新冠肺炎疫情期间,部分武汉返乡人员的姓名、家庭住址、电话、身份证号、返回车次等个人信息被泄露。这些信息通过各种途径传播,对他们的日常生活造成了严重的负面影响。因此,做好疫情防控和个人信息保护之间的平衡至关重要。中央网络安全和信息化委员会办公室为做好新冠肺炎疫情联防联控中的个人信息保护,于2月9日公开发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》。北京通州法院于2月20日发布《新冠肺炎疫情期间物业服务企业法律风险防控白皮书》,其中强调了物业公司对获取的被隔离人员的信息负有保密义务,不得擅自披露被隔离人员信息。由此可以看出,社会各界在积极利用包括个人信息在内的大数据支撑联防联控工作的同时,也在努力做好对个人信息的保护措施。本文就疫情下有权收集个人信息的主体、收集时应注意的问题、违反规定应承担的法律责任及相关救济途径做出相应分析。
《网络安全法》第七十六条对于个人信息进行严格的法律定义。根据该规定,我们可以看出“个人信息”的内涵是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息;外延则为个人信息的表现形式,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。此外,《信息安全技术 个人信息安全规范》中第三点还规定了个人敏感信息的范畴,包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。上述个人敏感信息一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇。《传染病防治法》第十二条规定,在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。各级疾控机构承担着传染病检测、预测、预防及控制工作,医疗机构承担疫情的防治工作,此类机构为有效防控疫情,需时刻掌握最新情况,因此在疫情期间,任何单位和个人都应当配合上述机构如实报告疫情相关信息。《突发公共卫生事件应急条例》第三十六条规定,国务院卫生行政主管部门或者其他有关部门指定的专业技术机构,有权进入突发事件现场进行调查、采样、技术分析和检验,对地方突发事件的应急处理工作进行技术指导,有关单位和个人应当予以配合;任何单位和个人不得以任何理由予以拒绝。《突发事件对应法》中第三十八条规定,政府及有关部门、专业机构应当通过多种途径收集突发事件信息。在此次疫情期间,掌握确诊病人、疑似病人及密切接触者等重点人群的行程、健康状况、家庭住址、工作单位、返回车次等个人信息对疫情防控工作的顺利进行至关重要,在防疫期间不可避免的涉及大量个人信息收集、分析和利用活动。法律也赋予了政府及有关部门、专业机构在疫情防控中对个人信息广泛运用和收集的权利,任何单位及个人均应予以配合。但同时还应注意对已收集的个人信息采取保护措施,不得泄露。《中华人民共和国传染病防治法》第三十一条规定,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。在《突发公共卫生事件应急条例》第二十一条还规定了,任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。在新冠肺炎疫情期间,用人单位、学校等单位负有配合医疗机构或者疾病预防控制机构进行与疫情相关的必要个人信息收集、排查与报送的法定义务,若发现异常情况,需及时向有关部门报告。同时,基于疫情相关信息与用人单位的生产经营与工作安排,与公民的教育环境、生活安全息息相关,及时掌握相关信息也是为公民提供安全卫生的工作、教育和生活环境的基础。
1. 各类用人单位为疫情防控目的收集个人信息是否需征得个人同意
在我国《网络安全法》第十一条规定,收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。但在《个人信息安全规范》中第五点规定了征得授权主体同意的例外情形,即在与公共安全、公共卫生、重大公共利益直接相关的情形中,个人信息控制者收集、使用个人信息不必征得被收集者同意。新冠肺炎疫情防控期间,各类用人单位配合医疗机构或者疾病预防控制机构进行与疫情相关的必要个人信息收集、排查与报送,属于法定义务。且疫情属于上述“公共安全、公共卫生、重大公共利益直接相关”的情形,根据特别法优于一般法的原则,各类用人单位在收集与疫情相关的必要个人信息且向疾病预防控制机构等有权主体披露时,不必征得个人的同意,个人应当予以配合。对于公民个人信息的收集,应当按照法律规定,遵循合目的性原则,将对个人信息的收集控制在实现目的所需要的最小的范围之内。在新冠肺炎疫情下,有必要采集的信息包括相关人员的姓名、近期行程、健康状况、家庭住址、联系电话、接触人员等疫情相关信息,若曾去过重点疫区或出现发烧、感冒等症状,则需进一步精准定位以了解确切信息。除此之外,各单位不得超出疫情控制目的收集公民相关个人信息。各主体在向有关单位报告情况时,也需注意限制个人信息的范围。对收集的个人信息仅用于疫情防控相关工作,且应遵循最小授权原则,仅授权于履行本职工作需要知悉或者使用该等信息的人员。因疫情需要而采集的部分个人信息已属敏感信息范畴,应采取加密安全措施,同时相关履职工作者可立即进行去标识化处理,并遵循保存时间最小化原则,在疫情防控工作结束后及时对个人信息进行删除或者进行匿名化处理。另一方面,可以建立个人信息安全响应机制,确保单位信息收集系统可以平稳安全的运行,在发生个人信息安全事件时也能够及时做出响应。各类用人单位、学校等主体还应建立对个人信息保护的内部监督机制以及信息泄露追责制度,以提高各工作人员的警惕,防止为疫情目的而收集的个人信息被泄露。
三
违反个人信息保护相关规定应承担的法律责任及救济途径
《民法总则》第一百一十一条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。泄露个人信息可能涉及到多方面的民事责任,比如承担侵权责任、违约责任等。信息主体可根据不同民事权利主体受损向人民法院提起民事诉讼,要求泄露者承担停止侵害、赔偿损失、消除影响、赔礼道歉等侵权责任,或者要求承担相应违约责任。《网络安全法》第六十四条、《居民身份证法》第十九条、《治安管理处罚法》第四十二条、《传染病防治法》第六十八条、六十九条都规定了各类有权收集个人信息的主体未履行相关义务、故意泄露公民个人信息,造成个人信息依法得到保护的权利受到侵害应承担的法律责任。信息主体可到相关部门检举或投诉。有关主管部门可对泄露者施以警告、没收违法所得、罚款、拘留、责令暂停相关业务、吊销营业执照等处罚。根据《刑法》第二百五十三条及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中都规定了泄露个人信息的主体应承担的刑事责任,信息主体可到管辖公安部门报案,根据上述规定,泄露者最高可被判处7年有期徒刑。
关于明思
广东明思律师事务所,成立于2002年,总部位于中国广州。系由来自国内外的多名资深律师、博士、博士后、教授组建的,专注于解决家族法律事务、民商事争议、资产重组、投融资、财税法、刑民交叉等领域的综合性、涉外型的广东省优秀律师事务所。
明思律师事务所从创立至今,先后入选多家行政机关及知名企业的专业服务机构库,获得了多项专业法律服务资质/资格,并获广东省律协授予“广东省优秀律师事务所”、“广东律师行业先进基层党组织”、“卓越公益律师事务所”等荣誉称号。
本所律师现担任广州市人民政府法律顾问、中共广州市委法律顾问,还担任广东省人大常委会及广州市人大常委会立法咨询专家,广东省人民检察院专家咨询委员会委员,上述履职充分体现了明思律师在相关法律服务领域精湛的专业能力,也体现相关部门对明思律师的充分认可。
【网址】www.mingsilawyer.com