近日,有媒体报道,河南多家村镇银行因故无法向储户提供取款服务,2022年6月12日,许多储户准备前往郑州维权,却发现自己核酸检测虽然是阴性,但健康码却被赋予红码。
纪检监察部门称,已将线索转给卫健部门自查。截止目前,有关方面尚未公开“赋红码”事件的调查结果。
众所周知,“健康码”、“行程码”已经成为现阶段国人生活中的必备“标识”,没有此码,寸步难行。有人形象的将其比喻成“电子戒具”,虽类比不当,但表意相当准确。
“健康码”是抗击疫情过程中,互联网技术赋能疾控的集大成者,在两年多的疫情防控过程中起到了重要作用。但毋庸讳言,“健康码”、“行程码”等app软件的应用,显然是以搜集、处理、使用公民个人信息为前提,其中关于公民的身份证号码、家庭住址、行程轨迹、生物识别、金融账户、健康状况等均系《中华人民共和国个人信息保护法》(2021年11月1日起实施)第二十八条规定的“敏感信息”。
因抗疫应运而生的“健康码”、“行程码”在收集、处理、使用公民个人信息的过程中,必须严格遵守《中华人民共和国个人信息保护法》相关规定。
一、公民个人信息收集、处理,必须严格依法进行。
根据《中华人民共和国个人信息保护法》十三条之规定,因突发公共卫生事件,国家收集、处理个人信息,不需要个人的同意,但根据该法第六条之规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式,不得过度收集个人信息。
处理个人信息,根据《中华人民共和国个人信息保护法》第十七条之规定,应提前以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
该法第四十四条还规定,个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。同时,处理敏感个人信息之前,必须对处理行为可能造成的影响进行评估,还必须征得个人的单独同意。
纵观过去两年来,抗疫中出现的对个人信息的处理情况,还需依法改进。
二、公民个人信息的使用范围。
我国《民法典》第一千零三十五条规定,对个人信息进行“收集、存储、使用、加工、传输、提供、公开”等处理行为,应当遵循合法、正当、必要原则,不得过度处理,并就处理目的、方式和范围以及处理信息的规则、程序、方法等事项征得个人同意。《中华人民共和国个人信息保护法》第十三条、十七条也有类似的规定。
就“健康码”“行程码”等因防疫而收集、使用、处理个人信息的行为,利用遵守上述民法、行政法的有关规定,即除抗疫、防疫之外,不得在其他方面使用。
郑州市大量银行储户、房屋业主被“赋红码”,显然是相关单位将公民个人信息用在防疫之外的其他事项,明确是违法的。
三、处理、使用公民个人信息不当,可能承担的法律责任。
1.民事责任
从民法的视角来看,我国《民法典》第一百一十一条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”该法还规定,国家机关及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
根据上述规定,如相关机构将储户、业主的公民个人信息故意泄露给其他机构、个人,或将改信息用作他途,显然违法民法典的规定,应当承担民事赔偿责任。根据《个人信息保护法》第七十条之规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
而相关部门将举报线索转给卫健部门自查,没有法律依据。
2. 行政责任
《中华人民共和国个人信息保护法》第六十六条规定:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
同时,对违法的相关部门要予以公示,列入信用档案。国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
可见,关于郑州“赋红码”事件,相关单位最高可能承担五千万元以下的巨额罚款;如有其他行政机关参与,主要责任人应当受到行政处分。
3.刑事责任
我国《刑法》第二百五十三条之一规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
公民个人的存款、住址均系敏感信息,郑州“赋红码”事件中,显然金融机构将储户个人信息泄露给处理“健康码”的机构(具体是什么单位待查)此行为符合我国《刑法》第二百五十三条之一的规定,该金融机构涉嫌单位犯罪,公安机关应当对该单位及主要责任人立案侦查。同时,有权处理“健康码”的部门、单位,从金融机构、房产公司处非法获取公民个人信息并加以处理,导致公民的合法权益收到限制、剥夺的严重后果,相关责任人亦涉嫌侵犯公民个人信息犯罪。
另外,如卫健、疾控部门参与、帮助金融机构、房产公司滥用公民个人信息、定点“赋红码”,造成如此恶劣影响,根据我国《刑法》第三百九十七条之规定,涉嫌滥用职权犯罪,最高可处七年有期徒刑。
四、 “赋红码”事件的警示意义
通过上述列举的法律规定来看,我国对个人信息的保护十分重视,不仅将定义为民事侵权,而且在行政法、刑法领域都有相关规定,那么为什么相关单位、机构对此熟视无睹呢?法律之所以对公民个人信息进行多维度的立法保护,其根本原因在于,在大数据面前,每一个人都是“透明人”,如果国家不对相关机构和互联网服务平台进行立法约束,那么老百姓的基本权利就会被侵犯,普罗大众的安全感将丧失殆尽。