2020年3月15日,多家媒体都报道了一条新闻:北京新增自泰国输入新冠病例王女士,因隐瞒行踪,正被立案调查。而根据记者的跟踪采访,王女士表示,“确诊新冠肺炎两天来,她每天能接到50个辱骂她的电话和无数条短信,还有人通过添加支付宝好友发送验证信息骂她,家人朋友也受到牵连。”
之所以她会收到那么多的骚扰电话和短信,就是因为网上流传了名为《关于确诊新冠肺炎病人王女士基本核实情况》的信息,其中包括“王女士及其丈夫、父母、女儿的家庭住址、身份证号、电话号码、车牌号、工作地点等信息,以及王女士丈夫3月4日回国直到3月12日王女士确诊期间的所有行程,以及其接触的朋友的联系方式”。如此详细的家庭信息泄露在网上,并招致直接的谩骂、指责,令其几乎崩溃。
其实,王女士的故事并非“隐瞒行踪”那么简单。她向记者陈述的事实是:3月4日回国时不认为是从疫情严重国家入境返京,故没有完全居家隔离;3月7日去同仁医院,希望医生做新冠排除检查,被告知结论是阴性;后因同赴泰国的朋友在广东被确诊阳性,其于3月13日在大兴区疾控中心也被检测为核酸阳性,才从同仁医院处得知之前所做的只是甲流等项目的检测。
由于王女士事件尚在调查,其是否故意隐瞒行踪、违反抗疫期间相关规定,本文无从评判。笔者关心的却是,在传染病防治期间,传染病病人、病原携带者、疑似传染病病人、密切接触者的个人信息,应该得到怎样的法律保护,现行的法律是否给予了充分保护?
《传染病防治法》对个人信息保护是有明确意识的。该法第12条第1款规定:“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”对应地,根据第68条第(五)项、第69条第(七)项,疾病预防控制机构(以下简称“疾控机构”)、医疗机构“故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的”,会受到责令改正、通报批评、警告等处罚,负有责任的主管人员和其他直接责任人员,会受到降级、撤职、开除的处分,构成犯罪的,还会被追究刑事责任。
可见,《传染病防治法》力图在公共卫生与个人信息保护之间寻求一种平衡。一方面,由于公共卫生和传染病防治的需要,个人信息可以被强制收集和使用。个人信息的范围十分广泛,包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等(参见《网络安全法》第76条和《互联网个人信息安全保护指南》第3.1条)。一般而言,病人与健康有关的所有个人信息属于隐私权范畴,未经病人自己透露或同意披露,任何单位和个人都是无权公开的。
然而,传染病不是简单的个人患病,其与公共卫生、公众健康休戚相关。若不能及时了解传染病病人的身份、住址、联系方式、行踪、住宿等,就无法进行有效的监测、预测,就无法采取相应的隔离观察、隔离治疗等措施,就无法有效切断传染病的传播途径,就无法进行为传染病防控所需进行的调查和研究。因此,传染病病人的个人信息自主权理应受到一定限制。而且,这种限制还延伸到病原携带者、疑似传染病病人和密切接触者。限制的主要体现就是有义务“如实提供有关情况”。
另一方面,因为公共卫生、传染病防治而对个人信息自主权的侵入,也是必须有边界的。毕竟,即便绝大多数人认同限制的正当性,也肯定担心,万一自己不幸成为病人、病原携带者、疑似病人或密切接触者,个人信息如实汇报给公共卫生部门,以及与此相随可能出现的信息暴露,会不会给自己带来难堪、污名、侮辱或歧视?尤其是在社会交往、工作就业、医疗保险等方面带来意想不到的障碍和阻挠?出于对这种关切的回应,就需要对收集、使用、存储个人信息的公共权力机构进行必要的“反向限制”,以保护为公共卫生、公众健康而牺牲个人信息自主权的个人,使其不至于因此而承受更多的、过度的负担。《传染病防治法》禁止疾控机构、医疗机构泄露个人信息并辅以相应法律责任的制度设计,就是此类“反向限制”。
鉴于《民法总则》第111条对个人信息保护作出如下规定,“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,因此,“依法”和“非法”的界限,基本上要依赖于各个领域的单行法律。但是,前文提到的王女士个人信息遭泄露的事件,集中反映了《传染病防治法》在个人信息保护方面,还存在许多欠缺,具体体现在以下方面:
如上所述,《传染病防治法》对个人信息的收集主体仅限定在疾控机构和医疗机构两类组织,并没有延及王女士事件中暴露出来的派出所和街道办事处。该法也没有授权在传染病暴发、流行时,县级以上人民政府及有关部门有权自行收集或委托有关组织收集个人信息。而此次疫情防控中,派出所、街道办、居委会、村委会、物业等不同类型的组织,却都实际享有了个人信息的收集权。这是否必要、合理,可以留待进一步讨论,但法律依据上存在先天不足,是毫无疑问的。未来修法解决的路径可能有两个:一是在《传染病防治法》上对可能需要收集个人信息的主体做穷尽式列举;二是仍然由疾病预防控制机构和医疗机构作为个人信息的收集主体,同时授权县级以上地方人民政府或其成立的防疫指挥机构,根据传染病防控需要,委托其他单位对特定信息进行收集,并对此委托承担相应的法律责任。从个人信息集中收集、降低暴露风险、提高保护责任意识等角度看,后一种路径或许是更可取的。
此外,《传染病防治法》只是规定任何单位和个人必须在接受疾控机构、医疗机构的传染病预防、控制措施时,如实提供有关情况,却未对哪些个人信息可以被收集作出限定。原则上,第一,个人信息的收集必须直接指向传染病预防、控制的目的,诸如账号密码、财产信息、征信信息、交易信息、个人指模等与此目的无关的信息,就明显不在收集之列;
第二,所收集的信息必须是可以合理实现传染病预防、控制目的的,如对病人、疑似病人、病原携带者、密切接触者在病毒潜伏期内(新冠病毒通常指向14天)的行踪进行收集,超出医学认定的平均潜伏期的行踪,就不应该属于可收集范围;
第三,除收集个人信息外没有其他途径可以实现所宣称的预防、控制目的,这就是希望公共权力机构将个人信息的收集作为实现特定目的的最后备选方案;
第四,收集个人信息时必须向信息主体明白告知收集的目的和使用范围,这既是对信息主体知情权的保障,也是对信息收集、使用主体的自我约束,以防任意收集和使用。《传染病防治法》在修改时应当对个人信息收集原则予以明确。
个人信息如何存储,基本上可以由信息收集和占有主体自行决定,法律无需作出具体规定。但是,信息收集和占有主体有一项法定的基本义务,即保障个人信息安全,使其不能被轻易泄露。《民法总则》对此的明文规定是,应当“确保信息安全”。王女士事件中,其先生曾经向北京市大兴区天华路派出所“写了详细的家庭信息和几天的行程”,而派出所一位民警在接受采访时称他们不可能泄露任何个人信息,可这样的宣称并没有说明其是否尽了信息安全保护义务。实践中,信息收集和占有主体缺乏个人信息安全保护意识以及制度和技术安排,于许多领域都存在。《传染病防治法》应当在传染病防控领域加强应对。
《传染病防治法》只是作出禁止个人信息泄露的规定,对如何正确、合理使用信息,以及在使用信息过程中如何披露,都没有给出正面的、明白的规则和指示。这对于在抗疫一线收集、使用个人信息的基层机构和组织而言,无疑是增加了执行的难度。
首先,必须明确,个人信息应当被用于征集时所明白告知的目的和范围,而不能用于其他目的或超范围使用。这个“一致性原则”也是对信息收集和使用主体的诚信约束。
其次,因传染病防控而强制收集的个人信息,通常需要在一定范围内不经信息主体同意及时披露个人信息,从而有利于针对性地采用预防和控制措施。这可以视为“同意原则”的例外。然而,例外之所以称为例外,是因为它们是少数的情形。因此,立法必须对它们予以穷尽列举。大致上,这些情形包括:
(1)信息在参与传染病防控的卫生行政部门、疾控机构和医疗机构交流使用;
(2)除第(1)项列举的机构外,信息向依法在传染病防控工作中需要使用个人信息的其他单位分享,这些单位必须由法律明确规定;
(3)在不披露个人信息不足以延缓或阻止传染病对其他个人或公众健康产生明显而即时危险的情形下,经县级以上政府卫生行政部门或防疫指挥机构负责人批准予以披露;
(4)在信息主体健康或生命受到即时威胁的紧急情况下向提供救治和护理的人员披露。
最后,个人信息的使用应当遵循必要关联和最小侵害原则。换言之,个人信息在可以达到传染病防控目的的范围内使用即可,同样可以实现防控目的但过度使用个人信息的情况,应当予以避免。
在王女士事件中,3月15日,北京市新型冠状病毒肺炎疫情防控工作新闻发布会上,北京市疾控中心副主任庞星火通报了北京境外输入病例的情况,通报的内容是:“王某某,女,31岁,户籍浙江省台州市,现住北京经济技术开发区。2月23日至3月4日去泰国曼谷、清迈旅游,3月4日,乘坐TG614航班返回北京。患者3月7日出现发热、咽痛、乏力、头痛等症状,就诊于某医疗机构,血常规和CT检测未见异常。3月12日,广东省疾控部门告知王某某,其在泰国旅游期间一同伴回国后检测为新冠核酸阳性。3月13日,王某某由120救护车送至东方医院北京经济技术开发区院区隔离,经大兴区疾控中心检测结果为核酸阳性,后由120救护车转运至大兴区人民医院。3月14日诊断为确诊病例。”
从个人信息保护角度看,该通报基本没有什么问题,只是出于让公众知情境外输入病例的目的,其中的年龄、户籍不是必须公开的关联信息。
而亦庄微信公众号在发布相关信息、指导社区疫情防控时,确有存在过度使用个人信息的嫌疑。该公众号指出,该病例“与其爱人蔡某某、女儿蔡某某一直在林肯公园B区居住”。这一看似不起眼的信息,虽然没有透露王女士及其家人的全部姓名,但却很有可能构成一种足以识别个人的“信息结合”:“病例王某、丈夫为蔡某,有一女儿,家住林肯公园B区。”这种信息结合虽然不是必定可以推测是哪一家住户,但在笔者看来,推测识别的概率还是相当大的。为避免此类推测而又可以指导社区居民,完全可以改为该病例“一家在林肯公园B区居住”。
根据《传染病防治法》,为传染病预防和控制而收集和使用个人信息,不一定在传染病暴发、流行时,平时进行传染病监测、预测、流行病学调查等也是需要的。但是,在传染病暴发、流行时为特定防控目的而收集的个人信息,与平常的收集不同,往往会出现在网络上。即便通过技术处理不一定会形成足以识别信息主体的程度,对信息主体而言也是一种暴露。因此,在防控目的实现以后,应该允许信息主体向仍然保有此类信息的网络经营者——无论是公共权力机构还是商业机构——申请删除。这就是个人信息保护领域经常提及的“被遗忘权”。
《传染病防治法》对疾控机构、医疗机构泄露个人信息规定了相应的法律责任,但结合前文所述,其还存在以下三个方面的问题。
第一,个人信息的泄露,不一定是“故意”,因为没有尽到合理的信息安全保护义务,如网络系统存在漏洞,也会造成泄露。
第二,个人信息泄露的可能责任者,不止限于疾控机构、医疗机构,也不止限于信息的收集者;任何得到依法披露的个人信息的单位或个人,都有可能泄露信息而需要承担责任;
第三,传染病防控的特殊性,使得个人信息的收集、使用者较多,也就增加了信息泄露的环节,这的确不利于受侵害的信息主体追究责任者。
但是,必须明确,根据已经泄露的个人信息内容,信息主体可以向最先收集该信息的单位追责,最先收集信息的单位除非能够合理说明其已经尽了信息安全保护义务,且能够说明其依法向谁披露了此信息,否则,就必须承担泄露责任。若最先收集信息的单位能够说明此两项情况,那么,信息主体则可以向被披露的单位或个人继续追责。
传染病防控领域的个人信息保护,显然是一件复杂的事情。现行的、主要立足于2004年修订版本的《传染病防治法》存在欠缺,是情理之中的。反思《传染病防治法》的不足,不单单是为了将来修法以更好地实现公共卫生与个人信息保护的平衡,更希望在疫情尚未结束、抗疫仍在进行的当下,公共权力部门“想立法之未想”,认真、慎重对待个人信息,以及个人信息背后人格尊严的宪法权利。笔者仍然要重拾之前所言:“大疫是对人性的大考,是对民族的大考,是对制度的大考”。我们要在抗疫进行时和未来时完成大考,交出体现文明进步的作业和答卷。