有效掌握個人數據(也稱個人信息)對當前疫情防控工作的裨益顯而易見,且緣於生命健康的重要性、防控工作的緊迫性。但是,在遵循法律、法規載明的例外條款基礎上,要重視對數據的採集往往具有天然張力的一面,而且容易忽視對個人數據的保護。誠然,當下收集、使用個人數據是出於公共利益需要,其目的具有正當性,但也要注意,在具體工作中,必須堅持合法、合理運用。
不可否認,目前我國個人數據權層面法律基礎設施與配套建設尚不充分,互聯網、大數據技術迅猛發展與既有數據保護體系不相適應,因為沒有一部統一的、法典化的個人數據保護法,致使我國的數據保護工作呈現“多龍治水”局面。一邊是網絡運營者時刻存在的經營風險,一邊是社會公眾對個人數據洩露的焦慮擔憂,法律資源供給不足的矛盾在實踐中顯現:確診、疑似病例身份信息的不當洩露等,引起了人們對信息安全的關注。由於現有法律規定的籠統、分散、保護力度較弱,導致近期有關部門相繼出臺了規範個人數據使用的文件,譬如《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》等。
從某種程度上講,此次疫情成為推進、完善我國個人數據保護法出臺的契機。根據傳染病防治法、刑法等法律法規,結合相關通知決定,參照歐盟《通用數據保護條例》條款等,筆者認為,在當前非常時期,對個人數據的保護應遵循以下五項原則。
合法、公開原則。該原則要求對涉及數據主體的個人數據,應當以合法的依據來進行收集、處理、發佈,同時應公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,確保公眾知情權。目前國內的主要依據是傳染病防治法、《突發公共衛生事件應急條例》、國家及各地制定的防控預案、應急預案,在相關條款的授權下,各級防控機構、部門、人員應依照上述規定,依法開展確診、疑似病例、密切接觸者和其他公眾的信息收集、登記、排查、公佈,同時可依法要求基於日常職能和業務所需的數據控制者如公安、交通運輸、教育機構等共享其日常業務中所掌握的個人數據。而後類控制者在相關部門要求下共享此類數據時,仍要遵循網絡安全法、《電信和互聯網用戶個人信息保護規定》等的規定,遵照依法收集、分類存儲、匿名處理的規定辦理。
目的限制原則。該原則要求對個人數據的收集、處理應當遵循具體的、清晰的和正當的目的,即用於疫情防控,依此目的獲得的數據斷不能用於任何其他用途。承擔疫情防控職能、任務、義務的機構和個人一定要謹記,務必確保數據收集、運用目的的合理性,用途的定向性。互聯網服務提供商不能在利益驅動下,隨意關聯不同數據類型,或者將基於疫情防控收集的個人數據或製作的大數據關聯分析模型用於當前或日後的其他目的,造成數據濫用。
最小數據原則。該原則要求數據控制者收集、使用的個人數據類型、範圍、期間對於疫情防控應當是適當的、相關的和必要的,其類似於憲法理論中權力運用的比例原則。最小數據原則包含數據收集和數據發佈兩個層面。第一個層面,比如對確診、疑似病例數據收集類型主要為姓名、性別、年齡、身份證號、電話、住址、行程信息等,從而確定病例涉及的區域、場所、車次,篩查密切接觸人員;對密切接觸人員的數據收集應限於基本信息,如姓名、位置行蹤、電話等。第二個層面,主要關涉對外公佈的疫情信息,其包含兩類數據:一是國家和省級疾控部門發佈的大數據疫情信息,包括確診病例、疑似病例、死亡病例、治癒出院病例的數量、省份、分佈圖等,該類數據是聚合數據,屬匿名信息;二是各地疾控部門發佈本區域內確診病例的相對具體信息,包括病例的性別、年齡、住址、車輛乘坐歷史、位置蹤跡、人群接觸史等,但不能公佈其姓名、身份證號、電話、門牌號等能識別具體身份的數據。從目前疫情公佈狀況來看,各地疾控機構均很好踐行了最小數據原則。
數據安全原則。該原則要求承擔疫情信息收集、利用、公佈職能的機構要採取充分的管理措施和技術手段,來保證個人數據的保密性、安全性,相關個人要嚴守工作紀律、法律法規,嚴禁故意洩露個人數據。需要強調的是,受到安全原則約束的不但包括各級疾控機構和公職人員,還包括授權行使數據收集職能而掌握個人數據的部門、非國家工作人員,以及處於模糊地帶的數據控制者(如門崗安保人員等),也包括開發、運用疫情防控系列程序(如新冠肺炎確診患者同行程查詢工具)的企業和人員。傳染病防治法第12條規定,“疾病預防控制機構、醫療機構不得洩露涉及個人隱私的有關信息、資料”,第68條、第69條規定,“故意洩露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息、資料的機構或相關人員將受到紀律處分、行政處罰乃至依照刑法第253條之一以‘侵犯公民個人信息罪’予以刑事處罰”。上述法條便是數據安全原則的立法體現。
限期存儲原則。該原則要求基於疫情防控而收集的個人數據應有其自身固有的生命週期,其保存方式應當不長於為了實現疫情防控目的所必要的期限,除非為了實現公共利益、科學或歷史研究目的等例外情形。易言之,疫情退散後,對於被收集的個人數據,筆者建議應由疾控機構予以封存或匿名化,授權部門和組織儲存的個人數據,包括人工數據和電子數據均應上交政府有關部門或予以銷燬;相關企業應關注基於疫情防控目的而收集和衍生的個人信息留存時限,一旦衛生健康部門提出要求或疫情宣告結束,應及時刪除原始數據與相關分析成果,確有必要時,經網絡主管部門審批備案,以合法、安全方式保留必要記錄,從而杜絕數據洩露。
(作者單位:華東政法大學)
閱讀更多 濟寧市任城區檢察院 的文章
