从疫情期个人信息收集常态化谈信息安全

李毅 张灵岩

新冠肺炎疫情在我国得到有效遏制,大数据的运用功不可没,但公民个人信息被过度利用及肆意传播的问题异常严重,个人信息安全面临严重威胁。

个人信息收集常态化

新冠肺炎疫情防控之初,个人信息保护问题即引起全社会的高度关注。

2020年1月10日,吴某乘坐高铁从武汉返回江西宁都老家。1月24日晚,她在家庭微信群中看到一份“武汉回宁都人员数据表”的表格。除她外,还有四五百人的个人信息被曝光,包括身份证号码、电话号码、具体家庭住址和列车信息等内容。因为信息泄露,吴某收到很多骚扰电话和信息。据其提供的微信截图显示,有陌生人通过手机号码在微信上发起好友申请,然后直接发来“武汉的请回去”“劳驾自行在家隔离二周”“武汉毒人害人害己”等骚扰信息。

除返乡大学生,很多去武汉出差、在武汉工作春节返乡人员的信息也遭到泄露。如一份名为“省厅推送武汉回青(青岛)人员信息”的表格,表头显示“2020年1月6日至21日武汉来青岛市人员”。该表格共有2257条,包括身份证号、手机号、户籍地详址、户籍地派出所、来鲁方式、车次班次等信息,且大部分信息属实。

新冠肺炎疫情期间,个人信息收集已然常态化。部分收集主体要求网上填写,个别收集主体则干脆提供一张表格要求依次填写。无论哪种方式,都难免使信息提供者疑虑重重:个人信息收集有法可依么?泄露后如何维权?疫情后已经收集的个人信息将如何处理?

信息安全所涉个人信息范围

为遏制个人信息非法收集、滥用、泄露等乱象,最大程度地保障个人的合法权益和社会公共利益,根据《中华人民共和国网络安全法》等相关法律,国家市场监督管理总局、国家标准化管理委员会于3月6日正式发布《信息安全技术个人信息安全规范》(下称《规范》),并定于2020年10月1日实施。

根据《规范》,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

将于2021年1月1日正式实施的《民法典》第1034条也对个人信息作出了规定,明确自然人的个人信息受法律保护,其中对“个人信息”的定义与《规范》相同。

《规范》同时对个人敏感信息做出规定,包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。对此,《民法典》将其作为私密信息认定,适用有关隐私权的相关规定。

收集个人信息的有权主体

根据我国现行法律规定,有权收集个人信息的主体是受到严格限定的,即便在疫情期,物业、商业主体、工作单位等未经授权的组织收集个人信息亦缺乏法律依据。

首先,國务院卫生行政主管部门或者其他有关部门指定的专业技术机构、疾病预防控制机构、医疗机构等有权收集。我国《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》,对于政府机构等特定主体在疫情期间收集公民个人信息且无需公民授权同意提供了正当性依据。

其次,社区、居委会在疾病预防控制机构的指导下,有权协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告工作。根据我国现行法律规定,城市社区和农村基层医疗机构承担城市社区、农村基层相应的传染病的防治工作,其在一定范围内行使个人信息收集权限。

由于新冠肺炎疫情传染速度快,且目前尚未研制出有效防治的疫苗,为严防死守做好防控工作,保护人民群众身体健康,出入公共场合皆面临不同程度的个人信息提供要求,在特殊时期针对特殊人群可以进行收集,疫情缓解后应及时予以禁止。

收集个人信息的基本义务

个人信息一旦泄露、非法提供或滥用可能危害个体的人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等严重后果。因此,无论哪一级有权收集机构皆应在收集过程中依法进行。

首先,在特殊情况下,未经公民授权收集个人信息的,必须向公民履行告知义务。相比一般个人信息的取得,敏感信息在取得程序上的要求更加严格,根据《规范》,在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。

其次,个人信息的收集范围应限定为“最小必要”,在满足目的所需的前提下尽可能收集最少的个人信息类型和数量。

再次,应采取足够的管理措施和技术手段,确保个人信息的保密性、完整性、可用性不受侵害。

最后,在个人信息有必要公开的情况下,尽量做“去标识化”处理,确保数据接收方无法通过公开信息识别出特定个体。

个人信息遭泄露后如何维权

2020年4月13日,胶州市民的微信群里出现中心医院出入人员名单信息,内容涉及6000余人的姓名、身份证号码、联系方式等个人信息,造成了不良社会影响。胶州市公安局发现后迅速展开调查。经查:叶某工作中将接到的随访人员名单信息转发至所在公司微信群,该群内的姜某将名单信息转发至家人群,其家人又继续转发传播。张某工作中将接到的随访人员名单信息转发至家人微信群,其家人又继续转发传播。以上3人的行为,造成中心医院出入人员名单在社会上被迅速转发传播,侵犯了公民的个人隐私。依据《治安管理处罚法》的相关规定,公安机关依法对叶某、姜某、张某给予行政拘留的处罚。

个人信息被泄露后,根据侵害结果的严重程度,侵权人可能需要承担行政责任、民事责任,甚至刑事责任。上述案件中,传播者实施的违法行为因社会危害性不大尚未触犯刑法,被行政拘留;与此同时,被侵权公民有权提起民事诉讼,要求侵权人对其隐私权受到的损害承担民事赔偿责任。

根据我国《刑法》第253条的规定,疫情防控期间,泄露公民个人信息严重的,构成侵犯公民个人信息罪,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

综上,个人发现信息泄露后可以根据具体情况,到公安部门报案,或到人民法院提起诉讼。

疫情结束后的个人信息处理和保护

中央网络安全和信息化委员会办公室于2020年2月4日发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,就个人信息收集使用后的处理作出了规范。

首先,对已收集的个人信息采取动态删除。对于疫情期间收集的个人信息,在保存时间符合防控疫情需要时即可删除,未必需要等到疫情完全结束,以此降低个人信息被泄露及非法利用的风险。不同行业的收集主体也纷纷作出声明,如多家航空公司在采集旅客信息时皆承诺,数据仅用于疫情防控,疫情结束之后,将全部销毁。

其次,建立完善的信息管理及保护机制。此次疫情防控过程中,各级政府皆加紧建立个人信息采集、存储、应用、去隐私化和销毁全流程管理机制;同时,政府各个部门密切合作,针对买卖等侵犯公民个人信息的行为,加大专项检查以及排查力度,严厉打击非法利用个人信息的违法产业。

个人信息的广泛收集无疑助推了新冠肺炎疫情在我国的有效抑制;与此同时,疫情也助推了个人信息保护立法的必要性和迫切性。两会期间,杨元庆等多位代表对个人信息保护提出建议和提案。5月25日,十三届全国人大三次会议第二次全体会议召开,全国人大常委会工作报告在下一步主要工作安排中指出,围绕国家安全和社会治理,制定《生物安全法》《个人信息保护法》《数据安全法》,新法将与《网络安全法》一起构成我国的信息保护基础性法律体系。