服务团支招｜浅析疫情下个人信息的收集与保护

时间: 2020-03-01      访问量：1,013

        近日有媒体报道，疫情发生后，一份份包括个人信息的文件在社交平台上被疯狂转发，给返乡人员及确诊患者的生活带来极大困扰，不少人甚至还接到骚扰电话。针对疫情期间的个人信息保护问题，一些部门已数次发出相关通知。


        笔者认为，在有效发挥大数据对疫情防控支撑作用的同时，更要切实加强个人信息保护，做好疫情防控期间数据利用和个人信息保护的平衡，涉及疫情需要公开的信息应依法而行。对于恶意泄露、故意传播个人隐私信息的行为，应依法予以惩处，防疫期间绝不能让个人信息“裸奔”。

一、什么是个人信息


        根据我国《网络安全法》第七十六条的规定，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。


        在疫情防控期间，疫情防控有关单位或部门除了需要收集以上基本个人信息之外，还包括：行踪轨迹、住宿信息、健康信息等，很显然，这些也应属于法律保护的个人信息的范畴。




        二、疫情下，个人信息保护的法律基础


        1.《民法总则》下的公民个人信息保护
公民的个人信息属于隐私权的主要内容之一，我国公民依法享有隐私权。为了更好保护公民个人信息，我国         《民法总则》第一百一十一条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。


        2.《刑法》规定了侵犯公民个人信息罪
        根据《刑法》第二百五十三条之一的规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。


        3.《传染病防治法》释明了疫情防控时期故意泄露个人信息的法律责任。
根据《传染病防治法》第六十八、第六十九的规定，疾病预防控制机构和医疗机构，故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的。不仅会受到行政处分，还可能受到治安处罚甚至构成犯罪。


        4.《网络安全法》进一步明确了网络运营者收集、使用个人信息应当遵循的原则、采取的措施以及禁止的行为。
        根据《网络安全法》第四十一条的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。
根据《网络安全法》第四十二条的规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。
        根据《网络安全法》第四十三条的规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
根据《网络安全法》第四十四条的规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

        三、疫情下，个人信息收集的合法主体


        1.各级人民政府。
        根据《传染病防治法》第五条规定，各级人民政府领导传染病防治工作。县级以上人民政府制定传染病防治规划并组织实施，建立健全传染病防治的疾病预防控制、医疗救治和监督管理体系。


        2.国务院卫生行政主管部门和县级以上各级人民政府卫生行政主管部门。
        根据《突发公共卫生事件应急条例》第十条规定，国务院卫生行政主管部门按照分类指导、快速反应的要求，制定全国突发事件应急预案，报请国务院批准。该条例第十一条规定，全国突发事件应急预案应当包括以下主要内容：（二）突发事件的监测与预警；（三）突发事件信息的收集、分析、报告、通报制度。第十四条第3款又规定，县级以上各级人民政府卫生行政主管部门，应当指定机构负责开展突发事件的日常监测，并确保监测与预警系统的正常运行。


        3.各级疾病预防控制机构、医疗机构。
        根据《传染病防治法》第十二条第1款规定，在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。该法第三十三条又规定，疾病预防控制机构应当主动收集、分析、调查、核实传染病疫情信息。


        4.县级以上人民政府其他部门。
        根据《传染病防治法》第六条第二款规定，县级以上人民政府其他部门在各自的职责范围内负责传染病防治工作。


        5.街道、乡镇以及居民委员会、村民委员会。
        根据《传染病防治法》第九条规定，国家支持和鼓励单位和个人参与传染病防治工作。各级人民政府应当完善有关制度，方便单位和个人参与防治传染病的宣传教育、疫情报告、志愿服务和捐赠活动。居民委员会、村民委员会应当组织居民、村民参与社区、农村的传染病预防与控制活动。
根据《突发公共卫生事件应急条例》第四十条规定，传染病暴发、流行时，街道、乡镇以及居民委员会、村民委员会应当组织力量，团结协作，群防群治，协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作，向居民、村民宣传传染病防治的相关知识。

        四、疫情下，个人信息收集的表现形式


        1.政府及有关部门在紧急公共卫生事件中的信息登记；
        2.依法授权的卫生行政机构、医疗机构、疾病预防控制机构收集确诊患者及家属信息、疑似病患及家属信息、医护人员信息等；
        3.街道、乡镇、居民委员会、村民委员会及小区的告知和鼓励个人健康信息的自愿申报登记；
        4.特定飞机航线、班次以及高铁、火车等处于空间密闭的交通运输工具上的个人信息登记；
        5.封锁小区等特定区域的个人信息登记；
        6.受捐赠机构处理捐赠相关的个人信息登记；
        7.新晋推出的出入公共场所扫描二维码个人信息登记；
        8.其他经合法授权需要进行个人信息的数据收集或处理行为。

        五、疫情下，个人信息的收集与处理应遵循以下原则

        1.保护原则，即：在疫情防控中，个人信息的收集与处理要坚持对个人信息的保护。
在疫情防控中，个人信息的收集与处理要具备透明性，应当通过公告、新闻等方式告知目前采取疫情防控的措施，并应明确对个人信息收集与处理以及使用、保存的规则。个人信息的处理更应当坚守非歧视、保密、信息安全、防止信息泄露等一般规则的底线。
        在我国《网络安全法》中，已明确要求收集、使用个人信息应遵守合法、正当、必要原则。2020年2月9日，中央网络安全和信息化委员会办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》（以下简称《通知》），再次强调此次疫情联防联控工作中的个人信息保护、大数据支撑等事项，重申疫情紧急时需关注和遵循的个人信息保护底线。

        2.合法原则，即：在疫情防控中，对于个人信息的收集与处理要有法律依据或授权。
        根据《通知》第1条规定，各地方各部门要高度重视个人信息保护工作，除国务院卫生健康部门依据《网络安全法》《传染病防治法》《突发公共卫生事件应急条例》授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息。法律、行政法规另有规定的，按其规定执行。 
        3.正当原则，即：在疫情防控中，对于个人信息的收集与处理要有正当事由，不能肆意扩大使用。
        在疫情防控中，收集与处理疫情信息是为开展有关传染病的调查、检验、采集样本、隔离治疗等预防和控制措施。有权收集与处理个人信息的有关单位，在收集和处理个人信息的时候，不得超过上述的事由去肆意收集他人信息。
        4.必要原则，即：在疫情防控中，对于个人信息的收集与处理不得超过防控疫情目的和范围。
        在疫情防控中，个人信息的收集与处理应参照国家标准《个人信息安全规范》，坚持最小范围原则，要坚持仅在疫情防控目的范围内进行，不收集、处理与疫情防控无关的个人信息；不得将个人信息分享给不具备合法接触权限、没有必要接触信息的单位或个人；个人信息保存至疫情防控已经不需要处理该信息时，应及时采取删除或匿名化措施。
        
六、疫情下，泄露他人个人信息的法律责任
        1.民事侵权责任。
        疫情防控时期，如个人信息被侵权的，根据《侵权责任法》十五条规定，被侵权人可以要求侵权人承担侵权责任，包括：停止侵害；排除妨碍；消除危险；恢复原状；赔偿损失；赔礼道歉；消除影响、恢复名誉等。
若侵权人是利用网络非法传输和公开他人个人信息，可以依据最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持”的规定，请求侵权人承担侵权责任。


        2.行政处罚责任。
        如疾病预防控制机构、医疗机构故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的，依据《传染病防治法》第六十八条和第六十九条的规定，县级以上人民政府卫生行政部门可以对其责令限期改正，通报批评，给予警告；对负有责任的主管人员和其他直接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书；构成犯罪的，依法追究刑事责任。
        同时，根据《治安管理处罚法》第四十二条第六项的规定，散布他人隐私的，处五日以下拘留或者五百元以下罚款，情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款。
若侵权人是利用网络非法传输和公开他人个人信息，根据《网络安全法》第四十四条和六十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。


        3.刑事责任。
        疫情防控时期，如违反国家有关规定，向他人出售或者提供公民个人信息，依据《中华人民共和国刑法》第二百五十三条的规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。




        七、如果遇到个人信息被泄露，该怎么维权？


        1.可以向所在社区居委会、村委会或有关单位等，反映个人信息被泄露或非法公开的情况，要求其对所收集的个人信息进行保密，并制止相应的侵权人继续实施公开个人信息等侵权行为。
        2.可以求助于相关新闻媒体或网络平台，借助他们的监督功能，及时制止相应非法收集、使用和公开披露其个人信息的行为。
        3.可以向公安机关报案，请求公安机关给予依法处理。《通知》中已经明确指出，任何组织和个人发现违规违法收集、使用、公开个人信息的行为，可以及时向网信、公安部门举报。
        4.可以向当地政府相关部门举报或投诉，如拨打政务服务热线12345。若是App非法收集、公开披露个人信息还可以通过App个人信息举报微信公众号进行举报。
        5.如果以上途径都未能依法维权的，可以依据《民法总则》《侵权责任法》等法律提起民事诉讼。


        结束语：在防控疫情的非常时期，公民个人信息已经被越来越多的挖掘或使用，与此同时，相应的个人信息权利也将受到更多的忽视和践踏。如果我们不予以重视，可能会在更长的时期内给更大范围的人带来更多不良影响。因此，在防控疫情期间，充分收集或处理个人信息的同时，请您遵守法律法规，坚守信息收集和处理的原则。当您的个人信息权利受到侵犯时，请您及时寻求法律救济途径，维护自身的合法权益。