当前方的战士正在阻击疫情,后方的公众个人信息安全防线却在动摇。公众知情权和个人隐私权的权衡,成为当下疫情发展的关键问题。
1月30日,交通运输部发布紧急通知,要求依法严格保护个人隐私和个人信息安全,除因疫情防控需要,向卫生健康等部门提供乘客信息外,不得向其他机构、组织或者个人泄漏有关信息、不得擅自在互联网散播。
前几天,#武汉返乡人员信息遭泄露# 在一众疫情消息中杀出一条生路,成为众人热议对象。
随着疫情的发展,多省市启动了重大突发公共卫生事件一级响应,而出于疫情防控的需要,很多地区对于存在武汉旅游、居住和接触史的人员进行了排查和信息统计。这本无可厚非,但问题是,有些地区在信息收集后,却没有做好保密工作,导致人员名单在社交平台被大肆传播。这些曝于网络之上的信息精确到了个人姓名、身份证号码、家庭住址、手机号、甚至车票航班信息等,笔者相信,任何从事网络安全行业或者略有一些网络安全意识的人,都能知道信息泄露的危害所在。
值得关注的是,在这次信息泄露的受害者中,有些已经度过了潜伏期,有些籍贯武汉但长期在外工作,因为信息的泄露,他们遭受误解、区别对待、陌生人的恶言,甚至可能将面临一些网络犯罪分子的“觊觎”。
图1:武汉返乡人员信息遭泄露
笔者思忖,我们防范的是什么?是新型冠状病毒,而不是武汉人民。现实却是,武汉返乡人员的信息收集是出于疫情防控的需求,在执行中却给网络安全打开了一个口子。不管是这次的信息泄露事件,还是几起利用疫情的网络钓鱼攻击,都在警醒我们——疫情即网情。
首先,公民的个人信息是什么?以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括了姓名、身份证号、联系方式、住址、行踪轨迹。
根据《民法总则》第111条规定:
任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
《传染病防治法》第68条第5项同样规定:
故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的,对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书。
显然,此前武汉返乡人员信息泄露已经属于违法行为,不仅损害了个人利益,而且容易导致地区性歧视性待遇,乃至影响到公共安全及稳定。但从公众角度来说,由于抗疫过程中,信息的同步对于疫情控防和公众安全来说都非常重要,公众也享有关于疫情现状的知情权,所以平衡好公众和个人对信息的需求,才能更好地理性抗疫。
基于公共安全考虑,疫情防控需要,披露确诊患者信息能够帮助公众及时了解到疫情现状,加强防护,但披露一定不是肆意传播、未经证实的传播。
目前官方渠道披露的个人信息基本是以下几种情况:
1、获得个人的同意授权后可披露
2、对信息进行匿名和脱敏处理,并且达到“经过处理无法识别特定个人且不能复原的”程度,即可披露
3、政府、医院、科研机构等信息控制者在特定情况下(如涉及公共利益/法律法规要求时,或出于科学研究、公共卫生或医疗保健操作目的受限制数据集)可披露
比如,参考图2淮北的疫情通报,以及图3的“新型冠状感染性肺炎确诊患者同行”查询系统中的披露表格,一方面详细列举了患者的行动轨迹、报告来源、患者状况等信息,保障了公民的知情权,提升出行者的安全感,另一方面,没有披露患者的姓名等可识别特定个人的数据,充分保护了每位确认患者的个人信息。
图2
图3
纵观这场信息“雪崩”,一方面是信息收集方的失责,没有做到个人信息安全管理,导致信息泄露,另一方面,很多参与传播的人也无意中成了推手,在传播是为了帮助监督、是为了控制疫情的认知下损害了他人隐私权,甚至导致疫情恐慌甚嚣尘上。
在刚刚过去的2019年,个人信息保护一再成为重点工作和热门话题,今年,《个人信息保护法》和《数据安全法》更是计划修改,千里之堤不应毁于蚁泬,哪怕在疫情当下,个人信息保护的防线也不容击溃!
危难之下,越是要保持理性,保持对法律的敬畏。
*本文作者:kirazhou,转载请注明来自FreeBuf.COM