作者:宁宣凤吴涵、付昊、汪汉鸿 金杜律师事务所

1.背景 

2020年初,举国上下全力战“疫”,国务院建立联防联控机制加强相关部门统筹协调,在阻击疫情的同时,全力组织企业复工复产,加强重点物资的统一调度。据报道,工信部已召开疫情防控大数据支撑服务工作调度会,提出加强联防联控,运用大数据分析,支撑服务疫情态势研判[1]。其他政府部门也与各科技企业联动,通过大数据加强疫情防控力度。

但值得特别警惕的是,在阻击疫情的过程中,已经在多地出现侵犯个人信息相关的案例和新闻,如1月浙江警方通报的泄露涉湖北籍人员身份资料的案件[2]、2月云南警方通报的泄露新型冠状肺炎患者信息[3]和湖南益阳发生的公职人员泄露确诊患者个人信息[4]等事件,广泛引发了普通公民尤其是确诊者、疑似者、密切接触者等重点人群对于自身隐私及个人信息泄露的担忧。

针对上述情况,2月3日,国家卫生健康委员会已公开发布《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》,其中对于加强网络信息安全、切实保护个人隐私安全等提出了概括性要求[5]。2月9日,中央网络安全和信息化委员会办公室(以下简称“网信办”)公开发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称“《通知》”),及时地再次强调了此次疫情联防联控工作中的个人信息保护、大数据支撑等事项,重申了疫情紧急时需关注和遵循的个人信息保护底线。

2.《通知》解读

《通知》全文仅6个条款、不足800字,但内容丰富、涉及范围广泛。下文我们将逐条为《通知》各个条款“划重点”,提示有关企业在处理战“疫”数据时需要注意的个人信息保护问题。

1条:“各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。” 

重点:疫情管控目的下突破个人信息告知同意原则的例外情况应由法律及行政法规明确规定且依法取得有关部门授权

根据我国《网络安全法》及相关配套措施的规定,在收集使用个人信息前,应当取得个人信息主体的授权同意。在本次抗击疫情的特殊背景下,企业为抗击疫情目的收集使用甚至相互共享的个人信息能否以“与公共安全、公共卫生、重大公共利益直接相关”或“法律法规规定的其他情形”作为例外情况,从而无需征得个人信息主体同意成为了近期社会各界关注的焦点问题之一。

针对这一问题,《通知》第1条传递出两条明确的信息:1)虽然《网络安全法》并未就例外情况明确说明,但以法理而言,告知同意原则仍有例外情形;(2)适用个人信息告知同意原则的例外情形必须取得法定授权,该法定授权的依据应当是法律以及行政法规另行规定,不包括部门规章及其他规范性法律文件。为此,利用大数据为抗击疫情提供支持的企业在收集、使用个人信息时仍应严格遵循《网络安全法》等法律法规确立的告知同意规则,取得个人信息主体的授权。如需适用授权同意原则的例外情形,除符合疫情防控的使用目的限制外,企业还应进一步取得国家卫生健康部门等有关部门依据《网络安全法》、《传染病防治法》等有关法律及行政法规的合法授权,否则“任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息”。

2条:“收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。” 

重点:疫情联防联控需求下收集、使用个人信息应坚持最小范围原则,不得形成“事实歧视”

《通知》第2条要求参照《信息安全技术 个人信息安全规范》(以下简称“《安全规范》”),坚持最小范围原则[6],即仅处理为满足所获授权同意所需的最少个人信息。而根据《安全规范》第5.2条[7]的进一步阐释,收集个人信息的最小化要求还可进一步分解为:1)收集个人信息的类型应当与拟实现的目的(通常情况下为业务功能,疫情下则为疫情防治)具有直接关联,2)自动采集时采用最低频率和3)间接获取时仅采集最少数量的个人信息。这意味着,企业在为抗击疫情目的而收集个人信息时:

  • 仍应当严格落实最小范围/最小化原则的相关要求,不得无限制、过度收集个人信息;例如,为监测乘坐交通工具的乘客体温状况时,可相应采集乘客身份和体温信息,而不应在未发现乘客体温异常时采集乘客职业、籍贯、婚姻状况等内容;
  • 应确保收集个人信息的频率最小、必要;例如,社区经授权后全面筛查人口流动情况,可对返乡人员的身份、来源地区、交通工具等必要内容进行一次性登记,但通常不应采用强制佩戴智能定位设备、获取移动设备实时定位等方式过度采取返乡人员的位置信息等;
  • 间接获取个人信息时合理控制最小数量;例如,具有大数据分析技术的企业为有关部门提供密切接触人群相关的数据分析时,应确保从相关数据源处获得的个人信息类型、数量为最小、必要,避免获取非密切接触人群的相关个人信息。

此外,《通知》也特别提到了个人信息收集对象限制,即“原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群”。一定程度上,这也是网信办对近期泄露病患信息、行踪轨迹等问题的直接回应。近来,部分地区泄露病患、外地返乡人员个人信息的案件和新闻引发了广泛的社会关注。例如,浙江某地一社区工作人员将内部工作资料中涉湖北籍人员的资料外泄,遭到公安机关和纪检部门处罚[8];云南某地的几位医务人员和医院工作人员因散布医院电脑记录的患者信息遭到公安机关处罚[9]。在这类案例中,泄露的个人信息在一定程度上体现出部分人员对来自特定地区人员的差别态度,不可避免地为全国上下一致战“疫”的努力造成了不良影响,而这也正是《通知》所强调的、应防止的“事实歧视”问题。

3条:“为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。” 

重点:重申个人信息使用的目的限制和公开规则 

一方面,考虑到抗击疫情的特殊背景,相关企业在提供大数据支撑服务时,难以避免地涉及到诸多可能构成《安全规范》定义的个人敏感信息;同时,因社会上下的高度关注,对个人信息的超范围利用所可能引发对个人信息主体的损害程度也相应增加。因此,《通知》第3条额外强调了利用大数据为联防联控提供支持的企业,需要特别关注数据使用的目的限制。为此,相关企业在接受国家有关部门或医疗机构委托或授权,进而收集、处理个人信息时,应格外关注疫情防控目的下适当、合理的个人信息使用范围,避免超范围使用、超范围留存等可能不符合目的限制的行为。

另一方面,从个人信息的公开来看,在近期的疫情个人信息泄露案件中,已经出现个人信息主体的多种个人信息,如姓名、身份证号码、工作单位(就读学校)、家庭详细地址等在未经其许可的情况下被公开。[10]针对这样的实践情况,《通知》在第3条对个人信息的公开规则进行了重申,即原则上禁止因疫情防治需要而未经个人同意公开其个人信息。但值得注意的是,《通知》也兼顾了疫情下的信息公开需要,指出“经过脱敏处理的”个人信息,在疫情防控工作必要的前提下,将不再需要个人信息主体的授权同意。通常“脱敏处理”有不同的实际做法包括匿名化及去标识化处理。根据《网络安全法》第四十二条,“经过处理无法识别特定个人且不能复原的”信息通常被认定为进行匿名化处理,可不受个人信息主体同意的限制。而对于去标识化处理后的个人信息通常仍被认定为个人信息,因此根据《通知》要求,除法定授权可公开的个人信息以外,基于联防联控工作需要,采用何种办法进行“脱敏”处理需要引起企业的关注。

4条:“收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。” 

重点:严格落实网络和数据安全保障措施 

《网络安全法》对网络运行安全和网络信息安全作出了分别规定,特别是根据第四十二条,“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”。对于利用大数据为联防联控提供支持的企业而言,作为个人信息等数据处理的具体执行者,理当按照《网络安全法》等相关法律法规要求,落实技术和管理层面的安全保障措施。

为此,《通知》第4条要求采取严格的管理和技术防护措施,保障个人信息的安全,一定程度上是对现有法律要求的重申。此外,疫情涉及的个人信息类型和敏感性各异,不排除涉及个人敏感信息的情形,并可能较一般时期引发更为广泛和深远的社会影响。为此,我们建议,相关企业应更为积极、主动地参照更高、更严的技术标准和管理要求采取相关保障性措施,保护个人信息等数据安全。 

5条:“鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持。” 

重点:鼓励社会各界共同参与战 

如本文开篇所述,抗击疫情目前已是举国上下高度关注,社会各界群策群力的一项工作。因此,为发挥散落各行各业的数据资源价值、共同积极应对疫情,《通知》第5条也明确鼓励有能力的企业利用自身在大数据方面的技术积累,为抗击疫情提供必要的支持。

同时,《通知》也清晰地指出,相关企业提供在利用大数据提供技术支撑时,应遵照有关部门的指导。而这也对从事大数据支持的相关企业提出了一定的挑战,尤其是一旦企业经授权承担面对公众的信息公开或发布等相关职能时,将可能需要把相对概括的指导内容转化为公众易理解、可接受的信息内容。此时,除前文所述相关要求外,企业还需额外关注具体数据、信息发布的具体名义、发布信息的形式、数据详细程度以及准确性等多方面问题。 

6条:“任何组织和个人发现违规违法收集、使用、公开个人信息的行为,可以及时向网信、公安部门举报。网信部门要依据《中华人民共和国网络安全法》和相关规定,及时处置违规违法收集、使用、公开个人信息的行为,以及造成个人信息大量泄露的事件;涉及犯罪的公安机关要依法严厉打击。” 

重点:强调社会共同监督、有关部门依法及时处置 

在信息技术格外发达的今天,各类信息都在以曾经难以想象的速度通过信息网络传递,而个人信息保护作为应对疫情工作下不容忽视的重要一环,自疫情开始以来就引发了国家有关部门的关注。国家卫健委此前发布的《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》中就已经强调疫情防护要切实保障个人隐私安全。公安部和各地公安机关也已多次通报惩治泄露个人信息违法行为的情况。

除公权力机构的主动执法以外,《通知》第6条提出,任何组织和个人均可向网信、公安部门举报违法收集、使用、公开个人信息的行为,强调社会各界的共同监督作用,同时明确网信部门和公安部门各自的依法处置职责,凸显出疫情下同步保障公民个人信息权益的导向与趋势。而这也为企业敲响了个人信息保护的警钟,即便在疫情防治为先的背景下,也应当切实采取措施,合法合规收集、使用个人信息。

3.结论与建议

亚里士多德曾提出“公平就是比例相称”,并最终演变为比例原则这一具有普遍意义的法治规律。《通知》的价值和意义不仅在于强调利用大数据支撑联防联控工作的安排,更在于对个人信息保护规则底线的重申,希望在公共利益与个人合法权益即使在应急事件下的仍需要追求平衡,体现出难能可贵的“以人为本”思路。

此前,我们曾针对疫情防控中不同主体对于健康医疗数据[11]以及政务数据[12]合规问题进行探讨。《通知》针对个人信息保护,为拟参与到此次疫情联防联控中的企业等社会主体提供明确的指引。按照《通知》的指引和要求,我们建议所有拟基于自身数据能力参与到此次疫情联防联控的相关企业至少注意下列合规要点:

  • 关注所提供的大数据支撑能力的合法性,加强与相关部门的合作;如前所述,目前个人信息的收集和使用仍缺乏面向企业主体的明确法定例外,相关企业将自身数据能力对外输出用于疫情防控相关支持的,仍应基于《传染病防治法》等法定例外规定下明确授权的有关部门要求进行。
  • 落实网络安全义务,切实保障相关网络与数据安全;由于企业作为个人信息等数据的实际掌控和处理者,在提供大数据支撑联防联控能力时,相关企业更应当重点关注相关网络与数据安全的保障,尤其应当注意避免对于日常业务经营下积累的数据造成影响。
  • 合理进行内部环境隔离和权限管控;疫情下的大数据支撑服务与企业的日常业务经营存在本质的区别。为此,在可行的前提下,企业应尽量采取逻辑层面乃至物理层面的环境隔离完成相关个人信息等数据的处理流程,并单独建立访问该等环境的权限管控机制,以避免相关个人信息的过度访问和泄露风险。
  • 被有关部门授权进行数据共享和公开时,合理确定实现共享和公开的方式和范围;一方面,相关企业在对外提供疫情下的大数据支撑服务时,在可行情况下应尽量采用统计结果、分析成果等数据形式而非原始数据,另一方面,在进行数据公开时,针对具有隐私属性或较强个人识别性的个人信息类型,应注意事先采用脱敏、去标识等技术处理,避免对个人信息主体造成过度的影响。此外,从共享和公开的范围上看,也应合理关注涉及的数据特点,充分考虑特定数据类别不宜共享和公开的法律性质,避免过度共享与公开。有关不同场景下健康医疗数据的流转问题,可详见金杜网络安全与数据合规团队的相关文章。
  • 严格遵循疫情防控的目的限制,合理备份与记录;一方面,如《通知》要求,相关企业应严格限制因疫情防控而收集的个人信息使用范围,避免用于无关的商业化利用目的;另一方面,相关企业也应关注基于疫情防控目的而收集和衍生的个人信息留存时限,一旦卫生健康部门提出要求或疫情宣告结束,应及时删除原始数据与相关分析成果,确有必要时考虑采用冷储存备份等方式保留必要记录。

[1] 参见工业和信息化部官网发布的新闻动态《工业和信息化部调度部署疫情防控大数据支撑服务工作》,链接:http://www.miit.gov.cn/n1146290/n1146402/n7039597/c7646188/content.html,最后访问时间2020年2月10日。

[2] 参见湖北网警巡查执法公众号文章《公安部网安居局:疫情防控,网警在行动!》,链接:https://mp.weixin.qq.com/s/3UPpMM1ZT2A1J9NWFXKazQ,最后访问时间2020年2月9日。

[3] 参见人民网报道《云南警方暂缓拘留泄露确诊患者信息的医务人员》,链接:http://society.people.com.cn/n1/2020/0208/c1008-31576842.html,最后访问时间2020年2月9日。

[4] 参见中国经营网报道《海量涉疫情个人信息泄露 两地公安做出行政拘留处罚》,链接:http://news.sina.com.cn/o/2020-02-05/doc-iimxyqvz0398976.shtml ,最后访问时间2020年2月9日。

[5] 参见国家卫生健康委员会官网,链接:http://www.nhc.gov.cn/guihuaxxs/gon11/202002/5ea1b9fca8b04225bbaad5978a91f49f.shtml,最后访问时间2020年2月9日。

[6] 《信息安全技术 个人信息安全规范》(GB/T 35273—2017)第4条“个人信息安全基本原则”之d)“最少够用原则”规定,除与个人信息主体另有约定外,(个人信息控制者)只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。

[7] 《安全规范》第5.2条“收集个人信息的最小化要求”

对个人信息控制者的要求包括:

  1. a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与,产品或服务的功能无法实现;
  2. b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
  3. c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

[8] 同前注1.

[9] 同前注2.

[10] 同前注2.

[11] 参见China Law Insight,链接:https://www.chinalawinsight.com/2020/02/articles/compliance/%e7%96%ab%e6%83%85%e9%98%b2%e6%8e%a7-%e5%90%8c%e8%88%9f%e5%85%b1%e6%b5%8e-%e7%96%ab%e6%83%85%e4%b8%8b%e5%81%a5%e5%ba%b7%e5%8c%bb%e7%96%97%e6%95%b0%e6%8d%ae%e5%85%b1%e4%ba%ab/,最后访问时间2020年2月10日。

[12] 参见China Law Insight,链接:https://www.chinalawinsight.com/2020/02/articles/compliance/24626/,最后访问时间2020年2月10日。