新冠肺炎疫情发生时的监测、防控以及社会治理,是数字时代大数据和人工智能技术在中国首次被运用于重大疫情的监测与防控。习近平总书记在中央全面深化改革委员会第十二次会议上指出,“要鼓励运用大数据、人工智能、云计算等数字技术,在疫情监测分析、病毒溯源、防控救治、资源调配等方面更好发挥支撑作用”。数字时代对个人信息的采集、处理与分析让重大疫情防控更高效精准,但也出现了个人信息被滥用、泄露等情况。近日,中共中央网络安全和信息化委员会办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,特别强调在积极利用包括个人信息在内的大数据支撑新冠肺炎疫情联防联控工作的同时,做好联防联控中的个人信息保护。
数字时代个人信息的三重属性
个人信息具备人格利益属性。个人信息因具备“可识别性,能关联到特定的自然人”,其泄露、非法提供或滥用会对个人造成损害或歧视性待遇,也会影响个人的财产安全,因此法律有必要对其进行保护以满足自然人的人格尊严需要,同时也间接保护自然人的财产安全。
个人信息具备公共利益属性。从知识获取、社会进步与社会公平的角度看,信息意味着知识与公共利益,为了保障知情权,促进有效决策与社会公平,当个人信息与公共利益相关时,法律会倾向公共利益保护并推动一定程度的个人信息公开。
个人信息具备经济利益属性。信息社会注重对信息进行利用,信息因而具有经济价值与商业利益,数字时代的大数据技术以及互联网商业的发展,让个人信息成为极具商业价值的数据资源,从促进经济发展考虑,法律并不禁止获取个人信息,但强调获取与使用的合法性,规定个人信息合法获取与使用的方式,并规定相应的法律责任。
数字化疫情防控中个人信息三重属性的利益衡量
疫情防控中个人信息公共利益的属性体现出最大价值。按照法律规定,在疫情防控中,为了公共卫生利益,个体并没有拒绝信息采集的权利。相反一切单位和个人在公共卫生事件中都有接受调查,如实提供相关信息的义务。但个人信息的人格属性也决定了每个人都会担心个人信息泄露或其他风险,甚至会采取隐瞒出行史、接触史等方法来逃避与疫情相关的调查与信息采集,这样更不利于疫情防控。面对公共卫生突发事件,适应公共卫生利益的需要,赋予个人信息利用更大的价值以实现疫情防控,但同时法律更应该强化对个人信息在采集以及之后各个环节的严格保护,平衡公共利益与个人利益之间的冲突,以确保个人的人格尊严与安全。
新冠肺炎疫情防控中大数据技术的参与使得对个人信息的采集与处理规模前所未有,基本覆盖了社会所有成员,信息的广度与深度兼具,海量个人信息对数字经济而言是巨大的数据金矿,如果缺乏严格的法律与有效的监管,获取商业利润的冲动将给无数人的个人生活带来风险。因此应严格禁止对在疫情防控中收集的个人信息进行商业化利用,严格规范疫情期间以及疫情结束后已采集个人信息的处理与保管,这样才能让疫情中所有个人信息被采集对象获得心理安全,并保障每个人的人格尊严。
数字化疫情防控中如何保护个人信息
现有法律中涉及疫情防控中个人信息的主要是《突发事件应对法》和《传染病防治法》,其中《突发事件应对法》赋予政府多项应急权力,比如赋予县级以上人民政府及其有关部门、专业机构为信息收集主体;在居委会、村委会和有关单位建立专职或兼职信息报告员制度;公民、法人或其他组织有报告突发事件信息的义务。《传染病防治法》规定在传染病防治上,一切单位和个人必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况,同时授权各级疾控部门、医疗机构、县级以上卫生行政部门负责收集、分析、调查、核实疫情信息,报告传染病监测信息。
数字化疫情防控表现为个人信息采集手段的数字化、个人行为轨迹的数字化、疫情溯源数字化、病患医疗数据共享数字化、预警防控信息传播数字化。数字技术提升了疫情防控的效率、精准度,因而更高效,但海量个人信息的数字化收集与汇集也存在较大风险。数据量大,波及人群广;数字化传播,传播面广;信息采集参与者众多,风险环节多。因此数字化疫情防控对个人信息保护提出了更高的要求,法律应从以下方面强化疫情防控中的个人信息保护。
提升疫情防控中个人信息的保护标准。以公共卫生利益和个人利益为核心价值,禁止对疫情防控中获取的个人信息进行任何商业化利用,并对违反该禁止条款的行为制定严格的法律责任。只有这样才能让民众对疫情防控中的个人信息采集行为放心,用严格保护个人信息安全来实现个人信息在公共卫生利益上的价值。
建立重大疫情防控个人信息保护方案评估制度。在应对疫情采取防控措施时,应配套制定完整的个人信息采集、上报、处理、保管方案,并组织专家对方案进行安全评估,确保疫情防控各环节个人信息的安全。在疫情防控措施结束后,对疫情防控中采集的个人信息处理与保管制定严格的后续安全保障方案,并进行安全影响评估,提升个人信息数据保护级别。
建立互联网公司等商业机构参与重大疫情防控的模式与个人信息安全方案。在新冠肺炎疫情防控的实践中,电信运营商与互联网公司等商业机构通过自己的数据与技术,给疫情防控工作提供了大量的数据支撑。这其中既包括对他们已有数据的二次处理,也包括运用自身平台与技术优势直接参与疫情防控。应通过制度规范互联网公司等机构参与疫情防控的渠道与模式,制定相应的个人信息安全影响评估方案,对其商业行为获取的数据和参与疫情防控获取的数据实施双轨隔离管理制度,禁止将参与疫情防控获取的数据进行商业化利用,并将其设为红线。这既是对个人信息的保护,也是对互联网公司等商业机构的保护。