日报头条河南郑州讯(申涛):
一、项目论证
(一)项目背景
2020年初,举国上下全力战“疫”,与此同时,疫情期间个人信息安全的保护也引发关注。2月3日,国家卫生健康委员会公开发布《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》,其中对于加强网络信息安全、切实保护个人隐私安全等提出了概括性要求。2月5日,中央网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,再次强调了此次疫情联防联控工作中的个人信息保护、大数据支撑等事项,重申了疫情紧急时需遵循的个人信息保护底线。此外,在我国的《网络安全法》中,明确要求“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”,而在疫情期间,频繁被泄露的姓名、住址、身份证号码、手机号码等能够识别特定个人身份信息也自然包含在内。另外,《传染病防治法》中也明确规定了不得故意泄露传染病病人、病原携带者、密切接触者涉及个人隐私的有关信息。由此看来,没有经过法律明确授权的组织机构,或是不属于官方认可的参与组织疫情工作的人员,不得未经同意,在法律规定范围外擅自收集疫情相关人员的个人信息,否则属于侵害公民个人信息的行为,情节严重者可能构成侵害公民个人信息罪。由此可见,关于我国公民个人信息的保护,不管在什么情况下,都应予以重视。
在新冠疫情防控期间,个人信息的泄露引发了较为广泛的关注并对当事人造成了较为严重的影响。例如,2020年1月浙江警方通报的泄露涉湖北籍人员身份资料的案件、2月云南警方通报的泄露新型冠状肺炎患者信息和湖南益阳发生的公职人员泄露确诊患者个人信息等事件,引发了普通公民尤其是确诊者、疑似者、密切接触者等重点人群对于自身隐私及个人信息泄露的担忧。而即便在疫情爆发之前,医疗卫生行业的信息安全漏洞也屡见不鲜。大数据背景下个人信息的透明化一方面对疫情发展预测分析、医疗资源调度具有重要意义,而另一方面也对信息的公开程度以及个人信息保护提出了挑战。如何做到切实保护好个人信息、合法科学使用大数据为疫情防控助力成为当下需要探究的问题。在疫情爆发期间,各地普遍存在利用个人信息的力度差异以及对疫情防控中个人信息披露的尺度把握不准的问题。因此,本项目以疫情爆发期间武汉大学生返乡信息遭遇泄露为视角,探寻疫情防控期间的个人信息保护。
(二)研究综述
1.国内研究现状
本次项目探讨的主题是疫情防控大背景下如何对个人信息起到切实保护。该问题也可以进一步理解为突发公共卫生事件时该如何妥善保护个人信息,从而达到最大程度的平衡。关于这类问题,国内学者观点多集中于从个人信息与疫情的多方位联系进行探讨。
关于疫情期间个人信息的意义,绝大部分学者认为个人信息本身对于政府的防控起着重要的效能。主要表现为1.突发事件的预警。作为预警管理中最重要的环节,突发预警能够在事情发生前迅速控制危险源并采取对应解决措施。通过 “大数据” 和 “云计算” 等手段,提前预知风险事件的发展趋势。2.突发事件的应急决策。个人信息能够为正确决策提供充足的决策信息,通过对危机 应对中的信息增量进行整合分析,可以在很大程度上克服由于信息不足而造成的决策困境。3.判断突发事件演变的阶段和趋势,以采取相应措施。大数据分析的即时性、动态性和互动性特征可以为事后恢复措施的制定提供有针对性的实时、动态指导。既可以帮助政府判断当下所处的危机发展阶段,也可以判断社会秩序的恢复程度,从而采取相应措施。
关于疫情期间个人信息保护不足的现状及原因,部分学者从政府执政层面出发,认为疫情应对暴露了突发事件应对中政府个人信息利用能力的不足。而不足主要体现在1.政府间在利用个人信息时存在潜在差异,部分政府对个人信息保护规则的把握以及运用能力存在明显弊端。2.地方政府对疫情防控中个人信息披露的特殊尺度把握不准,导致个人信息得到无意义泄露,没有为疫情防控提供实质性帮助。3.不少地方存在对个人信息的过度利用,没有把握好个人信息利用的深浅度。而在此情况下,相对于公开疫情相关的情报信息,保护个人尊严与自由的价值显然更应被重视。
此外,还有部分学者则从制度层面出发,认为制度规范的弊端导致了个人信息的保护出现问题。而弊端主要体现在1. 疫情防控下个人信息的保护制度需要进一步落实。虽然我国存在对疫情背景下个人信息采集进行规定的相关法律,但相关机构针对具体情况仍没有制定出细化的规范流程,尚且不能完全实现信息采集的合理化。2.“收集者就是责任者”的保护制度急需完善。个人信息的泄露很大程度是由于收集者的主观泄露导致的,因此收集者的责任意识不够以及有关追责机制没有形成体系的现状需要得到关注。
关于疫情期间个人信息保护的路径,部分学者从权利与制度层面出发,主要表现为1. 主张建立信息匿名化使用机制。疫情防控的进行离不开个人信息的支持,但对于个人信息的使用应严格采取匿名化手段。也因此,我国应当建立收集、脱敏同步机制,根据严密的脱敏标准,在收集信息时告知公民脱敏标准,收集公民个人信息后应立即进行脱敏处理。2.主张对紧急状态下收集的数据赋予公民删除权,在欧盟的外部借鉴因素下,我国法律也在一定程度上赋予了公民对于个人信息删除的处决权利。而在疫情得到控制后,信息收集者具有及时删去疫情期间收集的个人信息的义务,而同时,公民也同样享有删除相关信息记录的权利,以防止信息后续无意义扩散。3.主张建立完善疫情防控中的个人信息安全防护技术体系。在信息采集阶段,针对信息的汇集,应将责任落实于各主体,并利用数据备份功能对信息加以保密储存。而在信息汇总阶段,则应当对信息实现集中管理配置,采用多种安全手段加以保护。信息的管理也应遵循统一的部署原则进行。
部分学者则从治理主体本身出发,主要表现为1.主张工信及管理部门加强对疫情防控类App监管。相关部门应针对App运营情况建立动态评估机制,并结合征信体系,根据部门监管情况与使用者的投诉建议,在征信体制中加入App污点信息,使得App的管理与信用挂钩,进而发挥政府效能严厉打击泄露个人信息的行为。2. 明确基层工作人员个人信息保护职责,提高安全防护意识。《通知》指出各地方各部门 要高度重视个人信息保护工作,各相关单位要做好工作人员的个人信息安全保护意识教育,明确 相关人员在个人信息采集、汇总、传输、披露等各个环节应承担的安全责任,从源头上把控,杜绝个人信息泄露。
除了从多主体共治以及权利制度进一步规范的方面探索出路外,部分学者也从各主体的利益平衡视角分析了这个问题。学者张新宝于《从隐私到个人信息:利益再衡量的理论与制度安排》一文中提出“两头强化,三方平衡”理论,阐释了如何在利益多元冲突背景下实现对个人信息最大平衡化的保护;史卫民先生基于对当前个人信息保护立法进程的阐释,分析了大数据时代个人信息保护的现实困境,并从多个角度提出了个人信息保护路径选择。而利益平衡简单概括下来便是:个人角度,个体对信息收集作出一定让步,但个人信息安全必须得到一定保护;公众角度,公众应约束知情权,适当保护他人个人隐私信息,不做传播个人信息的推手;社会管理者角度,相关部门需要在法律法规等官方文件中适当规范公共利益与个人隐私保护的界限,另一方面,必须严格控制个人信息流向,为个人信息提供保障。
2.国外研究现状
为了保护公共卫生安全以及最大程度维护群众利益,欧盟和美国也同样制定了公共卫生事件爆发时期,对于个人信息的调用与共享的具体法律规范。两者对比来看,欧盟相对美国对于个人信息的保护力度更大,在疫情期间依然对个人信息的征集以及使用有着较高的要求。而反观美国,虽倡导数据自由流动,信息自由度高,但依然明确规定相关部门不能在违法的前提下利用个人信息。
以GDPR(《通用数据保护条例》)为代表的国外法律对特殊情况下的个人信息保护做出了一定的法律规范。GDPR将个人信息的保护视为公民的基本权益,但也同样允许在公共卫生事件爆发的背景下该权益对公共利益的让步。法案中多处体现了公共利益和个人数据保护的平衡考虑,基本立场在于公共卫生构成重大公共利益,同时传染病监测还构成重大生命利益,由此在个人数据处理的合法性基础、特殊数据处理、数据主体权利限制等方面予以特别规定。因此,无论是欧盟还是美国的法律,都给了出于公共卫生目的(特别是疫情控制目的)共享个人信息的支撑,不必然只能使用匿名化的信息。当然,匿名化、去标识化、访问控制措施等作为数据安全措施,也是非常值得提倡的,但前提是一定要达到两者之间一定程度的平衡。
(三)研究内容
1.实施现状
(1)在疫情防控期间,国家关于个人信息保护做出了一定的规范和要求,多次发表了关于保护个人信息的文件,并表明即使在疫情期间,对于个人信息的适用也需要遵循个人信息安全规范,保障每个人的隐私权。个人信息的收集对象并非全体公民,而是仅针对确诊患者、疑似者等,并非收集所有公民的个人信息。且被收集的信息只能用作疫情防控,不能有其他用途。
(2)疫情期间各种法案通知的颁布,对个人信息的泄露问题起到了一定程度的遏制,而这也得益于基层组织对于条文法规的遵守。但这种表象的背后,仍存在很大的隐患。由于个人信息收集中主体的多元性以及广泛性,个人信息泄露的事件仍然时有发生。因此,只有从多方面多层次进一步消除隐患,加强信息采集的善后处理,面对这种突发公共安全事件时,个人信息才能得到更加强有力的保护。
(3)从武汉返回家乡的学生群体们普遍反映自己的各种信息被泄露,包括家庭住址、身份证号、手机号等各种隐私信息,这些信息甚至在各大微信群中加以大肆流传,这对武汉的大学生造成了很大的困扰和不必要的麻烦。学生群体普遍对网上个人信息保护机制产生疑问,随着疫情的逐渐好转,目前信息泄露情况有所好转,但这对于当前我国网络信息保护有着重要的借鉴意义,我国更需要在这样一个数据飞速发展的时代合理、合法保证居民的信息安全。
2.存在问题
(1)信息收集机构把关不严。在信息收集过程中需要经过多个流程,大到国家有关部门,小到社区工作者,在这多个信息上报的过程中,如果某个环节信息把控不严格,出现了泄露问题,便会造成不良后果。
(2)信息传播中产生的问题。很多人在互联网上大肆传播从武汉返乡人员的各种信心,企图在网络上引起恐慌,在这过程中,广大学生的信心泄露问题是最为严重的,并且还涉及到在武汉打工人员的信息和隐私安全,严重危害了他们的正常生活,影响十分恶劣。
(3)信息传播具体规则缺乏明确规定。目前,我国个人信息保护的法律体系呈现出民法、刑法并行,行政法总体缺位的情况。纵观我国法律规范,个人信息的立法在刑法与民法领域多体现为收集,保密规范,而缺乏对利用环节的约束。而行政法中对于个人信息的相关规范乃至应急状态下的个人信息利用规则几近空白。也正是法律规范的缺位,导致疫情当下信息泄露事件频发。
3.解决方案
(1)建立完善的个人信息保护机制
信息保护问题设计领域非常广,法律、社会、金融、管理等多个领域均有涉猎,信息保护离不开完善的保护机制。在现有的法律和机制中,没有一个可以完全将个人信息问题纳入其中的管理规则、制度,在实际中产生各种各样的问题。因此,我们应当建立完善的个人信息保护机制,严格把控和监管危害公民个人信息安全的行为。
(2)收集信息中主体的资格合法化
由于信息收集主体十分复杂,涉及的范围很广,对于每个领域所有主体的监管显然是不可能的,但我们可以制定出一个收集信息主体需要取得资格的规定。获取公民个人信息需要首先获得相关部门认可,之后的采集以及利用信息的阶段也必须在法律允许范围内进行。
(3)收集信息的目的明确性
收集信息后要怎样进行使用,使用目的等都需要加以明确,在信息收集之前将这些基本情况视为必要的检查程序,明确信息收集的目的,并且除该目的以外的用途要视为不合法、不合规的用途,加以惩处。
(四)研究价值
1.理论价值
(1)本项目研究有利于防疫期间个人信息的保护
在疫情期间,出现了非常多关于个人信息保护工作不到位带来的问题,这些问题困扰着每一个人。本次研究提出如何解决个人信息泄露问题的具体方法,有利于疫情期间个人信息保护工作的顺利进行。随着我国实力不断增强,科研攻关,在利用这些手段的同时保护好公民的个人信息,这可以使我国政府在应对突发公共事件的能力不断提升。
(2)本项目研究有利于实现疫情防控与个人信息保护之间的平衡
疫情防控是国家当前工作的重点内容,同时也是每个公民关心的问题,但是在在疫情防控的大背景下,公民个人信息的保护问题也应当加以重视,为疫情防控提供稳定的大环境背景。在信息化的时代,只有把公民的个人信息保护好、将公民切身利益守护好才能走好群众路线,从而完善中国特色社会主义理论体系。
(3)本项目研究有利于将个人信息的保护理念进一步推向深入
我们现在处于大数据时代,每个人在某种程度上来说是透明的,但是信息的公开也应当在法律允许的范围内,对涉及个人隐私的行为决不能姑息,进一步推动个人信息保护的理念深入发展。
2.实践价值
(1)为重大突发公共卫生事件中的个人信息保护提供经验
与17年前的“非典”相比,大数据等信息科技手段对于疫情防控发挥了举足轻重的作用,通过这些科技手段,我们得以精准预判疫情发展态势。疫情防控事关人人安危,作为一位合格的公民,我们有义务配合关于防疫的各项工作。只有更好地保护公民个人信息和切身利益,知民意、解民难,提高国家和政府的公信力以更好地处理此类事件。
(2)促进大数据等信息科技手段使用的合法化
疫情期间,公民为配合防疫工作提供个人信息,是以让渡部分个人利益的前提优先保障公共利益。可是,多地均出现返乡大学生、返乡务工人员、出入当地医院等人群个人信息泄露的现象。防疫不是泄露公民信息的保护伞,不法分子打着防疫的幌子泄露公民的个人信息也严重危害了公民的个人利益。因此,通过本次课题的研究,可以进一步促进大数据等信息科技手段使用的合法化。有利于摸清信息传递的流程,从而查明出现问题的环节以及程序的必要性、合理性。
(3)促进公民提升个人信息的保护意识和保护能力
本项目对疫情防控背景下个人信息保护研究有利于提高公民对个人信息保护的警惕性,从而提升处在信息化时代的公民在面对网络中信息收集渠道的辨识能力,提高公民的自我防范、自我保护意识和法律意识,从而减少不法分子的可乘之机。
参考文献
