090
当代思潮
个人信息的概念及特点个人信息概念
关于个人信息概念,学界对此有三种观点,即隐私说、识别性说和关联说。其中最新出台的个人信息保护法中确定以识别性兼关联性,故本文中笔者也是立足识别性兼关联性对于个人信息的概念进行界定。该法规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息与个人隐私的关系
1.个人信息。首先,个人信息具有可识别性,其来源取决于信息主体,主要体现了个人的人格特点及精神价值,可以说具有了高度的识别性。即只要通过某项信息能够直接或间接地辨认出信息主体的身份,该信息就可能属于个人信息的范畴。其次个人信息具有社会性及公共性。个人信息保护的目的就是在确保个人信息安全系能够最大限度的去对个人信息进行开发及利用,继而实现个人信息的价值。故个人信息逐渐被视为一种社会资源被应用到民众生活的方方面,那么个人信息私人属性逐渐减弱,社会性和公共性就逐渐
凸显。个人信息这种特点也体现在了政府的社会服务及公共管理之中,使得政府对公民的基本情况有更完整的掌握。最后个人信息还具有私密性,个人信息里面不仅涵盖了个人财产相关内容,而且涵盖的人格权的内容,那么个人信息内容和个人密切相关,那么对于民众个体而言其有权利选择公开自己个人信息内容,也有权利选择不公开。那么个人信息具有了私密性,即个人信息在未经信息主体同意或者授权下,是不能被私下公开。大数据形态下的原生信息不具有“争用性”而有其特定条件下的“限用性”。大数据中未去身份处理的个人信息兼具人身与财产属性,因其人身属性而有一定的“限用性”。
2.个人信息与个人隐私的关系。个人隐私与个人信息呈交叉关系,即有的个人隐私属于个人信息,而有的个人隐私则不属于个人信息;有的个人信息特别是涉及个人私生活的敏感信息属于个人隐私,但也有一些个人信息因高度公开而不属于隐私。尽管民法典和最新谢月明
(暨南大学法学院 广东广州 510632)
摘 要:目前大数据在对我国此次应对疫情发挥极大益处,但因大数据对个人信息采集、利用、保存和共享等过程中出现对个人信息泄露、过渡使用等现实问题,这些问题的存在无疑影响到个人信息的保护。如何既能回应公众对公共卫生信息知情权的需要又能避免对个人信息的侵害是一个值得研究的问题。因而,本文通过对个人信息的内涵以及与隐私权和公众知情权的关系进行阐述后,对个人信息保护的域内外立法现状及当下对该个人信息利用情况进行具体分析,发现在疫情期间出现因不当公开个人信
息导致他人权益受到侵害的事件出现,因此,基于当前我国对个人信息保护与公开的程度,应规范个人信息的收集和使用如遵循个人信息保护的基本原则,同时相关部门无论是立法还是实施相关政策的时候,要平衡好的个人信息保护和公共利益,从而确保在个人信息公开同时个人信息也受到同等程度的保护。
关键词:个人信息;大数据;公共卫生安全;个人隐私;公共利益
作者简介:谢月明(1996-)女,汉族, 广西南宁人,暨南大学法学院法学硕士生,研究方向:国际经济法。
的个人信息保护法中将隐私权确立为一项独立的人格权,还对隐私和个人信息进行了区分,但司法实践中个人信息权独立性存疑,如援引111条的侵权纠纷中涉及的主要是“公开”个人信息的行为,且根据法院的裁判,侵犯个人信息或个人信息权都没有独立发生,而是往往伴随着对侵犯隐私权的认定。
隐私权与公众知情权的关系
信息公开是现代社会的一项法治要求。而公众知情权作为一项宪法权利,是指自然人、法人和其他社会组织依法享有的知悉、获取与法律赋予该主体的权利相关的各种信息的自由和权利。在对新型冠状病毒肺炎疫情进行防控过程中,每天都会公布累计病例、新增病例、疑似病例、治愈人数及死亡人数等疫情
信息。除此之外,很多地方还公布属于确诊病例个人信息,如曾经停留地点、行踪轨迹、是什么地方的人、发病前的居住地等。这些信息在一般情况下属于私密信息,属于隐私权保护的范畴,但出于突发卫生公共事件下则应当让位于公共利益或受合法克减。试想若信息公布不及时、不准确,只简单公布病例的数字,由于未满足公众知情的需要,会催生众不满政府情绪进而为不实信息甚至是谣言的出现、传播提供了机会和空间。因此这两种基本权利是相互平衡的关系,并非此消彼长,孰优孰劣,需要在特殊情形下合法考量。正如理查德·爱泼斯坦(Richard Epstein)在批评沃伦法官确立的隐私权概念时,雄辩地强调了这一点:“扩大权利范围而不造成不利的社会后果,这即使不是必然的,也总是很容易的”,但它从未停止考虑,当权利扩大时,相关的义务就会强加于他人。
疫情下我国对个人信息实际利用方式及存在的问题疫情下采用大数据对个人信息利用现状
在疫情期间,采用大数据及时互联联网用户个人信息进行采集、分析和共享并在最快时间段内定位潜在的传染源,采用该手段确实取得了比较好的效果。大数据技术通过追踪移动轨迹、建立个体关系图谱等,在精准定位疫情传播路径,防控疫情扩散方面的重要作用。从搜集的有关疫情期间个人信息获取和利用情况来看:
从搜集个人信息的途径来看,在疫情期间负责疫情防控的部
当代思潮
门调查来看,基本上获取防疫个人信息途径为:第一,地方教育部门统计的个人信息数据;第二,公安部门掌握的公告交通中所涵盖的个人信息动态数据;第三,政府安排村民委员会、街道办事处和社区基层工作人员上门排查获得的个人信息数据。从收集个人信息数据方式来看,教育、公安部门因其职能本身就容易掌握相关的个人信息,其他人员所掌握的个人信息数据主要是依靠主动收集方式获取。
从个人信息被披露的主体来看,目前我们从各地所发布的有关新冠病毒个人信息所披露的文件来看,基本披露的主体都是当地的防控工作各地的卫生行政部门来进行披露,具体的披露主体为新型冠状病毒肺炎疫情防控指挥部或组。但也存在各种防疫App和超市、药店、小区物业、公交地铁等主体违规收集个人信息的情况发生。
从个人信息被利用的情况来看,当前各地卫生行政部门在发布有关疫情个人信息的情况来看,对于个人信息公开的程度不同,特别是在脱敏处理存在不一致。我们可以发现(表1),有些地方政府在公布个人信息方面是经过脱敏处理,有些地方则未经过脱敏处理,存在对个人信息保护不足的情况,这样的话极容易导致个人信息被泄露或者而被滥用,继而被一些不法分子利用。如在2019年12月为防控疫情,武汉返乡人员身份信息被泄露事件。根据隐私护卫队调查发现,共有至少7000多名武汉返乡人员的信息遭到泄露,有受害者因此遭遇短信、电话骚扰,被骂“武汉毒人”,或因此被邻居要求公开全家信息。因此,在重大公共卫生事件发生后,如何利用个人信息而确保个人信息不被侵害成为当前学界和实务界极为关注的问题。
表1 疫情期间个人信息利用情况
地区信息类型
姓名
(脱敏化处理)
性别户籍年龄身份证号码家庭住址确诊日期发病症状
行踪轨迹
(发病前)
广州无无无无无无无无无无深圳无有有(经脱敏化处理)有无无有(经脱敏化处理)有有有珠海有有有(经脱敏化处理)有无无有(经脱敏化处理)有有有南宁有有有(经脱敏化处理)有无无有(经脱敏化处理)有有有(注:本文仅选取信息皆为各市的卫生健康委员会(局)所发布。)
我国法律对个人信息公开与保护分析
个人敏感信息时间法律主要内容
2017年《网络安全法》
《民法总则》
规范几乎将所有与医疗行为相关而产生的数据都定义为个人敏感数据,强调收集个人敏感信息时的明
示同意的同时,又将几个与医疗行业相关情况的条款列为征得授权同意的例外情况中,包括:(1)个人隐
私数据控制者是国家研究机构,出于社会利益对个人隐私数据进行统计和研究,但是在向外宣布研究
结果时,必须对个人隐私数据进行去标识化处理的;(2)与公共安全、公共卫生、重大公共利益直接相关
的;(3)为了维护他人生命财产合法权益但又很难得到信息主体本人同意的。
2020年1.《关于做好个人信息保
护利用大数据支撑联防
联控工作的通知》《以下
简称《通知》)
2.《安全规范》
1.明确为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同
意,不得公开姓名、年龄、身份证号码等个人信息。
《安全规范》借鉴了《民法典》、《管理办法》、《个人信息安全规范》中的“处理”、“网络数据”、“数
据安全负责人”、“重要数据”、“个人信息”、“个人敏感信息”等概念,增强了《安全规范》的合规兼容
性。细化了《通知》等关于突发公共卫生事件个人信息保护的合规要求,具体包括:
(1)《安全规范》首次明确,为应对突发公共卫生事件,有且仅有卫健委或者省级政府有关部门指定
的机构,在获得个人信息主体同意或经全国突发公共卫生事件应急指挥部或者卫健委同意的,或者符
合其他法律规定的,在符合最小化原则的基础上,有权直接收集相关个人信息,或者从关键信息基础
设施运营单位(例如电信运营商)间接收集已经收集的个人信息。
(2)《安全规范》还明确,在疫情防控的验证码等场景使用以人脸识别作为身份验证方式时,原则上
应提供其他身份验证方式供用户选择。此外,利用人脸识别信息进行身份验证的,参照《生物特征识
别信息的保护要求(征求意见稿)》等要求,原则上不留存可提取人脸识别信息的原始图像。
(3)就社会普遍关心的个人信息使用限制及留存期限问题,《安全规范》明确,相关机构不得利用已掌
握的个人信息或者提供信息服务的便利条件谋取商业利益,包括进行市场营销、定向推送广告等。且
突发公共卫生事件应对工作结束后,相关机构应停止收集、调用个人信息,并在60天内或者卫健委规
定的时限内删除已收集、调用的个人信息。
091
当代思潮
从上述规范的解读来看,我国虽然对针对医疗信息及个人健康隐私保护做了相关规定,但对于医疗信息敏感部分并未作出统一的规范,对于相关信息的去标识化及去标识化效果也没有定量的标准去评估。有关个人信息保护的条例更多都是来自各个行业相关行业规范,这样的现状使得因各种法律法规因保护法益和行业的不同使得条文之间出现冲突,进而对个人信息的保护力度也随之不同。
域外法律对个人信息的公开与保护分析
因大数据技术不断应用,国内外都比较重视运用法律手段去规范大数据技术的运用。从国外来看,美国和欧盟是最早对个人信息保护进行立法的,具体为:
1.美国
美国对于个人健康信息保护采用的控制理论,强调访问限制,并针对传染病患者专门制定了《健康保险携带与责任法案》(简称HIPAA)。该法案规制对象涵盖了适用实体和商业伙伴。适用实体包括健康计划,健康服务数据交易中心,健康服务提供者。美国利用公共卫生信息联络系统,使住院患者病例等信息达到实时共享。但多家美国媒体报道称美国总统特朗普在美国政府关于新冠病毒疫情的记者会上,不仅任命其副手彭斯来负责应对新冠病毒疫情的工作,还要求美国一切官方渠道的疫情信息,必须通过这位美国副总统之手才能发布。并且《国会山报》指出,美国疾控中心、卫生部官员多次发布互相矛盾的信息,使人们无法获知真实疫情。而发布并整理各州疫情数据的却是由霍普金斯大学进行。
另一方面在有关个人健康信息使用和披露上,HIPAA确定隐私隐私规则的目的不在于禁止,在于明确和限制使用个人健康信息的情形。原则上适用实体不可以使用和披露受保护个人健康信息,但存在例外情形:一是隐私规则允许或者要求;二是信息主体书面授权。在维护社会公益或个人重要利益的某些情形下,适用实体也可以使用和披露受保护健康信息,例如其他法律规定的情形;为了公共健康值得注意的
是,4月23日,美国国防部检察长办公室发布了《在COVID-19大流行期间保护病人健康信息的特别报告》,该《报告》认为,随着COVID-19冠状病毒的大流行,医疗机构在日常管理和患者护理中对病人相关健康信息的需求日益增长,因而将会面临更加严峻的网络安全威胁和信息泄露风险。因此,医疗机构的管理者应当设法确保他们能够识别并减轻这些网络安全威胁和恶意行为。
《报告》同时介绍了多项系统性缺陷和网络漏洞,包括可能利用系统漏洞的外部威胁和可能损害网络安全性的内部威胁,并详细分析了八类可供参考的网络安全最佳实践,为医疗保健提供商、首席信息官和网络管理员应当采取何种安全措施提供建议。
2、欧盟
欧盟对于医疗卫生领域的个人信息处理行为的立法在全世界范围内可谓是最完备的。欧盟理事会通过的《关于各成员国保护医疗数据的第R(97)5号建议书》从基本原则、处理条件、本人权利以及处理义务等各方面做了全面的规定。在基本原则方面根据该建议书对个人信息的收集和处理过程必须保证对个人的权利的基本自由的尊重--尤其对隐私权的尊重;处理行为应当公开,合法并只能处于特定目的;此外,只有在符合成员国依法所提供的适当安全措施的情况下才能对个人信息进行收集和处理。该意见书对医疗机构等主体处理患者个人信息的条件做了严格的限制。即一般而言,个人信息应在患者本人许可的情况下才能够被处理;例外的在以下情形中个人信息得以被强制收集与处理:出于公共健康的目的,预防
现实危险或制止特定的犯罪行为,出于与个人信息本人或遗传系谱中的某亲属相关的预防性医学目的或诊断余目的,为维护个人信息本人与第三人的重大利益,为了履行具体的契约义务,为了确立、行使或支持某一法律请求,或处于一个或更多目的,个人信息本人或其法定代理人或法律法规定的权力机构、个人或组织的同意,且在此范围内国内法并未有其他规定。在一般情况下只有卫生保健专业人员或以其名义工作的个人或组织才可以对个人信息进行收集和处理。
同时,欧盟很多国家都建立了个人信息处理的许可或登记制度,经过许可才可以进行信息的收集。欧盟设立了独立的个人信息保护执法机制,专设有信息专员对有关的个人信息保护事项做专门处理。欧盟确立了相应的法律责任追究与法律救济渠道,在欧盟,作为强势体的行政机关与其他私有主体一样受到法律监管,欧盟设立的独立信息保护机构可对政府机关的个人信息泄露行为采取法律制裁,兼具私有主体。
美国和欧盟关于个人隐私保护方面都拥有相应的立法,这些法案的侧重点不完全相同,尤其是美国的HIPAA,它是一个专门针对医疗信息与个人隐私的法案,将信息安全保护与医疗健康领域紧密结合,具体规范了敏感信息的保护要求和标准。中国目前没有专门针对医疗信息及个人健康隐私保护的法规、标准。对医疗信息中的敏感部分没有统一的界定标准,对于相关信息的去标识化及其效果也没有定量的标准去评估。因此,对各个国家的相关法案进行一个整体性的研究,会对我国未来相关标准的制定给予一定的启示和帮助。
疫情下个人信息保护缺陷及建议
个人信息法律保护存在的法律问题
1.个人信息收集、利用不规范。不仅部分基层单位、医疗机构及医务人员、社会公众存在违法违规收集使用,甚至在防疫期间使用的信息收集网络应用程序,包括App、小程序和一些在线网页工具都级有可能通过网络公开披露疑似或确诊患者个人信息(如姓名、照片、社交媒体账号、家庭成员、详细住址、行踪轨迹等)的行为,不仅为侵犯相关人员的隐私权及个人信息利益,同时也属于典型违法违规的行为。这些都充分暴露出对个人信息收集到利用过程的主体、方式、手段规范性不足,导致在信息安全性缺乏有效保障,使得个人信息难以得到有效的保护。
2.公共利益与个人信息保护冲突问题。个人健康医疗信息不仅涉及个人层面,而且也涉及到他人的利益和公共利益。公共利益与患者医疗信息的保护在有些情况下可能会发生冲突。当患者的医疗信息与社会公众健康、安全息息相关时,若坚持对患者医疗信息的隐私性进行保护,则可能对公众的健康、生命安全及社会正常秩序造成损害;若站在公共利益的角度,对公众的知情权进行保护,则需要在保护患者医疗信息及隐私权问题上,患者可以作出一定的牺牲。在当前疫情背景下,我国相关法律中并未明确规定何为可能侵害公共利益的界限。在大数据下背景下,患者信息又极易获取,特别是在当前疫情下为了较好预防追踪患者情况,地方卫生部门取得可识别患者身份的医疗信息是履行职责所需,那么过度收集、滥用患者健康信息的问题则不可避免即仍是公共利益和个人信息保护之间的冲突。
对我国个人信息保护与公开的建议
规范个人信息收集、利用
092
当代思潮
疫情期间个人信息关乎公共卫生安全,因而需对个人信息进行公开,保障公民享有和里的信息知情权。但个人信息收集、利用要边界,不可过于减损个人信息权,应遵循现有的规则规范的个人信息收集、利用,具体如下:
首先,依据《中华人民共和国传染病防治法》第38条的规定,疫情信息公布的法定机关是国务院卫生行政部门和省一级人民政府的卫生行政部门。因此,只有国务院卫生行政部门和省一级人民政府的卫生行政部门可以公布疫情信息,其他单位和个人不得超越权限擅自公布,也不能超出公布疫情信息的范围添附其它内容进行传播。如果擅自公布或传播的内容涉及到个人信息的,则属于违反相关法律的行为,将会承担法律责任。
其次收集方式上要坚持“合法、正当和必要”的原则,公开透明和比例原则。在收集个人信息的时候,要保证个人的知情权。同时要注意方式和手段的合法性,要按照相应的程序去收集个人信息,安全保管所
收集到个人信息。同时为了避免泄露个人信息,可以对信息收集主体上进行一定的限制,坚持最少原则,确保信息收集针对重大公共事件需要。
平衡个人信息保护与公共利益冲突
1.明晰个人信息公开豁免事由。法律法规中应明确患者医疗信息披露、使用的情形。最新的个保法中将新闻报道、舆论监督作为数据处理法律基础导致公共利益的定义过于狭隘。因此我国可参考美国HIPAA法案具体条文中规定医疗机构或行政卫生机构在何种情形下可以使用或揭露患者个人的医疗信息。这样能使对于个人医疗信息的使用、披露有法可依。特别是卫生行政机关对于个人医疗信息的利用,确定的标准、情形可以使公共利益的轮廓相对清晰,在司法实践中帮助法官更为准确地平衡个人医疗信息保护与公共利益的冲突。此外,注重对于个人医疗信息的去识别化加工,也是协调冲突的助剂。
2.收集个人信息时加强隐私技术的应用。相关主体在收集使用存储个人信息中可引入隐私增强技术”(PETS),以应对与新的信息和通信技术相关的隐私挑战。PETS和可用的工具最初侧重于身份保护和技术手段,以在不损失系统功能的情况下最大限度地减少数据收集和处理,但随时间的推移,PETS和可用的工具的范围已经扩大,包括加密工具、隐私保护分析技术、数据管理工具和其他覆盖个人数据整个生命周期的技术。
参考文献
[1]梅夏英,刘明.大数据时代下的个人信息范围界定[J].社会治理法治前沿年刊,2020.
[2]高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018,40(03):84-101.
[3]胡朝阳.大数据背景下个人信息处理行为的法律规制—以个人信息处理行为的双重外部性为分析视角报[J].社会科学版,2020(1)
[4]李倩.论《民法总则》第111条个人信息保护的法益立场[J]重庆邮电大学学报201931(1)
[5]SeeSubhajitBasu,PrivacyProtection:ATaleofTwoCulture,Masar ykUniversityjournaloflawandTechnology,Vol,6(2012),p9.
[6]邢小云.美国医疗信息隐私保护立法介绍与启示[J].护理学杂志,2007(10):72-74.
[7]PRIVACY&DATASECURJTYUPDATE(Jan2017)Http:// v/f iles/docunents/reports/privacy-data-security-update-2016/privacy_and_data_securityupdate_2016_web.pdf(lastedv isitedatMar,20,2020).
[8]何治乐,黄道丽.欧盟《一般数据保护条例》的出台背景及影响[J].信息安全与通信保密.2014,(10):72-75
[9]McGrawD.BuidingpublicTrestinUsesofHealthInsurancePortab ilityandAccountabilityActDc-identifiedData[J].JournaloftheAmerican MedicalInformaticsAssociation,2013,20(1):29-34.
[10]Recoding Privacy Law: Reflections on the Future Relationship Among Law, T echnology, and Privacy,By Urs Gasser Dec 9, 2016 Vol. 130, No. 2
[11]李仪,张娟.大数据下私有信息法律保护制度研究[M]吉林大学出版社,2019,173-174
[12]王乐子,母健康,朱翀,王思圆,弓孟春.国外医疗信息化领域隐私数据保护现状及其启示[J].医学信息学杂志,2019,40(02):40-46.
[13]徐美.再谈个人信息保护路径——以《民法总则》第111条为出发点[J].中国政法大学学报,2018(05):82-95+207.
[14]何渊.数据法学[M].北京大学出版社,2020年7月,233.
[15]滕长利.医疗大数据信息采集权与患者隐私权的冲突研究[J].卫生经济研究,2019,36(05):21-23.
[16]陈晨,李思頔.个人信息的司法救济——以1383份“App越界索权”裁判文书为分析样本[J].财经法学,2018(06):102-113.
[17]田野,张晨辉.论敏感个人信息的法律保护[J].河南社会科学,2019,27(07):43-49.
注释
[1]梅夏英,刘明.大数据时代下的个人信息范围界定[J].社会治理法治前沿年刊,2020.
[2]高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018,40(03):84-101.
[3]胡朝阳.大数据背景下个人信息处理行为的法律规制—以个人信息处理行为的双重外部性为分析视角报[J].社会科学版,2020(1):131-145.Doi:10.11835/j.issn.1008-5831.fx.2019.06.001.
[4]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J]中国法学,2015(03)38-59
[5]李倩.论《民法总则》第111条个人信息保护的法益立场[J]重庆邮电大学学报201931(1)
[6]隐私护卫队.收集疫情相关人员信息需其同意吗?专家建议在个人信息保护法中列为例外[OB/OL]网络空间治理思与行(),2020.2.7
[7]SeeSubhajitBasu,PrivacyProtection:ATaleofTwoCulture,Masar ykUniversityjournaloflawandTechnology,Vol,6(2012),p9.
[8]See45C.F.R.160.512(2019)
[9]McGrawD.BuidingpublicTrestinUsesofHealthInsurancePortab ilityandAccountabilityActDc-identifiedData[J].JournaloftheAmerican MedicalInformaticsAssociation,2013,20(1):29-34.
[10]王乐子,母健康,朱翀,王思圆,弓孟春.国外医疗信息化领域隐私数据保护现状及其启示[J].医学信息学杂志,2019,40(02):40-46.
[11]何渊.数据法学[M].北京大学出版社,2020年7月,233.
[12]滕长利.医疗大数据信息采集权与患者隐私权的冲突研究[J].卫生经济研究,2019,36(05):21-23.
[13].Recoding Pr ivacy Law: Ref lections on the Fut ure Relationship Among Law, Technology, and Privacy,By Urs Gasser Dec 9, 2016 Vol. 130, No. 2
093
发布评论