2020年2月5日,习近平总书记在中央全面依法治国委员会第三次会议上强调,“疫情防控越是到最吃劲的时候,越要坚持依法防控,在法治轨道上统筹推进各项防控工作,全面提高依法防控、依法治理能力。”在应对“新型冠状肺炎病毒”这场没有硝烟的战役中,我国充分发挥新型举国体制的作用,统筹调动人才、技术和资源等优势打了一场艰苦卓绝的人民战争。其中,人脸、虹膜、指纹、声纹等生物特征识别、电子健康识别码登记、历史行为轨迹溯源、大数据隔离监控等新技术被运用于疫情防控工作中,有效地支撑了疫情监控、病毒溯源、医疗救治和资源调配等防控工作的需要,与此同时也带来了公民信息保护的风险问题。为此,应按照依法防控的要求,统筹兼顾维护公共安全和保护公民信息的法益保护需求,将“防疫战”纳入法治的轨道,推动我国社会治理体系和治理能力的现代化和法治化。
一、法益保护的冲突态势
公共安全法益和公民信息保护法益是辩证统一的关系,两者既存在协调一致的地方,也存在冲突的地方:
一方面,为了保护公民个体安全和公共安全法益的需要,存在综合运用大数据、云计算和人工智能等新技术全面客观地掌握社会和公民的疫情情况的客观需求。借助这些新技术,可以根据抗击疫情需要对特定区域、特定群体、特定个体等所存在的风险进行精准地监测、评估和应对。如在对公民身份、健康情况、行为轨迹等碎片信息进行立体采集和智能分析后,准确地采取针对性的防治措施。
另一方面,公民信息保护法益需要确保公民合法权益不被非法侵犯,公权力对公民信息的收集、存储和使用等必须做到合法合规。在“防疫战”实践中,各地政府一般借助一些移动互联网应用程序来实现公民信息的采集,存在“多头收集、多头管理、多头使用”的问题,不仅信息采集流程和使用权限无明文规定,而且对公民信息的存储也缺乏必要的保护措施,客观上存在公民合法权益被侵犯的现实风险。2020年3月9日,天津市委网信办发布了《开展疫情防控相关App违法违规收集使用个人信息的专项治理的通知》,对移动互联网应用程序出现非授权、超范围采集使用个人信息、未明示收集使用规则等问题进行专项排查。
二、法益保护的风险评估
(一)国家安全风险
“数据是未来国家博弈的关键决胜因素”。作为关键基础数据的公民信息,不仅是公民权益的问题,也是国家安全问题。一旦大规模泄露,将被滥用于他国对我国实施的混合战、政治战和网络战等活动,对我国国家安全形成现实性的威胁。据报道,我国在2019年至少有5.9亿份求职简历和20多亿个电子邮件被境外窃取。2020年1月至今,一些国家和地区的黑客组织一直利用窃取的国内公民信息,针对我国医疗部门和人员开展精准邮件攻击,试图获取我国医疗数据和医疗技术等敏感信息。2020年2月,境外反华势力利用窃取的身份信息并伪装成国内某病毒研究所工作人员,先后在互联网上发布了所谓的“实名举报所长”、“零号病人产地”等阴谋论的虚假信息,对我国政治安全和社会稳定造成较大的干扰和破坏。公民信息正是这些精准破坏活动不可或缺的一环。
(二)公共安全风险
2020年3月12日,最高检发布了第五批妨害新冠肺炎疫情防控犯罪典型案例:截至3月11日涉嫌诈骗犯罪批捕、起诉的人数均占所有涉疫情犯罪案件的四成左右,批捕件数超过50%。为了实现“防疫战”的全覆盖、无死角,各地政府部门、社区和学校等都被发动起来,各司其职负责收集本区域人员的人员数据,并依托支付宝、微信等互联网应用程序传递健康表、健康码等电子信息。这些移动终端平台上融合了身份证号、电话号码、家庭住址、指纹声纹、行程轨迹、银行账号、健康状况和网购记录等公民信息,这些信息正是不法分子眼中的“唐僧肉”。疫情期间黑产、诈骗等活动异常活跃,公民信息一旦保护不当,将加剧网络盗窃、网络诈骗等刑事法律风险,严重干扰到正常的经济和社会秩序。当前已出现黑产行业利用窃取的公民信息,圈养账号“秒光”电商平台口罩并非法获利的案件。
(三)公民安全风险
公民安全风险是法益保护中最容易被忽视的问题。在“防疫战”中,部分地方发生了泄露特定群体人员信息并危害公民安全的情形。如江西、山东、湖南、福建等多地发生在互联网上公开传播武汉归乡人员个人信息的违法行为,致使这些人员遭到了人肉、歧视、骚扰、辱骂和诽谤等欺凌,法律赋予公民本应享有的私人生活安宁与私人信息秘密被一再侵犯,并被冠以“武汉毒人”“害人害己”等污名化的标签,严重侵害了公民安全并造成了不良的社会影响。同时,这些公民信息泄露容易被不法分子滥用于相关犯罪活动,致使受害者可能“卷入”某些犯罪并“被工具化”“被共犯化”,不仅影响到受害者的社会征信记录,给他们的贷款、出行、消费和求职等带来风险,还可能直接危害到公民的财产和人身安全。
三、法益冲突的平衡路径
习近平总书记指出:“坚持依法防控,要始终把人民群众生命安全和身体健康放在第一位,从立法、执法、司法、守法各环节发力,切实推进依法防控、科学防控、联防联控。”在“防疫战”中,应平衡好维护公共安全和保护公民信息的关系,提升对公民信息保护的安全化认知、法治化水平和体系化能力。
(一)坚持人本位原则,提升公民信息保护的安全化认知
“防疫战”本质上是一场人民战争,人民是“防疫战”的中心。因此,应坚持人本位原则,将公民信息保护上升到国家安全、社会安全和人民安全的高度:
第一,保护公民信息有利于更好地维护国家安全。从国家战略上看,“防疫战”的成败事关能否实现“中华民族伟大复兴”和“人类命运共同体”的双重安全目标。国家安全不是孤零零的整体安全,而是一个个个体安全有机组成的总和。公民信息是识别公民个体的排他性数字标识,是个体安全的重要内容。维护国家安全的宗旨是维护人民安全,首先要做到维护个体安全,特别是个体数字标识的安全。
第二,保护公民信息有利于更好地维护公共安全。“防疫战”不仅是一场与肺炎病毒的战役,更是一场民心之战。只有宽人民所宽、急人民所急、想人民所想,让人民舒心、安心、放心,切实保护好公民信息等人民所关切的核心利益,才能消除社会歧视、对立与割裂等情形,更好地维护公共社会的稳定与安全。
第三,保护公民信息有利于更好地维护人民安全。人民安全至少包括“免于匮乏的自由”、“免于恐惧的自由”和“免于耻辱的自由”等内容,公民信息保护与公民的财产安全、人身安全和心理安全息息相关,要做到为了人民、依靠人民、保护人民并回应人民关切,必须要将公民信息保护视为维护人民安全的重要内容。
(二)坚持合法性原则,提升公民信息保护的法治化水平
法治是现代社会的重要核心价值。坚持运用法治思维、法治方式来推动疫情防治工作,从立法、司法、执法、守法和遵守法律等维度将“防疫战”纳入法治的轨道:
第一,在立法上,政府应协调人大和司法部门,共同加强防治疫情政策指导、立法、法律解释等工作,加强对疫情防治工作的指导和管控,在确保公共安全需要的基础上,明确对公民信息收集的主体、范围、程序、用途等内容。
第二,司法上,司法部门依法及时、从严地惩治和公布侵犯公共安全与公民信息类犯罪案件,在打击力度、打击震慑力上下功夫,统筹维护公共安全和公民安全、打赢疫情防控阻击战提供有力法治保障。
第三,在执法上,公安和纪检等部门应规范公民信息的收集、存储和使用等行为,加强对组织和个人侵犯公民信息案件的侦办,做到执法要求与执法形式相统一、执法效果与社会效果相统一,切实维护公共安全和人民安全相统一。
第四,在守法上,各级党政部门要在在“防疫战”中带头遵守法律,做到凡事于法有据,决策程序符合法律规定。特别是医疗、公安、教育和社区等主管部门要严格遵守国家法律法规的规定,严格按照法律的规定和流程来收集、存储和使用公民信息。
第五,在法律监督上,应加强对参与处理公民信息的职能部门、网络建设者、网络运营者、网络服务者等主体遵守公民信息保护法律法规情况的全方位监督。现代法治的核心价值是对人权的尊重和保障,应确保公民对个人信息收集、存储和使用的知情权、监督权和处置权等合法权益。
(三)坚持保护性原则,提升公民信息保护的体系化能力
从公民信息保护需求出发,规范公民信息的收集、存储和使用等行为,构建公民信息保护体系和能力:
第一,规范公民信息收集。当前参与疫情防控的移动互联网应用程序鱼目混珠,应组织安全专家团队对这些应用程序的合法性、安全性和稳定性等进行测试、审查和认证,通过发布白名单的形式指导各地经由这些应用程序合法地收集和使用公民信息。同时,对公民信息的采集应严格遵守比例的要求,采集的每一项个人信息要符合合法性、合理性、必要性的要求,将对公民安全的影响降到最低。
第二,规范公民信息存储。严格按照《网络安全法》要求,督促参与处置公民信息的职能部门、网络建设者、网络运营者、网络服务者等主体采取必要的人防、技防和物防等措施,在境内加密存储公民信息,保障公民信息的完整性、保密性和可用性,有效应对网络攻击和网络违法犯罪等活动。
第三,规范公民信息使用。建立公民信息授权和审计保护机制,针对公民信息的调取与使用,应按照等级授权要求进行逐次、单独和分级授权,且每次申请、授权、调取和使用等行为均应全程留痕。同时,加强对接触到疫情防控中公民信息的网络建设者、运营者、服务者等主体的监督,明确不得利用收集和存储的公民信息用于商业用途,更不能提供给第三方使用,并应在“防疫战”结束后,在国家职能部门的指导和监督下,安全移交和删除所有存储的公民信息。
(作者为中国人民公安大学博士后研究人员,武汉大学法学博士)
