年末新冠肺炎从武汉华南海鲜市场蔓延开来,迅速席卷全国,截至年2月16日,全国统计累计确诊人数人,死亡人数人[1]。此次新冠肺炎事件被我国认定为突发公共卫生事件[2]。截至年1月29日,广东、湖南、浙江、湖北等31个省级行*区先后启动特别重大突发公共卫生事件一级响应[3]。年1月31日,世界卫生组织宣布中国此次新冠肺炎疫情构成国际公共卫生紧急事件(PublicHealthEmergencyofInternationalConcern,PHEIC),发布最高级别警报[4]。
疫情当前,全国进入高度警戒防控状态,针对返乡人员的信息登记、行踪监控在全国各地铺展开来。然而,在全力防控疫情的同时,确诊患者、疑似患者甚至是疫情严重地区人员的个人数据也遭遇了前所未有的安全隐患。“密切接触者名单”[5]、“武汉返乡人员名单”[6]、“医院病例调查报告”[7]等信息在互联网中被肆意流传,涉及大量敏感信息,甚至被不法分子利用,实施诈骗、打击报复等违法犯罪行为,对当事人的财产和人身安全带来极大威胁,引发社会公众对于个人隐私的担忧。
个人数据的泄露源头可能涉及到公权力部门、医疗机构、学校或其他非营利组织、企业、自然人[8]。虽然目前没有企业泄露员工健康数据的案例,但是企业在复工复产过程中也会涉及到大量员工健康数据的排查、监测和上报,应当引起重视,切莫触碰个人数据保护的红线。即便在特殊时期,也应当合法、正当地使用个人数据,并对其采取充分的安全保障措施。
02中欧视角下的个人数据保护法律要求在探究个人数据安全保障与合理使用问题前,需要首先明晰相关个人数据的性质及法律要求。本部分将从中欧视角出发,分别探究中国和欧盟法律框架下突发公共卫生事件中个人数据的保护要求及其异同。
在此次突发公共卫生事件中,可能涉及到的个人数据类型有:姓名、性别、出生日期、民族、身份证号码、电话号码、户籍地市、具体家庭住址、出行方式、行踪轨迹、车牌号码、精准定位信息、健康状况(用于区别涉疫情与非涉疫情)、个人职业、通信详细记录(CallDetailRecords,简称CDR)[9]、诊疗信息(医院、确诊日期、诊断情况等)[10]。
(一)中国个人信息保护规定框架下的个人信息[11]保护要求
1、中国个人信息保护规则体系
《网络安全法》及其配套的法律法规和标准,构成了目前中国网络安全及个人信息保护合规的核心法律体系。从效力层级上看,我国个人信息保护规则体系由法律、行*法规、部门规章、地方性法规、国家标准搭建而成,既包括个人信息保护专门性法律文件,例如《儿童个人信息网络保护规定》《App违法违规收集使用个人信息行为认定方法》等,也包括综合法律文件中的个人信息保护条款,例如《民法总则》《刑法》《治安管理处罚法》《突发公共卫生事件应急条例》等。从法律规范内容上看,《网络安全法》规定同意是个人信息收集、使用的唯一合法依据这一基本原则[12],属于一般法;《传染病防治法》规定在传染病防治期间,在中华人民共和国领域内的一切单位和个人都必须如实提供信息[13],属于特别法。
2、个人信息定义和分类
在《网络安全法》中,个人信息,指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。除此之外,法律上并未对个人信息进行分级分类并区分不同保护等级。关于这方面问题可以参考国家标准GB/T《个人信息安全规范》。《个人信息安全规范》中提出了“个人敏感信息”概念,并匹配更高的保护等级。虽然国家标准没有强制约束力,但其核心思想深刻体现在部门规章、规范性文件中,被吸收成为执法依据,因此其本身也具备高借鉴意义。
在《个人信息安全规范》中,个人敏感信息,指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。其中,健康生理信息是指个人因生病医治等产生的相关记录。
根据以上定义,新冠肺炎疫情中涉及的个人数据中属于个人敏感信息范畴的有:身份证件号码、行踪轨迹、住宿信息、精准定位信息、健康状况(涉疫情)、14岁以下(含)儿童的个人信息。属于一般个人信息范畴的有:姓名、性别、出生日期、民族、电话号码、户籍地市、具体家庭住址、车牌号码、出行方式、健康状况(非涉疫情)、个人职业、通信详细记录。
但是,在疫情防控的特殊时期,受到当下社会的普遍恐慌情绪的驱动,可能会出现歧视性对待,甚至是过激报复行为,通过公开披露的姓名、电话号码、具体家庭地址、车牌号码,危害特定自然人的人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇。虽然这类个人信息类别不属于个人敏感信息的常规分类,但在特定场景下,如果符合可能导致严重后果的条件,则应当将其作为个人敏感信息进行“升格”[14]保护,正如在当下防疫期间,应当提升此类信息的安全保护水平,将其作为特定场景下的个人敏感信息进行保护。
3、个人信息保护要求及其限制
《网络安全法》原则上规定收集、使用个人信息的唯一合法依据是同意,且并未规定同意的例外情形。但是在传染病防治这一特殊场景下,《传染病防治法》专门规定传染病防治期间,在中华人民共和国领域内的一切单位和个人都必须如实提供信息。根据特殊法优于一般法原则,在传染病防止期间收集使用个人信息,应当遵守特别法规定,即无需取得被收集者的同意,任何单位和个人都有义务如实提供与防疫相关的信息。做出类似规定的还有《突发公共卫生事件应急条例》[15]。
中央网信办于年2月4日发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》),对于突破同意原则进行信息收集的主体进行了限定,即仅限于国务院卫生健康部门授权机构,除此之外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。此外,该《通知》还进一步规定疫情防控时期个人信息收集使用应当遵守最小必要原则、目的限制原则、确保安全原则。
《刑法》[16]《治安管理处罚法》[17]等文件对侵犯个人信息的法律后果做出规定。构成违反治安管理行为的,由公安机关依法予以处罚;构成犯罪的,依法追究刑事责任。
(二)欧盟《通用数据保护条例》框架下的个人数据保护要求
1、个人数据定义和分类
根据《通用数据保护条例》(GeneralDataProtectionRegulation,以下简称GDPR),个人数据是指已识别到的或可被识别的自然人的所有数据。可被识别的自然人是指其能够直接或间接通过识别要素得以识别的自然人,尤其是通过姓名、身份证号码、定位数据、在线身份等识别数据,或者通过该自然人的物理、生理、遗传、心理、经济、文化或社会身份的一项或多项要素予以识别[18]。
GDPR在个人数据中划定出特殊类型个人数据的范畴,并给予更高的保护水平。GDPR中的特殊类型个人数据旨在保护性质上与基本权利和自由相关的极其敏感的个人数据[19]。立法初时该数据类型的选择深受反歧视法的影响,因此并没有包含身份证号码等数据类型。在GDPR中,特殊类型个人数据,指揭露出特定自然人种族、民族、*治观点、宗教和哲学信仰,或工会成员身份的数据;GDPR严禁出于识别特定个人的目的处理基因数据、生物识别数据、与健康相关的数据,或与自然人性取向或性生活有关的数据[20]。
其中,“有关健康的个人数据”是指与自然人的身心健康有关的个人数据,包括提供医疗保健服务,以揭示有关其健康状况的数据。其覆盖范围较广,不仅涵盖了医疗状况、测试或治疗的具体细节,而且还包括任何“揭示某人健康状况的相关数据”,例如体格检查数据、测试结果、医疗设备数据或健身追踪器数据[21]。揭示有关其健康状况的数据,指这类数据本身不直接显示健康状况,但是能够通过合理推测将相关数据关联到健康状况数据类型中,并以一定方式影响个人数据的处理活动。根据GDPR的规定,这类数据也属于特殊类型个人数据[22]。
因此,在GDPR规制下,除了健康状况、诊疗信息、民族信息等本身就属于特殊类型个人数据以外,通过合理推论,身份证号码、电话号码、户籍地市、具体家庭住址、行踪轨迹、车牌号码、精准定位信息等出于疫情隔离目的进行处理的数据,也有可能被定义为有关健康的特殊类型个人数据。
2、个人数据保护要求及其限制
对于公共卫生应急事件的处理,欧洲议会和欧盟理事会关于严重跨境健康威胁的决定(简称欧盟No./号决定)的第16条将接触追踪[23]中涉及个人数据的方面,纳入了欧盟的个人数据保护框架[24]。也就是说,有关于严重跨境健康威胁的相关决定规定的早期预警和响应机制、接触追踪等疫情防控相关的个人数据处理活动落入GDPR管辖范围。
GDPR首先在序言中明确公共卫生构成重大公共利益,同时传染病的监测构成重大生命利益。GDPR第6条规定,当数据处理是为保护数据主体或另一自然人的重大利益所必需的,或为执行公共利益领域的任务所必需的,该数据处理合法[25]。GDPR第9条明确禁止处理健康数据,但在第9条第2款(c)(i)项规定了为实现公共卫生领域公共利益目的之处理例外:(1)数据处理为保护数据主体或另一自然人的重大利益所必需,且数据主体在物理上或法律上无法给予相关同意;(2)为实现公共卫生领域的公共利益,如抗击严重的跨境卫生威胁,确保卫生保健、医疗产品、医疗设备的质量和安全的高标准而必要进行的数据处理行为,基于此处理个人数据,欧盟和成员国法律需规定了适当且具体的措施以保障数据主体的基本权利和利益,特别是采取专业的保密措施。从而允许了为预防和控制传染病处理特殊类型个人数据[26]。
此外,GDPR还明确了为维护公共卫生领域的公共利益,允许欧盟或成员国通过立法对数据主体权利、数据保护基本原则等加以限制。
(三)中欧关于突发公共事件中的个人数据合规对比分析
中国个人信息保护规定与欧盟GDPR相似之处在于,二者希望实现的目标具有一致性,主要体现在两个方面,其一是,将与健康相关的个人数据从一般性个人数据概念中剥离出来,给予更高的保护力度;其二是,在突发公共卫生事件下,为追求更高的法益,个人信息的收集、使用都能够通过某种路径突破同意规则的束缚。
中国个人信息保护规定与欧盟GDPR不同之处在于,二者采用不同路径达到追求的目标,并且在范围和力度方面体现出差异性,主要体现在以下三个方面。
第一,关于个人数据的性质差异。首先,中国个人信息保护规定与欧盟GDPR对于与健康相关的个人数据场景定义存在差异。中国法项下,健康生理信息是指个人因生病医治等产生的相关记录。欧盟GDPR范围更为宽泛,本身场景定义就涵盖了医疗状况、测试或治疗的具体细节,而且还包括健身追踪器数据等任何揭示某人健康状况的相关数据。其次,二者对于个人敏感信息或特殊类型数据的延展认定标准存在差异。中国法项下,并没有出具关于个人敏感信息概念延伸认定的指导性文件,这一块存有空白,仅仅规定个人敏感信息的认定标准在于是否可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等影响。欧盟GDPR背景下,英国数据保护监管机构ICO已提出特殊类型个人数据延伸的认定方法,即通过合理推测将相关数据关联到与健康状况数据类型中,并以一定方式影响对个人数据的处理活动的数据类型。
第二,突破同意原则的路径。中国法律并未明确规定个人信息同意原则的例外情形,仅仅在国家标准中有相关同意例外的规定,但无法成为有力的依据。中国法项下,适用特殊法优于一般法的原则,将个人信息上报义务作为特殊场景下的法律义务施加给责任主体,以此免除同意的负累。欧盟GDPR除数据主体的同意外,还设置了其他5项合法性基础,分别是履行合同、履行法定义务、为保护数据主体或其他自然人重大利益、为公共利益或履行公共职责以及为维护数据处理者或第三方正当利益。新冠肺炎疫情的防控涉及重大公共利益,可适用“为保护数据主体或其他自然人重大利益”、“为公共利益或履行公共职责”两项合法性基础[27]。为监控疫情及其传播目的,在紧急情况下必需进行的数据处理行为,构成GDPR下公共利益的重要依据和数据主体的切身利益的合法性基础。
第三,与公权力机构信息共享的方式。如上文提及,中国法项下,各责任主体负有信息上报的强制性义务,各单位和自然人不得隐瞒、谎报与疫情相关的信息,因此与公权力机构之间的信息共享和交互是基于法律的强制性要求。而在欧盟GDPR规定下,企业与*府部门之间可能存在数据控制者与数据处理者或者共同数据控制者的关系,需要通过签署数据处理协议,明确各自的责任范围。
03新冠肺炎防控下企业个人数据合理使用(一)企业负有信息收集和上报义务
在*中央、国务院和国资委有关疫情防控的决策部署以及各地区一级响应要求下,国务院卫生健康部门授权部分企业进行信息收集与报告,共同参与疫情防控。各地要求企业立即排查、统计企业内部人员节前后离程及返程情况,特别是来往重点地区员工动态信息,提高员工防范意识,做到相关信息动态更新,并及时向*府部门报告。
如前述分析,根据特别法优于一般法的原则,虽然《网络安全法》中将同意作为唯一合法依据,但是根据特别法《传染病防治法》和《突发公共卫生事件应急条例》,如果企业被赋予信息收集和报告义务,则有权在其管理范围内主动收集、登记和排查必要的员工个人信息,一旦发现感染情况立即向附近的疾病预防控制机构或者医疗机构报告相关情况,无需征求授权同意[28]。而此时相关人员也有义务配合调查。违反信息报告义务将承担法律后果。
同时,该情形也与《个人信息安全规范》中规定的“与公共安全、公共卫生、重大公共利益直接相关”或“法律法规规定的其他情形”两项授权同意的例外情形相符合。
此外,突发公共卫生事件防控下企业的报告义务,并非授权企业无限制地收集个人信息,而是仅允许企业收集与疫情防控相关的必要信息,并要求为收集的个人信息提供充分的安全保障。
(二)大数据的合理使用
在疫情防控的大前提下,首先要明确的是,对于个人信息的合法、合理使用并不会对个人造成危害,相反会有利于促进社会安定,利于疫情治理。中央网信办《通知》也鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持。下文将以互联网大数据分析及电信大数据分析为例,进一步阐述。
1、互联网大数据分析--去标识化/匿名化数据的合理使用
相较于17年前的SARS疫情防控,互联网及大数据的快速发展在本次疫情抗击中为传染源筛查、追踪、控制和隔离作出了巨大贡献。利用大数据技术梳理感染者的行踪轨迹,追踪人群接触史,锁定感染源及密切接触人群,能够为疫情防控提供宝贵信息。
大数据分析不针对个人,不需要识别特定自然人。其所利用的数据通常为去标识化数据/匿名化数据。所谓去标识化数据,是指通过对个人数据的技术处理,使其在不借助额外信息的情况下,无法识别特定数据主体的数据。即,将个人数据或字段经技术处理(如脱敏、加密、转换、假名、哈希函数等)后不可见或难以识别特定数据主体的数据或相关字段集。匿名化数据要求更为严格,通过去除个人数据中重要元素的技术措施,使其无法复原且无法识别到特定数据主体的数据。匿名化后的数据不可再直接或间接地识别特定自然人,因此经过匿名化处理后的数据不属于个人数据,如统计类、行业类、区间类、排名类、群体类、行为样本等分析类数据。
在对数据进行去标识化或匿名化技术处理的前提下可利用海量信息进行综合建模和分析。例如百度地图App利用用户地理位置数据及用户自愿上传的信息,分析出向社会公众提供的“全国春运人员迁徙热力图”,公开披露人口迁徙大数据。多家媒体利用百度地图提供的公开数据就武汉人口流向进行了专题报道。再如,个人及有关部门合作的利用网络公开信息生成“-nCoV新型肺炎确诊患者同行程查询工具”,让公众能够得知自己与确诊患者是否有过同乘经历。同乘查询工具利用的信息本就来自公开渠道,并且此公开渠道提供的信息也隐去了其中可识别到特定个人的字段,如姓名、身份证号码等。
综上所述,大数据及云计算运用的多是去标识化数据/匿名化数据,只要做到充分的去标识化/匿名化,基本上不存在个人数据违规风险或风险极低,可总体实现在遵守法律法规的前提下进行数据共享,为国际间、国内各省市间、企业和*府间围绕疫情提升整体防控能力、采取一体化防控措施提供支撑。
2、电信大数据分析--通信详细记录(CDR)的合理使用
电信大数据分析对疫情联防联控工作具有重要意义,在国外已有成熟的应用,例如在肯尼亚疟疾、墨西哥猪流感(H1N1)、几内亚埃博拉病*(Ebola)防疫工作中都进行了应用[29]。针对此次新冠肺炎,截至年1月25日18时,福建省通信管理局根据工业和信息化部要求,已组织省内三家基础电信企业运用大数据分析,加强对流动人员的疫情监测,收集统计上报相关信息18.6万条[30]。而对于疫情联防联控中的电信大数据的合理使用及隐私保护要求方面,国际行业协会早在年便已提出相关指引。
在移动通信中,电信运营商会生成CDR,用于记录通信活动进行计费。CDR,指在移动运营商网络中产生的语音呼叫或短信息的记录,包括拨打和接收方手机号码、设备标识符(例如IMEI号)、呼叫开始和结束的时间、通话时长以及低分辨率位置信息(所关联的手机基站信号塔的标识和座落经纬信息)[31]。CDR有助于呈现人员流动轨迹,协助进行防疫控疫。
年,全球移动通信系统协会(GlobalSystemforMobile