2020年1月23日,武漢市發布《武漢市新型冠狀病毒感染的肺炎疫情防控指揮部通告》(第1號),通知武漢市機場、火車站、客運等各類交通暫時停運,武漢市民無特殊情況不要離開武漢。然而,在武漢市發布1號通告之前,已經有500多萬人離開武漢前往全國各地。
[i]隨著全國各地不斷涌現確診的新型冠狀肺炎患者,國家調動各類機構對武漢返鄉人員的身份信息進行登記,必要時,對武漢返鄉人員進行隔離處理。在重大突發公共衛生事件面前,國家調動各類機構收集武漢返鄉人員的身份信息是否經過法定授權?鑒此,筆者對國家調動各類機構采集武漢返鄉人員信息的合法性進行分析,并撰寫本篇短文,僅供參考。
一、采集武漢返鄉人員信息的主體類型
據悉,武漢返鄉人員的信息出現大面積泄露的情況,泄露的主體主要有三類:第一、地方教育部門;第二、公安部門;第三、政府安排村委會、街道辦事處、社區的基層工作人員。
[ii]因此,可以反向推導,采集武漢返鄉人員信息的主體有:地方教育部門、公安部門、村委會或居委會等基層工作人員。該類人員采用直接收集信息的方式進行信息采集。
除了政府部門采集信息外,互聯網公司及基礎運營商利用自身數據對武漢返鄉人員進行定向追蹤,例如運用移動電話網絡CDR“大數據技術”對武漢返鄉人員進行有效識別。該類信息收集者則是通過改變信息使用目的的方式,將原本已經掌握的信息,轉用于疫情監測和防控等目的。
因此可以看出,采集武漢返鄉人員信息的主體類型大致有兩大類:政府有關部門和互聯網或基礎運營商。其中,政府有關部門采用直接采集信息的方式,互聯網企業或基礎運營商則是采用改變原有信息使用目的的方式。
二、采集武漢返鄉人員信息的合法性基礎
2012年人大常委會發布《關于加強網絡信息保護的決定》規定“網絡服務提供者和其他企業事業單位在業務活動中采集公民個人電子信息,應當……明示收集、使用信息的目的、方式和范圍,并經被收集者同意”,一個“并”字體現了“同意”是必要條件,是必須經歷的程序。
2016年人大常委會發布的《網絡安全法》再次重申“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。”因此,我國對于個人信息的采集一直以執行“告知+用戶同意”為判斷標準。
根據《信息安全技術 個人安全規范》的規定,“用戶同意”包括用戶“授權同意”和“明示同意”。所謂的“授權同意”類似于默示同意,對于一般的個人信息,只要用戶不反對,即視為其默示同意;所謂的“明示同意”是指“個人信息主體通過書面聲明或主動做出肯定性動作,對其個人信息進行特定處理做 出明確授權的行為。”個人敏感信息,則需要經過用戶的明示同意。
此外,根據《信息安全技術 個人安全規范》的規定,使用個人信息時“不得超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍。因業務需要,確需超出上述范圍使用個人信息的,應再次征得個人信息主體明示同意。”因此,如果需要改變信息使用目的的,需要再次征得個人信息主體的明示同意。
綜上所述,通常來說,采集個人信息的合法性基礎在于:
如果是政府有關部門直接收集個人信息,如果采集的是個人的一般信息,政府有關部門需要明示收集、使用信息的目的,得到個人同意后,政府有關部門才能收集;如果采集的是個人的敏感信息,政府有關部門需要明示收集、使用信息的目的,得到個人明示同意后,政府有關部門才能收集。
如果是互聯網企業或基礎運營商采用改變信息使用目的的方式,將原本已經掌握的個人信息,轉用于其他目的,需要再次征得個人的明示同意。
三、采集武漢返鄉人員信息合法性基礎的例外
通常而言,采集武漢返鄉人員信息的合法性基礎,無論是直接采集還是改變使用目的,均需得到“用戶同意”。然而,如果出現武漢返鄉人員基于恐懼等心理,拒絕同意或故意隱瞞真實情況,政府有關部門及互聯網企業或基礎運營商能否突破合法性基礎,未經“用戶同意”,經行采集武漢返鄉人員的信息?
《信息安全技術 個人安全規范》針對該情況設置了合法性基礎的例外規定,例如出現了與公共安全、公共衛生、重大公共利益直接相關的情形,個人信息控制者收集、使用個人信息不必征得個人信息主體的授權同意:
但是,《信息安全技術 個人安全規范》僅為推薦性國家標準,并沒有法律的強制約束力,而根據《網絡安全法》第41條的規定,“用戶同意”仍為采集、使用用戶信息的唯一標準。因此,從《網絡安全法》的角度無法突破收集用戶信息合法性基礎的例外。
但如果將視角移至《中華人民共和國傳染病防治法》和《突發公共衛生事件應急條例》,則會發現政府有關部門及互聯網企業或基礎運營商是可以突破合法性基礎,在未經“用戶同意”的情況下,直接采集武漢返鄉人員信息的。
《中華人民共和國傳染病防治法》第12條規定:“在中華人民共和國領域內的一切單位和個人,必須接受疾病預防控制機構、醫療機構有關傳染病的調查、檢驗、采集樣本、隔離治療等預防、控制措施,如實提供有關情況。疾病預防控制機構、醫療機構不得泄露涉及個人隱私的有關信息、資料。”
《突發公共衛生事件應急條例》第21條規定:“任何單位和個人對突發事件,不得隱瞞、緩報、謊報或者授意他人隱瞞、緩報、謊報。”
可見,在重大公共衛生事件面前,如果疾病預防控制機構、醫療機構需要相關的數據,一切的單位和個人(包括武漢返鄉人員、政府有關部門、互聯網企業或基礎運營商)應如實提供有關情況。任何人不得謊報、隱瞞、緩報。
由于《傳染病防治法》《突發公共衛生事件應急條例》屬于特別法,《網絡安全法》屬于一般法,根據特別法優于一般法的原則,雖然《網絡安全法》沒有規定“用戶同意”的例外情形,但根據《傳染病防治法》《突發公共衛生事件應急條例》的規定,政府有關部門及互聯網企業或基礎運營商是可以突破合法性基礎,在未經“用戶同意”的情況下,直接采集武漢返鄉人員信息的。
[i] 參見《大數據:500萬武漢人是“正常離開” 并非“逃離”》,網址:https://news.china.com/socialgd/10000169/20200128/37744428.html
[ii] 參見《被罵“武漢毒人”“要求公開全家信息” 超7000武漢公民信息泄露之后》,網址:https://mp.weixin.qq.com/s/SMHkEZY0qBqR8NXH_2dxIg
