人信息(例如家庭关系、工作/学习背景、实时位置信息、健康状况、人脸信息等),不仅违背了个人信息收集的最小必要原则,也违反了《个人信息保护法(草案)》、《个人信息安全规范(2020)》等规定的敏感个人信息收集合规要求,同时也违背了《传染病防疫法》、《突发公共卫生事件应急条例》等规定的初衷。
《传染病防疫法》、《突发公共卫生事件应急条例》、《个人信息安全规范(2020)》明确将收集信息的范围限定在“疫情相关的”、“有关传染病的”。而对于普通居民而言,即便为了配合流行病学调查、口岸防控等目的,与“疫情相关的”也仅仅应当限于联系方式、14天内行程记录、14天内密接记录,疫情有关的症状等。
此外,根据《关于做好个人信息保护利用大数据支撑联防联控工作的通知》等规定,收集应当“坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群。”同时,根据《网络数据处理安全规范(征求意见稿)》,“一般只限于个人信息主体的联系方式、位置、行踪信息”,并应严格限定“回溯时间跨度”。
六、收集疫情有关人员个人信息的网络系统应当满足什么条件?
疫情以来,部分地区开通了网站、APP、小程序等网络系统,收集居民、通关/返程人员的个人信息。但根据《网络安全法》、《网络安全等级保护条例(征求意见稿)》等法律法规规定,该等网络系统收集大量个人信息,部分个人信息的敏感度极高,依法应当符合包括但不限于:
(1)所用网络域名应当办理ICP备案,网站及APP应当办理公安联网备案;
(2)所用网络系统应当办理等保三级以上备案,每年定期测评,并参照《网络安全等级保护基本要求》等标准采取必要的安全措施;
(3)依法制定网络安全及个人信息保护有关的管理制度及规范,定期开展网络安全及个人信息合规审计;
(4)建立个人信息保护全生命周期合规机制,依法开展个人信息安全影响评估,依法公示个人信息收集和使用的规则(例如隐私政策);
(5)设置网络安全及个人信息保护有关的岗位和人员;
(6)加强网络系统使用、维护人员的网络安全及个人信息合规培训;等等。
七、疫情有关人员的个人信息应当如何使用?
参照《网络数据处理安全规范(征求意见稿)》等内容,因疫情防控收集掌握的个人信息,不得改变用途,确需改变用途的,应报指挥部或者国务院卫生健康行政部门同意。
因此,基于疫情防控目的收集的个人信息,应当仅能用于疫情防控之目的,不能用于其他目的(包括安全管理、社区统计、信用评价、行业评价等)。超出原定范围使用个人信息的,应当严格按照《网络安全法》等法律法规及其配套规则、标准之规定,履行必要的告知+同意程序,法律另有规定除外。
此外,健康码、行程码管理、服务机构不得利用已掌握的个人信息或者提供信息服务的便利条件谋取商业利益,包括进行市场营销、定向推送广告等。
对于四类人员的个人信息用于隔离、医疗、医药等用途的,还应当严格按照《执业医师法》、《医疗机构病历管理规定》、《国家健康医疗大数据标准、安全和服务管理办法》、《传染病信息报告管理规范》等规定执行。
八、疫情有关人员的个人信息应当如何存储?
首先,根据《网络安全法》等规定,存储的个人信息应当采取分级分类存储,并采取必要的存储防护措施。
其次,根据最小化和必要性原则,疫情有关人员的个人信息存储的期限应当于收集目的实现。参照《个人信息保护法(草案)》等内容,“个人信息的保存期限应当为实现处理目的所必要的最短时间。”,此外,《网络数据处理安全规范(征求意见稿)》进一步细化要求为,突发公共卫生事件应对工作结束后,指定机构应停止收集、调用个人信息,并在60天内或者国务院卫生健康行政部门规定的时限内删除在突发公共卫生事件应对中已收集、调用的个人信息。
对于四类人员的个人信息或病历信息的保存,还应当遵守《传染病防疫法》、《医疗机构病历管理规定》等相关规定。