新冠疫情爆发以来,全国31个省份、自治区、直辖市均已启动突发公共卫生事件一级响应。各地纷纷采取防控措施来避免疫情的进一步扩散,包括对一些人员进行身份信息、行程信息登记和追踪,这些措施对于疫情防控有着至关重要的作用。但也出现部分人员个人信息和隐私泄露事件,导致合法权益受到侵犯。中央网信办也发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,对疫情防控过程中个人信息的收集、公布和使用加以明确。疫情防控背景下如何兼顾个人信息保护,值得关注和思考。本文从疫情防控期间个人信息收集的合法性、有权主体、信息内容角度进行分析。
一、未经同意收集个人信息是否有法可依?
我国目前尚未出台关于个人信息保护的专门法律,个人信息保护的相关规定分散于众多的法律法规中。《民法总则》第111条的规定:任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。《网络安全法》第41条规定:对公民个人信息的收集,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。根据上述规定,结合相关法理,个人信息的收集和处理应当征得其本人或监护人的同意,除非有法律、行政法规的例外规定。
《传染病防治法》第12条规定:一切单位和个人必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治理等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料;第33条规定:疾病预防控制机构应当主动收集、分析、调查、核实传染病疫情信息。《突发公共卫生事件应急条例》第14条第3款规定:县级以上各级人民政府卫生行政主管部门,应当指定机构负责开展突发事件的日常监测,并确保监测与预警系统的正常运行;第21条规定:任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报;第40条规定:传染病暴发、流行时,街道、乡镇以及居委会、村委会应当组织力量,团结协作,群防群治,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作。《传染病防治法》和《突发公共卫生事件应急条例》作为针对疾病防控和突发事件应急管理的专门法律和行政法规,特别规定了相关部门、机构收集相关信息的权利。
在本次新冠肺炎疫情防控背景下,依据“特别法优于一般法”原则,《传染病防治法》和《突发公共卫生事件应急条例》优先于《民法总则》、《网络安全法》的适用。国家卫健委已将新冠肺炎纳入《传染病防治法》规定的乙类传染病且采取甲类传染病预防、控制措施,全国31个省、自治区、直辖市均已启动突发公共卫生事件一级响应,因此,疫情防控期间的个人信息收集,即属于法律、行政法规另有规定的情形,相关部门和机构出于疫情防控的需要,即使未经同意依法仍有权收集与疫情防控相关的个人信息。
二、依法有权收集、处理疫情信息的主体是哪些?
根据上述法律和行政法规的规定,在疫情防控期间,依法有权收集疫情信息的主体包括:疾病预防控制机构、医疗机构、县级以上各级人民政府卫生行政主管部门等有关部门,街道、乡镇以及居委会、村委会应当协助收集疫情信息。上述机构和部门在收集相关信息时,既可以向其本人收集,也可以通过其单位、社区及掌握个人信息的部门机构收集,相关单位、部门应当履行配合义务,不得隐瞒、缓报、谎报。
此外,《传染病防治法》第32条规定:港口、机场、铁路预防控制以及国境卫生检疫机关发现甲类传染病病人、病源携带者、疑是传染病病人时,应当按照国家有关规定立即向国境口岸所在地的疾病预防控制机构或者所在地县级以上地方人民政府卫生行政部门报告并互相通报。此次新冠肺炎虽然被列入乙类传染病,但却采取的是甲类传染病预防、控制措施,因此港口、机场、铁路预防控制机构以及国境卫生检疫机关也有权收集疫情相关的个人信息。
需要注意的是,《突发公共卫生事件应急条例》第十条、第十一条、第三十一条规定:省、自治区、直辖市人民政府根据国务院制定的全国突发事件应急预案,结合本地实际情况,制定本行政区域的突发事件应急预案;预案中应包括突发事件信息的收集、分析、报告、通报制度;当地人民政府有关部门,应按照预案规定的职责要求采取有关措施。据此规定,在突发疫情时期,相关政府、部门有权根据疫情防控的需要授权其他机构、组织进行信息收集。因此,企事业单位、园区管理组织、物业服务公司等具有管理职责的主体经授权后依法也可以进行疫情相关信息的收集,且收集信息时也适用未经同意仍有权收集的例外规定。
三、收集的疫情个人信息主要包括哪些内容?
因个人信息保护尚未专门立法,关于个人信息的法律定义也散见于不同的法律法规及相关司法解释中。《网络安全法》第76条规定:个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定:公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。《传染病防治法》第12条规定:疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料;第68条规定:未主动收集传染病疫情信息,或者对传染病疫情信息和疫情报告未及时进行分析、调查、核实的,故意泄露传染病病人、病源携带者、疑是传染病病人、密切接触者涉及个人隐私的有关信息、资料的,依法予以处罚。在我国现行法律中,没有对个人信息做进一步的区分和定性,即使在疫情防控下作为专门立法的《传染病防治法》对疫情信息的具体收集、公布等内容也没有细化。
对此,根据上述规定,笔者认为,与疫情有关的个人信息的收集对新冠疫情的防控至关重要,相关部门、机构依法收集信息既是法律赋予的权利,也是履行法定职责的需要。在收集过程中应当遵循最小必要原则,进行目的限定,即收集信息的目的是开展有关传染病的调查、检验、采集样本、隔离治理等预防、控制措施,不能收集与疫情防控无关的信息。具体到新冠疫情防控,有权收集个人信息的主体,依据疫情防控的实际需要有权收集以下信息:1、个人基本信息:如姓名、身份证号、联系方式、住址等信息;2、与疫情防控有关的信息:如体温、症状、相关旅居史、乘坐交通工具记录、相关接触史等信息。除此之外,其他诸如个人生物识别信息、网络身份标识信息、个人财产信息、职业信息、民族、宗教信仰等与疫情防控无关的个人信息不应当收集。
法律作为主权者的意志、民众行为的普遍规范,在其有效期内都应得到普遍的遵守。在一般情形下,非经同意,任何组织和个人无权收集个人信息。在疫情防控背景下,出于维护社会公共利益的需要,法律法规对个人信息的收集作出例外规定,已经是对个人信息保护的一种折中和调和。正因为是折中和调和,更应严格把握个人信息收集的限度,实现疫情信息收集与个人信息保护的平衡。