疫情信息传播与数据隐私保护
梁译方 周丽娜
【摘要】新冠肺炎疫情暴发后,世界各国采取各种措施应对此次重大突发公共卫生事件,利用大数据、人工智能等技术赋能手段收集、分析、处理数据隐私,一方面保障了公共安全和公民的知情权,另一方面在实际操作中也出现了收集、分析、处理数据隐私的问题。韩国此次抗击疫情的风险沟通、抗疫表现较为亮眼,但也出现了社交媒体数据隐私泄露、影响公民私生活的情形。本文从考察韩国社交媒体疫情信息披露与传播事件入手,梳理新冠肺炎疫情大流行期间韩国相关政策法规的调整,分析其政策影响和对我国的启示。
【关键词】突发公共卫生事件 ? 新冠肺炎疫情 ? 数据隐私保护
【中图分类号】G229 ? ? ?【文献标识码】A
MERS(中东呼吸综合征)2015年在韩国暴发后,该国在突发公共卫生事件立法和政策制定中愈加倾向于披露国民信息以换取更多的公共利益,其理念及实践做法引起韩国国家人权委员会的关注,引发韩国国民关于数据隐私、国民心理卫生健康担忧的讨论。自2020年初新冠肺炎疫情暴发至今,韩国大量删除社交媒体上非法泄露确诊患者数据隐私的信息帖子,发布了确诊患者路径移动披露指南,将《个人信息保护法》《传染病预防和管理法》等相关法律法规进行了多次修改,从立法和制度层面做了很多调整,相对完善了突发公共卫生事件中信息的收集、披露和删除等处理方式。
本文介绍了新冠肺炎疫情大流行期间韩国社交媒体传播信息与数据隐私保护的现实做法,分析该国在突发公共卫生事件中如何平衡公共利益与个人利益,并简要总结这些做法对我国的启示。
一、韩国社交媒体疫情信息披露与传播
海外媒体认为韩国在不放弃国民数据隐私、自由和民主的情况下实现了有效抗疫的目标,但是在现有资料中笔者发现,作为互联网高度普及的发达国家,韩国媒体及社会中实则存在许多数据隐私保护的漏洞与问题,其中涉及数据隐私的收集、处理、公开与删除等环节。
(一)线下收集信息不规范为数据隐私保护埋下隐患
在公共场所中,韩国采取了登记台账的方式以保证路径留痕,但是由于线下台账登记表格设计不合理、缺少专门的管理人员、没有指定的储存地点,因此,在人口流动性大的公共空间如网吧、练歌房、婚礼现场等,台账很可能导致信息暴露,首尔市分发的首尔市练歌房、网吧、营业场所管理台账上写明:“收集的个人信息只保管两个月,过期后即废弃。”韩国也承诺在公共场所收集的信息台账在保管两个月后废弃,如有利用合理用途之外的将根据韩国《个人信息保护法》第七十一条处罚。但是,对收集到的个人信息进行管理的练歌房、网吧等营业场所的负责人是否按照程序,对个人信息的保管、销毁等进行情况确认仍然存疑。①线下收集信息不规范也为数据隐私保护埋下隐患,线下获取信息,社交媒体传播,极容易发生大规模的数据隐私泄露事件。
(二)数据隐私保护、处理渠道不统一
由于数据隐私保护的联动性较差,部分确诊患者的个人信息通过多种渠道传开并最终暴露在互联网的审视下:某地警方在处理确诊患者相关信息时泄露了患者的个人信息;某保健所职员在交换文件过程中被泄露的公文中记录了在中国的停留时间、申报方法、行动监视经过等信息;许多网民通过网络社区MOM Coffee等掌握、共享有关确诊患者活动的信息,追踪确诊患者去过的场所名称、居住的建筑物和公寓的楼层数。韩国国民对新冠病毒的恐惧与数据隐私保护、处理渠道不统一,导致了社交媒体上过于详细地披露了接触者与密切接触者日常生活内容。②
(三)确诊患者信息公开内容不统一
另外,韩国相关政府部门、卫生组织未根据公开要求及时删除非法披露信息等也引发了许多困扰。部分地方政府对确诊患者进行流行病学调查后公开的范围并不统一,且披露与流行病调查关联性较低的信息导致了隐私权争议,因此许多网络社区以确诊患者公开的行动为基础,接连上传了猜测其私生活的内容,导致确诊者遭受身心二次伤害。据韩国媒体报道,2020年3月8日,韩国江陵市政厅在推特上公开了一位患者信息甚至具体的职业,引起了争议;一名男性确诊患者的妻子和子女经检测后虽为阴性,但其妻子的妹妹被判定为阳性,对此某网络社区甚至出现了是否为不伦的推测言论;另一位确诊患者在特定时间段多次访问练歌房的动向被公开后,网络上出现了许多对其职业和私生活的揣测。③
二、完善数据立法
2020年,韩国对《传染病预防管理法》进行了修订,明确了关于信息披露与保护的问题④。为避免传染病扩散危害国民健康,韩国保健福祉部发布《灾难及安全管理基本法》,其第三十八条第二款规定:异常危机警报时应迅速公布为预防传染病需公开的信息,通过在网上登载发布报道资料等方法公开传染病患者的移动路线、移动手段、诊疗医疗机关及接触者现状等。任何人认为公开事项的内容与事实不符时可以向保健福祉部长官书面、口头或通過网络提出异议,保健福祉部长官依据法律认为提出异议有相当理由的,应当采取修正公开信息等必要措施。另外,关于信息的处理也进行了调整,一是作为传染病预防控制机关可突破一些法律的条框要求其他机关、公共机构提供有关数据信息;二是数据信息的收集与使用必须在该机关、公共机构业务所必需的范围之内使用,不能以防治传染病之外的目的使用,当其必要的工作业务结束时应立即销毁;三是如未根据必要限度收集、提供、共享数据信息,未及时删除数据信息造成数据隐私泄露,将会面临高额处罚。⑤最后,新修订的《个人信息保护法》第五十八条第二款为排除条款,涉及突发公共卫生事件的数据隐私保护在处理方式上突破了法律对于一般意义上数据隐私的保护⑥。此外,韩国对《个人信息保护法实行令》《医疗法》《位置信息的保护和使用法》等突发公共卫生事件相关法律都进行了调整,以应对未来的各种挑战。
三、数据隐私监管新政
(一)发布《确诊患者移动路径等信息公布指南》
为缓解公众焦虑,从信源上保障披露的信息内容合法,韩国保健福祉部下属机构疾病管理本部2020年3月14日将首次制定的《确诊患者移动路径等信息公布指南》分发至每个地方政府。该指南采取“尽可能详细说明和披露时空信息,但不包括个人身份信息”的原则,并高频率地被先后三次更新,以平衡防止传染病扩散与个人信息的过度泄露引发人权侵害之间的关系。
该指南依据《传染病预防和管理法》《个人信息保护法》《灾害与安全管理基本法》等法律制定,在公开对象、公开内容、公开模板方面进行了较为详细的说明。第一版指南⑦中分别指向公民身份信息、在传染病暴发时公民的权利与义务,以及在发生传染病危机时应披露的信息。⑧披露信息时,应考虑流行病学调查、法定限制和确诊患者隐私的各个方面,⑨如传染病患者的感染途径、接触状况等信息的披露仅限于预防传染病所需的信息。在具体披露方式上,明确了韩国国家人权委员会2020年3月9日提出的“确诊者移动线路公开时不公开特定个人的信息”建议。公布的时间范围为从症状产生前一天至隔离日,如果症状未确诊,则应在样品采集日期至收容日期前一天;公布场所和出行方式时,基于公众关切,在时间和空间上都将可能与患者接触的地方和运输方式予以公开;根据确诊者的症状及是否戴口罩、停留时间、暴露情况及时间等因素决定是否公开居住地详细地址和单位名称,但在职场中可能传播给非特定多数人的情况下可以公开,在一定空间内所有接触者联系方式已确定情形下可能不予公开;通过流行病学调查掌握的接触者中有身份不明的接触者,如有必要向大众公开则可公开;除特定个人信息外,在一定范围内特定公开空间、时间信息时,公开建筑物特定楼层或户室、多重使用设施的情况、特定卖场名称、特定时间段等;公开商户信息时,应确认商号名及准确地址信息如道路名称等;公开公共交通工具时应公布路线号、线路号、登机号、登机和登机时间以及下车时间。
第二版指南⑩在原有基础上列出了法律法规依据,明晰了传染病患者的移动路径和接触者现状等信息公开的法律限制;为保护确诊患者隐私,只公开预防感染所需的必要信息;将第一版中“公布的时间范围为从症状产生前一天至隔离日,如果症状未确诊则应在样品采集日期至收容日期前一天”调整成“前两日至隔离日”“样品采集日期至收容日前两天”。
第三版指南?明确了信息公开期间为从确诊者与最后接触者接触之日起14日之后,当超过公开时间后删除场所等公开内容;公布个人信息时不公开性别、年龄、国籍、居住地及单位名等特定个人的信息,不公开镇、乡、洞单位以下信息,但担心单位向不特定的多数人传播时,单位名称可以公开;公开场所时如不指定场所及移动手段,可能对多数人造成伤害的,在可能的范围内特定公开空间、时间信息;不按时间公开个人移动路线,应以场所目录的形式公开地区(市、郡、区)、场所类型、商号、详细地址、暴露日期、消毒与否的信息等。
(二)各机关部门联动防控数据隐私泄露
在各机关部门联动以防止、控制数据隐私泄露中,韩国政府机关依据《个人信息保护法》《个人信息保护法实行令》《个人信息保护指南》等法律、行政法规,对内要求公职人员及相关责任人依法依规严格处理数据隐私、个人信息,对外以中央防灾与安全对策总部为中心,联动广播通讯机关、警察机关等针对数据信息泄露的情形进行大规模的网络巡视与筛查,结合《确诊患者移动路径等信息公布指南》,对于过度公开、超期公开等网络帖子等内容依法依规删除。
在负责信息处理的公职部门中,韩国疾病管理本部根据《个人信息保护指南》颁布《违反KCDC(韩国疾病控制与预防中心)个人信息处理标准的纪律处分》等法规,将责任认定制成表格,如果有工作人员将收集的个人信息用于其他目的则会受到纪律处分,根据不同的违反纪律的情形有降职等处罚方式。?根据韩国《个人信息保护法实行令》第五十九条和第六十二条第二款,韩国个人信息保护委员会将根据法律指定韩国互联网振兴院为专门机构,专门负责受理和处理侵害个人信息权利或利益的事实等相关业务。韩国互联网振兴院设立了个人信息侵害举报中心,个人、商业机构等信息侵害依网站示例规范举报后,接收机关会及时通过电子邮件发送答复。?
四、政策影响及对我国的启示
韩国在2015年应对MERS期间,政府为平衡公众获取信息与患者数据隐私间的关系,未及时公开患者流行病调查信息,从而引发了民众的不满,导致病毒在全世界的扩散。韩国网民纷纷自发组织制作感染者行动轨迹地图,也引发了一系列社交媒体数据隐私泄露事件。为此,官方修订了传染病相关法规,授权疾病管理机关在发生突发公共卫生事件时可获得闭路电视、手机定位系统、入境记录等数据信息,政府、医疗机构和企业可共享信息以配合调查,及时公开信息,由此构建起了重大突发公共卫生事件中数据隐私保护的规则和框架,并结合实际运用场景及时、动态调整。基于MERS的防疫经验,韩国政府抗击新冠肺炎疫情的风险沟通、抗疫表现较为从容,在对确诊患者、疑似患者的移动路径信息等方面秉持了能公开尽公开的原则,因此韩国在本次新冠肺炎疫情前的响应与实践是及时且相对科学的,这与该国不断完善的法律体系、联动的行动方式与强硬的执法手段密不可分,韩国政府部门专设的政策研究机构为政策的调整更新提供了强有力的智库支持。
但是,在《个人信息保护法》第三章第二十三条中规定的处理敏感信息的限制中包括“有关健康、性取向等方面的信息”,其中“有关健康等信息”是指关于个人过去及现在的病史、身体上和精神上的障碍等信息,但在该法第五十八条中突发公共卫生事件将其排除,体现出韩国在立法和做法上对个人信息处理的例外过分广泛,并不能充分保护信息主体权益,存在以保护公共利益的名义便可以理所当然地限制个人隐私权利的问题。在《个人信息保护法》中,个人信息控制者可能是政府、公共机构,也可能是商户、一般的个人,个人信息安全管理相关规定的模糊存在许多问题,因为当私人主体在处理个人信息时,完全排除信息主体的权利就不能保障信息主體的隐私权。
另外,在个人信息处理中“暂时性”概念过于抽象,出于公共利益考虑可能无法有效地限制收集和存储过程的时间,如对信息的匿名化处理的方式不健全,可能会爆发类似于韩国网络实名制时代大规模数据隐私泄露事件,甚至在我国网络上那时都可以查找到韩国人的身份证等信息。
最后,在现行个人信息保护法的体系下,因突发公共卫生事件适用《个人信息保护法》而省略了必要的收集和利用敏感信息同意程序,将与敏感信息的保护宗旨背道而驰。前面提到,新冠肺炎疫情推动韩国国会通过了《个人信息保护法》《信用信息法》《信息通信网法》,以加速信息的流动,但韩国政界和市民社会一些人士担心个人信息被泄露。由此看出,韩国对于数据隐私的态度是以公共利益和推动社会、产业发展为先的。
此次新冠肺炎疫情是面向全人类的大考,各国在采取行动时更应加强交流,互通有无。我国与韩国同属东亚文化圈,在内核与外缘上有差异,也存在很多共性,在面对问题与实践做法上有很多相似之处。
注释
①《新冠肺炎疫情大流行时代的个人信息保护》,《韩国互联网振兴院报告(第五辑)》,2020年5月,https://www.kisa.or.kr/jsp/common/downloadAction.jsp?bno=158&dno=413&fseq=1.
②《警方抓获在MOM Coffee等社交网站散布有关新冠肺炎疫情虚假新闻的89人,波及32人个人信息泄露》,每日安全新闻网,2020年3月16日,https://www.idsn.co.kr/news/articleView.html?idxno=14267.
③《公开新冠肺炎疫情确诊者的移动路线,是知情权还是侵害私生活》,女性感觉新闻网,2020年4月29日,https://www.smlounge.co.kr/woman/article/44573.
④韩国《传染病预防管理法》第三十四条第二款。
⑤韩国《传染病预防管理法》第七十六条第二款。
⑥“为了公共安全与福祉而紧急处理的临时个人信息”不适用于《个人信息保护法》第三章到第七章,与韩国国会于2020年1月9日通过的“数据三法”中备受关注的“假名信息”等关联并不大。
⑦《发布确诊患者移动路径等信息(第一版)》,中央防疫对策本部患者、密切接触者管理团, 2020年3月14日,https://www.tongyeong.go.kr/_res/portal/popup/20201028/cov19.pdf.
⑧法律依據为韩国《传染病的预防及管理法》第二条、第六条、第三十四条。
⑨韩国《灾难及安全管理基本法》第三十八条第二款。
⑩?《确诊患者移动路径等信息公开指南(第二版)》,中央防疫对策本部患者、密切接触者管理团,2020年4月12日,http://icdc.incheon.kr/_lib/fileDownload.php?idx=18732020.04.12.
?《确诊患者移动路径等信息公开指南(第三版)》,中央防疫对策本部患者、密切接触者管理团,2020年6月30日,http://blog.naver.com/PostView.nhn?blogId=o2gunpo&logNo=222022610988&categoryNo=0&parentCategoryNo=24&viewDate=¤.
?疾病管理本部关于个人信息处理标准的惩戒等规定,https://www.law.go.kr/admRulLsInfoP.do?admRulSeq=2100000100062#AJAX.
?国民个人信息侵害举报网址入口,https://www.privacy.go.kr/wcp/inv/perinfo.do.
(作者梁译方系中国传媒大学文化产业与管理学院硕士研究生,周丽娜系中国传媒大学文化产业与管理学院副研究员)
(本文编辑:李静)