扫一扫,关注我们
内容摘要:保护个人信息权益的“知情同意”规则在“公众健康方面的公共利益”面前失灵。个人信息主体的信息自主权与行政管理主体基于公共利益需要开展的强制性个人疫情信息调查之间的法律冲突不可避免。在突发公共卫生事件的非常态下,现有法律规范体系难以有效保护个人信息。借鉴欧美发达国家和地区疫情防控非常态下的个人信息保护法律制度,修改完善《突发应对事件法》、《传染病防治法》为主体的突发公共卫生事件法律规范体系,规制个人疫情信息行政调查主体权责,明晰个人信息存储、加工、访问、利用安全规则,构建泄露、违规利用个人疫情信息等违法行为法律责任网络,强化个人疫情信息行政调查基本程序规范,为非常态下个人信息行政保护提供规范基础。
关键词:突发公共卫生事件 个人信息 行政调查 法律困境 规制路径
一、问题的提出
全国范围内应对新型冠状病毒肺炎(Corona Virus Disease 2019,COVID-19,简称“新冠肺炎”)引发的突发公共卫生事件以来,无论是群防群控还是大数据精准防控,个人疫情信息的收集与处理无疑是最为关键的一环。借助大数据技术手段,身份信息、位置与行动轨迹、健康信息等个人信息在疫情预测预警、人员流动监控、隔离防治等方面发挥了重要作用。为了构建防疫大数据库,在群防群治的防控策略指导下几乎所有行政部门都根据防疫部署调查采集公民个人信息,更为突出的是乡镇、街道办事处、村委会、居委会、物业公司、企事业单位等基层组织为了落实防疫要求,也开展长时间、大范围个人信息采集。随着大数据技术在防疫、复工复产中的广泛应用,个人信息采集的合规性、安全问题也随之暴露出来。一方面在个人信息的收集、使用过程中,收集主体往往以维护公共利益为由,强制要求信息主体无条件配合,甚至在一定范围公开个人敏感信息,对不配合者,轻则禁止进入特定场所、区域,重则以破坏防疫秩序为由给与行政处罚甚至追究刑事责任。这类问题在疫情防控高峰期间层出不穷,仅以物业公司防疫信息登记冲突为例,在百度检索结果显示有1,510,000个相关信息。另一方面,被强制收集的个人信息屡屡被泄露和不当利用。同样在百度检索结果显示有961,000个相关信息,比较典型的案例是青岛市胶州中心医院6000多人的个人信息遭泄露被公开传播案、山西临汾网民姚某泄露《35名密切接触者名单》案、浙江舟山社区工作人员张某将疫情人员资料四处转发引起广泛网络传播案。防疫中出现的大量个人信息采集冲突和个人信息泄露问题暴露出依法防疫机制还存在“法治短板”。随着新冠疫情防控进入常态化,有必要深入反思和检讨,在信息主体的信息自主权与公共利益发生冲突后,是否任何行政主体都有权对个人信息进行强制性调查?个人疫情信息强制收集的边界和合法性基础是什么?如何从实体和程序方面规制个人疫情信息行政调查权的行使,平衡好个人利益与公共利益,实现既有利于疫情防控,又最大限度保护个人信息主体权益的双重效应。
二、个人疫情信息行政调查法律属性与规范基础检讨
(一)个人信息行政调查法律属性
现行中国大陆行政法规范体系中尚未建立统一行政程序法,因此对行政主体普遍行使的行政调查权未有法律概念。用法理学泰斗博登海默的话说,“概念乃是解决法律问题所必须的和必不可少的工具。没有限定严格的专门概念,我们便不能清楚地和理性地思考法律问题”。 鉴于概念是法律思考的逻辑起点,有必要在界定行政调查权概念的基础上进一步明确个人信息行政调查的法律属性,为规范个人疫情信息行政调查权,更好保护、利用个人疫情信息提供理论支撑。
1.行政调查的概念与法律属性
(1)概念之厘定
行政调查的程序和实体规定散见于各部门行政法,比如《传染病防治法》中关于疾病预防控制机构、医疗机构对传染病疫情信息的行政调查规定。在民主社会中,可以说没有行政调查就无行政。行政调查在行政法理论中存在诸多争论,尚未形成定论。结合部门法规定和行政管理实践,行政调查概念通说,是指行政机关为达成特定行政目的,依职权对相关之人、处所、物品、计算机网络系统等,通过实施询问、观察、检验、访问等方式进行的信息搜集、证据提取等事实认定活动。概言之,行政调查是行政主体依职权开展的事实认定活动。
(2)行政调查法律性质
根据上述概念,行政调查属于事实行政行为,该行为本身不以创设、变更、消灭行政法律关系为目的。行政调查具有强制性,行政相对人负有配合之义务,否则承担不利后果。行政调查的强制性,使得其对被调查对象的权利天然具有入侵性,有必要予以严格规制。恰如学者所担忧的那样,“行政调查的广泛性与实力性,不可避免地使被调查者的个人隐私、自由和权利受到侵害” 。尽管行政调查属于过程性行为,一般不具有可诉性,但是违反行政调查程序或者实体规范,损害被调查对象权益,构成行政侵权的,仍然具有可诉性。
2.个人疫情信息行政调查之法律特征
个人疫情信息行政调查,是指行政机关为维护公众健康之公共利益,依职权对个人、单位、处所、存储个人信息的计算机网络系统等采取询问、记录、访问、传输、共享等方式收集个人与疫情相关之信息的事实认定行为。个人疫情信息行政调查除了具备行政调查的一般属性外,由于个人信息受到《民法总则》、《网络安全法》等法律特别保护,再加上个人疫情信息调查是在疫情防控的紧急状态下实施的,它还需要遵循《突发应对事件法》、《传染病防治法》等紧急状态下的法律规范,因此个人疫情信息行政调查还具有特殊性,法律特征在于:(1)基于防控疫情,保护公众健康的公共利益需要;(2)实施依据是突发公共卫生事件紧急状态下的法律规范;(3)个人具有配合义务,有条件豁免适用“知情同意原则”;(4)基于效率优先原则,可适用简易程序对个人信息进行强制处理。
(二)规范体系
1.规范效力体系
行政主导是我国应对突发公共卫生事件的管理模式。正如施瓦茨所言“情报是燃料,没有它行政机器就无法发动” ,利用行政手段收集、利用个人疫情信息,是保障各级政府及其行政机关履行疫情防控职责的基石。我国通过《突发事件应对法》、《传染病防治法》、《国境卫生检疫法》、《突发公共卫生事件应急条例》、《国内交通卫生检疫条例》以及地方性法规建立起突发公共卫生事件下个人信息行政调查规范体系。
(1)《突发事件应对法》第三十八条规定县级以上人民政府及其有关部门、专业机构在应对突发事件时,应当收集突发事件信息,并可在居民委员会、村民委员会和有关单位建立信息员报告制度,获悉突发事件信息的当事人具有报告义务。
(2)《传染病防治法》第十二条授权疾病预防控制机构、医疗机构对有关传染病的信息调查权,明确受调查对象“必须接受”、“如实提供”的协同义务和信息调查主体的保密、防泄漏义务。此外《国境卫生检疫法》第十五条、十六条、十七条授权国境卫生检疫机关对入境、出境的人员实施传染病监测并对个人健康信息进行调查。
(3)《突发公共卫生事件应急条例》第十四条规定县级以上各级人民政府卫生行政主管部门,应当指定机构负责开展突发事件的日常监测。该法第四十条规定,传染病暴发、流行时,街道、乡镇以及居委会、村委会,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告工作。《国内交通卫生检疫条例》第六条、第七条授权县级以上地方人民政府卫生行政部门或者铁路、交通、民用航空行政主管部门的卫生主管机构根据各自的职责对交通工具出入检疫传染病疫区和在非检疫传染病疫区的交通工具上发现检疫传染病疫情时,对交通工具乘运的人员实施交通卫生检疫。
(4)《突发公共卫生事件与传染病疫情监测信息报告管理办法》(原卫生部37号令)第二十二条、二十四条规定卫生行政机构在突发疫情时对个案的疫情信息调查和不特定人群的流行病医学信息调查内容、调查措施。
(5)在本次新冠疫情防控中,有些享有立法权的城市及时颁布具有地方性法规效力的疫情防控工作决定,授权相关主体信息采集、调查职责。如《浙江省人民代表大会常务委员会关于依法全力做好当前新型冠状病毒感染肺炎疫情防控工作的决定》明确了单位、社区健康信息监测和防疫信息收集、登记、核实、报送义务。
2.规制内容体系
上述法律、行政法规、部门规章和地方性法规不同效力层次的法律文件对疫情防控中个人信息调查进行了规范,从规制内容来看,主要包括以下几个方面。
(1)涉疫情信息调查行政主体。涉疫情信息调查行政主体主要包括卫生行政主管机关及其疾病预防控制机构、医疗机构,此外还包括国境卫生检疫机关和交通运输(包括铁路、航空等)行政主管部门。
(2)调查对象范围。对特定个人的调查范围包括传染病病人、病原携带者、疑似检疫传染病病人和与其密切接触者。不针对特定个体的流行病医学调查,不限定调查对象范围。
(3)调查措施。主要采取询问、盘问、登记、查询健康记录、行踪轨迹记录,登录、访问与疫情有关的个人信息数据库等方式调查个人信息。
(4)法律责任。调查主体在收集、使用、加工、传输个人信息时负有安全保障义务,不得泄露、篡改、毁损其收集的个人信息,不得非法买卖、提供或者公开他人个人信息。个人信息主体对于疫情有关个人信息调查必须协助、配合调查人员,如实告知调查人员个人与疫情相关的信息,否则承担相应法律责任。
(三)规范体系之缺陷
1.调查主体泛化,权责不明。现行规范体系根据行政部门职责不区分调查信息的类别,笼统规定了卫生行政管理机关及其所属的疾控、医疗机构的信息调查权,有的地方性法规还授权城市执法、市场监督部门以及单位、社区防疫信息调查收集义务,特别是还规定了街道、乡镇以及居委会、村委会的协助职责,但是并没有明确各部门的职责分工以及协助、受委托的权力范围,导致多头调查、重复调查问题十分突出,基层一线的疫情信息调查收集游走在灰色地带。
2.调查个人疫情信息类型和内容边界不清。如何根据需要调查收集与疫情直接相关的信息,尽可能少的收集个人信息,应当有具体的规则和操作规程,而现行规范体系对如何实施疫情信息调查缺乏具体规定,导致疫情信息调查收集范围边界不清,实践中与疫情无关的信息如个人财产、家庭状况、通讯记录等信息被广泛采集并被不当利用。
3.数据存储、访问、共享安全保障不足。现有规范体系对控制个人疫情信息的主体是否具备存储条件以及如何安全存储缺乏技术性约束,对访问、共享涉及疫情个人信息的数据传输加密、匿名化处理、访问权控制等缺乏规制,未能从源头上为防范信息泄露提供制度保障。
4.过渡强调协助义务,忽视基本程序约束。现行规范体系基于防疫紧迫性需要,系统规定了个人信息主体的协助配合义务以及拒不协助配合的法律后果,但是对实施调查行为的基本程序缺乏规定。尽管基于突发公共卫生事件,对行政主体调查收集个人疫情信息不能科以严格的程序义务,但是强制性的调查毕竟是对信息主体利益的“侵犯”,基于程序正义的基本原则,有必要对调查行为设定最基本的程序义务,防止公权力肆意侵入“个人信息”。
二、个人疫情信息行政调查的法律困境
(一)个人信保护的合法性基础:知情同意
对个人信息的收集利用,必须经过本人同意,并且该同意是在充分知情的前提下作出的,此即个人信息保护的知情同意原则。对个人信息保护而言,知情同意原则具有“帝王条款”的意义,恰如意思自治原则在民法中的地位。知情同意作为个人信息保护的一项基本的法律原则,具有广泛的共识,为国际规范和各国立法普遍采纳。我国虽未没有个人信息方面的专门立法,但是保护个人信息的基础性法律《民法总则》第一百一十一条、《网络安全法》第二十二条、第四十一条和全国人大常委会《关于加强网络信息保护的决定》第二条,都明确规定收集、利用个人信息需要征得个人同意。域外关于个人信息保护立法更早,更为全面。美国是世界上最早提出个人信息保护“知情同意”规则的国家,其在1974年通过《隐私法案》、1986年颁布《电子通讯隐私法案》中规定信息主体享有决定是否同意公开自己资料的权利,禁止行政机关在取得本人同意前,公开关于其个人信息。2018年开始生效的欧盟《一般数据保护条例》(以下简称GDPR)总体沿用了欧盟《个人数据保护指令》对个人数据的规定,对于数据处理行为合法性基础的六种情况中最基础的是第一种,即数据主体的同意。“知情同意”原则被视为个人信息保护与利用的基石,其无可质辩的哲学和法理基础在于作为主体的人具有自主性,恰如洛克在《政府论》中所指出“一切自然人都是自由的,除他自己同意以外,无论什么事情都不能使他受制于任何世俗的权力。”
(二)个人疫情信息行政调查合法性基础:公众健康方面的公共利益
在大范围突发公共卫生事件非常态下,个人信息除了承载个人利益外,由于个人生活在社会之中,因为疫情的传染性,个人的健康状况往往与公众的健康密切关联,在这种情况下,个人信息除了承载个人利益外还同时承载了社会公共利益,因此紧急状态下,法律规则在保护信息主体个人利益的同时,还应授权公共部门超越常态下的权力以维护公共利益。当个人利益与公共利益发生冲突时,如果仍然恪守常态下的保护规则,将难以满足维护公共利益所需要的“效率”和所能承受的“成本”,因此需要对个人信息主体的自主权作出一定的限定。正如大法官鲁斯·巴德·金斯伯格所言 “自由只存在于束缚之中,没有堤岸,哪来江河?”,在个人利益与公共利益,特别是多数人的健康利益发生冲突时,在个人利益与公共利益之间做出平衡,适度让渡个人利益以维护公共利益,实现个人利益与社会利益的兼顾与协调,这是文明社会普遍认同的正义原则。马克思在论述个人利益与公共利益时,曾精辟地指出“只有在集体中,才可能有个人自由”。公共利益优先原则,为个人信息行政调查豁免适用“知情同意”原则提供了正当理由。
(三)个人疫情信息行政调查的法律冲突
在突发公共卫生事件情势下,当个人信息既承载了个人利益又承载了公共利益时,法律既要保护个人利益又要维护公共利益,冲突就不可避免了。这些冲突至少体现在如下几个方面:
1.“知情同意”原则失灵。为了提高防疫效率,降低成本,客观上不可能在征得信息主体同意后再收集、使用信息主体与疫情相关的信息,否则延缓实施疫情防控措施,大幅提高防疫成本,甚至错失疫情防控时机,导致疫情扩散蔓延危及公共安全。
2.合比例原则受到挑战和突破。“最小且必要”是合比例原则在个人信息收集中的应用标准。疫情防控期间,国家采取联防联控机制,动员一切社会力量参与防控,在不同环节、不同主体参与的信息采集活动中,采集个人信息的类型、频率、数量所应遵循的直接关联性、最低化、最少量的限定性规则由于缺乏具体的规制标准而失之泛化,导致采集的信息范围过大,频率过高,数量过多往往容易突破了和比例原则限制。
3.存储与使用的限制与扩张。常态下个人信息在存储与使用过程中应当遵循时间最小化、去标识化、访问授权最小化、禁止公开披露等规则的严格限制。然而在突发公共卫生事件状况下,基于疫情防控的需要,对信息主体与疫情防控相关的旅居史、乘坐交通工具记录、相关接触史等信息的存储时间、利用控制,在确保安全的情况下,应当服从疫情防控需要,比如适度公开确诊者去过的公共处所、乘坐的交通工具等,以便于密切接触者采取防控措施。
4.基于效率的需要,过度简化行政程序不利于个人信息保护。个人信息权益的保护必然要求对行政调查这一公权进行必要的程序限制,然而程序限制客观上又必然降低防疫工作效率。为了提高效力,防止错失疫情防控时机,实践中对个人疫情信息甚至是敏感信息的行政调查缺乏程序规制,快捷的效率往往意味着简单粗疏,掩盖着对个人信息主体程序权利的轻视。
三、域外个人疫情信息行政调查法律制度之借鉴
在欧盟、美国等数据保护规则较为健全的发达地区和国家,均在立法或判例中确立了突发公共卫生事件中的个人信息保护与利用规则。
1.限制适用“知情同意”原则
GDPR第9条第1款规定了个人敏感数据处理的一般禁止原则,第2款规定了一般禁止原则的例外情形,其中第(i)项明确“在公共健康领域,处理是为了实现公共利益所必要的,例如,在欧盟或成员国内已经为保障数据主体的权利与自由而采取合适与特定措施的法律基础上,处理对于预防严重的跨境健康威胁是必要的”。2020年3月16日,欧洲数据保护委员会(EDPB)在《关于在COVID-19爆发的背景下处理个人资料的声明》中明确指出,雇主和公共卫生部门在流行病背景下处理个人数据,无需获得数据主体的同意,有利于欧盟成员国通过修订或者明确国内法以及时应对疫情。德国《联邦数据保护法》第二部分第22节允许公共机构出于公共卫生领域公众利益考虑在严重的跨界健康威胁如新冠肺炎疫情时,可以处理个人敏感信息。英国《调查权力法》第3部分第61A条允许对有症状或恶性传染病诊断的人进行跟踪,而无需征得其同意或另行通知。美国根据1974年《隐私权法案》并依据最高法院判例,支持州一级政府为了公共卫生目的通过立法赋予卫生部门广泛强制性权力,不仅州卫生部门能够直接进入私人场所或者对个人开展强制检查、调查等,还能从私营部门那调取与公共卫生相关的数据。
2.数据处理限制的例外。GDPR第18条第1款规定了对数据控制者处理权的限制,第2款规定“当处理受第1段的规定所限制,除了储存的情形,此类个人数据只有在如下情形中才能进行处理:获取了数据主体的同意,......或者为了欧盟或某个成员国的重要公共利益。”也就是说为了欧盟成员国重要公共利益,在防疫活动中,不经数据主体的同意,数据控制者可以对个人数据进行处理。在美国法上,公共卫生机构可以充分利用“第三方原则”顺畅地从私营部门调取、共享获得个人信息。“第三方原则”的要义是认为个人已经向私营部门披露的个人信息,视为个人已经放弃了前述信息持续获得隐私保护的期待,因此不适用美国宪法第四修正案。
3.内容与范围限制。美国、欧盟及其成员国这些传统上对个人信息奉行严格保护原则的国家和地区,对个人信息特别是涉及个人隐私信息的调查和收集,坚持严格的内容和范围限制,即使是基于维护公共安全的需要,也只能实现有限的豁免。GDPR第四章第28条第3款规定,处理者的处理应当受某类合同或其他欧盟法与成员国法的约束,这类合同或法律应当规定处理者相对于控制者的责任、主体事项、处理期限、处理性质与目的、个人数据的类型、数据主体的类型以及控制者的责任与权利的。
四、个人疫情信息行政调查法律冲突协调与规制路径
(一)冲突协调的法理基础:个人利益与公共利益的一致性
一个需要警惕的现象,是为了防控新冠疫情的需要,公众似乎一边倒地认为信息主体应当无条件让渡个人信息自主权,绝对服从公共部门信息调查。这种“绝对服从论”虽有利于疫情防控,但是为疫情中肆无忌惮侵害个人信息权益制造了借口。据公安部2020年4月15日发布的数据,新冠肺炎疫情发生以来,全国公安机关对1522名网上传播涉疫情公民个人信息的违法人员进行了治安处罚。网上不断爆出的个人健康、行踪轨迹甚至是与疫情无关的个人隐私,“裸奔”的个人信息使得人们从“绝对服从论”中惊醒过来,以更加理性的思维审视服从公共利益的根本目的是什么?事实上,保护公共利益的最终极目的仍然是保护个人利益,正如卢梭在《社会契约论》中说,个人利益服从公共利益,只不过是社会成员服从自己的利益而已。“每一个人的权利所服从的共同利益乃是一种每一个人都能分享的利益”,因此,在突发公共卫生事件的紧急状态,行政主体实施的个人疫情信息调查行为,尽管“侵害”了个人信息主体在常态下的个人信息权益,但是这种“侵害”最终是为保护个人在社会中的安全,因此个人信息权益与公众健康方面的公共利益具有一致性,这种一致性为个人疫情信息行政调查法律冲突提供了协调的基础。
(二)个人疫情信息行政保护立法规制路径选择
在突发公共卫生事件情势下,个人信息权益与公众健康方面公共利益的一致性,客观上要求在维护公共利益的同时,要也最大限度保护个人信息。现行突发公共卫生事件法律规范体系显然对信息主体的权益保护不足,有必要及时修订以《突发应对事件法》、《传染病防治法》为主体的突发公共卫生事件法律规范体系,规范个人疫情信息行政调查行为,为非常态下个人信息保护提供规范基础。
1.坚持职权法定原则,明晰个人疫情信息行政调查主体权责。
就一般意义而言,行政机关都当然具有履行职责所需的一般性行政调查权,但是只有法定的调查主体才享有对特别事项强制性调查权。现行突发公共卫生事件应对法律规范体系笼统授权既不利于行政机关充分行使调查权,也不利于保护个人信息权益,有必要根据个人信息保护的强度,根据职权范围分别授权不同的行政主体对个人疫情信息调查权,防止出现“一窝蜂”调查收集个人疫情信息的局面。
(1)对个人基本信息,如姓名、出生日期、性别、国籍、家庭关系、住址、个人电话号码、职业、工作单位等这类非敏感信息,可以授权一般行政机关在疫情防控期间进行调查、收集,也可以由行政机关委托街道、乡镇以及居委会、村委会调查收集,但是委托单位加强对受托单位的监督管理,并承担法律责任;
(2)与疫情有关的个人身份和健康生理信息,如身份信息、症状等与疫情有关的个人健康生理信息,以及14岁以下(含儿童)的个人基本信息,这类信息危及人身和财产安全,应提高保护等级,限制调查收集主体。这类信息只能专门授权卫生行政主管机关及其疾病预防控制机构、医疗机构调查收集,而且既不能委托给其他行政机关,也不能委托给街道、乡镇以及居委会、村委会调查收集。
(3)与疫情有关的特定个人的活动信息,如行踪轨迹、住宿信息、精准定位信息、乘坐交通工具记录、相关接触史等信息,这类信息属于私密性极高的信息,一旦泄露严重危机个人人身安全,因此应予最高级别保护,根据部门行政管理职责,这类信息的调查收集只能授权公安机关,而且只能专属于公安机关。
2.坚持“最小必要原则”和“目的限制原则”,明晰行政主体调查个人疫情信息的类型、内容边界。
(1)规定调查收集个人信息必须与疫情防控具有直接关联且做到数量最少。禁止借疫情防控之名,收集个人财产信息,基因、指纹、面部识别特征等个人生物识别信息以及银行账户、房产信息、征信信息等个人财产信息。
(2)规定对与疫情有关的行踪轨迹、住宿信息、精准定位信息、乘坐交通工具记录、相关接触史等特定个人的活动信息被调查、采集的对象范围,严格限定于确诊者、疑似者、密切接触者等重点人群,禁止任何机关采取技术手段,针对特定地区的所有人群进行特定个人的活动信息调查、收集。
(3)出台疫情数据网络采集法律规则对行政主体利用网络采集或者委托数据运营商采集个人疫情信息的,明确要求数据控制者在APP、微信小程序等网络工具首页告知“隐私政策”、“个人信息保护声明”,在注册、登录、填写个人信息等页面,以显著方式公开收集、使用个人信息的关键规则,如收集个人信息的目的、类型,保存时间、安全措施及投诉渠道等。
3.坚持可追责性,按照“谁调查、谁收集、谁保护”的原则,明晰个人疫情信息控制者存储、传输、共享、访问等信息处理中的安全规则和法律责任。
(1)明确规定存储、加工个人疫情数据应当具备的安全技术条件,这些技术条件包括硬件、加密及数据脱敏处理软件、计算机系统加密和保密管理制度等,不具备安全技术条件的行政主体,不得独立调查、收集个人疫情信息。
(2)按照存储时间最小化、原始信息与去标识化信息分别存储原则,规定个人疫情信息的存储时间,对超过存储期限的,应当删除或者匿名化处理。对收集的个人疫情信息初始数据及时进行去标识化处理,并与原始信息分开存储,建立访问和使用流程管控机制。
(3)对因疫情防控需要,访问、共享、使用个人疫情信息数据库的,规定数据控制者应当建立最小授权的访问控制管理制度,对个人疫情信息的重要操作设置内部审批流程,对个人信息的利用限定在疫情防控目的范围内,防止信息人为泄露和不当使用。未经被收集者同意,禁止公开个人信息主体姓名、年龄、身份证号码、电话号码、家庭住址、工作单位等能够识别个人身份的信息。
(4)进一步完善个人疫情信息行政调查主体、调查人员以及专业数据处理机构在收集、存储、加工、访问、共享、使用各个环节的责任,这些责任包括公共权力组织体系内的纪律处分、行政处分和数据监管机关的行政处罚、刑事责任,织起一道严密的个人信息保护网络。
4.坚持程序正当原则,明晰个人疫情信息行政调查基本程序规则。
(1)保护个人信息主体的知情权,明确规定行政主体在调查、收集个人疫情信息时应当表明身份、告知调查收集个人疫情信息的依据、目的和隐私保护政策,未保障个人信息主体知情权的,个人信息主体有权拒绝调查和采集行为。
(2)保障个人信息主体权益损害救济权。在行政主体超范围收集,违反存储时间最小化、去标识化处理、未落实存储和访问安全管理制度以及不合目的使用个人疫情信息,导致个人疫情信息泄露、被不正当利用的,个人信息主体有权通过行政复议、行政诉讼维护合法权益。
浙江京衡(湖州)律师事务所
罗大平 13857290690
 |
|
浙公网安备 33050202000303号