市级法学会:   西安   宝鸡   咸阳   铜川   渭南   延安   榆林   汉中   安康   商洛   杨凌   韩城
    2020年4月4日    星期六
 当前位置:首页 > 法学研究
 法学研究 | 成果转化

新型冠状病毒感染肺炎疫情防控中个人信息的法律保护

 

  【摘要】为开展新型冠状病毒感染肺炎疫情防控工作,省市县各级政府部门、事业单位、企业、居民委员会、村民委员会以及其他各单位,各高校、中小学、幼儿园甚至小区物业、饭店、超市等单位,都收集了大量的个人信息。2月4日,中央网信办下发了《关于做好个人信息保护利用大数据支撑防控工作工作的通知》,要求各地方各部门在新型冠状病毒感染肺炎疫情防控工作中,高度重视个人信息保护工作。本文以《个人信息安全规范》为标准,对新型冠状病毒感染肺炎疫情防控中个人信息收集、使用、保存等行为进行分析,明确个人信息控制者的信息管理责任,以期实现疫情防控中个人信息的法律保护。

 

  一、个人信息的范围

 

  《个人信息安全规范》(B/T 35273-2017)由中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会发布,201851实施,其性质为个人信息安全规范的国家标准,对于个人信息的收集、使用、保存等相关事项均应以此为标准进行规范和管理。

 

  按照《个人信息安全规范》的规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式,通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。对于个人信息的判定,主要是通过识别性和关联性进行判断。

 

                《个人信息安全规范》附录A-A.1个人信息举例

 

QQ图片20200224173510.png

QQ图片20200224173518.png

QQ图片20200224173915.pngQQ图片20200224174251.pngQQ图片20200224173538.png

  二、个人信息收集使用的授权同意

 

  1、个人信息收集使用的授权同意及例外

 

  按照《个人信息安全规范》的规定,个人信息主体是个人信息所标识的自然人,个人信息控制者是指有权决定个人信息处理目的、方式等的组织或个人。

 

  收集个人信息时,目前学界主要的观点和《个人信息安全规范》的规定都是要取得个人信息主体的授权同意。在直接收集个人信息时,应向个人信息主体告知收集、使用个人信息的目的、方式和范围,并获得个人信息主体的授权同意;间接获取个人信息时应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认

 

  《个人信息安全规范》同样规定了征得授权同意的例外,在与公共安全、公共卫生、重大公共利益直接相关的情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意。

 

  2、新冠病毒感染肺炎疫情中个人信息收集使用的授权同意

 

  为做好新型冠状病毒感染肺炎疫情防控工作,省市县各级政府部门、事业单位、企业、居民委员会、村民委员会以及其他各单位,各高校、中小学、幼儿园甚至小区物业、饭店、超市等单位,都收集了大量的个人信息。上述各单位均是新型冠状病毒感染肺炎疫情的个人信息的收集主体,属于《个人信息安全规范》规定的个人信息控制者。

 

  按照《中华人民共和国网络安全法》、《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》及相关法律法规的规定,负责疫情信息的收集和报告的政府卫生行政主管部门和其他有关部门、医疗卫生机构及其他单位,为本次疫情的防控工作收集使用个人信息的,无需征得个人信息主体的授权同意。除此之外的其他单位和个人,收集使用个人信息的,均应取得个人信息主体的授权同意。另外,收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。

 

  中央网信办《关于做好个人信息保护利用大数据支撑防控工作工作的通知》中高度重视个人信息保护工作。各单位对于收集使用个人信息的,应按照高标准严要求,以个人信息收集使用的授权同意为原则和前提条件收集使用个人信息。在收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则(如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等),并获得个人信息主体的授权同意。

 

  间接获取个人信息时应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;同时应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。如超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。

 

  三、新型冠状病毒感染肺炎疫情中个人信息收集的最小化

 

  新型冠状病毒感染肺炎疫情中个人信息的收集,应以防控工作为目的,以个人信息收集的最小化为目标,坚持最小范围原则,包括收集对象的最小范围和收集信息的最小范围。

 

  对于确诊者、疑似者、密切接触者等重点人群,收集的信息应限于个人基本资料、个人身份信息、个人健康生理信息、个人位置信息等与疫情防控工作相关的个人信息类别,其他与疫情防控工作无关的其他类别个人信息不应收集。收集信息的类别中仍应按照最小范围原则,选择上述类别中与疫情防控工作相关的部分个人信息进行收集,其他无关的个人信息不得收集。

 

  对于非重点人群,原则上不应收集个人信息。如因疫情防控工作必须收集信息的,收集信息的范围也应大大小于重点人群,应仅限于个人基本资料、个人身份信息、个人位置信息等个人信息类别中与等与疫情防控工作相关的部分个人信息。

 

  四、新型冠状病毒感染肺炎疫情防控中个人信息的使用

 

  各单位为疫情防控工作收集的个人信息,仅可用于疫情防控工作,不得用于其他用途,不得对外公开。具体使用方式应限于以下几种:(1)为本单位疫情防控工作使用;(2)提供给政府卫生行政主管部门和其他有关部门、医疗卫生机构及其他单位用于疫情防控工作;(3)其他因疫情防控工作需要使用的。

 

  政府卫生行政主管部门和其他有关部门、医疗卫生机构及其他单位如因疫情防控工作需要公开信息的,也不得公开个人的姓名、年龄、身份证号码、电话号码、家庭住址等个人信息。同时应将个人信息经过脱敏处理,使得公开的信息不具有识别性和关联性,不会通过公开的信息识别和关联到本人。

 

  五、新型冠状病毒感染肺炎疫情防控中的个人信息管理要求

 

  对于个人信息的管理,学界的主要观点和实践中的做法都是“谁收集,谁负责;谁保管,谁负责”。新型冠状病毒感染肺炎疫情防控中各单位收集的个人信息,应由各单位按照上述原则进行管理。

 

  为疫情防控工作收集的个人信息的各单位,应明确责任部门与人员,具体要求如下:(1)应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力,财力物力保障等;(2)应任命个人信息保护负责人和个人信息保护工作机构,具体职责包括:全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任制定、签发、实施、定期更新隐私政策和相关规程应建立、维护和更新组织所持有的个人信息清单 (包括个人信息的类型、数量、来源、接收方等)和授权访问策略开展个人信息安全影响评估组织开展个人信息安全培训在产品或服务上线发布前进行检测,避免未知的个人洁息收集、使用、共享等处理行为,进行安全审计。

 

  各单位应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失。对个人信息控制者的要求包括:(1)应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查;(2)应明确内部涉及个人信息处理不同岗位的安全职责,以及发生安全事件的处罚机制;(3)应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务;4)应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督;5)应定期(至少每年一次)或在隐私政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握隐私政策和相关规程。

 

  各单位为疫情防控工作收集的个人信息的保存时间,应以保存时间最小化为原则,疫情防控工作结束后,立即对个人信息进行删除或匿名化处理。

 

  六、侵犯公民个人信息刑事案件的刑事责任

 

  我国刑法第二百五十三条之一规定了侵犯公民个人信息罪,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)对非法获取、出售或者提供公民个人信息的行为做出了具体的规定。疫情防控工作中,各单位在个人信息收集使用中,如有非法获取、出售或者提供公民个人信息的行为,则可能构成犯罪并承担刑事责任。

 

  (本文作者系省法学会人工智能与大数据法学研究会会长、西北工业大学教授张敏。