2020年3月15日,多家媒體都報道了一條新聞:北京新增自泰國輸入新冠病例王女士,因隱瞞行蹤,正被立案調查。而根據記者的跟蹤採訪,王女士表示,“確診新冠肺炎兩天來,她每天能接到50個辱罵她的電話和無數條短信,還有人通過添加支付寶好友發送驗證信息罵她,家人朋友也受到牽連。”
之所以她會收到那麼多的騷擾電話和短信,就是因為網上流傳了名為《關於確診新冠肺炎病人王女士基本核實情況》的信息,其中包括“王女士及其丈夫、父母、女兒的家庭住址、身份證號、電話號碼、車牌號、工作地點等信息,以及王女士丈夫3月4日回國直到3月12日王女士確診期間的所有行程,以及其接觸的朋友的聯繫方式”。如此詳細的家庭信息洩露在網上,並招致直接的謾罵、指責,令其幾乎崩潰。
其實,王女士的故事並非“隱瞞行蹤”那麼簡單。她向記者陳述的事實是:3月4日回國時不認為是從疫情嚴重國家入境返京,故沒有完全居家隔離;3月7日去同仁醫院,希望醫生做新冠排除檢查,被告知結論是陰性;後因同赴泰國的朋友在廣東被確診陽性,其於3月13日在大興區疾控中心也被檢測為核酸陽性,才從同仁醫院處得知之前所做的只是甲流等項目的檢測。
由於王女士事件尚在調查,其是否故意隱瞞行蹤、違反抗疫期間相關規定,本文無從評判。筆者關心的卻是,在傳染病防治期間,傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者的個人信息,應該得到怎樣的法律保護,現行的法律是否給予了充分保護?
公共衛生與個人信息保護之間需要平衡
《傳染病防治法》對個人信息保護是有明確意識的。該法第12條第1款規定:“在中華人民共和國領域內的一切單位和個人,必須接受疾病預防控制機構、醫療機構有關傳染病的調查、檢驗、採集樣本、隔離治療等預防、控制措施,如實提供有關情況。疾病預防控制機構、醫療機構不得洩露涉及個人隱私的有關信息、資料。”對應地,根據第68條第(五)項、第69條第(七)項,疾病預防控制機構(以下簡稱“疾控機構”)、醫療機構“故意洩露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息、資料的”,會受到責令改正、通報批評、警告等處罰,負有責任的主管人員和其他直接責任人員,會受到降級、撤職、開除的處分,構成犯罪的,還會被追究刑事責任。
可見,《傳染病防治法》力圖在公共衛生與個人信息保護之間尋求一種平衡。一方面,由於公共衛生和傳染病防治的需要,個人信息可以被強制收集和使用。個人信息的範圍十分廣泛,包括自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯繫方式、通信記錄和內容、賬號密碼、財產信息、徵信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等(參見《網絡安全法》第76條和《互聯網個人信息安全保護指南》第3.1條)。一般而言,病人與健康有關的所有個人信息屬於隱私權範疇,未經病人自己透露或同意披露,任何單位和個人都是無權公開的。
然而,傳染病不是簡單的個人患病,其與公共衛生、公眾健康休慼相關。若不能及時瞭解傳染病病人的身份、住址、聯繫方式、行蹤、住宿等,就無法進行有效的監測、預測,就無法採取相應的隔離觀察、隔離治療等措施,就無法有效切斷傳染病的傳播途徑,就無法進行為傳染病防控所需進行的調查和研究。因此,傳染病病人的個人信息自主權理應受到一定限制。而且,這種限制還延伸到病原攜帶者、疑似傳染病病人和密切接觸者。限制的主要體現就是有義務“如實提供有關情況”。
另一方面,因為公共衛生、傳染病防治而對個人信息自主權的侵入,也是必須有邊界的。畢竟,即便絕大多數人認同限制的正當性,也肯定擔心,萬一自己不幸成為病人、病原攜帶者、疑似病人或密切接觸者,個人信息如實彙報給公共衛生部門,以及與此相隨可能出現的信息暴露,會不會給自己帶來難堪、汙名、侮辱或歧視?尤其是在社會交往、工作就業、醫療保險等方面帶來意想不到的障礙和阻撓?出於對這種關切的回應,就需要對收集、使用、存儲個人信息的公共權力機構進行必要的“反向限制”,以保護為公共衛生、公眾健康而犧牲個人信息自主權的個人,使其不至於因此而承受更多的、過度的負擔。《傳染病防治法》禁止疾控機構、醫療機構洩露個人信息並輔以相應法律責任的制度設計,就是此類“反向限制”。
《傳染病防治法》對個人信息保護的欠缺
鑑於《民法總則》第111條對個人信息保護作出如下規定,“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息”,因此,“依法”和“非法”的界限,基本上要依賴於各個領域的單行法律。但是,前文提到的王女士個人信息遭洩露的事件,集中反映了《傳染病防治法》在個人信息保護方面,還存在許多欠缺,具體體現在以下方面:
1.個人信息的收集
如上所述,《傳染病防治法》對個人信息的收集主體僅限定在疾控機構和醫療機構兩類組織,並沒有延及王女士事件中暴露出來的派出所和街道辦事處。該法也沒有授權在傳染病暴發、流行時,縣級以上人民政府及有關部門有權自行收集或委託有關組織收集個人信息。而此次疫情防控中,派出所、街道辦、居委會、村委會、物業等不同類型的組織,卻都實際享有了個人信息的收集權。這是否必要、合理,可以留待進一步討論,但法律依據上存在先天不足,是毫無疑問的。未來修法解決的路徑可能有兩個:一是在《傳染病防治法》上對可能需要收集個人信息的主體做窮盡式列舉;二是仍然由疾病預防控制機構和醫療機構作為個人信息的收集主體,同時授權縣級以上地方人民政府或其成立的防疫指揮機構,根據傳染病防控需要,委託其他單位對特定信息進行收集,並對此委託承擔相應的法律責任。從個人信息集中收集、降低暴露風險、提高保護責任意識等角度看,後一種路徑或許是更可取的。
此外,《傳染病防治法》只是規定任何單位和個人必須在接受疾控機構、醫療機構的傳染病預防、控制措施時,如實提供有關情況,卻未對哪些個人信息可以被收集作出限定。原則上,第一,個人信息的收集必須直接指向傳染病預防、控制的目的,諸如賬號密碼、財產信息、徵信信息、交易信息、個人指模等與此目的無關的信息,就明顯不在收集之列;
第二,所收集的信息必須是可以合理實現傳染病預防、控制目的的,如對病人、疑似病人、病原攜帶者、密切接觸者在病毒潛伏期內(新冠病毒通常指向14天)的行蹤進行收集,超出醫學認定的平均潛伏期的行蹤,就不應該屬於可收集範圍;
第三,除收集個人信息外沒有其他途徑可以實現所宣稱的預防、控制目的,這就是希望公共權力機構將個人信息的收集作為實現特定目的的最後備選方案;
第四,收集個人信息時必須向信息主體明白告知收集的目的和使用範圍,這既是對信息主體知情權的保障,也是對信息收集、使用主體的自我約束,以防任意收集和使用。《傳染病防治法》在修改時應當對個人信息收集原則予以明確。
2.個人信息的存儲
個人信息如何存儲,基本上可以由信息收集和佔有主體自行決定,法律無需作出具體規定。但是,信息收集和佔有主體有一項法定的基本義務,即保障個人信息安全,使其不能被輕易洩露。《民法總則》對此的明文規定是,應當“確保信息安全”。王女士事件中,其先生曾經向北京市大興區天華路派出所“寫了詳細的家庭信息和幾天的行程”,而派出所一位民警在接受採訪時稱他們不可能洩露任何個人信息,可這樣的宣稱並沒有說明其是否盡了信息安全保護義務。實踐中,信息收集和佔有主體缺乏個人信息安全保護意識以及制度和技術安排,於許多領域都存在。《傳染病防治法》應當在傳染病防控領域加強應對。
3.個人信息的使用和披露
《傳染病防治法》只是作出禁止個人信息洩露的規定,對如何正確、合理使用信息,以及在使用信息過程中如何披露,都沒有給出正面的、明白的規則和指示。這對於在抗疫一線收集、使用個人信息的基層機構和組織而言,無疑是增加了執行的難度。
首先,必須明確,個人信息應當被用於徵集時所明白告知的目的和範圍,而不能用於其他目的或超範圍使用。這個“一致性原則”也是對信息收集和使用主體的誠信約束。
其次,因傳染病防控而強制收集的個人信息,通常需要在一定範圍內不經信息主體同意及時披露個人信息,從而有利於針對性地採用預防和控制措施。這可以視為“同意原則”的例外。然而,例外之所以稱為例外,是因為它們是少數的情形。因此,立法必須對它們予以窮盡列舉。大致上,這些情形包括:
(1)信息在參與傳染病防控的衛生行政部門、疾控機構和醫療機構交流使用;
(2)除第(1)項列舉的機構外,信息向依法在傳染病防控工作中需要使用個人信息的其他單位分享,這些單位必須由法律明確規定;
(3)在不披露個人信息不足以延緩或阻止傳染病對其他個人或公眾健康產生明顯而即時危險的情形下,經縣級以上政府衛生行政部門或防疫指揮機構負責人批准予以披露;
(4)在信息主體健康或生命受到即時威脅的緊急情況下向提供救治和護理的人員披露。
最後,個人信息的使用應當遵循必要關聯和最小侵害原則。換言之,個人信息在可以達到傳染病防控目的的範圍內使用即可,同樣可以實現防控目的但過度使用個人信息的情況,應當予以避免。
在王女士事件中,3月15日,北京市新型冠狀病毒肺炎疫情防控工作新聞發佈會上,北京市疾控中心副主任龐星火通報了北京境外輸入病例的情況,通報的內容是:“王某某,女,31歲,戶籍浙江省台州市,現住北京經濟技術開發區。2月23日至3月4日去泰國曼谷、清邁旅遊,3月4日,乘坐TG614航班返回北京。患者3月7日出現發熱、咽痛、乏力、頭痛等症狀,就診於某醫療機構,血常規和CT檢測未見異常。3月12日,廣東省疾控部門告知王某某,其在泰國旅遊期間一同伴回國後檢測為新冠核酸陽性。3月13日,王某某由120救護車送至東方醫院北京經濟技術開發區院區隔離,經大興區疾控中心檢測結果為核酸陽性,後由120救護車轉運至大興區人民醫院。3月14日診斷為確診病例。”
從個人信息保護角度看,該通報基本沒有什麼問題,只是出於讓公眾知情境外輸入病例的目的,其中的年齡、戶籍不是必須公開的關聯信息。
而亦莊微信公眾號在發佈相關信息、指導社區疫情防控時,確有存在過度使用個人信息的嫌疑。該公眾號指出,該病例“與其愛人蔡某某、女兒蔡某某一直在林肯公園B區居住”。這一看似不起眼的信息,雖然沒有透露王女士及其家人的全部姓名,但卻很有可能構成一種足以識別個人的“信息結合”:“病例王某、丈夫為蔡某,有一女兒,家住林肯公園B區。”這種信息結合雖然不是必定可以推測是哪一家住戶,但在筆者看來,推測識別的概率還是相當大的。為避免此類推測而又可以指導社區居民,完全可以改為該病例“一家在林肯公園B區居住”。
4.個人信息的被遺忘
根據《傳染病防治法》,為傳染病預防和控制而收集和使用個人信息,不一定在傳染病暴發、流行時,平時進行傳染病監測、預測、流行病學調查等也是需要的。但是,在傳染病暴發、流行時為特定防控目的而收集的個人信息,與平常的收集不同,往往會出現在網絡上。即便通過技術處理不一定會形成足以識別信息主體的程度,對信息主體而言也是一種暴露。因此,在防控目的實現以後,應該允許信息主體向仍然保有此類信息的網絡經營者——無論是公共權力機構還是商業機構——申請刪除。這就是個人信息保護領域經常提及的“被遺忘權”。
5.個人信息洩露的責任
《傳染病防治法》對疾控機構、醫療機構洩露個人信息規定了相應的法律責任,但結合前文所述,其還存在以下三個方面的問題。
第一,個人信息的洩露,不一定是“故意”,因為沒有盡到合理的信息安全保護義務,如網絡系統存在漏洞,也會造成洩露。
第二,個人信息洩露的可能責任者,不止限於疾控機構、醫療機構,也不止限於信息的收集者;任何得到依法披露的個人信息的單位或個人,都有可能洩露信息而需要承擔責任;
第三,傳染病防控的特殊性,使得個人信息的收集、使用者較多,也就增加了信息洩露的環節,這的確不利於受侵害的信息主體追究責任者。
但是,必須明確,根據已經洩露的個人信息內容,信息主體可以向最先收集該信息的單位追責,最先收集信息的單位除非能夠合理說明其已經盡了信息安全保護義務,且能夠說明其依法向誰披露了此信息,否則,就必須承擔洩露責任。若最先收集信息的單位能夠說明此兩項情況,那麼,信息主體則可以向被披露的單位或個人繼續追責。
傳染病防控領域的個人信息保護,顯然是一件複雜的事情。現行的、主要立足於2004年修訂版本的《傳染病防治法》存在欠缺,是情理之中的。反思《傳染病防治法》的不足,不單單是為了將來修法以更好地實現公共衛生與個人信息保護的平衡,更希望在疫情尚未結束、抗疫仍在進行的當下,公共權力部門“想立法之未想”,認真、慎重對待個人信息,以及個人信息背後人格尊嚴的憲法權利。筆者仍然要重拾之前所言:“大疫是對人性的大考,是對民族的大考,是對制度的大考”。我們要在抗疫進行時和未來時完成大考,交出體現文明進步的作業和答卷。
沈 巋 北京大學法學院教授
閱讀更多 上海灘宋律師 的文章
