当前位置:首页 > 学会动态 > 工作动态
疫情下个人信息的保护之路
发布时间: 2020-03-10 【字号:
 

 

疫情爆发初期,基于大量个人信息之上的大数据分析在预判各地疫情、追踪密切接触人群、加强疫情防控上发挥了巨大的作用。相比于“非典”时期,大数据技术已经有了长足的发展,在疫情防控中起到举足轻重的作用。但是,如何有效保护个人信息成为疫情发生之后必须思考和解决的问题。

    一、疫情期间,个人信息面临严峻的泄露风险

在新型冠状肺炎具有严重传染性的威胁下,个人信息尤其是涉及确诊病例、密切接触者、武汉旅居的个人信息数据却成为部分人提醒大众疫情风险的工具,导致个人信息的严重外泄。

(一)个人信息泄露事件频发

事件一:江西资溪县个人信息泄露事件

资溪县某镇的分管卫生工作副镇长私自向多名无关人员转发一份涉及与新型肺炎感染者密切接触的人员名单及截图,导致多名群众隐私在当地广泛传播。

事件二:宁夏贺兰县违规泄露排查疫情信息事件

贺兰县应急管理局工作人员偶然在办公桌上看见某街道上报疫情排查信息的公函,遂将包含排查人员具体个人信息内容的函件转发至家庭微信群,导致未确诊病例及被排查人员信息在多个微信群和朋友圈转发。

事件三:湖南益阳市新冠肺炎患者隐私泄露事件

益阳市赫山区卫生副局长舒某通过微信将新型肺炎病例的调查报告转发给无关人员,导致该调查报告的电子版先后被转发至家庭亲戚群、小区业主群,随后该信息迅速传播。

此外,还有宁波确诊病例患者及其亲属个人信息泄露事件、山西临汾私自转发密切接触者名单泄露事件、山西泽州传播患者信息事件,等等。个人信息泄露事件的频发,表明个人的信息数据在发挥巨大作用的同时,其本身也存在泄露的严峻风险,并且给社会带来了严重的负面影响。

(二)个人信息的过度采集加剧泄露风险

一般而言,个人信息采集的落脚点应当是利用高效的数据汇聚有效地阻断疫情的扩散。然而,众多大同小异的信息采集表和信息采集系统恰恰在突显形式主义的同时,暴露出当前个人信息过度、重复采集所潜藏的风险。一方面,采集个人信息的部门、机构数量较多,相互之间又缺乏合理的信息共享,导致出现个人信息多头采集、多方保存、多层管理的乱象;另一方面,很多信息采集单位本身缺少数据保管的能力和经验,自身工作量增大的同时又难以确保个人信息的安全性。可以说,疫情期间个人信息泄露的事件频发,个人信息的过度采集又潜在地提高信息泄露的风险。如果这些风险不加以防范和规避,必然会给当事人带来疫情之外的网络次生灾害,导致个人利益与公共利益之间的利益平衡被打破,增加社会的不稳定因素。

    二、风险根源:个人信息保护的范式缺失

    归根结底,个人信息泄露的风险来源于保护范式的缺失,这一缺失不仅体现在法律依据上的不足,而且表现在疫情期间个人信息采集者和保管者在履行职责过程中无操作规范可以参照执行。与此同时,大量个人信息集聚、运用在疫情之后会产生的问题也未能引起重视。

(一)个人信息的法律性质不明确

事实上,我国对于个人信息的法律性质一直以来未有统一的观点,即便在我国《民法总则》第111条中明确规定“自然人的个人信息受法律保护”,但无法消除关于个人信息法律性质的争论。模糊的法律性质导致履职人员在采集和保管个人信息过程中面临巨大的挑战。一方面,从个人信息泄露事件中可以发现,信息泄露者均是在掌握个人信息之后有目的地主动泄露,说明很多信息采集者和保管者对于个人信息的理解较为浅显,观念里并未真正地将个人信息当作是被采集者的权利或是权益,缺乏安全保障的意识。另一方面,疫情下的个人信息保护制度明显滞后。由于法律性质不明确,疫情下的个人信息并非是现有的监督管理机构直接监管的对象,往往只能在泄露事件发生之后对泄露者进行打击,而此时对于当事人的精神挫伤和社会的不良影响已然产生,再严厉的补救措施也无法抚平由此带来的严重伤痛。

(二)个人信息保护的法律体系不健全

    不可否认的是,我国在互联网领域中对个人信息保护较为重视,并且不断通过完善现有的法律体系为互联网领域中个人信息的保护提供充足的法律依据。其中,主要的相关法律法规如下:

序号

名称

法条

年份

颁布机关

1

《儿童个人信息网络保护规定》

——

2019

国家互联网信息

办公室

2

《民法总则》

111

2017

全国人民代表大会

3

《刑法》

第二百五十三条之一

2017

全国人民代表大会

4

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

——

2017

最高人民法院、最高人民检察院

5

《网络安全法》

第二十二条、第三十七条、

第四十一条、第四十二条、

第四十三条、第四十四条、

第四十五条、第六十四条、

第七十六条

2016

全国人大常委会

6

《电信和互联网用户个人信息保护规定》

——

2013

工业和信息化部

7

《消费者权益保护法》

第十四条、第二十九条、

第五十条、第五十六条

2013

全国人大常委会

从上表汇总中明确体现,当前我国在面对非互联网行业尤其是在发生诸如大规模疫情的突发公共事件时,现行法律规范所能提供的个人信息保护力度明显较弱,很多时候难以纳入到现行的法律体系中加以规制,不仅责任主体模糊,个人信息采集过程缺少明确的监管流程;而《中华人民共和国传染病防治法》和《突发公共卫生事件应急条例》中关于个人信息采集的规定更多强调的一切单位和个人的配合义务,对于个人信息的保护仅作了原则性的规定——法律需求与法律供给之间的矛盾显而易见。

(三)信息采集者和保管者缺少必要的操作规范

从现有的事件中可以发现,个人信息的成批量外泄说明信息采集者和保管者缺少必要的操作规范,具体体现在以下四个方面。

首先,虽然我国已经发布了《信息安全技术个人信息安全规范》(GB/T 35273-2017),但鉴于该文件仅为推荐性国标,并不具备强制力,对于信息采集者和保管者的约束力较弱。其次,个人信息在采集后缺少必要的加密操作。疫情之下的个人信息采集各环节主要通过人工的方式进行,个人信息在各个流通环节中无法像线上采集一样及时进行必要的脱敏处理。这也是信息泄露中个人信息真实、精确的原因所在。再次,个人信息在保存过程中缺乏严密的保管措施。由于个人数据的汇总与普通工作材料混合管理,经办人员获取个人信息上具有很强的便捷性。这是信息泄露中经办人员可以随意获得准确个人信息的根源。最后,个人信息的数据流通和共享缺少必要的操作指引。疫情之下,个人信息共享标准的缺失,使得各单位、部门之间信息沟通不畅,数据共享的内容、条件、方式无法统一,导致数据重复采集,加剧个人信息安全风险。 

(四)疫情之后个人信息的保护体系缺失

出于疫情的防控需要采集个人信息本身无可厚非,但是疫情之后,如何安全保护个人信息数据,已然成为一个亟需解决的难题。一方面,我国现行法律规范则是从法律稳定性的角度静态地将个人信息视为样态统一、性质不变的权利客体,[①]导致我国并未根据个人信息的性质进行必要的区分和针对性地管理。而另一方面,对于个人信息的权利人而言,在个人信息的后续利用上,信息被采集者与后期处理的主体之间缺少直接的关联,使得个人信息的后续处理面临着监管的真空,个人信息的被采集者对于后续环节的权利更是无从行使。[②]因此,疫情之后的个人信息保护成为防范个人信息泄露的重要一步。

    三、风险防范:个人信息保护规范化的完善与建议

(一)加速个人信息保护的单独立法

毫无疑问,对个人信息保护进行单独立法,能够有效避免分散立法过程中因内容规定的差异而引发适用上的歧义。[③]我们意识到,个人信息的获取不仅仅局限于互联网,也包含着个人信息的线下采集以及个人信息的数据化过程。突发公共事件下的个人信息保护立法可以覆盖到特殊语境下个人信息的采集、管理、共享的法律需求,为个人信息权利人提供必要的法律保护。在突发公共事件中,个人信息除了具有人格属性、财产属性之外,在一定程度上还成为分析和挖掘出解决突发公共事件的考量依据——此时保护个人信息的责任主体便是从以个人为主开始向以社会为主的方向转变。[④]因此,加速突发公共事件下的个人信息保护立法工作,既适应大数据时代发展的要求,丰富个人信息权利的内涵,明确个人信息的保护中包含的具体内容,[⑤]又能满足突发公共事件当中对个人信息的合理利用和开发,强化社会保护的能力和责任。

(二)细化个人信息采集和共享的操作规范

“多头采集、多方保管、多层管理”是本次疫情期间突出表现出来的个人信息泄露的重要风险因素。可以从以下三个方面细化个人信息采集和共享的操作规范。

首先,整合社会个人信息采集渠道,进行合理统筹。根据《中华人民共和国传染病防治法》(2013修正)第十二条和《突发公共卫生事件应急条例》第十条、第十一条、第二十一条之规定,疾病预防控制机构、医疗机构及其他授权的行政部门均有权参与个人信息采集。因此,在法定采集主体多元的情况下,通过采集渠道的合理规划和整合,理清渠道的管理主体,明确个人信息采集主体,强化采集主体的安全保障义务。其次,构建合理、有效的信息共享机制。信息的内涵不同,造就了信息使用方式的不同。[⑥]信息采集渠道的减少,意味着信息共享需求的增加。各部门应当根据自身的需要遵循比例原则进行信息共享和流通,构建个人信息采集和流转登记制度,在数据流通时适时把握相关数据的具体流向,[⑦]加强数据流通过程的监管,也为日后发生泄露事件时可以追根溯源,为权利人主张损害赔偿权奠定基础。最后,个人信息在采集之后和共享之时应当尽可能地去识别化。在上述个人信息泄露的事件中,之所以会造成严重的社会影响,根本原因在于个人信息未能及时脱敏,原始数据对于泄露者而言又能轻而易举地获得,导致个人信息本身暴露在泄露的风险之下。

(三)强化履职人员的安全保障意识和权利人的知情权

在个人信息采集主体急速扩张的过程中,很多具体的执行者本身对于个人信息的法律性质并不明确,对其重要性和敏感性并不了解,由此造成了个人信息安全保护成为信息采集和保管的薄弱环节。一方面,强化个人信息采集者和持有者的安全保障意识是保护个人信息安全的内在保障——他们需要认识到,个人信息在法律属性上无论是归类于法益或是被视为民事权利,自己都应尽到保密义务和谨慎注意义务,任何实施泄露、篡改、毁损的行为都是对当事人的侵权。[⑧]另一方面,加强保障个人信息被采集者的知情权是监督履职人员履行安全保障义务的外在力量。个人信息的采集本质上是个人利益对公共利益的妥协,是个人利益的有限让渡。尽管信息处理的行为不严格要求得到信息被采集者的事先同意,但是可以通过具有可操作性的方式方法告知。[⑨]因而在诸如疫情等的突发公共事件面前,可以参照线上信息采集的保护规范予以执行,将信息采集的依据、采集和使用目的、信息的采集方式及使用范围制作成告知书,提供给被采集者,从而保障了信息被采集者的知情权,降低个人信息泄露的风险。

(四)及时规范疫情之后个人信息的保护

鉴于疫情期间所获得的个人信息,无论是在广度上和深度上都达到了空前的水平,庞大数据的保管压力将在疫情结束之后充分释放。因此,在疫情结束后及时、充分、有效、妥善地处理疫情期间采集的个人信息成为必不可少的一环。首先,加强数据保管体系的建设,强化数据保管者的保管意识和义务,任何涉及个人的信息未经审批不得随意处理或销毁。其次,由专业的机构对现有的个人信息进行一次全面的风险评估,将个人信息依据敏感程度进行合理的划分,分设不同的处理方式。再次,建立健全个人信息流转登记制度,根据专业机构对于个人信息的风险评估对不同类型的个人信息采取相应的保管措施,对于需要移交主管单位的个人信息需要进行留痕登记。最后,可以考虑将信息生命周期理论可以作为个人信息保护的基础,使得无须保留的信息进行销毁有了充分的理论基础,确保此类信息不流入违法犯罪分子之手。

    四、结语

疫情之下,个人信息成为防范疫情的重要组成部分,但其保护却尤为重要。尽管上述提出的方法、建议并非是具体的制度构建——因为任何制度在建设过程中需要对涉及的利益进行妥当的衡量,[⑩]但在强有力的制度出台之前,上述建议为个人信息的保护提供了具体可行的操作方法。总而言之,个人信息是无尽的财富,在利用的同时也要积极的守护,才能使之成为信息社会可持续发展的有力支柱。

 

(厦门市法学会大数据与智能法律研究会

福建旭丰律师事务所 孙洪良、张哲畅)

 



[①] 袁泉:《论个人信息的私法定位与保护》,载《大连理工大学学报(社会科学版)》2020年第2期。

[②] 范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期。

[③] 陈雨萌:《个人信息权的法律性质与实现》,吉林:吉林大学,2019年。

[④] 高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期。

[⑤] 杨翱宇:《我国个人信息保护的立法实践与路径走向》,载《重庆邮电大学学报(社会科学版)》,2017年第6期。

[⑥] 柴慧婕:《数据共享中个人信息民法保护的基础》,载《黑河学院学报》2019年第8期。

[⑦] 林丽敏:《大数据背景下我国个人数据安全保障体系的构建》,载《海峡法学》2019年第4期。

[⑧] 杨立新:《个人信息:法益抑或民事权利——<民法总则>111条规定的“个人信息”之解读》,载《法学论坛》2018年第1期。

[⑨] 石晓慧:《大数据时代个人信息保护的困境与路径重构》,载《青岛农业大学学报(社会科学版)2019年第3期。

[⑩] 梁上上:《制度利益衡量的逻辑》,载《中国法学》2014年第4期。

收藏本页】 【打印本页】 【关闭窗口