自2020年新冠疫情爆发以来,政府各相关部门与民间企业协同,借助大数据、云计算等信息处理技术快速分析和研判疫情,在疫情的控制方面取得了令人满意的效果。然而,随着疫情防控的常态化以及个人信息保护意识的增强,寻求疫情防控与个人信息保护之间的平衡,变得刻不容缓。
一、谁有权收集个人信息
在疫情防控期间,各个不同行政职能的机构和民间组织,如:街道办、社区、居委会、村委会、学校、物业公司等通过线上和线下的方式向公民收集个人信息,比如:这些机构的工作人员只需一通电话,就可以开始收集个人信息,又如:个人被要求在上述机构的网络页面中填报个人信息。在疫情防控的高压之下,个人往往别无选择,只能如实相告。这是否必要以及属于重复收集,本文暂不做讨论,但可以明确的是,法律、法规并未赋予这些机构和组织个人信息的收集权。依据《传染病防治法》第12条和《突发公共卫生事件应急条例》第30条的规定,对个人信息的收集主体也仅限定在疾控机构、医疗机构、国务院卫生行政主管部门或者其他有关部门指定的专业技术机构这几类机构,没有扩大至上述提及街道办以及社区等机构和组织。
在没有法律、法规、规章的规定下,这几类机构能否委托其他机构行使收集个人信息的权力?对于诸如行政处罚、行政许可等大权行政行为,法律要求有权机关委托时应当有法律、法规、规章的明确规定,否则不能委托。关于收集个人信息的权力,是否也应当作如此严格的要求。关于这个问题,2017年最高人民法院范凯案判决书【(2017)最高法行申2289号】对此做了更为详尽的论述,最高人民法院认为“行政权力可以委托,如果没有法律、法规的禁止性规定,也没有专业性方面的特殊要求,行政机关可以将某一事项的一部或全部委托给其他行政机关、下级行政机关乃至私人组织具体实施。涉及国家重大利益以及涉及公民重要权利的领域以外的具有给付、服务性质的行政行为,尤其是以协商协议方式实施的行为,更是如此。”
如此来看,根据疫情防控需要,委托其他机构收集个人信息或许可取,但应当严格依照法定的程序进行委托,并对此委托承担相应的法律责任。
二、收集个人信息的界限在哪
疫情期间,笔者曾接到社区工作人员的调查电话,询问的内容除姓名、身份证号、家庭住址、行程等与疫情防控有关的信息之外,还询问居住属性,是居家自住还是租住或投靠借住。除此之外,笔者还经历过前往异地出差时接到当地网格员的调查电话,网格员竟然询问此次行程的目的是出差还是旅游。上述信息明显与疫情防控目的毫无关系,属于个人隐私,不应在调查询问之列,可现实中诸如此类的“调查”却比比皆是。
无论是网信办在疫情爆发之初发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下称《通知》),还是《个人信息保护法》(以下称《个保法》),均明确收集疫情防控所必需的个人信息应坚持最小范围原则,该原则不仅针对收集对象,而且还针对收集内容。关于收集对象,原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对非重点人群。关于收集内容,也仅限于实现防控疫情目的的最小范围,必须直接指向疫情防控的目的,例如某人去某地具体做什么等与疫情防控目的无关的信息,明显不在收集之列。
三、如何保管已收集的个人信息
疫情防控期间,个人信息被收集已经成为常态,除扫码(跳转网页背后的主体通常是行政机构)进行线上登记之外,偶尔出入小区以及公共场所还需手动填写纸质登记表。据笔者经历,在进入某家饭店就餐时,店员要求笔者填写姓名、身份证号、电话和体温记录,登记表上填满了各个进店客人的个人信息,就摆在门口,来往的人都可以随意翻看,没有任何保管措施。
个人信息保护最关键的一环在于收集后的保管,如保管不善,信息遭到泄露,将严重损害个人信息权益。青岛市胶州中心医院因出现当地居民在医院就诊期间感染新冠肺炎而备受关注,随后一份出入这家医院的人员名单(涉及6000余人的姓名、住址、联系方式、身份证号码等个人身份信息)在微信群里被广泛转发,当地公安局经调查发现,系叶某在工作中将接到的随访人员名单信息转发至其所在公司微信群,随后被多次转发传播,造成名单在社会上被迅速转发传播,严重侵害了名单人员的个人信息权益。
对于收集后的个人信息应如何保管的问题,主要包括两个方面:
一方面是个人信息的使用范围,《通知》规定为疫情防控收集的个人信息,不得用于其他用途,《个保法》则规定处理信息应明示处理的范围,但均未对个人信息使用的具体范围予以列举。笔者认为,个人信息应控制在可实现疫情防控目的的范围内使用,禁止过度使用个人信息。
另一方面是个人信息保管的期限问题,根据《个保法》第十九条规定,个人信息保存期限应当为实现处理目的所必要的最短时间,由此可知,疫情结束以后,如不存在必要性,收集主体应当将收集的个人信息进行销毁。
结语
《个保法》对个人信息保护进行了全面系统的规定,很大程度上填补了我国法律在个人信息保护上的空白,但作为一部前沿性的法律,《个保法》所制定的个人信息保护和处理规则还有待进一步明确,在司法实践中应如何适用这些规则,尤其是发生诸如新冠疫情这类公共卫生事件时,如何兼顾疫情防控与个人信息保护的平衡,仍需深入研究。
本文首发于广东联建律师事务所 未经授权 不得转载。
责任编辑 | 郭海虎
版式 | 迪丽娜孜
特别声明:
以上所刊登的文章仅代表作者本人观点,亦不具有出具任何形式法律意见或建议的性质。
若您认为本文所采用的图片或文字有任何侵权之处,请及时联系本所工作人员。
