新冠疫情发生以来,我国各政府部门协同企业利用大数据进行联防联控,公共场所对个人信息进行登记及利用能够有效追踪疫情动态、实施精准防控。依照《中华人民共和国网络安全法》《中华人民共和国传染病防治法》和今年2月9日中央网信办公开发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》等规定,手动填写个人信息的收集以及健康码是合法的、必要的,但是在公众配合疫情防控的同时,个人信息的法律保护体系不完善、行业规范约束力不足、个人自我信息保护意识不强的问题日益凸显。因此,从法律机制、社会和个人这三个层面去分析问题,进而平衡个人信息的利用和保护之间的关系,平衡公共利益和个人隐私权。
一、问题背景
今年2月,江苏告破首起利用疫情非法获取公民个人信息案件,涟水县人薛某某利用群众购买口罩的迫切心理,制作并发布名为“涟水县防护口罩预约服务”的网站,并将网站链接发布在微信中,非法获取公民姓名、电话号码、身份证号码、家庭住址等个人信息4000余条,其实际上并没有口罩可供领取,只是想要借机骗取个人信息将自己经营的培训中心的广告发出去。
4月19日,山东胶州公安发布,疫情期间因泄露6000余人中心医院出入人员名单信息,涉及姓名、住址、联系方式、身份证号码等个人信息。依据《治安管理处罚法》的相关规定,3人被依法行政拘留。这则通报引发社会的广泛关注,微博平台上这一话题阅读量超过2.4亿。
公安部发布了2019年以来公安机关侦破的10起侵犯公民个人信息违法犯罪典型案例,其中有两起涉及疫情公民个人信息的泄露。而根据公安部4月15发布的统计数据,新冠肺炎疫情发生以来,全国公安机关对1522名网上传播涉疫情公民个人信息的违法人员进行了治安处罚。此外,前段时间的中信银行事件将个人信息保护问题再次推向风口浪尖。
二、个人信息的法律保护
个人信息的法律保护问题随着社会、信息、科技的发展而逐渐凸显。直到目前为止,我国还没有个人信息保护方面的专门的法律,但是一直关注着对个人信息的保护。我国对个人信息的法律保护主要包括法律的直接保护和间接保护两个方面,直接保护是指法律直接地提出对“个人信息”的保护,间接保护是指法律通过提出对“人格尊严”“个人隐私”等与个人信息相关的范畴而对个人信息进行的保护。
通过全国法律法规数据库的搜索发现,我国直接提出对“个人信息”加以保护的法律法规、规章以及司法解释的数量有限。《刑法》第253条规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。”这是对个人信息的刑法保护,疫情期间,出于不正当的目的且违反国家有关规定提供个人信息,造成严重后果的构成侵犯公民个人信息罪。个人信息的收集没有问题,问题主要是在收集之后的存储、使用,譬如是否妥善保管,是否违法转让个人信息等等,这也是个人信息保护的关键,在疫情防控期间也要着重防范非法获取、非法提供公民个人信息的犯罪行为。疫情期间个人信息保护案件数量的增加,信息披露助推犯罪,因此将个人信息保护好,犯罪也就会减少。
除此之外,在我国还有一些通过间接规定保护“人格尊严”“个人隐私”等与个人信息相关的范畴进而保护个人信息的法律法规和司法解释。如《传染病防治法》第68条第五项规定,疾病预防控制机构禁止故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料。但是此条规定对个人隐私和信息的表述过于简单,且保护对象仅限于传统的隐私信息。
三、行业自律保护和个人信息安全意识
目前我国对个人信息的保护没有专门统一的法典,因此还通过信息控制人作出的单方承诺或特定的行业自治性规范对个人信息进一步保护,进而促进行业更大的发展,此类行业主体主要是国内一些综合性商业网站、银行和互联网行业。然而,个人信息的行业自律保护也存在很多问题,行业自治性规范的质和量的不均衡,技术的迅猛发展与信息的安全体系不配套,行业规范约束力不足,疫情防控期间大量的个人信息存有很大的隐患和现实危害,尤其是市场经济下产生的行业恶意竞争。
大数据、云计算、区块链等数字化技术的发展已经深入到生活和工作的方方面面,公众在关注个人收益的同时,对个人隐私安全的保护意识却不足。如疫情期间的武汉返乡者“污名化”事件,由于疫情防控机构缺乏信息安全保护意识,返乡人员的个人信息泄露被转发到微信群然后扩散,造成了严重的影响。
四、个人信息保护的三维平衡
疫情期间,法律机制、行业还是个人的任一维度,都不能侵犯个人信息,需要收集个人信息的要经得个人的同意授权,需要公开信息的要进行匿名化和脱敏处理,在充分保障公众知情权的同时,又要保护新冠病毒确诊患者及疑似患者的个人信息,防止信息恶意泄露造成的人身或财产损害。
为了应对大数据时代个人信息安全面临的挑战,首先要推动专门的立法工作,除了加强线上网络安全保护,更为重要的是弥补线下信息收集、保存、销毁等问题的空白,完善公民个人信息立法。个人信息保护法应明确个人信息的保护原则、法律内涵、侵权责任等,与信息安全相关的法律法规相统一,形成完善的信息安全法律机制,对个人信息给予更充分的保障。
从中观视角来看,互联网行业可以运用信息加密等技术手段加强信息保护程度。平衡行业自治性规范的质和量,增强行业规范约束力和自律保护。此外,应加强行业监管,形成政府督促行业收集、存储、使用、销毁的链条式管理。
最后,仅仅依靠政府、社会的力量无法完全对个人信息进行保护,提高公民个人信息安全意识,全民普法也十分重要。疫情暴发是对公共利益和个人权利二者平衡的新一轮考验,只有每个人积极配合,不置身事外,才能在疫情防控中取得胜利。