电子邮件 网上办公

邀兵请将  
您现在所在位置: 德衡商法网  >   业务领域  >   数字经济与人工智能业务中心

娄鹤、陈国彧:《民法典》隐私权与疫情期间个人健康数据保护

发布日期:2020-08-17

娄  鹤


北京德和衡(上海)律师事务所

高级联席合伙人


陈国彧


北京德和衡(上海)律师事务所

高级联席合伙人




将于2021年1月1日起实施的《民法典》,首次在第四编人格权中以专章规定了“隐私权和个人信息保护”的相关内容。其中明确规定了隐私权与个人信息的基本定义、保护原则以及基本权利义务框架。本文将详细分析《民法典》对隐私权及个人信息保护的影响。同时结合现下“全民抗疫”的背景,简述疫情期间个人健康数据保护的问题。



一、《民法典》对个人信息保护的影响


1.《民法典》中关于个人信息保护的主要规定


※ 关键定义 


《民法典》第1032条规定了自然人享有隐私权,并首次从法律层面对隐私进行了界定,即自然人的私人生活安寧和不願為他人知曉的私密空間、私密活動、私密信息。


《民法典》第1034条明确了公民个人信息的定义,是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”这与《个人信息安全规范》的定义保持一致。


需要注意的是,《民法典》中所提及的“信息处理者”概念更为宽泛,包括了参与对个人信息收集、存储、使用、加工、传输、提供、公开等数据处理流程的全部主体,而《个人信息安全规范》所规范的仅限于“有能力决定个人信息处理目的、方式”的“个人信息控制者”。


※ 细化权利 


《民法典》第1034条第三款规定了“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”,标志着新出台的《民法典》打破了以往“隐私权”和“个人信息“一元制”保护模式的局限性,将对公民隐私权的保护提升到新的高度。


《民法典》以细化条文的形式规定了公民对其个人信息所享有的各项权利,对个人信息的处理应当遵循合法、正当和必要的三大原则(第1035条);赋予公民享有对其个人信息的查阅权、复制权、更正权、删除权(第1037条)。


※ 特殊规定 


同时还提出了对一些特殊主体或特殊数据类型的保护义务,例如医疗机构对患者个人敏感信息的保护义务,法定机构及其工作人员对其收集到的公民个人信息的保密义务(第1039条),以及征信机构对不当征信评价及时更正和删除的义务,不当使用公民个人信息所要承担的侵权责任以及免责事由(第1036条)。


《民法典》的出台标志着我国已经构建出以《民法典》为理论依据,即将出台的《个人信息保护法》为重要保障,《个人信息安全规范》为技术标准,以及散见于各部的法律规范,如《网络安全法》、《刑法》修正案(九)》为补充的个人信息(安全)保护体系。


2.“人脸识别第一案”与公民个人信息权利的具体应用


2019年10月28日,浙江理工大学副教授郭某以杭州野生动物世界(以下简称“动物园”)未经其同意强制收集其个人生物识别信息为由将动物园诉至法院。事件起因是动物园以园区系统升级为由,强制要求年卡用户必须“刷脸”入园,动物园还明确表示如不进行人脸识别注册将无法入园也无法办理退卡及退费手续。郭某认为面部特征等个人生物识别信息属于个人敏感信息,一旦泄露或非法提供或者滥用极易危害消费者的人身和财产安全。


※ 信息收集以数据主体同意为必要前提 


人脸识别信息属敏感信息,对此类信息的保护相较一般个人信息更为严苛,民法典第1033条明确规定,在处理私密信息前需要权利人的明确同意。《个人信息安全规范》还要求采取单独告知的方式和明示同意,排除了默许同意的情况。本案中,原告郭某认为在启用人脸识别系统之前,动物园并未与其协商并征得他的明示同意,该政策明显不符合“同意”这一要素。动物园额外要求收集年卡用户的人脸信息,应当重新履行告知义务并获得权利人的同意。动物园以先前双方签订的服务合同为由提出的抗辩不能得到支持。


※ 数据信息收集者要履行告知义务 


根据《民法典》第1035条规定,个人信息处理者应明示处理信息的目的、方式和范围,确保个人信息主体是在充分了解相关情况的基础下做出合理、理性的个人判断。据媒体报道,在庭审过程中原告才了解到,之前在办卡的时候已经被拍照采集了,短信通知只是告知升级为刷脸入园,要求激活。换句话说,通知刷脸入园时已经收集了用户的人脸信息。在这一过程中,动物园没有履行必要的告知义务。


※ 数据信息的必要性原则 


个人信息处理应当符合“必要性”原则。动物园拟推行的“人脸识别”技术是否是提高入园效率、提升服务的必要性举措,是否具有其他替代性方案,是否有必要升级原有的指纹识别系统,是否符合社会公众的一般判断。这些均决定了“刷脸入园”政策的正当性与否。


二、疫情期间个人健康数据管理的合规


在当下这个“全民战疫”的特殊阶段,追踪并公开疑似病例的行动轨迹、掌握中高风险地区居民的健康信息对社会公共利益意义重大。然而,此类信息公开与个人隐私保护不可避免的会产生冲突,疫情期间因过度收集和使用公民个人信息,侵犯了公民隐私权的事件频频发生。


1.可能引发隐私泄露风险的场景分析


01


流行病学调查





流行病学调查对于病情溯源、减少病毒扩散有着举足轻重的作用,实际操作过程中,疾控人员需到现场开展信息收集工作,面对面地与患者交流发病前后的暴露情况和接触信息、活动轨迹、就医情况等,目的是寻找与传染源传播途径有关的所有蛛丝马迹,从而描绘出清晰的传播链,为判定密切接触者、采取隔离措施、划定消毒范围等提供信息依据。


然而在实际操作中仍存在超出法定或授权范围收集、使用个人信息,以及由于传阅方式不当,内部人员外传或被窃取等原因导致信息泄露的情况,导致个人隐私遭受侵犯,数据主体的正常生活被干扰,甚至会遭到不必要的歧视。例如,某市社区一工作人员将采集的涉湖北籍人员资料通过微信发给其丈夫,其丈夫又将资料转发单位微信工作群,继而引发相关个人信息在网络广泛传播。


02

疫情信息披露





在疫情期间,国家通过新闻、官方公告甚至微博微信等公众平台定时发布疫情信息,同时对谣言进行汇总和辟谣,通过这一举措提高了信息公开的透明度,降低了事件的“模糊性”,对稳定社会秩序,减少谣言的流通量,降低公众不必要的恐慌等有重要作用。


然而由于法律未对突发公共事件时的公开信息标准做出具体界定,因而在实际操作中,各地区对所发布的疫情信息的公开尺度、内容把握不统一,存在较大差异。从新冠疫情防控来看,这些被公开的信息可能涉及确诊或疑似患者的姓名、年龄、籍贯、行踪轨迹、短期消费记录、家庭背景、工作单位等,尽管一些疫情信息不会直接公开披露患者姓名、肖像、电话等,但是通过所公开的籍贯、年龄、行踪轨迹等辅助信息,并通过大范围的网络传播,其身边的同事、朋友、亲人很可能会综合各项信息后识别出具体的个人,从而导致个人隐私泄露的风险。



03

政府信息公开中的披露





公民人格权是《宪法》赋予的基本权利,《宪法》规定国家应尊重和保障人权,公民的人格尊严不受侵犯。《民法典》还规定了自然人享有隐私权,显然个人健康信息、病史等均属于受保护的隐私权范畴。


但根据《政府信息公开条例》第9条,当公共知情权所保护的“公共利益”明显大于个人隐私权保护的“私人利益”时,私人利益应让位于公共利益,即政府有权公开相关信息。2020年2月7日,上海市第十五届人大常委会明确了个人有隐瞒病史、重点地区旅行史、与患者或疑似患者接触史、逃避隔离医学观察等行为,除依法严格追究相关法律责任外,有关部门还可以将其失信信息依法归集到上海市公共信用信息平台,并采取惩戒措施。



04

媒体报道





媒体报道对个人隐私的侵犯屡见不鲜,无论是在采集过程中还是在报道环节均可能存在不当泄露数据主体个人信息的情况。在突发社会公共卫生事件,许多媒体为争取流量及缺乏隐私保护意识,存在过度追求及时、详细的报道的现象,导致侵犯个人隐私的行为频发。


此外,从此次新冠肺炎疫情的发展来看,还存在着其他非法泄露个人隐私的场景。例如,患者自身或其亲属为了能够获得社会救助而主动向政府机构提供,或者是主动向公众公开。新媒体环境下信息能够得到充分传播和发酵,一方面可以推动信息主体的诉求得到满足,另一方面,在没有法律约束的情况下,公开于互联网的个人数据可能永久无法消除,这对于该个人来说,无异于是在互联网上“裸奔”。个人信息一旦被公开就意味着有被滥用的风险,所带来的直接后果可能是个人名誉、身心健康受到损害或是遭到歧视性待遇等消极结果。


2.创新应用的误区:“杭州健康码”事件


2020年5月22日,杭州卫健委召开专题会议讨论推行健康码常态化利用。简而言之,就是杭州要升级改造在新冠疫情期间搜集到的个人信息,以这些海量数据为基础,开发新的功能,包括但不限于接入电子病历、抽烟喝酒等个人生活方式数据,然后对这些大数据进行色相评价,判断个人、楼道、小区乃至企业的健康状况。


消息一经公布,引发了舆论对公民隐私泄露的广泛争论。根据《中华人民共和国传染病防治法》第十二条、《突发公共卫生事件应急条例》第二十一条以及其他有关法律法规的规定,只有在突发公共卫生事件的情况下,卫健委等部门才可以不经同意大规模采集公民个人信息。在这种特殊的时候,公民让渡个人隐私利益给更大的社会公共利益,是为了配合紧急防疫的需求,而非彻底放弃其对个人信息的控制权。面对各方质疑,杭州市卫健委信息中心负责人表示,渐变色健康码仅为设计思路,该设想的初衷是为了促进健康生活方式的养成,需要进一步研究,目前没有上线计划。


3.疫情中个人隐私保护的完善建议


我国现行对个人隐私或个人信息保护的法律规范并不阻碍突发公共卫生事件下对个人信息的处理。但是,在应对新冠疫情中,公民个人隐私遭到泄露和不当利用案例频发,反映了立法中存在的不足。突发公共卫生事件下的隐私保护虽然不是隐私保护的常态场景,但却是整个隐私保护体系是否合理有效的重要组成内容。这种背景下的个人隐私保护的独特性要求,立法必须尽快作出及时回应,以有效平衡公共利益与个人利益,减小或避免对个人隐私权产生的不良影响。



05

明确疫情的起点和终点





突发公共卫生事件下的公民个人隐私利益和公共利益具有突出的不对称性,在特殊时期公民的个人利益要让位于社会公共利益,但是也要防止因为突发公共卫生事件导致个人隐私权被过度克减。首要任务是明确突发公共卫生事件的起点和终点,即通过立法明确处理个人信息的特权或违反个人信息保护行为的豁免的具体区间。疫情发生后内地超过31个省的政府启动了重大突发公共卫生事件一级响应,但是我国立法中并没有明确规定以政府确定突发公共卫生事件作为隐私保护变化的节点。为了尽量降低对公民权利的损害程度同时兼顾公共利益,应当考虑在立法中明确个人隐私保护之例外情形的起点和终点,例如以国务院或地方政府宣布三级响应(较大)作为分界线,在确定响应状态消失后,不再必要的个人信息应当被删除。



06

聚焦个人信息使用责任制





相比于平时对个人信息的使用价值,在公共卫生事件下,个人信息的使用可以发挥更大的价值,在这种情况下既不能让严格的“知情与同意”减缓应对公共卫生事件的响应速度,又应当通过法律明确规定个人信息控制者的法律责任和义务,如:个人信息的使用目的及方式、内部访问的限制、采取的技术保护措施、信息处理的流程和制度、机构负责人、因管理不善导致信息泄露的违法后果和赔偿责任。



07

对特殊群体的隐私采取特殊保护





个人隐私始终是多维的、灵活的以及动态的,不同个人对于隐私保护的追求都是不同的。在突发公共卫生事件中,这种利益追求的差异也更加明显,因此对隐私保护的程度也应当进行分类。感染者及与感染者密切接触人员,考虑到他们个人信息使用的价值和信息披露对公众健康权益的保护,法律应当对这类群体隐私保护的例外条件进行具体规定。对于具有特定身份的公职人员,其所任职务、职责、姓名、联系电话等在公共卫生事件中应当得到适当披露。此外,公民信息保护立法中应当强调对死者隐私的尊重,但可以对其隐私利益的保护期限作出规定。


或许您还想看

【律师视点】娄鹤:等保2.0之云租户合规注意事项

【律师视点】娄鹤、于赓琦:《个人金融信息保护技术规范》解读一 | 合规体系梳理

【律师视点】娄鹤、于赓琦:《个人金融信息保护技术规范》解读二 | 个人金融信息分级制度

【律师视点】娄鹤 | 微盟删库事件追踪:“云上损失”如何索赔?

【律师视点】娄鹤:解析“撞库”案件中的电子证据

【律师视点】陈国彧、姚雨飞:美国《加州消费者隐私保护法案》(CCPA)已生效 ——最严数据保护法案要易主了吗?

【律师视点】陈国彧、姚雨飞:危机管理 | 企业在疫情中确保业务持续性的简要法律指引

【律师视点】陈国彧:雅诗兰黛惊爆客户信息泄露疑云 ——零售行业成为个人信息保护的下一个高危目标

【律师视点】陈国彧:从微盟员工“删库跑路”看SaaS企业的数据安全治理

【律师视点】陈国彧:危机管理 | 疫情下的员工关系管理

【律师视点】陈国彧:工作场所的员工隐私受保护吗?——雇员工作场所隐私保护法律和实践

【律师视点】陈国彧、姚雨飞 | 营销线上化:消费者隐私的泄露风险分析与防范

【律师视点】娄鹤、陈国彧 | 营销线上化:企业经销商体系变革的法律问题



作者简介

娄  鹤

北京德和衡(上海)律师事务所高级联席合伙人、CISO(注册信息安全管理人员)。执业领域:网络安全及数据合规、网络犯罪及争议解决、企业境内外融资。

娄鹤律师是上海市科技创业导师,上海漕河泾开发区科技创业中心创业导师,曾任上海市律师协会证券和期货业务委员会委员、上海市律师协会互联网业务委员会委员。


手机:13816316298

邮箱:louhe@deheng.com

陈国彧

北京德和衡(上海)律师事务所高级联席合伙人、国际隐私保护协会专家会员、上海律协法律合规业务研究委员会委员。执业领域:数据隐私保护、跨境投资、公司合规、危机管理。

陈国彧律师分别于2005年及1999年在上海华东政法学院和北京中国人民大学获得法学学位及历史学学位。陈律师于2019年加入北京德和衡(上海)律师事务所,此前服务于上海市海华永泰律师事务所及北京市大成律师事务所。她在公司治理及合规、数字资产合规管理及商业应用、中国企业境外投资、企业员工关系管理方面拥有丰富的实务经验。服务的客户行业领域包括:高科技企业、公共交通、房地产、私募基金、证券类基金、重型制造、健康生活、新能源等。


手机:13795200212

邮箱:chenguoyu@deheng.com

数字经济与人工智能业务中心

  • 辛小天

    中心总监

    网络安全,电商合规业务,一带一路投资并购与争议解决专业委员

    更多 》

  • 娄鹤

    执行总监

    金融科技合规应用,境内IPO及再融资,公司争议解决

    更多 》

  • 周杨

    副总监

    网络安全,电商合规业务,金融科技合规应用

    更多 》

  • 刘刚华

    副总监

    复杂商事争议,银行专业委委员会,专利

    更多 》

  • 史蕾

    中心秘书长

    电商合规业务,网络安全,企业合规

    更多 》

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

鲁公网安备 37020202000804号     山东德衡律师事务所ICP备案号:鲁ICP备05011736号    网站统计