朱军
【关键词】新冠肺炎疫情 个人信息保护 法律边界 【中图分类号】D923 【文献标识码】A
新冠肺炎疫情对全世界人民的正常生产生活造成了重大影响。一个备受关注的抗疫措施就是通过智能手机寻找到与感染者密切接触的人。疫情防控期间,人们经常会被采集姓名、年龄、住址等个人信息,此外,我们还会看到一些确诊病人的身份信息、行踪等信息被广泛公开。对此,如何平衡个人信息保护与社会公共利益之间的关系,是需要我们深入研究的重要课题。
《中华人民共和国网络安全法》对“个人信息”这一概念作出的具体解释是:以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于姓名、出生年月日、家庭住址、电话号码、证件号码、指纹等。此外,《中华人民共和国侵权责任法》又对侵害个人信息的侵权责任进行了规定,在侵权责任中,我国长期将个人信息并入隐私权中加以保护。“隐私”与“个人信息”有交叉部分,但是不完全重合。隐私权保护着重强调的是侵犯隐私权行为成立的主客观要件以及与之相对应的权利救济,而个人信息保护关注的重点在于如何调整個人信息的拥有者本人与信息采集和处理者的公共部门和非公共部门之间的关系,对个人信息的收集、使用、存储和发布等行为进行管理,是预设了一定的保障措施在事前对隐私权进行保护。
在疫情防控过程中,有合理预期的个人信息处理行为包括:具有合法授权的卫生行政管理机构、疾病预防控制机构、医疗机构处理患者及家属信息、疑似患者及家属信息、密切接触者信息和医护人员信息;处于空间密闭的交通运输工具,例如乘坐飞机、火车等交通工具的信息登记;人员密度大、流动人口多的特定区域的信息登记等。此外,一些行为也在一定程度上偏离了一般人的合理预期。例如,不具有合法授权的机构或者组织在非合法的授权范围内,强制收集、发布和处理个人的健康信息,甚至在社交软件上曝光、传播、分享病患及家属信息、疑似患者及家属信息等。
几乎在所有的国家,个人信息保护法都有适用例外的情况存在,即个人信息保护法在一些特定的情形之下,部分或全部不予适用。从法理上分析,对于涉及公共健康、安全的疫情防护期间所采集、发布和处理的个人敏感信息,有同意的豁免制度,但仍然会强调“同意的难以获取或不切实际”“为了保障公共健康所必须进行的处理活动”,并非是有传染病防控要求就能随意地对他人个人信息进行收集、发布和处理。即使是在抗击疫情的严峻时刻,个人信息保护的法律规定也依然有效,任何蔑视个人信息保护法律规定的行为,都将会被追究法律责任。
在欧州的法律传统中,保护个人隐私权居于核心的地位。2018年5月25日,欧盟出台的《通用数据保护条例》,仍然坚持了旧有原则,甚至比之前的个人信息保护法律更加严格。在疫情防控期间,欧盟各国数据保护机关在共同举办的欧洲数据保护会议中制定的用户指南上,明确表示要防止感染扩散所使用的匿名化数据违反《通用数据保护条例》中的规定。德国和比利时等多国的移动通信公司将匿名化使用者的位置信息提供给政府,政府将这些数据作为民众遵守外出限制的程度分析来使用,并基于感染数的增长率来判断是否需要进一步采取强有力的封闭措施。本次新冠肺炎疫情期间,欧洲各国导入的智能手机蓝鸟APP应用软件,只要将蓝鸟APP下载到智能手机上,使用者在相互接近一段时间后,就会留下相互间的记录。一旦某使用者新冠病毒检测为阳性,就可以通过自己的App公开,过去两周间接触的人就会收到需要检测和自主隔离的通知。同时,蓝鸟App数据定位精度高,即使在地下和室内也可有效使用。毋庸置疑,这种通过App应用软件减少感染降低风险的做法,政府管理部门由于可以轻易了解个人与他人的接触经历,势必造成民众对侵犯隐私权的担忧。为此,英国政府提出对App应用软件的使用不做强制要求,对于软件内存储的个人信息全部实行匿名化管理,保留一段时间后将自行删除;德国政府也将收集上来的个人接触履历等相关信息由一元化管理方式转变为存储于各自智能手机内的分散型系统。
但是,个人信息权利不是绝对的,在保护个人信息权利的同时,还要保护他人的权利和社会公共利益。各国在法律中都在寻求个人信息权利与他人权利和自由以及社会公共利益之间的平衡,个人信息保护的法律规定也基本上可以分为两个层次:一个是在总则部分,规定在某些领域,诸如国家安全等事项个人信息保护法不予适用;另一个是在分则部分,规定在某些领域,例如医疗、新闻出版等领域适用个人信息保护法,但同时给予其豁免或适用限制。抗击新冠肺炎疫情期间,我国正是运用了个人信息保护的适用限制事项,严格依照《突发事件应对法》和《传染病防治法》等相关法规,妥善处理了个人权利与他人权利和社会公共利益之间的关系,实现了法律的良好社会效果。
目前,全球107个国家已经制定了数据安全和隐私保护的法律。在立法原则上,世界各国都呈现出了多样化的表现形式。世界上影响力最大且被普遍接受的立法原则之一,就是1980年经济合作与发展组织(OECD)通过的《隐私保护与个人数据跨国流通指南》,其包含的基本原则一共有8项,分别是个人参与原则、公开原则、使用限制原则、限制收集原则、目的特定原则、安全保障原则、信息质量原则和责任原则。“以人为本”是国际社会普遍认可的基本理念。
我国个人信息的采集、发布和处理也要坚持个人信息保护的原则,要明确个人信息自我控制、处理、自决的保护原则,充分保护公民的个人隐私,即使在疫情防控期间,相关职能部门也不能随意获取和使用个人信息,而应当尊重个人隐私,平衡个人信息保护和公共卫生管理之间的关系。《中华人民共和国网络安全法》明确要求个人信息的采集、发布和处理应当秉承合法、必要、正当的原则。以上讨论了合法性基础,但除合法性外,还应保证必要性和正当性。必要性原则就是将个人信息的采集、发布和处理严格控制在防控疫情的目的和范围之内。在个人信息的采集方面,不采集与疫情防控无关的个人信息,不对无合法接触权限的单位和个人共享信息,个人信息保存采取加密防护,使用过程采取匿名化措施,疫情防控结束后及时删除,严守个人信息的最小化原则。正当性原则就是要保证个人信息采集、发布和处理的透明性。可以通过各种途径通告市民目前正在开展的个人信息采集的方法、步骤,存储和使用个人信息的规则以及处理过程中防止信息泄露,充分保证个人信息安全。
2020年5月,《中华人民共和国民法典》经十三届全国人大三次会议审议通过,在该法典中单独设立了人格权编,特别提出对公民的隐私权和名誉权等重要权利进行重点保护,充分反映了我国对尊重和保护人格权的高度重视。面对大数据、人工智能等新技术发展所带来的侵犯个人信息的乱象,该法典中还规定了个人信息的保护规则,并首次将个人行踪信息、电子邮箱纳入个人信息保护范围。相信随着我国个人信息保护法律制度的不断健全与完善,公民个人信息保护的边界会愈加清晰。
(作者为中国刑事警察学院经济犯罪侦查学院副教授)
【注:本文系公安部公安发展战略研究所2019城市警务课题研究项目“人工智能时代个人信息保护的困境与出路”阶段性成果】
【参考文献】
①《马克思恩格斯全集》(第18卷),北京:人民出版社,1964年。
②吕艳滨:《日本的个人信息保护法制》,北京:中国人民公安大学出版社,2006年。
责编/孙垚 美编/陈媛媛