2020年2月21日,寧波公布新增一例新冠肺炎病例。而在此之前,關于該患者及其親屬的詳細信息卻已在當地微信群中傳播,共涉及16人,泄露的信息包括姓名、身份證號、家庭住址等。據相關報道,這起事件并不是抗疫期間第一起公民個人信息被泄露并被大范圍傳播的事件,由此也引發對個人信息保護的討論。本文將結合相關案例對新冠疫情防控期間個人信息保護的問題進行探討。
一、個人信息保護概述
(一)個人信息的概念
目前對個人信息的表述在立法上存在不同,個人信息的范圍是通過列舉的方式表述,在相關立法中存在差異。
《民法總則》第111條規定,自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。這是民事立法中第一次使用 “個人信息”的概念。
在部門法中,《網絡安全法》第 76 條第 5 項規定:“個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”。《民法典各分編(草案)》(第三次審議稿)第 813 條第 2 款規定:“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱地址、行蹤信息等”。
對以上立法進行考察可以明確,個人信息是指能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,既包括法律明確列舉的自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼、電子郵箱地址、行蹤信息,也包括法律沒有列舉但具有此種識別功能的其他信息。
(二)個人信息的特征
“個人信息”這一法律概念的核心內涵在于“能夠單獨或者與其他信息結合識別特定自然人的各種信息”。理論和實務界一般認為可識別性是公民個人信息的根本特性,即通過相關信息能夠識別到公民個人,包含有直接可識別和間接可識別。
可識別性是判斷是否屬于個人信息的關鍵,即個人信息與個人信息主體存在某一客觀確定的可能性。具體而言,與個人相關的,能夠直接或間接識別到特定自然人的信息即個人信息。判斷個人信息可通過以下兩條路徑:(1)識別,可由信息本身的特殊性識別出特定自然人的為個人信息;(2)關聯,已知特定自然人,由該自然人在其活動中產生的信息為個人信息。只有特定信息能夠與特定的個人存在可識別的客觀聯系,才能構成個人信息。如該信息不能關聯或定位到個人,則可以定義為非個人信息,不需要獲得用戶授權同意或明示同意。
對于個人信息的判斷,應當是動態而不是靜止的,個人信息的判斷應當依據特定的業務情境,而不是預先對數據的性質作出判斷。對于同一數據的法律界定,在不同的業務場景下可能會有不同的結果。
(三)個人信息的分類
根據國家發布的《個人信息安全規范》和《個人信息保護指南》,可將個人信息分為一般個人信息和敏感個人信息。判斷的標準是后者的泄露會給用戶財產與精神利益帶來更為嚴重的后果。
信息類別 | 判斷標準 | 范圍 |
個人敏感信息 (明示同意) | 一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。 | 電話號碼、身份證號、住址、病情、銀行賬號、交易和消費記錄、網頁瀏覽記錄等。 |
個人一般信息(默示同意) | 除個人敏感信息以外的個人信息。 | 姓名、工作單位、訂單商品名稱、數量及金額等。 |
在個人信息收集過程中,如果收集的是個人一般信息可以采取默示同意的方式,而針對個人敏感信息,則必須明確告知收集信息的目的用途并征得個人信息主體的明確同意。在個人信息的保存使用過程中,對于個人一般信息和敏感信息的要求也有所不同,為保障個人信息主體合法權益免受侵害,需要對個人敏感信息負有較高注意義務。
個人信息是否敏感的判斷也依賴于一定的場景,如在特定環境中,公開或泄露姓名等個人一般信息而極易導致個人名譽、身心健康受到損害或歧視性待遇等后果,則這些信息就應當升格為個人敏感信息來保護。
防控新冠疫情期間,為防止疫情擴散和傳染,需要收集掌握相關人員的姓名、家庭成員、住址、行動軌跡,以及是否屬于新冠病患者、疑似,或者是否存在密切接觸的可能。為了公共安全的需要,上述信息需要在相關部門人員之間實現共享,甚至需要向公眾進行披露。一般情況下家庭成員、住址、病情狀況等可以作為個人隱私加以保護,但在抗擊新冠疫情過程中,為了防范疫情擴散,保護他人身體健康并保障社會公共利益,需要對該部分信息進行適當披露與公示,此時個人隱私將向公共利益進行讓渡。
(四)個人信息控制者
個人信息控制者,通常指的是指對個人信息具有法律上或事實上控制力的自然人、法人或者非法人組織。相關法律法規規定了信息控制者有保護個人信息的義務,否則將可能承擔法律責任。
防疫期間可能收集或掌握個人信息并成為個人信息控制者的主體有以下幾類:(1)交通運輸部門如鐵路航空客運游輪等;(2)公安部門;(3)基層組織工作人員包括社區工作人員等;(4)醫療機構;(5)電信運營商;(6)工作或居住樓宇的物業單位等。
中央網信辦印發的《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》(下稱“通知”)要求,除國務院衛生健康部門依據《中華人民共和國網絡安全法》、《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》授權的機構外,其他任何單位和個人不得以疫情防控、疾病防治為由,未經被收集者同意收集使用個人信息。
二、個人信息保護司法裁判規則摘要
案例1:時某訴王某、李某等隱私權糾紛案[1]
【法院觀點】被告將執勤人員實名制統計表信息在微信群中轉發、在微信朋友圈公開。表中涉及包括原告在內的多名村民的姓名、性別、身份證號、銀行賬戶、工資金額等信息。法院認定涉案行為構成侵權。
【裁判規則】公民個人姓名、身份證號、銀行卡號等信息從整體上屬于個人隱私,他人在微信中轉發公開等傳播行為構成侵犯隱私權。
案例2:高某訴北京某科技公司網絡侵權責任糾紛案[2]
【法院觀點】原告高某在涉案被查時系未成年人。快手用戶在被告運營的APP中發布信息時披露了原告的姓名,并配有照片,雖然該用戶對原告的眼部打了馬賽克,但未對其他面部特征及面部以外的重要可識別身體部位進行打馬賽等方式的技術處理。法院判令被告對用戶侵犯隱私權的行為承擔連帶責任。
【裁判規則】任何組織或者個人不得披露未成年人的個人隱私。在未成年人犯罪案件中,新聞報道、影視節目、公開出版物、網絡等不得披露該未成年人的姓名、住所、照片、圖像以及可能推斷出該未成年人的資料。
案例3:龐某訴北京某信息技術公司等隱私權糾紛案[3]
【法院觀點】被告網站作為消費者出行信息的控制者,應有相應的能力保護好消費者的個人信息免受泄露,也是其應盡的法律義務。被告尤其在知曉可能涉嫌泄露乘客隱私后,未迅速采取專門的、有針對性的有效措施,以加強其信息安全保護。法院判決其應承擔侵權責任。
【裁判規則】被告作為信息控制者負有保護個人信息安全的義務,應當采取一定措施保障個人信息不被泄露,被告未舉證證明其采取了專門的、有針對性的有效措施以加強個人信息安全保護,法院認定被告存在泄露原告個人隱私信息的高度可能,因此判令被告承擔侵權責任。
案例4:趙某訴某房產中介公司一般人格權糾紛案[4]
【法院觀點】作為企業員工的管理者,被告未建立信息安全的管理制度和操作規程,沒有對客戶信息安全進行風險提示,沒有對客戶敏感信息采取加密處理等措施以保障客戶的信息安全,從而無法確保經紀人謹慎依約合法使用公民個人信息。本案侵權事實的發生與被告內部對客戶個人信息的保護存在監管漏洞直接相關,因被告的管理存在過錯,故應對原告個人信息泄露承擔侵權責任。
【裁判規則】企業員工將工作過程中所掌握的客戶信息提供給他人用于非法目的,企業因在個人信息管理方面存在漏洞被判令應當承擔侵權責任。
案例5:淘寶訴美景不正當競爭糾紛案[5]
【法院觀點】原告淘寶公司經用戶同意,在記錄、采集用戶于淘寶電商平臺上進行瀏覽、交易等活動所留下的痕跡而形成的海量原始數據基礎上,采取脫敏處理后制作“生意參謀”產品。被告通過技術手段獲取“生意參謀”數據產品中的數據內容。法院認定原告采集并脫敏化使用用戶信息具有正當性,被告行為構成不正當競爭。
【裁判規則】個人信息經去標識化處理后,無法復原或識別到個人信息主體的,則此類信息的使用無需再另行通知用戶并征得用戶同意。
三、疫情防控期間個人信息保護的建議
(一)個人信息控制者應采取合理措施保障個人信息安全
在數據化時代,原來單個、孤立的信息被大量收集整理后,一旦發生泄露,個人隱私將面臨巨大威脅。此時,信息控制者應妥善保管個人信息,采取措施防范泄露發生。同時應當建立個人信息保護制度與規范,通過技術手段防范個人信息泄露事件的發生。當發現可能或已有個人信息泄露的情況,應迅速采取有效措施防止損失擴大,及時加強個人信息安全保護。
本次新冠疫情防控中,“通知”規定,收集或掌握個人信息的機構要對個人信息的安全保護負責,應采取嚴格的管理和技術防護措施,防止被竊取、被泄露。任何組織和個人發現違規違法收集、使用、公開個人信息的行為,可以及時向網信、公安部門舉報。
(二)對個人敏感信息應當進行特別保護
針對個人敏感信息應當采取較強的保護措施,如有的單位專門制定有自己《敏感信息處理規范》,從數據的生命周期角度出發,在數據收集、存儲、顯示、處理、使用、銷毀等各個環節需建立安全防護措施。根據信息敏感程度的級別采取不同的控制措施,包括但不限于訪問控制或進行一定強度的加密算法進行加密存儲、敏感信息脫敏顯示等。
個人信息控制者單位中可能接觸敏感信息的員工,將有可能成為泄露個人信息的行為主體,而如果由于單位管理不善的原因導致個人信息泄露的,單位將要為員工的行為負責。因此,個人信息控制主體還應當對可能接觸到個人敏感信息的人員進行嚴格管理,對于數據訪問、內外部傳輸使用、脫敏、解密等重要操作建立審批機制,并與相關人員簽署保密協議等。同時還應當進行信息安全培訓,要求相關人員在日常工作中形成良好操作習慣,提升個人信息保護意識。
如果發現個人敏感信息泄露事件的,應當及時進行處理,以防止個人信息的進一步擴散,尤其是要防范被不法分子利用,從而損害個人信息主體的正當合法權益。
(三)以適當方式如匿名化等手段保護個人信息
根據《網絡安全法》第 42 條第1款的規定,匿名化處理應該達到經過處理無法識別特定個人且不能復原的標準。匿名化,是指通過對個人信息的技術處理,使得個人信息主體無法被識別,且處理后的信息不能被復原的過程。對個人信息進行匿名化處理,一定程度上切斷了個人與匿名數據之間的法律聯系,在數據被充分匿名化之后,可以在一定程度上保護個人隱私不被侵犯。為保護個人信息權益,在使用處理各類個人信息時,就應當對個人信息進行匿名化處理。
在疫情突發期內,為了公共安全的目的,需要公開個別人員的行蹤信息以加強疫情的防控本身無可厚非,但有些信息的公開和公示并非必要。比如要公開相關人員行蹤信息的,其實并無必要一定要把該人的身份證號也一起公開。身份證號屬于個人敏感信息,對于個人權益影響較大,對于疫情防控而言也并非必須要公開的信息。這種情況下,建議進行匿名化處理,比如只顯示頭四位,也就是標明戶籍地的數字,而對于其他的數字可以采取遮擋遮蓋的方式進行匿名化處理而不予公開。
采取匿名化或者部分公開相關信息的方式,既能夠滿足疫情防控工作的需要,同時也可以避免侵犯個人隱私。本次防控疫情中,“通知”明確要求,為疫情防控、疾病防治收集的個人信息,不得用于其他用途。任何單位和個人未經被收集者同意,不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息,因聯防聯控工作需要,且經過脫敏處理的除外。
(四)注重公共利益與個人隱私保護的平衡
個人隱私的讓渡應當基于保障社會公共利益的必要,在合理的限度內限制個人權利的行使,但不意味著個人信息可以被無限度無規則的使用。實際上,在現實生活中公共利益與個人隱私保護并非完全對立。不可否認,在本次新冠疫情抗擊過程中,統計與疫情防控有關信息并在一定范圍內進行數據共享具有正當性和必要性,但是對于統計數據的后續管理問題,也確實存在一些疏漏和不規范的做法。
《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案適用法律規定》第十二條規定,網絡用戶或者網絡服務提供者利用網絡公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息,造成他人損害,被侵權人請求其承擔侵權責任的,人民法院應予支持。但下列情形除外:(一)經自然人書面同意且在約定范圍內公開;(二)為促進社會公共利益且在必要范圍內……可見,即使是為了社會公共利益的需要,公開個人信息也必須在必要范圍內,如果超出必要范圍,也將可能構成侵權。如果忽視公共利益的必要性,隨意泄露個人信息,甚至是惡意傳播,給信息主體造成損害或其他不利后果,則信息控制者和傳播者應當承擔相應法律責任。
個人信息應當受到法律保護,即使是特殊時期,也應有一定的隱私邊界,應盡可能采取合理措施,保障個人隱私和信息安全。
注釋:
[1] 參見(2017)京0109民初4483號民事判決書。
[2] 參見(2018)瓊02民終822號民事判決書。
[3] 參見(2017)京01民終509號民事判決書。
[4] 參見(2018)京0105民初9840號民事判決書。[5] 參見(2017)浙8601民初4034號民事判決書。
北京
北京市朝陽區東三環中路5號財富金融中心35-36層
電話:+86 10 8587 9199
上海
上海市長寧區長寧路1133號長寧來福士廣場T1辦公樓37層
電話:+86 21 6289 8808
深圳
廣東省深圳市福田區金田路榮超經貿中心4801
電話:+86 755 8273 0104
天津
天津市河西區郁江道14號觀塘大廈1號樓17層
電話:+86 22 8756 0066
南京
南京市江寧區秣周東路12號7號樓知識產權大廈10層1006-1008室
電話:+86 25 8370 8988
鄭州
河南省鄭州市金水區金融島華仕中心B座2樓
電話:+86 371 8895 8789
呼和浩特
內蒙古呼和浩特市賽罕區綠地騰飛大廈B座15層
電話:+86 471 3910 106
昆明
云南省昆明市盤龍區恒隆廣場11樓1106室
電話:+86 871 6330 6330
西安
陜西省西安市雁塔區翠華路500號佳和商務大廈A座26層07室
電話:+86 29 8931 3353
杭州
浙江省杭州市西湖區學院路77號黃龍國際中心B座11層
電話:+86 571 8673 8786
重慶
重慶市兩江新區慶云路2號國金中心T6寫字樓8層8-8
電話:+86 23 6752 8936
海口
海南省海口市龍華區玉沙路5號國貿中心11樓
電話:+86 898 6850 8795
日本東京
日本國東京都港區虎之門一丁目1番18號HULIC TORANOMON BLDG.
電話:0081 3 3591 3796
加拿大愛德華王子島省
加拿大愛德華王子島省夏洛特頓市皇后街160號B座
電話:001 902 518 2988
阿聯酋迪拜
迪拜伊瑪爾商業園1號樓505號
電話:971 52 8372673
Copyright 2001-2026 Anli Partners. All Rights Reserved 京ICP備05023788號-2 京公網安備11010502032603號
聲明:本官網文章僅供交流,不構成安理律師對特定事項的法律意見或建議。如您面臨法律問題,建議您聯系安理律師或其他具有相關資格的專業人士尋求法律幫助。安理法律咨詢電話:400-800-5639。
