初审编辑:
责任编辑:刘仕超
前言
为做好新冠肺炎疫情联防联控中的个人信息保护,根据近期出台的相关法规及规范性文件,滨州市律师协会疫情防控与个人信息保护法律服务团队整理编写了本指引,为疫情期间公民及企业的个人信息保护工作提供参考。
目录
一、个人信息
(一)“个人信息”的范围
(二)疫情防控中个人信息可能面临的风险
二、个人信息如何保护
(一)公民如何保护个人信息
(二)企业如何加强个人信息安全管理
三、相关法律规定
(一)刑事责任
(二)行政责任
(三)民事责任
一、个人信息
(一)“个人信息”的范围
我国尚未制定专门的个人信息保护法律,《个人信息保护法》在2019年3月被纳入十三届全国人大常委会的立法规划,有望在2020年颁行实施。根据2017年公布生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,「个人信息」是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。从该定义可知,判断某条信息是否包含公民个人信息,关键在于其是否足以指向了某名特定的自然人。
(二)疫情防控中个人信息可能面临的风险
(1)信息收集主体不具有收集权限。在我国以《中华人民共和国网络安全法》为主要法律,辅以《个人信息安全规范》等国家标准的个人信息保护规则体系下,对个人信息的收集、使用和共享需依据于个人信息主体的授权同意。法律、行政法规另有规定的,按其规定执行。对于社区居委会、村委会等群众自治组织来说,如果本地的《应急预案》中未作出规定,则其无权收集个人信息。至于物业公司等民事主体,其当然不具有收集个人信息的权限。
(2)个人信息收集范围。收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。
(3)不当使用收集的个人信息。为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。
(4)个人信息泄露风险。即疫情期间或疫情解除后,大量敏感个人信息数据可能得不到妥善的后续处理,进而引发泄露的风险。个人信息泄露至少会导致两方面的危害:一方面会对公民个人及其家庭造成一定影响,还会在一定程度上引发社会公众恐慌;另一方面,这些极为详尽个人信息有可能被不法分子利用,实施诈骗等违法犯罪。如当前常见的以提供防疫用品、出售防疫新药、协助提供住医院床位、火车、飞机等退改签、旅行团、酒店等退费等为由进行诈骗的活动,在获取特定人群的个人信息后,犯罪分子极易得手。收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。
二、 个人信息如何保护
(一)公民如何保护个人信息
1.公民应当提高防范意识,不随意填写个人信息。
首先,在不同的法律关系下,基于不同的特定目的,法律所规定的有权收集公民个人信息的主体也不相同,在被要求提供个人信息时,我们有权对收集信息主体的适格性进行审查,仅向获得法律明确授权或其他有权收集主体授权的主体提供个人信息;其次,《信息安全技术个人信息安全规范》以及《消费者权益保护法》《网络安全法》等均规定了收集个人信息应当坚持合法、正当、必要原则,对于超出为实现特定目的所必需范围以外的信息我们有权提出异议或拒绝提供。
2.提高意识正当合法传播信息
公民当发现自己所看到的信息涉及他人个人信息时,不能径直转发。首先,善意提醒发送者撤回重新发送仅属于交流事项所必要的信息;在需传播、转发的信息中涉及他人个人信息时,应当按照必要性原则,采取匿名化、去标识化的转发方式,以免造成侵权;确需提供他人个人信息的(尤其涉及众多人员个人信息的名单、表格时)需征得本人同意,合理选择传播方式,如仅需纸质文件即可的便不发送电子资料。
3.在防疫期间信息被泄露该怎么办?
任何组织和个人发现违规违法收集、使用、公开个人信息的行为,可以及时向网信、公安部门举报。网信部门要依据《中华人民共和国网络安全法》和相关规定,及时处置违规违法收集、使用、公开个人信息的行为,以及造成个人信息大量泄露的事件;涉及犯罪的公安机关要依法严厉打击。公民发现他人未经本人同意传播个人信息的,可向相关侵权人要求停止侵权并删图删帖,及时固定证据,如QQ、微信等即时通讯工具聊天记录、论坛、贴吧、电子邮件、手机短信记录等电子数据,同时向“中国互联网违法和不良信息举报中心”举报。若是App非法收集、公开披露个人信息还可以通过“App个人信息举报”微信公众号进行举报。如果已造成恶劣传播,严重影响,也可直接向派出所报警。
(二)企业如何加强个人信息安全管理
企业如为疫情防控等各特定目的需收集员工个人信息的,应当强化个人信息安全保障和披露管理。首先,应准确界定所收集信息的使用目的并如实向员工告知(尤其收集后需向上级单位等第三方提供的情况),严格确保所收集信息确仅用于该特定目的;其次,确定专人访问和管理相关信息,并与其签订保密协议提示相关保密义务和责任;再次,所收集的个人信息未经本人同意不得公开或向其他单位共享姓名、性别、身份证号码、电话号码、家庭住址等个人信息,当确需对外提供信息时应当按照必要性原则先进行去标识化处理等技术措施,避免不必要地披露相关人员的个人信息。
1.疫情期间企业承担何种与疫情相关的信息收集和报送义务?
《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》在此次疫情期间,企业应当在企业管理的范围内履行主体责任,及时登记和排查员工、访客、客户、供应商等相关信息,一旦发现感染情况即向附近的疾病预防控制机构(各地疾控中心)或者医疗机构(医院等)报告相关情况。
2.企业为疫情防控目的收集个人信息是否属于授权同意原则的例外?
在此次疫情的特殊情形下,个人信息收集和处理活动不可避免。
(1)企业因需配合疾控机构而进行的与疫情相关的个人信息的收集、排查和报送。针对此类个人信息处理活动是否仍要征得授权同意,存在一定的争议。我们理解,根据特别法优于一般法的原则,企业为履行法定报告义务而进行的个人信息处理活动可以视为授权同意原则适用的例外,无需征得授权同意。此情形亦符合《个人信息安全规范》“征得授权同意的例外”之“与公共安全、公共卫生、重大公共利益直接相关”或 “法律法规规定的其他情形”。 (2)针对企业为进行内部管理、及时疏导员工心理而进行的个人信息收集和排查行为,如果具有现实上的必要性,我们理解此类个人信息处理活动亦可以适用以上的例外。
3.疫情期间企业如何避免对个人信息的滥用?
对于疫情期间为疫情防控目的所收集的个人信息,企业应当严格限制信息的使用目的,加强安全保障与披露管理,避免对个人信息进行滥用而导致对相关人员歧视性对待。
具体来说,首先,企业应当规定所收集信息的使用目的和使用范围,明确仅可将相关个人信息用于进行疫情排查,仅确实必要的人员可访问并使用;其次,企业在处理相关信息时,应当避免对相关人员歧视性对待(例如仅向湖北籍员工发送疫情信息等);最后,企业确需在内部披露疫情情况时,应当先进行去标识化处理等技术措施,避免披露相关人员的个人信息,防止因此对相关人员造成的二次伤害。
4.为疫情防控目的追踪个人行踪或人群关系是否有法律依据?
基于疫情防控的目的,为定位到特定人员(主要是指确诊、疑似感染人员及密切接触人员等),需利用火车票/机票/汽车票等行程信息、交易/支付信息、住宿信息等联动对相关人员的个人行踪或人群关系进行追踪,在此过程中往往需要使用多种来源的信息进行综合分析。
根据《中华人民共和国传染病防治法》第七条,各级疾病预防控制机构承担传染病监测、预测、流行病学调查、疫情报告以及其他预防、控制工作。我们理解,仅特定机构(主要是指各级疾病预防控制机构)有权为疫情防控目的追踪个人行踪或人群关系。对于一般企业而言,若未经委托授权,通过自有数据源或者共享数据的方式,进行特定个人的行踪或人群关系分析,可能会超出法定授权或信息主体所授权同意的范围。
在为疫情防控目的追踪个人行踪或人群关系的过程中,一般企业所承担的义务主要是向有权机构共享必要的相关信息,此共享行为属于《个人信息安全规范》所规定的征得授权同意的例外中“与公共安全、公共卫生、重大公共利益直接相关”的情形,具备相应的法律依据,在共享过程中,企业仍需遵守最小必要原则并充分保障个人信息安全。
5.企业为疫情防控目的将掌握的个人信息用于大数据分析是否有法律依据?
企业为疫情防控目的将掌握的个人数据用于大数据分析主要是为了支撑服务疫情态势研判、疫情防控部署以及对流动人员的疫情监测、精准施策,而非精准追踪特定个人。
疫情期间,部分企业已经利用所掌握的信息进行大数据分析进而为疫情防控工作提供支持。以百度地图为例,开放百度地图迁徙大数据用于观察各城市的人口流动情况,尤其是重点疫区的人口流出方向;此外三大运营商在工信部及各地通信管理局的组织下运用大数据分析以加强对流动人员的疫情监测。以百度地图为例,《百度地图隐私政策》中明确说明“在不泄露您个人信息的前提下,百度有权对匿名化处理后的用户数据库进行挖掘、分析和利用(包括商业性使用)”,百度对于聚合数据的使用属于上述用户的授权范围,具有法律依据。对于其他无类似授权安排的企业,若能实现大数据分析的匿名化,且严格限制于协助疫情防控的目的,分析结果不会追踪或指向特定人员,仍可以视为合法使用。
6.企业为疫情防控目的收集和处理个人信息如何遵循数据最小化原则?
在进行人员信息收集和处理的过程中,企业需要严格遵守数据最小化原则,将对个人信息的处理控制在实现目的所需要的最小必要范围内。
以信息收集为例,为进行疫情排查及后续关注,有必要收集相关人员的姓名、身份证号、电话、住址以及紧急联系人及联系方式等信息,但收集其职业、民族等则可能会超出实现上述目的所需要的范围。因此,企业在制作登记表、组织相关人员进行登记以及向疾病预防控制机构或医疗机构进行报告时,均需注意限制个人信息的范围。对于后续的数据存储和内部管理,也应遵循最小必要原则进行访问限制控制、以及在目的实现后尽快对个人信息进行删除或匿名化处理。
7.疫情期间企业是否可以披露个人信息?需遵循何种原则进行披露?
根据《中华人民共和国传染病防治法》的规定,仅国务院及省级人民政府的卫生行政部门有权向社会公开披露相关信息,一般企业若在网络上公开披露相关信息,缺乏合法依据,同时将严重损害个人信息主体的基本权利。
若确需在企业内部披露相关信息的,需充分重视对相关人员个人信息的保护,避免对相关人员造成歧视或产生其他重大影响,例如仅披露统计数量、去标识化处理等措施降低对个体的影响。
8.疫情期间推荐企业采取何种安全措施?
保障个人信息安全,即是要避免对个人信息进行未经授权的访问、使用、泄露、修改或破坏。在微信群、微博等社交媒体中流传的“武汉返乡人员个人信息表”即属于对个人信息的泄露,不仅会导致对其中人员的歧视性对待(例如收到恶意辱骂电话),还可能会引发对该类个人信息的非法使用。
对企业而言,为充分保障所收集个人信息的安全,一方面要加强信息保护的安全技术措施,通过访问控制、加密、物理环境保护等避免个人信息安全事件的发生,例如仅必要人员可接触相关填报信息以防止传播;另一方面要建立起信息安全应急响应机制,确保企业信息系统的安全平稳运行及发生个人信息安全事件时的快速有效响应。
9.疫情有关人员的个人信息应当如何存储?
首先,根据《网络安全法》等规定,存储的个人信息应当采取分级分类存储,并采取必要的存储防护措施。
其次,根据最小化和必要性原则,疫情有关人员的个人信息存储的期限应当于收集目的实现,即流行病学观察期结束后即应当删除或销毁,最迟不得晚于疫情得到有效控制之日
对于四类人员的个人信息或病历信息的保存,还应当遵守《传染病防疫法》、《医疗机构病历管理规定》等相关规定。
10.疫情期间企业如何保障个人信息主体的知情权利?
根据《中华人民共和国网络安全法》第四十一条,收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围。即使是在疫情的特殊情形下,企业同样应当以适当的方式保障个人信息主体知情权的实现,例如在要求员工进行登记时在邮件中写明登记的目的、可能采取的处理行为等,在要求访客进行登记时可在入口处张贴相关通知等,充分告知个人信息主体其个人信息被处理的相关情况,既是对法律法规的遵守,也有助于减轻个人信息主体的疑虑与恐慌。
11.针对企业为疫情防控目的而进行的个人信息处理活动,个人信息主体的权利行使是否会受到限制?
在我国的个人信息保护规则体系下,一般来说,个人信息主体享有访问权、更正权、删除权、撤回同意、获取个人信息副本等权利。如同在例外情形下无需获得个人信息主体的授权同意,在履行法律法规规定的义务以及与公共安全、公共卫生、重大公共利益直接相关的情形下,可以限制或不响应个人信息主体提出的上述权利请求。
因此,企业在疫情期间为防控疫情所进行的合法个人信息处理活动,可限制个人信息主体行使以上权利请求,但亦需按照最小必要原则对于相关信息进行存储和管理,在相关疫情管理的配合工作结束时对于相关个人信息进行删除或者匿名化处理。
12.收集疫情有关人员个人信息的网络系统应当满足什么条件?
疫情爆发后,部分地区开通了网络特别系统/渠道,收集、通关、返程人员的个人信息。但根据《网络安全法》、《网络安全等级保护条例(征求意见稿)》等法律法规规定,该等网络系统收集大量个人敏感信息,依法应当符合包括但不限于:
(1) 所用网络域名应当办理ICP备案,网站及APP应当办理公安联网备案;
(2) 所用网络系统应当办理等保三级以上备案,并参照《GB-T 22239-2019-信息安全技术-网络安全等级保护基本要求》等标准采取必要的安全措施;
(3) 依法制定网络安全有关的制度(例如网络安全应急预案),依法公示个人信息收集和使用的规则(例如隐私政策);
(4) 设置专门的岗位和人员;等等。
三、相关法律规定
(一)刑事责任
据《刑法》第二百五十三条之一以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,以下三类行为均为法律所禁止的侵犯公民个人信息行为
A、禁止性行为:
(一)向他人出售或者向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息;
(二)未经被收集者同意,将合法收集的公民个人信息向他人提供的,但是经过处理无法识别特定个人且不能复原的除外;
(三)窃取或者以其他方法非法获取公民个人信息(违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息)。
实施上述行为,具有下表所列情节之一的,将构成“侵犯公民个人信息罪”,并面临相应刑罚处罚,归纳而言主要包括:被他人用于犯罪(该种情形并无提供个人信息条数的限制,哪怕仅提供过一条也可能构成犯罪);达到数量标准(行踪轨迹等50条、住宿信息等500条、其他信息5000条,向不同单位或者个人分别出售、提供同一公民个人信息的公民个人信息数量累计计算,可见将包含众多个人的姓名、住址等信息的名单发送到不同微信群、QQ群的行为很容易就将达到定罪数量标准);达到违法所得标准(五千元,为合法经营非法获取获利五万元);将在履行职责或提供服务中获得的信息违法提供的则定罪数量或数额标准减半且依法从重处罚(行踪轨迹等25条、住宿信息等250条、其他信息2500条);侵犯公民个人信息累犯(曾受刑事处罚或二年内受行政处罚)。
B.严重情节(处三年以下有期徒刑或者拘役,并处或者单处罚金)
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形:
为合法经营活动而非法购买、收受第三项、第四项规定以外的公民个人信息,具有下列情形之一的:
(1)利用非法购买、收受的公民个人信息获利五万元以上的;
(2)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的。
C.特别严重情节(处三年以上七年以下有期徒刑,并处罚金)
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
(二)行政责任
我国系由刑法先于其他部门法明确了侵犯公民个人信息犯罪的界限,再通过刑法的积极适用防止侵犯公民个人信息违法犯罪行为的蔓延,因此,实施上述A项所列侵犯公民个人信息行为,即使尚未达到B、C项所列犯罪标准的,也将被追究相应违法责任,其中较为常用的法规如:
《治安管理处罚法》第四十二条规定,偷窥、偷拍、窃听、散布他人隐私的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款。
《网络安全法》第六十四条规定,网络运营者、网络产品或者服务的提供者违反法律规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
《消费者权益保护法》第五十条、第五十六条规定,经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,除应当承担停止侵害、恢复名誉、消除影响、赔礼道歉、赔偿损失等民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照。
《传染病防治法》第六十八、第六十九条规定,疾病预防控制机构、医疗机构违反规定,故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的,由县级以上人民政府卫生行政部门责令限期改正,通报批评,给予警告;造成传染病传播、流行或者其他严重后果的,对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书。
(三)民事责任
2017 年10 月1 日起施行的《民法总则》第一百一十一条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”自此,个人信息的民事法律保护从隐私权概念中独立出来(隐私权是指自然人享有的私人生活安宁与私人生活信息依法受到保护,不受他人侵扰、知悉、使用、披露和公开的权利,个人信息与隐私权的概念存在一定的重合,但一些侵犯个人信息如姓名、性别等的行为未必构成侵犯隐私),任何个人信息遭受泄露的公民有权直接依据该条为请求权基础,向侵权人请求承担该法第一百七十九条规定的停止侵害、消除影响、恢复名誉、赔礼道歉、赔偿损失等民事责任。根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十七条规定,侵害公民个人信息的赔偿损失范围可包括精神损害赔偿。
初审编辑:
责任编辑:刘仕超
