突发性公共卫生事件中个人信息的法律保护

文│华东政法大学 田旭

由2020年的新型冠状病毒疫情引发的个人信息泄露事件给信息主体带来极大负面影响的同时，也为社会公众带来了个人信息是否安全的担心。政府在排查疫情相关人员时，与企业合作，运用了大数据技术，通过手机定位信息、在线支付信息、快递信息、购票信息等一系列个人相关的网络信息，在第一时间追踪疫情相关人员，这本是控制疫情的得利举措。然而，上述个人信息经收集后，部分个人数据集合因缺乏妥善保护，在微信群等网络场所遭到泄露。从法律层面探讨在突发性公共卫生事件中应当如何平衡疫情控制与个人信息保护，以及如何应对疫情过程中的信息泄露事件，值得深思。

一、法律法规中业已明确相关行政主体的信息调查权

2003年非典后，我国针对突发性公共卫生事件业已制定了多部专门的法律法规。面对突发性公共卫生事件，在疫情监测阶段，现有法律法规业已授权各级政府及公共卫生部门相关疫情信息调取权。

第一，在法律层面，《中华人民共和国传染病防治法》（以下简称《传染病防治法》）第12条明确规定：“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”此外，《中华人民共和国突发事件应对法》（以下简称《突发事件应对法》）第38条，授权县级以上各级政府及其专业部门有权收集和分析相关信息。由于疫情爆发期间，相关人员通勤信息、个人家庭住址、身体状况等信息与疫情防控高度相关，应属于政府被授权调查的信息范围。可以看出，《传染病防治法》相较于《突发事件应对法》明确了一切单位和个人的防控配合义务，这一点相当于明确授权疾病预防控制机构和医疗机构要求信息服务提供者以及网络服务提供者提供相关信息的权力，而后者却疏于规定，这为信息调取权的行使主体不清埋下伏笔。实践中，疾控机构及医疗机关常常忙于应对传染病患者的确诊和救治工作，真正实施信息收集的主体一般是地方各级政府。因此，有必要在法律中明确在突发情形下，个人及企业为疫情只需要配合政府收集信息之义务。

第二，在行政法规层面，经国务院2006年制定并生效的《国家突发公共卫生事件应急预案》（以下简称《应急预案》）第4.2.1.8条规定，应急反应措施包括要求各级政府应当做好疫情的收集和报告；第4.2.4条规定，针对突发公共卫生事件信息报告，授权县级以上各级疾控机构做好突发公共卫生事件的信息收集、报告与分析工作。这些规定再次明确了政府有义务进行疫情的收集和处理工作，但是，依然缺乏细致规范。

遗憾的是，现有法律法规就信息调查权之规定过于粗疏，缺乏对信息收集主体的权力范围与时效的限制。相关数据主体的个人信息之调取应当符合“为服务疫情防控之需要”且应当严格限制该等信息的二次传播，否则极易造成个人信息的滥用和信息权利的侵犯。此外，《突发公共卫生事件与传染病疫情监测信息报告管理办法》第十四条规定，“医疗卫生人员未经当事人同意，不得将传染病病人及其家属的姓名、住址和个人病史以任何形式向社会公开。”该条有限地规定了医疗卫生人员的保密义务，但是，个人信息的范围远不止于姓名、住址及病史，还包括出生日期、身份证件号码、个人生物识别信息、电话号码等诸多可以直接识别个人的信息，这些问题均需要法律的进一步明确。

二、立法中业已明确个人信息利益不得侵犯

依据《民法总则》第111条规定：“自然人的个人信息受法律保护，任何取得应当符合依法原则，且禁止任何组织和个人非法收集、使用、加工、传输他人个人信息。”《网络安全法》第四十四条规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”此中所谓依法原则，应当指取得的途径应当符合法律的规定，其中既包括数据主体的授权，也包括法律的授权。

然而，针对网络个人信息，《网络安全法》中并未直接授权政府得以调取权力，哪怕是在疫情防控期间。但是，依据《传染病防治法》，一切单位都应当配合医疗行政机构及疾病防控机构调查疫情相关情况，此中当然包括互联网服务商。因此，医疗行政机构及疾病防控机构有权要求互联网服务商提供相关数据。但是，互联网服务商是否在向政府公开相关数据后违反了其保护用户个人信息之义务，则因遵循其与用户之间达成的关于隐私安排的合同。

以2020年1月21日版《微信隐私保护指引》第1.15条为例，微信有权在“与国家安全、国防安全等国家利益直接相关的；与公共安全、公共卫生、公众知情等重大公共利益直接相关的”个人信息，未经用户同意向有关机关公开。但是，在互联网服务提供商与用户未达成该类协议时，则服务商面临违反国家规定亦或是合同约定之两难。因此，有必要在现有法律中完善政府在疫情调查期间直接调取网络中个人信息之权力。

三、现有法律法规中欠缺有效的信息监督保障机制

由于我国《个人信息保护法》仍然在拟议阶段，而针对突发性卫生公共事件的专门法规也未能就个人信息保障专事规定。因此，现阶段我国实际缺乏一套综合的个人信息保障体系。

可以看出，在本次疫情防控过程中，政府在数据收集和使用阶段并未遇到显著的法律障碍，这某种程度上反映了我国针对个人信息收集程序仍然缺乏强制性的规范。而在相关个人信息由各级政府获取之后，出现了部分信息泄露之情形，则反映出数据泄露之后的法律应对不足。

信息泄露事件的出现，一方面是由于部分基层执法人员个人信息权利意识不强有关，更重要的原因是因《个人信息保护法》的缺位而导致缺乏有效的信息保障机制。为疫情防控收集个人信息的，应当遵循比例原则，即信息收集和使用的内容与程序应当符合适当性、妥当性及与疫情防控相适应的标准，将信息收集的种类、对象严格限制在必要的范围之内，并且在技术上，应当尽量对个人信息做匿名化处理。

四、公共卫生事件中个人信息保护的建议

在重大疫情面前，妥善保护涉及疫情人员的个人信息体现了一国应对疫情的综合治理能力。必须承认，我国个人信息保护法毕竟目前仍然处于探索阶段。借此次疫情契机，应当完善个人信息保护和监督体系，特别针对公共机构经合法授权获取收集和使用个人信息权时，应当监督信息收集、使用以及处理中一系列权利的范围以及遵循最小化原则，以最大程度的保护个人信息。

首先，应当在数据泄露后第一时间实施补救措施。个人信息遭遇泄露，建议网络安全主管机关第一时间联系信息泄露平台，通过线上线下双重渠道消除因信息泄露所带来不利影响，并对泄露源依法施以惩戒。如果发生大面积泄露事件，必要时依据《网络安全法》第五十八条，“经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。”

其次，尽快建立健全个人信息监督保障机制。监督保障即包括信息收集阶段应当满足合法性与合理性，更重要的是在相关信息发生泄露之后，法律应当赋予信息主体以必要的救济措施，如授权信息主体在其遭遇泄露后，向直接或间接造成信息泄露的相关主体提出民事诉讼或行政诉讼。

最后，信息保障机制离不开一线执法人员的信息保障意识。在疫情期间，法律授权县级以上各级政府以信息收集权，意味着信息收集过程中有大量人员得以合法接触信息。在培养一线执法人员信息保障意识的同时，应当配套完善信息泄露惩戒机制。

（本文刊登于《中国信息安全》杂志2020年第2期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。