『壹』 傳染病疫情信息保護情況
問:對於曝光的返鄉人員的姓名、住址、身份證號碼、手機號碼等信息被公開傳播的情況,是否涉及到違反法律法規?傳播這些信息會帶來哪些危害歲喚?
答:根據《網路安全法》等法律法規,姓名、住址、身份證號碼、手機號碼等信息能夠識別特定個人身份,無疑屬於個人信息。結合當前疫情防控背景和民眾的恐慌情緒影響,肺炎確診者、疑似者及密切接觸者往往被視為高危人群,其個人信息一旦泄露、傳播可能會引發一些騷擾、恐嚇行為,甚至出現已被確診的謠言等等,這可能會使得信息被公開人員及其家人的身心健康受到損害或者引發歧視性待遇等,這些信息理應作為個人敏感信息受到更高程度的保護。
不僅《網路安全法》要求“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息”,《傳染病防治法》中也明確規定了不得故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息。顯而易見,沒有明確法律授權的組織和機構,或者不是依法參與政府組織開展的疫情防控工作的乎拿凱人員,不得未經被收集者同意而收集使用確診者、疑似者及密切接觸者的個人信息,更不能在微信群、朋友圈等私自傳播上述信息,否敏數則屬於侵害公民個人信息的行為,情節嚴重的可能構成侵害公民個人信息罪。如果是疾病預防控制機構、醫療機構、基層工作人員等泄露上述信息,還會構成加重情節。對於已經泄露的確診者、疑似者及密切接觸者個人信息,各地網信部門、公安機關也應當及時制止或阻斷,以減少不利影響,避免對合法信息採集工作造成阻礙。同時,呼籲廣大網友不要傳播此類信息,積極向有關部門舉報惡意傳播人員。
問:有關組織或個人在統計和利用返鄉、返工人員信息時,應該秉承什麼樣的原則?具體可以採取哪些措施保護個人信息?
答:對返鄉、返工人員信息的統計和利用,最重要的是做好疫情有效防控和個人信息保護之間的平衡。出於傳染病防治等公共衛生保障目的,從武漢等疫情嚴重地區返鄉、返工人員應當接受並配合疾病防控有關部門開展的走訪調查等工作,同時疾病防控相關部門內部之間也需要共享此類信息。
目前各地疾病防控機構、基層街道社區等普遍開展走訪調查工作,統計相關人員個人信息。這個過程涉及到個人信息的採集、匯總、共享、披露等多個環節,每個環節都應當注意做好個人信息保護工作,以防出現數據泄露、丟失、濫用等情形。
比如,採集過程中,如果各地疾病防控機構、基層街道社區等以紙質填表方式開展的走訪調查,則需要嚴格要求紙質材料不被拍照、復印,進行統一回收,保管妥當。如果以電子方式記錄或匯總相關信息,需要責任到人,並保存在特定的終端,並將數據和備份數據加密存儲。
在匯總存儲環節,盡可能相對集中管理和處理個人信息,採用嚴密的訪問控制、審計、加密等安全措施。
在向疫情防控工作相關方共享、傳輸相關數據時,應確認對方是有權獲取數據的機構或個人,並採取加密傳輸的措施。
最後,在個人信息使用過程中,需要做到專采專用,嚴格限制於疾病防控目的,不得挪作他用,並且在疫情防控結束後內按照規定予以刪除。
問:有關組織對外披露疫情相關的信息時,在保護個人信息方面有什麼注意點?
答:對於疫情報告、通報和公布等對外披露工作,僅公開返鄉人員流動統計數據、確診患者僅公開性別、確診日期、發病症狀等非個人信息,即可滿足社會一般公眾對疫情狀況的知情權,而不應公開姓名、年齡、身份證號碼、電話號碼、家庭住址等。對於確診或疑似病例所在地區的公眾,可公開確診或疑似病例的大致居住區域,滿足此類公眾對防控需求的知情權,都不必要公開其具體的個人信息。
如果掌握涉及“密切接觸傳染源”的重點人群信息,需要與其直接取得聯系的,應安排專人負責,保證其聯系方式不被擴大傳播,相關人員名單應進一步限定知曉范圍,予以重點保護。
問:目前有專家建議利用手機信令或互聯網大數據開展精準疫情防控,是否可行?能起到什麼樣的效果?
答:我國幾乎全民手機上網,據統計,我國網民規模達8.54億,其中使用手機上網的比例達99.1%,手機和App已成為絕大多數人的生活必備品,電信運營商和各大互聯網公司等事實上掌握了大量公民的個人信息,特別是聯系方式、地理位置和行蹤軌跡信息,這為利用大數據助力疫情防控提供了可能。
一方面,上述信息經過處理無法識別特定個人且不能復原就不再是個人信息,其匯總後分析可得形成人群聚集熱點分布以及人群跨區域流動等信息,對疫情發展預測分析、醫療資源調度等,具有重要意義。
另一方面,對於重點人群,例如傳染病病人、病原攜帶者等,疾病預防控制機構等利用其位置信息能夠有效地實施隔離等防護措施。同時通過數據回溯分析,疾病預防控制機構可以盡早發現疑似病患、密切接觸者,也即是所謂的“接觸追蹤”,有助於及時隔離、切斷傳染源。
可以看到,相較於傳統的走訪、摸排、登記,將信息技術和大數據分析運用於傳染病防控和監測,更加及時、准確,也更加有效。此外,大數據還有一個特點是可以不斷學習、更迭、完善,有利於更好的分析掌握疾病傳播規律,消除更多的“盲區”和“不確定性”,化“被動”為“主動”。在國外,也早就有利用通話明細記錄開展埃博拉病毒防控的成功實踐。
問:是否任何單位或者個人都能開展上述大數據分析?對此,我國目前的法律法規是如何規定的?
答:疾病防控大數據分析涉及大量個人信息,甚至是對特定人群的追蹤分析,不是任何單位或個人都有授權、有能力開展的。首要關注的應是合法性,即是否具備明確的法律授權。目前,我國有關個人信息保護的法律法規均規定,收集、使用公民個人信息應當事先徵得被收集者同意。《傳染病防治法》《突發公共衛生事件應急條例》等法律法規中的有關規定,可以視為徵得個人同意的例外,其目的是確保疫情防控的有效開展。在《傳染病防治法》《突發公共衛生事件應急條例》中,獲得明確授權的有疾病預防控制機構、醫療機構,以及直接參與到國務院和省、自治區、直轄市人民政府制定、實施的“突發事件應急預案”中的單位和個人。非上述單位和個人,不應在未徵得個人同意的情況下將個人信息用於疫情管控、重點人群追蹤等目的。
問:國外有沒有在應對突發公共衛生事件時可以利用個人信息的具體規定?有什麼經驗值得我們參考?
答:就以全球“最嚴”個人信息保護法著稱的歐盟《通用數據保護條例》(GDPR)為例,對於像新型冠狀病毒感染肺炎疫情這樣的突發公共衛生事件,除個人同意之外,GDPR還有另外三個合法性事由可供使用,分別是個人數據處理“為履行數據控制者承擔法定義務所必須”、“為保護數據主體重大利益或其他自然人重大利益所必須”,“為執行公共利益之目的任務或數據控制者行使法定職能所必須”。這三個合法性事由,能有力地支撐其疾病預防控制機構、醫療機構,以及相關組織利用個人信息開展疫情防控工作。
當然,在具備合法性的前提下,GDPR還要求具體的數據處理要遵循以下基本原則包括:合法、公平、透明原則;目的限定原則;數據最少夠用原則;准確性原則;存儲期限限制原則;完整性和保密性原則;以及權責一致原則。
體現上述思路的一個典型例子是2013年歐盟通過的“關於嚴重的跨境健康威脅的決定”。該“決定”在歐盟范圍內建立預警和響應系統,並明確可針對暴露於健康威脅、存在感染危險或已經感染的人可以採取接觸追蹤措施。在符合接觸追蹤的目的時,允許有權機構收集,並在相關成員國之間共享必要的個人信息。而在開展此種數據收集、使用時,“決定”要求數據收集、使用完全遵守歐盟個人信息保護法律框架的規定,也就是符合上述基本原則。
總的來說,我國《網路安全法》和《全國人民代表大會常務委員會關於加強網路信息保護的決定》等法律法規,建立了與國際接軌的個人信息保護法律框架。另一方面,《傳染病防治法》和《突發公共衛生事件應急條例》則在傳染病爆發這樣的突發公共衛生事件中,進一步建立了個人信息收集使用的法律授權,同時明確了法律責任。因此,在此次疫情防控工作中,所有單位和個人均應在法律框架內開展工作,高度重視個人信息保護工作,實現個人信息利用和安全之間的平衡,取得疫情防控阻擊戰的勝利。(完)
合法科學使用大數據 為疫情防控助力——專家解讀《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》
xx記者王xx
近期,在社會各界齊心協力共同應對疫情的過程中,網上出現了多起以尋找確診病例密切接觸者為名公布他人姓名、手機號碼等個人信息,甚至是戶籍地詳址、身份證號碼等個人敏感信息的事件,給一些信息被公開人員的生活造成了困擾。
為做好新型冠狀病毒感染肺炎疫情聯防聯控中的個人信息保護,積極利用包括個人信息在內的大數據支撐聯防聯控工作,xx網信辦發布《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》。如何切實保護好個人信息、合法科學使用大數據為疫情防控助力?9日,新華社記者圍繞相關問題采訪了有關專家。
“根據網路安全法等法律法規,姓名、住址、身份證號碼、手機號碼等能夠識別特定個人身份的信息,都屬於個人信息。” App專項治理工作組副組長洪延青認為,在當前疫情防控背景和民眾心理影響下,新冠肺炎確診者、疑似者及密切接觸者往往被視為高危人群,其個人信息一旦泄露、傳播,可能會引發一些騷擾行為等,使信息被公開人員及其家人的身心健康受到損害或引發歧視性待遇,這些信息理應作為個人敏感信息受到更高程度的保護。
對此,《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》明確,除國務院衛生健康部門依據《中華人民共和國網路安全法》《中華人民共和國傳染病防治法》《突發公共衛生事件應急條例》授權的機構外,其他任何單位和個人不得以疫情防控、疾病防治為由,未經被收集者同意收集使用個人信息。法律、行政法規另有規定的,按其規定執行。
“沒有明確法律授權的組織和機構,或者不是依法參與政府組織開展的疫情防控工作的人員,未經被收集者同意不得收集使用確診者、疑似者及密切接觸者的個人信息,更不能在微信群、朋友圈等私自傳播上述信息。”洪延青說,對於已經泄露的確診者、疑似者及密切接觸者等個人信息,各地網信部門、公安機關也應當及時制止或阻斷,以減少不利影響,避免對合法信息採集工作造成阻礙。
目前,各地疾控機構、基層街道社區等普遍開展調查工作,統計相關返鄉、返工人員個人信息。App專項治理工作組專家何延哲認為,對返鄉、返工人員信息的統計和利用,要做好疫情防控和個人信息保護之間的平衡。
根據通知,為疫情防控、疾病防治收集的個人信息,不得用於其他用途。任何單位和個人未經被收集者同意,不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息,因聯防聯控工作需要,且經過脫敏處理的除外。
“統計信息的過程涉及個人信息的採集、匯總、共享、披露等多個環節,每個環節都應當注意做好個人信息保護工作,以防出現數據泄露、丟失、濫用等情形。”何延哲舉例說,比如,在匯總存儲環節,應盡可能相對集中管理和處理個人信息,採用嚴密的訪問控制、審計、加密等安全措施;在個人信息使用過程中,也需要做到專采專用,嚴格限制於疫情防控目的,不得挪作他用,並且在疫情防控結束後按照規定予以刪除。
針對通知提出的“鼓勵有能力的企業在有關部門的指導下,積極利用大數據,分析預測確診者、疑似者、密切接觸者等重點人群的流動情況,為聯防聯控工作提供大數據支持”,洪延青表示,信息技術和大數據分析能夠讓疫情防控和監測工作更加及時、准確、有效。同時,還有利於更好地分析掌握疫情傳播規律,消除更多“盲區”和“不確定性”。
一方面,大數據經過匯總分析後可以形成人群聚集熱點分布以及人群跨區域流動等信息,對疫情發展預測分析、醫療資源調度等具有重要意義。另外,通過數據回溯分析,疾控機構等有關單位可以盡早發現疑似病患、密切接觸者,即“接觸追蹤”,這有助於及時隔離、切斷傳染源。
“疫情防控大數據分析涉及大量個人信息,甚至是對特定人群的追蹤分析,不是任何單位或個人都有權、有能力開展的。”洪延青還指出,首要關注的應是合法性,即是否具備明確的法律授權。目前,我國有關個人信息保護的法律法規均規定,收集、使用公民個人信息應當事先徵得被收集者同意。因此,除傳染病防治法、突發公共衛生事件應急條例中明確授權的機構外,其他任何單位和個人不得在未徵得個人同意的情況下,將個人信息用於疫情防控、重點人群追蹤等目的。