作者: 兰台律师事务所 吴红强 指导律师:李琳琳
前 言
中央网络安全和信息化委员会办公室于2020年2月4日发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,使基于防疫目的收集公民个人信息行为成为合规焦点问题之一,这不仅涉及到相关部门的合法履职,也将对单位和个人履行法定配合义务和社会责任产生重大影响。本文以强制收集公民个人信息为切入点,通过探究“谁有权基于防疫目的强制收集公民个人信息”、“应如何向公民收集其个人信息”以及“应收集何种类型的个人信息”等一系列现实问题,明确了个人信息收集“同意例外”规则在公共卫生事件发生时期的有序合法适用。
《网络安全法》、《儿童个人信息网络保护规定》以及《个人信息安全规范》等法律法规、行业标准已构建起我国以“同意授权”为主,“同意例外”为辅的个人信息收集制度。在该制度下,信息收集者对个人信息的收集原则上应以被收集人同意为前提,仅在少数例外情况下,对个人信息收集将不以被收集人的同意为必要。如涉及社会公共利益,信息收集者有权依照法律规定,要求信息主体主动履行个人信息提供义务,而且相关收集者将有权基于特定目的,强制收集公民个人信息。
由新冠病毒引发的疫情作为一起公共卫生突发事件,已对社会公共利益造成严重影响。这使得出于防疫目的而强制收集公民个人信息具有必要性和正当性。但强制收集并不代表无序、任意收集,法律赋予强制收集公民个人信息的权利,应在法律的框架内依法依规行使。为此,信息收集者、被收集者以及各方义务配合主体可从以下几个方面考虑强制收集个人信息的合法性及合规性问题。
一、强制收集个人信息的主体是否适格
《个人信息安全规范》第五条第四款规定,在个人信息与公共安全、公共卫生直接相关情况下,信息收集方即使未征得个人信息主体同意,也可强制收集自然人个人信息。因强制收集个人信息属于限制公民民事权利的行为,因此有权“强制收集”个人信息的收集主体必须具有法定授权。
本次疫情期间,网信办已明确,基于防疫目的行使强制收集个人信息的主体应严格根据《网络安全法》、《传染病防治法》以及《突发公共卫生事件应急条例》的授权予以明确。根据上述法律,在疫情期间,具备法定强制收集权限的机构包括:(a)卫生行政部门、医疗卫生机构、疾病预防控制机构;[1](b)街道、乡镇以及居民委员会、村民委员会[2];以及(c)县级以上人民政府在制定防疫应急预案中明确的信息收集主体[3]。
上述三类法定授权主体有权基于防疫需求要求中国公民提供相关个人信息,相关主体应予以配合。如果其他相关单位或组织被上述三类法定主体要求予以配合的,该单位或组织可依据该法定主体指令强制收集公民个人信息[4],但强制收集个人信息的范围、时间及目的应仅以法定主体明确要求为限。
二、强制收集个人信息的行为是否合规
《民法总则》第一百一十一条[5]将自然人的个人信息视为一项民事权利,并明确任何个人或组织应当以合法的方式收集个人信息。收集方式合法,是收集者合法获取个人信息的首要问题。合法的收集行为应包括收集渠道合法、收集程序合法以及不违反相关禁止性规定。
收集渠道合法要求强制收集主体不得使用非法买卖、传输的手段获取个人信息,也不得通过秘密窃听、跟踪或者欺诈、诱骗等未明确告知被收集者的方式获取其个人信息。
收集程序合法要求强制收集者在实施信息收集行为时应向被收集者明确告知收集信息的目的、范围,且收集的内容应按照实现该目的的最小化需求确定。
收集者应严格按照赋予其权利的法律规定行使收集权利,不得违反其禁止性规定。例如在防疫期间,收集主体一般不应针对特定地区的所有人群进行收集,以防止形成对特定地域人群造成事实上的歧视。此外,如果收集者是通过收集应用程序等网络平台途径获取相关个人信息的,其应制定相应的信息收集使用规则,并建立符合信息安全保障要求的储存制度。[6]
强制收集行为合规的另一面,是相关单位及个人应充分履行配合义务,该单位或个人应基于收集者明确的信息范围如实提供个人信息。除此之外,根据《传染病防治法》第十二条规定[7],除提供相关信息外,如果涉及检验、采集样本等要求 ,相关主体亦应予以配合。
三、强制收集的信息范围是否适当
在当前疫情防控期间,法定主体有权强制收集的个人信息范围应如何界定?根据《个人信息安全规范》的规定,强制收集个人信息应遵守“最少够用原则”、“目的明确原则”以及“公开透明原则”。“最少够用原则”要求信息收集主体应且仅应收集为满足其目的所需的最少个人信息类型和数量,且目的达成后应及时删除个人信息。“目的明确原则”要求信息收集主体收集个人信息的目的合法、正当、必要、明确。“公开透明原则”要求以明确、易懂、合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。
由于强制收集个人信息的情形是对被收集者同意授权原则的突破,因此允许作出突破的原因必须有正当依据证明对国家及社会公共利益的维护。然而,我国法律虽然明确规定了可强制收集个人信息的情形,却未明确可强制收集的个人信息范围。基于此,在法律法规未明确或不宜明确的情况下,笔者适当参考了国家卫生健康委办公厅印发的《新型冠状病毒肺炎病例流行病学调查方案》中罗列的个人信息范围,针对不同主体类型,对收集的个人信息内容作如下梳理:
▇ 1. 针对确诊病例和无症状感染者,可强制收集的个人信息建议包括:姓名、性别、身份证号,联系方式,疾病史,入院日期及症状,发病时间、地点,就诊医院的名称,是否属于特定职业、是否为孕妇,乘坐过交通工具的日期、类型、班次、座位号,发病前14天至确诊时去过的城市、入住酒店的房间号、参加活动的具体地点,与其共同居住、工作或曾密切接触的人员姓名及联系方式。
▇ 2. 针对疑似病例,可强制收集的个人信息建议包括:姓名、性别、联系方式,体温,症状,流行病学史,发病前14天内的旅行史(如乘坐过交通工具的日期、类型、班次、座位号,去过的城市、入住酒店的房间号、参加活动的具体地点)、具体居住地址、感染者接触史、发热患者接触史、参加聚集性活动情况,与疑似病例共同居住、工作或曾密切接触的人员姓名及联系方式。
▇ 3. 针对密切接触者,可强制收集的个人信息建议包括姓名,联系方式,性别,每日体温,症状,与确诊病例的关系,最早接触时间,最后接触时间,接触频率,接触地点,接触方式,单次暴露时间,与密切接触者共同居住、工作或曾密切接触的人员姓名及联系方式。
▇ 4. 对于不明原因发热或干咳、气促等症状的病例,可强制收集的信息建议包括:姓名,联系方式,发病前 14 天内旅行史或居住史、与发热或有呼吸道症状患者的接触史、与聚集性发病或新型冠状病毒感染者的接触史。
需要指出,上述信息涉及众多个人敏感信息,除法定主体依照法律规定,处于防疫目的予以强制收集外,其他任何单位及个人,如用人单位、小区物业或学校等机构均无权未经信息主体同意而收集上述信息。如果前述单位根据法定主体的配合指令对公民个人收集上述信息的,应严格按照法定主体指明的内容予以收集。
四、信息使用是否合法
信息收集者基于防疫目的,依照法律赋予的权限强制收集到公民个人信息后,应合法使用相关个人信息。其使用路径应以为疫情防控、疾病防治收集应实施的使用目的为限,不得基于私人目的或其他目的对所收集的信息另行使用。同时,强制收集对同意授权原则的突破仅限于信息收集阶段,如需对该信息实施对外公布、防疫目的以外的转让等行为,必须征得信息主体的同意。
出于公共卫生事件的特殊性,信息收集者应及时对收集的个人信息进行分析使用,如果对传染病疫情信息和疫情报告未及时进行分析、调查、核实的,将按照《传染病防治法》规定,承担相应行政责任或刑事责任[8]。
此外,收集或掌握个人信息的机构应对其收集的个人信息安全负责,应采取严格的管理和技术防护措施,防止收集的个人信息被窃取、被泄露,如采取有效的个人信息访问限制措施、展示限制措施等保障其收集的个人信息不被泄露。如果发生个人隐私的资料泄露,相关信息控制者将根据《网络安全法》[9]、《传染病防治法》[10]的规定承担行政责任。
结语
对强制收集个人信息行为的合规性判定,应从信息收集主体的适格性、收集行为的合规性、强制收集信息范围的适当性以及信息使用的合法性四个维度审视。基于防疫目的强制收集个人信息的主体应具有法律的明确授权,且授权强制收集不代表任意收集,相关法定主体应按照法定的收集规则及使用要求,合法收集、使用公民个人信息。相关个人或单位仅在收法定主体的配合指令后,方能强制收集公民的个人信息,且该强制收集行为应受指令要求收集的信息内容及方式约束,超出指令的信息收集应征得被收集者的同意。
注释:
[1]《中华人民共和国传染病防治法》第十二条:在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。第三十五条:国务院卫生行政部门应当及时向国务院其他有关部门和各省、自治区、直辖市人民政府卫生行政部门通报全国传染病疫情以及监测、预警的相关信息。
[2]《突发公共卫生事件应急条例》第四十条:传染病暴发、流行时,街道、乡镇以及居民委员会、村民委员会应当组织力量,团结协作,群防群治,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作,向居民、村民宣传传染病防治的相关知识。
[3]《中华人民共和国传染病防治法》第二十条:县级以上地方人民政府应当制定传染病预防、控制预案,报上一级人民政府备案。传染病预防、控制预案应当包括以下主要内容:(二)传染病的监测、信息收集、分析、报告、通报制度。
[4]《传染病防治法》第五十四条:县级以上人民政府卫生行政部门在履行监督检查职责时,有权进入被检查单位和传染病疫情发生现场调查取证,查阅或者复制有关的资料和采集样本。被检查单位应当予以配合,不得拒绝、阻挠。
[5]《民法总则》 第一百一十一条:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保》信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
[6]《网络安全法》第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
[7]《传染病防治法》第十二条:在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。
[8]《传染病防治法》 第六十八条:疾病预防控制机构违反本法规定,有下列情形之一的,由县级以上人民政府卫生行政部门责令限期改正,通报批评,给予警告;对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任:(三)未主动收集传染病疫情信息,或者对传染病疫情信息和疫情报告未及时进行分析、调查、核实的;
[9]《网络安全法》第六十四条:网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
[10]《传染病防治法》第六十八条:疾病预防控制机构违反本法规定,有下列情形之一的,由县级以上人民政府卫生行政部门责令限期改正,通报批评,给予警告;对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任:(五)故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的。
(声明:本文系作者授权新浪网转载,文章仅代表作者观点,不代表新浪网立场。)
