作为一项数字抗疫的技术手段,健康码可谓是社会治理的“双刃剑”。但当公民被莫名“赋红码”时其又该如何申诉与维权?“赋红码”者又需承担哪些责任?
多位法律专家向记者表示,健康码的用途仅可作为防止疫情传播的技术手段,而并非可用做限制公民出行、或其他社会治理的安排。
如何界定权利与义务
无论是公民还是行政机关,都需在一定的法律规范内行使自身的权利与义务。
一位法律界资深人士对第一财经记者表示,在疫情防控期间,任何公民都应当依法如实提供有关情况并接受调查、检验、采样、隔离治疗等措施。健康码,正是依托大数据互联网人工智能等现代技术,科学精准做好疫情防控工作的重要手段。政府有权力采用,公民有义务接受。这是公民的义务。
同时,公民的义务,除上述内容外,还包括:按时做好核酸检测、做到日常个人防护(保持社交距离、公共场合佩戴口罩)等。
该人士还对记者分析,虽然健康码使用的是个人基础且敏感的数据,但基于防疫抗疫的公共利益需要,公民有义务放弃“知情同意”等相关权利,因此信息处理者理应承担更高的信息保密和保护义务,政府亦须采取积极有效措施防御上述信息被无端泄露。而更为重要的是,在没有国家法律明确规定前提下,不得将其用于其他任何目的,也就是:健康码不得被“滥用”。这是政府的义务。
在疫情等特殊情况下,应如何平衡好公共利益和个人利益之间的关系?
上海市太平洋律师事务所张君强律师告诉记者,公共利益在不同的情形下有不同的定义、内涵和外延。就疫情防控而言,个人为了疫情防控这个公共利益让渡自己的隐私权以及配合疫情防控部门进行隔离和核酸检测等,但前提是,疫情防控部门要在现有法律规定及授权的范围内制定疫情防控政策,并应当在最合理的范围内尽量少的限制个人的权利,收集、使用个人信息及数据。
张君强表示,在此情形下,持有个人信息和数据的行政部门只能为疫情防控这个目的而使用、处理个人信息、数据,绝对不可以用于其他目的,除非法律另有规定(理论上法律不会有相反规定)。
追责的依据
上述法律界资深人士表示,如果公民被莫名“赋红码”,一方面有关个人信息保护的基本原则,更重要的是涉及行政权力可能被滥用产生的健康码用途异化问题。如果公民被莫名“赋红码”,有关行政部门可能涉及违反《个人信息保护法》《传染病防治法》《刑法》等相关规定。
“有关行政部门可能需要承担的责任,除了与个人隐私泄露、滥用职权外,还可能涉及数据安全保护方面;尤其是如果政府收集的个人信息被‘滥用’,就会涉及玩忽职守、滥用职权等刑事处罚。”张君强告诉记者。
根据我国《个人信息保护法》第68条的规定,“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分”。
也有法学专家表示,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式,“健康码的产生背景,直接决定了它的属性与目的的明确、合理,就是‘数字防疫’手段,直接且唯一用于疫情防控用、服从和服务于疫情防控。”
另根据我国《数据安全法》第50条的规定,“履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分”。而该法所称数据是指“任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
哪些主体应该为上述违法违规行为担责?如何确定责任人?
根据我国《传染病防治法》第12条的规定,“卫生行政部门以及其他有关部门、疾病预防控制机构和医疗机构因违法实施行政管理或者预防、控制措施,侵犯单位和个人合法权益的,有关单位和个人可以依法申请行政复议或者提起诉讼”。
“具体负责的部门,也就是具体决定隔离的部门应是直接的责任人。”上述法学专家称,如果涉及处罚,一般来说,会对直接责任人进行追责;也就是说,批准同意非法使用该个人信息、数据的责任人、执行人可能会被一起处罚、担责任。
“就地方政府部门可能违法‘赋红码’的情况,对个人信息及数据的处理已经超出疫情防控的目的,公众有权利获知谁决定将为疫情防控而收集的个人信息及数据泄露的,谁将本不应该被赋红码的个人信息、数据提供给有权赋红码的机构的,谁负责具体执行、操作这些违法、违规事项的,当地政府有义务给公众一个明确具体的交待,并应当对相关责任人依法处理。”
涉事公职人员可能承担何种责任
通过大数据等技术手段,政府海量收集个人信息的做法并不罕见,但使用数字抗疫工具仍需谨慎。
北京清律律师事务所首席合伙人熊定中告诉第一财经,健康码在收集个人信息数据的目的、处理数据的原则和方式上,与前述行为存在差异。
熊定中表示,一方面,健康码在应用之初,《个人信息保护法》尚未出台。换言之,健康码获取个人信息的过程没有明确的法律依据,而是出于民众对公权力的信任。另一方面,《个人信息保护法》为数字社会治理的基本法,但健康码的应用超出普通社会治理的范畴,是基于国家安全。
此外,在数据处理的原则和方式上,熊定中称,依据《个人信息保护法》,个人信息处理应遵循“最小范围”的核心原则,严禁“过度收集个人信息”。而出于防疫目的,健康码在收集个人信息时,往往范围更大,是否及时删除与防疫无关的“过期数据”也存疑。
“当相关政府公职人员将健康码应用于其他目的,应该根据《刑法》,依法追究相关人员的刑事责任。”熊定中称。
根据《个人信息保护》第七十条,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
而依据《刑法》第三百九十九条,司法工作人员徇私枉法、徇情枉法,对明知是无罪的人而使他受追诉、对明知是有罪的人而故意包庇不使他受追诉,或者在刑事审判活动中故意违背事实和法律作枉法裁判的,处五年以下有期徒刑或者拘役;情节严重的,处五年以上十年以下有期徒刑;情节特别严重的,处十年以上有期徒刑。
2020年3月发布的《河南省“健康码”使用管理办法》明确,各级卫生健康、公安、交通运输、人力资源社会保障、教育等部门负责分别统计本系统掌握的涉疫重点人员信息,并及时推送至本级大数据管理部门。
熊定中称,“健康码赋红码”的事件或牵连多个部门的公职人员。
他表示,所经手相关个人信息数据的所有公职人员均涉嫌滥用行政权力。具体量刑或还会参考《传染病防治法》。