旭丰学院
如何让涉疫信息的公开远离“恶意”?——疫情下“政府信息公开”与“个人信息保护”十问十答


七月底空降疫情刚告段落,厦门又遭遇了蔓延而至的全省范围的又一波疫情。在全民抗疫的过程中,社区、公司、学校等持续向个人收集健康状况、行程、同住亲属情况等,微信群中确诊人员、密接人员的住所、班级、职业等持续曝光。公民个体希望“个人信息”得到充分保护的诉求与政府需要公开其记录、保存的涉疫“政府信息”职责之间产生了难以避免的冲突。那么:

什么是“个人信息”?

公司或学校可以要求我提供涉疫个人信息吗?

若是确诊或密切接触人员,哪些信息被公开才是“善意”且合法的?

有关部门、未经授权的单位和个人违法公开传播我的个人信息,如何自救?

疫情下如何平衡“政府信息公开”与“个人信息保护”的关系?

……


下面,柳冰玲律师将以问答的方式带您解开相关疑问。


1
Q
什么是“个人信息”?
A

“个人信息”包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息。

法律依据:

《民法典》第一千零三十四条第二款  个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。


2
Q
有关部门可以未经我同意,采集我的个人信息吗?
A

根据《传染病防治法》《突发公共卫生事件应急条例》规定,公民有义务接受调查、如实提供情况等,有关部门在疫情防控期间有权进行个人信息收集、无需经过本人同意。

法律依据:

《传染病防治法》第十二条 在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。……


《突发公共卫生事件应急条例》第二十一条 任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。


3
Q
哪些部门有权向我采集个人信息?
A

根据《传染病防治法》、《突发公共卫生事件应急条例》等规定,人民政府、疾病预防控制机构、医疗机构有权对个人涉疫信息进行信息收集。

法律依据:

《传染病防治法》第十二条 在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。……


《突发公共卫生事件应急条例》第十条 国务院卫生行政主管部门按照分类指导、快速反应的要求,制定全国突发事件应急预案,报请国务院批准。

省、自治区、直辖市人民政府根据全国突发事件应急预案,结合本地实际情况,制定本行政区域的突发事件应急预案。

     第十一条 全国突发事件应急预案应当包括以下主要内容:……(三)突发事件信息的收集、分析、报告、通报制度;……

     第二十一条 任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。


4
Q
我可以拒绝公司/学校采集我(或子女)的涉疫个人信息(如疫情接种、核酸检测情况等)?
A

若公司/学校系自行收集涉疫个人信息的,需要经过被采集者本人同意。若公司/学校系经有权部门授权收集的,则无需取得本人同意。

法律依据:

《中央网络安全和信息化委员会办公室关于做好个人信息保护利用大数据支撑联防联控工作的通知》1.各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。


5
Q
因担心隔离,未如实上报个人信息(如隐瞒实际到过重点疫情区),需要承担什么法律责任?
A

根据《突发公共卫生事件应急条例》《最高人民法院、最高人民检察院关于办理妨害预防、控制突发传染病疫情等灾害的刑事案件具体应用法律若干问题的解释》等规定,未如实提供涉疫个人信息的,依法需要承担行政责任和刑事责任。若因隐瞒不报造成他人财产、人身损害的,还需依法承担民事赔偿责任。

法律依据:

《突发公共卫生事件应急条例》第五十一条 在突发事件应急处理工作中,有关单位和个人未依照本条例的规定履行报告职责,隐瞒、缓报或者谎报,阻碍突发事件应急处理工作人员执行职务,拒绝国务院卫生行政主管部门或者其他有关部门指定的专业技术机构进入突发事件现场,或者不配合调查、采样、技术分析和检验的,对有关责任人员依法给予行政处分或者纪律处分;触犯《中华人民共和国治安管理处罚法》,构成违反治安管理行为的,由公安机关依法予以处罚;构成犯罪的,依法追究刑事责任。    


6
Q
采集后,有关部门可以公开我的涉疫个人信息吗?
A

根据我国《宪法》第五十一条、《政府信息公开条例》第十五条规定,个人自由在特定时间、特定环境下须让步于公共利益。新冠病毒具有明显的“人传人”特征,有关部门通过信息公开制度公开涉疫人员的个人信息,能够有效控制传染源。面对疫情下无数公众的生命健康权益和防控的迫切需求,公民应当容忍一定程度的个人信息公开。

法律依据:

《宪法》第五十一条 中华人民共和国公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。


《政府信息公开条例》第十五条 涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。


7
Q
有关部门可以采集、公开我的哪些个人信息?
A

在涉疫个人信息的采集、公开过程中,收集信息的仅为了开展传染病调查、检验、采集样本、隔离治理等预防、控制措施之必要,不能收集与疫情防控无关的信息。具体而言:

为疫情防控需要,一般情况下,有关部门可收集以下信息:(1)个人基本信息。包括姓名、身份证号、联系方式、住址等。(2)与疫情防控有关的信息。包括体温、症状、相关旅居史、乘坐交通工具记录、相关接触史等信息。除此之外,其他诸如财产信息、生物识别信息、网络身份标识信息等的个人信息,有关部门均无权收集。

而就采集后的个人信息公开而言,个人的的姓名、身份证号、联系方式等个人身份信息均无需披露。有关部门仅可基于疫情防控的需要公开部分个人信息,如相关旅居史、乘坐交通工具记录、相关接触史等。


8
Q

有关部门违法公开了我的个人信息,其要承担什么法律责任?

A

1、行政责任。根据《传染病防治法》、《执业医师法》等规定,医疗机构故意泄露个人信息,依法通报批评、警告;对责任人员,依法给予降级、撤职、开除的处分,甚至吊销执业证书。

2、民事或国家赔偿责任。根据《民法典》规定,泄露患者个人信息应当承担民事或国家侵权责任。

3、刑事责任。根据《居民身份证法》规定,国家机关或者医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,构成犯罪的,依法追究刑事责任。

法律依据:

《民法典》第一千零三十九条 国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。


《传染病防治法》第六十八条 疾病预防控制机构违反本法规定,有下列情形之一的,由县级以上人民政府卫生行政部门责令限期改正,通报批评,给予警告;对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任:……(五)故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的。


《执业医师法》第三十七条 医师在执业活动中,违反本法规定,有下列行为之一的,由县级以上人民政府卫生行政部门给予警告或者责令暂停六个月以上一年以下执业活动;情节严重的,吊销其执业证书;构成犯罪的,依法追究刑事责任:……(九)泄露患者隐私,造成严重后果的;……


《民法典》第一千二百二十六条 医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。


《居民身份证法》第十九条 国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关处十日以上十五日以下拘留,并处五千元罚款,有违法所得的,没收违法所得。

单位有前款行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关对其直接负责的主管人员和其他直接责任人员,处十日以上十五日以下拘留,并处十万元以上五十万元以下罚款,有违法所得的,没收违法所得。

有前两款行为,对他人造成损害的,依法承担民事责任。


9
Q
未经授权的单位和个人在微信群、朋友圈违法公开传播我的个人信息,我如何自我保护?
A

1、向网信、公安部门举报。任何组织和个人发现违规违法收集、使用、公开个人信息的行为,可以及时向网信、公安部门举报。网信部门要及时处置违规违法收集、使用、公开个人信息的行为。

2、向公安机关报案。若他人未经授权违法公开、传播公民个人信息,被侵权个人可根据《治安管理处罚法》规定,向公安机关报案。

3、明确网络服务提供者、要求删除或屏蔽相关信息。若个人信息通过网络平台扩散,被侵权个人有权根据《民法典》规定通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。

4、向法院起诉。被侵权个人还可以向人民法院起诉。同时,若网络服务提供者未依法通知侵权人删除、可将网络服务提供者列为共同被告。若系通过微信群传播,微信群主未尽管理责任的,也可列为共同被告。

法律依据:

《关于做好个人信息保护利用大数据支撑联防联控工作的通知》6.任何组织和个人发现违规违法收集、使用、公开个人信息的行为,可以及时向网信、公安部门举报。网信部门要依据《中华人民共和国网络安全法》和相关规定,及时处置违规违法收集、使用、公开个人信息的行为,以及造成个人信息大量泄露的事件;涉及犯罪的公安机关要依法严厉打击。


《治安管理处罚法》第四十二条 有下列行为之一的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款:……(六)偷窥、偷拍、窃听、散布他人隐私的。


《民法典》第一千一百九十五条 网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。……


《互联网群组信息服务管理规定》第九条 互联网群组建立者、管理者应当履行群组管理责任,依据法律法规、用户协议和平台公约,规范群组网络行为和信息发布,构建文明有序的网络群体空间。……


10
Q
如何平衡“政府信息公开”与“个人信息保护”的关系?
A

根据《传染病防治法》规定,国家建立传染病疫情信息公布制度。疫情信息难以避免需要披露涉疫的个人信息。但《传染病防治法》同时规定,不得泄露涉及个人隐私的有关信息、资料。涉疫“政府信息公开”的目的是保障公众知情权、生命健康权,而“个人信息保护”的目的是保障公众的隐私权。在防疫、抗疫目的下,“政府信息公开”与“个人信息保护”的平衡应循两大原则:

第一,去识别化原则。即对个人信息数据进行匿名化等处理措施,移除个人信息中具有“可识别”的符号、有效割裂数据中包含的身份、人格识别因素,降低个人隐私泄露风险。

第二,最小必要原则。即政府对个人信息进行公开时,应当以满足目的所需的最少个人信息类型和数量为限度。即个人隐私不可无限度被特征、经去识别化后的信息方可流入公共领域。



结语

在全民抗疫的艰难持外战中,我们同步面临着信息化时代的挑战。在万众一心抗击疫情同时,无论是政府还是个人,都应保障每一名公众的个人合法权益不受恶意侵害,保持对疫情中独立个体的的尊重和善意。这亦是我们为抗疫工作所做出的微小但又确切的努力。


▼作者简介▼

柳冰玲 律师

厦门大学民商法学硕士

福建省优秀党员律师

厦门市优秀党员律师

入选福建省涉外律师人才库

入选福建省、厦门市优秀青年律师人才库

福建旭丰律师事务所党总支副书记

福建旭丰律师事务所金融业务部副主任

厦门市律师协会政府法律顾问专业委员会委员

厦门市中级人民法院调解员

厦门大学法学院授课老师(兼职)

厦门电视台特邀法制嘉宾