< 返回文章列表

热点评述:疫情下的数据应用与保护

  作者:天达共和律师事务所申晓雨律师、李丽霞律师、叶鹏律师、张劢律师、吴雅涵、康雅斯

  自去年年底新型冠状病毒导致的肺炎疫情出现以来,各地都在采取措施,防止疫情扩散。政府有关部门、电信运营商和一些互联网公司通过大数据分析,为疫情控制提供数据支持。例如,武汉市长在1月26日的新闻发布会上表示约有500万人离开武汉,随后,百度慧眼即对社会公布其大数据分析结果,提供了1月1日至26日期间武汉人口迁出主要流向分析[1],为流向城市的疫情防控起到一定的参考作用。与此同时,多地针对武汉返乡人员开始进行信息登记和活动监控。这本是疫情防控的有效措施,武汉返乡人员的配合,将为控制疫情提供重要的信息基础。然而,返乡人员的个人信息却被公开披露并在网上大肆传播,其中涉及身份证号码、手机号码、住址、行踪等大量个人敏感信息,一旦泄露,极易导致个人名誉、身心健康受损或受到歧视性待遇。实际上,从网上流传的一些信息和视频已经可以看到,部分武汉返乡人员已受到外界骚扰甚至言辞侮辱。

  大数据技术对于疫情防控可起到的积极作用不言而喻,但对于基于个人信息的大数据分析而言,其应用不应以牺牲个人信息主体的合法权益为代价。根据我国目前已生效的强制性法律法规,除非为特别法定目的外,对个人信息的收集和使用均应以个人信息主体的授权同意为合法基础,这一原则适用于个人信息全生命周期,包括对外共享和公开披露个人信息。尽管《信息安全技术 个人信息安全规范》(以下称“《个人信息安全规范》”)提供了取得个人信息主体同意的例外情形,例如,在与公共安全、公共卫生、重大公共利益直接相关的情形下,收集、使用或共享、转让、公开披露个人信息无需征得个人信息主体的授权同意[2],但《个人信息安全规范》作为推荐性国家标准,并不具有法律强制效力。

  在防控疫情的背景下,《中华人民共和国传染病防治法》(以下称“《传染病防治法》”)赋予了疾病预防控制机构、医疗机构收集、分析、调查、核实传染病疫情信息(其中必然包括个人信息)的权力,相关个人有义务配合,这意味着疾病预防控制机构、医疗机构收集、使用个人信息无需经个人信息主体授权同意[3]。但《传染病防治法》同时明确规定,疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料,且如果疾病预防控制机构违反《传染病防治法》规定,故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的,县级以上人民政府卫生行政部门可责令其限期改正、通报批评、给予警告,对负有责任的主管人员和其他直接责任人员,可依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任[4]。此外,根据《突发公共卫生事件应急条例》的规定,街道、乡镇以及居民委员会、村民委员会基于卫生行政主管部门和其他有关部门、医疗卫生机构的授权,也同样有权向个人信息主体收集疫情信息而无需征得个人信息主体的同意,但基于其权力来源,上述机构应同样履行疾病预防控制机构、医疗机构在《传染病防治法》下对个人隐私的保护义务[5]。

  根据上述规定,除法律明确授权的机构外,其他单位或个人收集、披露或以其他方式使用与疫情有关的个人信息,应当取得个人信息主体的同意,对于其已经掌握的个人信息,如果用于疫情分析等目的超出个人信息主体原来的授权范围,还应当另行取得个人信息主体的同意,否则,未经个人信息主体同意,以疫情防控为由任意公开披露武汉返乡人员的个人信息缺乏合法基础,甚至涉嫌违反法律。

  从疫情大范围爆发至今,这场全国范围内对抗疫情的战役已半月有余。这场战役目前仍处于攻坚阶段,危难之际见真情,正需要全国上下众志成城,齐心协力。一批又一批医护人员从各地赶赴武汉参与救治,全国各地、各行各业也都在积极为武汉提供物资支援和精神支持。数据的有效利用为疫情的防范、控制和治愈提供强有力的帮助,但同时,数据安全和个人信息隐私的保护同样重要,这不但关乎眼前,更关乎未来,关乎我们每个人。请不要忘记,在这场战役中,我们的敌人是疫情,而不是武汉人,不是我们的同胞。风雨后总能见彩虹,相信我们终将取得对抗疫情战役的胜利。

  注释:

  [1] 详情见百度迁徙。

  [2] 《个人信息安全规范》第5.4条、第8.5条。

  [3] 《传染病防治法》第十二条、第三十三条。

  [4] 《传染病防治法》第十二条、第六十八条、第六十九条。

  [5] 《突发公共卫生事件应急条例》第四十条。

  (声明:本文系作者授权新浪转载,文章仅代表作者观点,不代表新浪网立场。)

< 返回文章列表 关键词: 疫情 个人信息安全规范

媒体伙伴