疫情爆发至今,湖北同学回乡信息被泄露;湖南一区卫生局副局长等人将新冠肺炎患者的调查报告转发无关人员进而传播至微信群;云南文山五名医院员工泄露患者信息;柳江疾控中心员工泄露患者信息;北京新增自泰国输入新冠病例王女士,其网上流传的《关于确诊新冠肺炎病人王女士基本核实情况》将王女士的个人信息摘掉了“口罩”,王女士每天深受各种骚扰辱骂电话和信息的困扰。个人信息的泄露不应成为王女士的隐瞒行踪行为所必须承担的后果,个人信息的泄露也不应成为疫情风暴过后的次生危害。
一、涉疫个人信息的法律分析
在这场新型肺炎疫情当前,我们每个人都不是坐山观虎斗的旁观者,患者个人信息不断泄露的局面也是我们每个人的镜子,没有人愿意自己的个人信息“裸奔”。疫情期间,为了公共利益的需要,可以收集使用个人信息,但是个人信息与公共利益之间两者并不是鱼与熊掌不可兼得,而是可以在确保公共利益的同时,兼顾个人信息的保护。
我国目前还没有针对个人信息的专门立法,大部分关于个人信息的规定散见于法律、行政法规等规定中,与此同时,《个人信息保护法(草案)》已经列入立法项目规划之中,该草案规定了个人信息的使用等要遵守的合法原则、知情同意原则、目的明确原则、限制利用原则、完整正确原则、安全原则等基本原则,并将个人信息权进一步细分为决定权(第12条)、保密权(第13条)、访问权(第14条)、更正权(第15条)、可携权(第16条)、封锁权(第17条)、删除权(第18条)、被遗忘权(第19条)等八项具体的个人信息权利。《个人信息保护法(草案)》无疑为打击侵犯公民个人信息的违法犯罪提供了指引。
《传染病防治法》第12条规定在中国领域内的一切单位和个人必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。第68条第5款规定:疾病预防控制机构违反本法规定,有下列情形之一的,由县级以上人民政府卫生行政部门责令限期改正,通报批评,给予警告;对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任:(五)故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的。
《传染病防治法》第1条明确了该法的立法宗旨是为了预防、控制和消除传染病的发生与流行,保障人体健康和公共卫生,其为了防疫等公共卫生的利益,可以收集包含个人隐私在内的个人信息。个人信息的范围十分广泛,小到个人的姓名,大到个人的行动轨迹等。根据《网络安全法》第76条第5项规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。此次新冠具有传染性,其与公共卫生、公共利益息息相关。如果不对传染病人进行及时的了解,就难以进行有效的监测和预防,也就无法采取相对应的隔离观察、治疗等措施,最终难以抑制疫情的扩散。此次疫情的有效控制,离不开对患者行踪、住址等信息的收集和处理。这就说明在公共利益面前,个人信息权会受到一定的影响,但是并不是没有边界的。《传染病防治法》中对个人信息收集的限制仅为“如实提供有关情况”,而不是与传染病无关的信息也需收集。
前述案例中的王女士自从个人信息曝光之后,每天深受各种骚扰电话、信息的折磨,这并不是我们所喜闻乐见的。目前社会上不乏存在一些企业单位排斥湖北武汉人,若是已治愈的患者的个人信息被不当曝光,这无疑侵犯了这些患者的个人隐私权,会给这些患者的生存带来一定的影响,最终也会扩大社会风险。
除此之外,中央网信办公布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(下称《通知》)中明确提出了收集使用个人信息的限度,以确保疫情期间个人信息的保护。内容如下:
1.各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。
2.收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。
3.为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。
4.收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。
5.鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持。
6.任何组织和个人发现违规违法收集、使用、公开个人信息的行为,可以及时向网信、公安部门举报。网信部门要依据《中华人民共和国网络安全法》和相关规定,及时处置违规违法收集、使用、公开个人信息的行为,以及造成个人信息大量泄露的事件;涉及犯罪的公安机关要依法严厉打击。
疫情期间,排查各地返乡人员和确诊患者信息,对于防治疫情至关重要,但是传染病病人、病原携带者、疑似传染病病人、密切接触者的个人信息的收集和公开,与普通民众的个人信息一样,应予一视同仁。特别当为了公共利益时,可以对前述人员的个人信息进行收集,但是在公开的时候,必须掌握一个“度”,公共利益不能凌驾于个人权利之上,特别是涉及到个人隐私部分的个人信息,上述《通知》中强调了个人信息的收集原则上要坚持最小范围原则,且未经被收集者个人的同意,不得随意公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,这些更主要的是涉及个人隐私,个人隐私权不得随意侵犯。个人信息的公开要在合法、必要、正当的前提下,公布部分个人信息,且用于防疫目的。但诸如开头所列的泄露、偷拍并散播个人信息并造成不良影响的,属于侵犯公民个人信息的行为,情节严重的可能构成侵犯公民个人信息罪。
二、侵犯公民个人信息罪的理解适用
《刑法》第253条之一规定的是侵犯公民个人信息罪:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
1、该罪的保护法益是个人信息权中的信息自决权,信息自决权是人的尊严和自由的体现之一,如果我们不能对与自己密切相关的个人信息享有自决权,不知自己的个人信息在何种程度上被收集、利用,不能决定自己的个人信息在何种程度上予以公开,则人也就难以体现为人的自主性、独特性,沦为“工具”。结合疫情,可以发现,随意公开涉疫个人信息的行为,不仅与《网络安全法》《传染病防治法》《突发公共卫生事件应急条例》等规定相违背,而且情节严重的,还触犯了《刑法》。
2、本罪的行为方式:违反国家有关规定,出售、提供和非法获取公民个人信息。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)将刑法第253条之一的适用予以了较为明确的解释,其中的“国家有关规定”是指违反法律、行政法规、部门规章有关公民个人信息保护的规定,前述《网络安全法》《传染病防治法》《突发公共卫生事件应急条例》包含在内。“提供公民个人信息”是指向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息,前述案例中湖南一区卫生局副局长等人将新冠肺炎患者的调查报告转发无关人员,便是符合“提供公民个人信息”,若达到情节严重,则构成侵犯公民个人信息罪。
3、本罪是情节犯。构成本罪须达到“情节严重”,《解释》第5条、第6条例举了情节严重的相关情形,为刑法打击侵犯公民个人信息的犯罪、维护个人信息自决权,实现保障人权的机能。实践中,大部分涉疫个人信息的泄露还不足以达到该罪的立案标准,但疫情期间收集到的个人信息数量庞大,收集人员庞杂,目前尚无相对应的政策措施颁布,因此收集的个人信息也就处于风险状态,随时都有可能成为犯罪分子手中的“利器”。
三、涉疫个人信息保护的“下半场”
针对涉疫个人信息的保护,应落实在收集、存储、使用和公开等环节。比如在收集涉疫人员个人信息时,应向被收集人阐明收集个人信息的目的和使用方式,超出传染病防控目的的信息应避免收集,比如征信信息、财产信息等;在存储环节,收集信息的单位和个人应采取措施避免存储的信息泄露,疫情结束可以采取封存措施,此次疫情期间收集个人信息的不仅仅限于医疗机构、还有居委会、村委会、超市、公交、药店、小区物业等,这些收集到的个人信息存储问题实乃一大棘手问题,并不是所有的信息收集者会销毁信息,这就要求这些信息收集者完善存储措施;在使用和公开环节,应避免将涉及身份证号等个人隐私的个人信息公布,避免信息的可识别性,在此次疫情中,很多公布患者病例的消息中含有不必要公布的个人消息,以前述境外输入的患者王女士为例,户籍便不是必须公开的信息。对于被侵犯个人信息的受害者,应享有删除权、被遗忘权等维护自己信息权的权利。
疫情期间,应保证个人信息公开的合法性、必要性和正当性,在防控疫情和个人信息保护之间达到平衡。当下我国疫情防控得当,各地复产复工相继稳步推进,其中各地推出的健康码,是疫情防控的需要,而健康码中的个人信息,也就只能服务于疫情防控,而不能另作它用,这也就需要予以严格的保护措施,为其戴好“口罩”。