“那时手机被打爆,逼得我想跳楼”“我们是病毒的受害者,没想到又遭到了网络人肉这样的二次伤害,感觉精神已崩溃”……在新冠肺炎疫情持续引发全国关注的同时,流行病学调查(以下简称流调)报告泄露事件频发,对患者造成二次伤害,直接引发群众质疑流调信息安全性、可靠性,影响疫情防控工作大局。
专家认为,警惕将对疫情的焦虑情绪转化为对确诊患者个体攻击的倾向,任何“排斥异己”的做法,都将放大疫情带来的伤害;流调信息频繁被泄露,暴露出当下我国数据保护管理存在诸多漏洞,相关流调工作方案乃至法律法规需要不断完善和更新。
1、流调信息屡被泄露,只见侵权不见处罚
半月谈记者梳理发现,从去年11月以来,石家庄、成都、沈阳、杭州等地至少出现10起流调泄露事件,甚至还有泄露“疫情应对演练”流调报告的荒唐事。仅进入2021年,就已有3起此类事件公布。
1月上旬,一名石家庄患者周女士流调信息被泄露,随后周女士收到各种谩骂信息;1月初,云南丽江一名乡镇工作人员将一份公函发在微信群中,导致信息泄露;同在1月,杭州某医院院感科医师林某将一份流调报告转发至微信群,致使一名无症状感染者信息泄露。
分析10起案例,流调信息泄露事件有三大特点:
——人肉搜索和网络暴力事件多发,女患者及其私生活频频成为攻击对象。
10起案例中,至少5起明确涉及女性,甚至有网络平台以上海确诊患者女友的名字等信息创建话题,阅读量一时间超过百万。如部分网民群起攻击成都确诊女患者赵某,由出入酒吧联想至毫无证据的“私生活混乱”,肆意传播无辜群众的照片和朋友圈截图。去年12月,沈阳女患者尹某某及其密接者信息泄露,被网民冠以“毒王”的蔑称,尹某某称“精神崩溃”。
人身攻击之下,本就在忍受病情折磨,却还要遭受精神伤害。去年11月,天津无症状感染者的密切接触者隐私信息一夜之间被曝光。天津这名密切接触者说,自己在隔离医院几度精神崩溃,“那时手机被打爆,逼得我想跳楼”。
——微信群一键转发,翻微博扒朋友圈,社交网络助病毒式传播。
半月谈记者梳理案例发现,流调信息泄露的源头端传播均指向个人微信。有的是内部人在微信上传给亲戚朋友后遭人泄露,有的是出于猎奇、博眼球心理故意转发至多个微信群造成快速传播,还有的人认为“吹哨扩散”“行为正义”,根据官方披露的个人信息线索在微博微信等社交网络上进行人肉搜索后主动传播。
专家认为,部分网民心存“法不责众”心理,躲在屏幕后甘当键盘侠,一键转发,附以子虚乌有的猜测和添油加醋的描述,“看热闹不嫌事大”,频频“秀下限”。
——违法行为处罚不严,地方执法“雷声大雨点小”。
半月谈记者发现,多起流调信息泄露案例有不了了之嫌疑,至今没有公开处罚结果。比如,沈阳尹某某流调信息泄露后,当地公安机关称已介入调查,但具体情况不便透露。
天津市一位流调工作人员说,面对明显侵犯个人隐私的违法行为,执法部门惩处不严格、不及时,甚至存在“法不责众”心理,还有的地方认为这是负面舆情进行“捂盖子”,这不仅不能伸张正义,引发更多人肆意妄为,还对防疫流调造成不利影响。“如果流调信息泄露了,你再要求患者配合,人家就不愿意配合了。”
2、事关疫情防控,流调哪里出了漏洞?
专家介绍,流调信息主要有个人基础信息、病情健康信息、社会关系信息、行为轨迹信息等。因为涉及大量个人隐私,流调工作需要全程保密。那么,信息泄露漏洞出在哪里?
首先,非专业人员参与流调工作。流调工作需要多方参与调查,重大疫情暴发期间的流调由于时间紧、任务急、调查面广、工作量大,需要调动多方力量共同完成,非专业人员和法律意识薄弱群体也会接触到相关信息。在这10起案例中,北京的泄露事件是因为一名航空安保公司员工在工作期间将患者初步流调报告私自拍摄并发至微信群内。
其次,微信等即时传播工具大量运用到流调报告的传播中。半月谈记者走访天津、山东等多地的流调工作人员了解到,由于及时便利,流调人员经常用微信交流、核实、汇报确诊人员的基本信息。“离开微信几乎没办法干活。”一位流调人员感慨。
最后,流调过程部分实现了信息化,离数字化还有差距。半月谈记者了解到,国内部分省级疾控中心目前在自建流行病调查系统。这从本质上还是一个信息收集、处理解析、报告、存储的流程化信息系统,在个人隐私数据的确权、处理与应用、知情、流动等数字化、密码化保障方面存在不少欠缺。特别是在现场调查环节,往往还采用传统纸质表格开展调查,由于缺乏数字化调查工具,参与人员多、法律意识淡薄等问题,个人隐私数据泄露风险高。
3、打造“密不透风”的流调全流程
专家认为,随着疫情防控进入常态化,政府部门不应等到个人信息保护法出台后再予执行,而要汲取过去1年多各地患者信息泄漏的惨痛教训,制定有较强指导性和约束力的工作方案并不断完善和更新。无论是相关部门还是个人,都要把握好公众知情权和个人隐私权的平衡,守好公民个人信息安全防线,避免造成次生伤害。
第一,建立标准化操作流程,在统计、采集、汇总、披露相关人员个人信息时,要严格流程管理,以防出现数据泄露、丢失、滥用等情形。即使出于疫情防控需要,不得不公布相关病例行踪轨迹等信息,也要确保进行必要“脱敏处理”。
中国人民大学国家发展与战略研究院研究员马亮说,要明确个人信息的管理权限,持续加强对防疫人员信息管理能力的培训和指导,使个人信息管理的各个环节能够无缝衔接。比如,应明确卫健部门和疾控中心在采集确诊患者个人信息方面的主体责任,确立跨部门和跨层级的个人信息流转机制,并责任到人对个人信息进行有效管理。
第二,严格控制流调信息搜集范围和传播半径。专家指出,收集联防联控所必需的个人信息应参照国家标准个人信息安全规范,坚持最小范围原则。为疫情防控、疾病防治收集的个人信息不得用于其他用途。
济宁市疾控中心副主任梁玉民说,目前流调工作涉及的部门可能比较多。比如,流调报告涉及一名学生,便要通报教育部门;了解密接者的情况,需要通知当地街道办等配合工作。今后的流调工作中需要在确保工作正常开展的情况下,尽量减少非必要人员接触到相关流调信息,减少泄露的可能。
第三,着眼于疫情防控的特殊形势,各地执法部门要依法依规对侵犯个人隐私的行为进行处罚。山东日中律师事务所律师陈冠汶等认为,我国法律对个人隐私信息的侵权行为约束力有限,个人维权、寻求民事赔偿胜诉率不大,对损失评估难以确定金额,想要对隐私泄露的责任人追究非常困难,执法部门要主动作为,对相关行为严格处罚,及时公开,形成震慑效果。
第四,进一步完善大数据建设,确保过手便有责。中国信息安全研究院副院长左晓栋介绍说,要严格数据保护责任制,进一步落实数据保护的权力和义务,确保过手便有责,人人都有数据保护的义务。同时,抓时出台具体场景下数据保护的操作手册,让相关人员知道“怎么做”“做什么”,通过制度建设确保流调数据的安全