论大数据背景下涉疫情个人信息的法律保护

张 勇

（华东政法大学 刑事法学院，上海 200042）

一、问题的提出

自新型冠状病毒肺炎疫情暴发以来，疫情信息时刻牵动着所有人的神经，大量有关疫情的数据、图片、视频、评论充斥于朋友圈和微信群，其中不乏网络谣言，也出现了不少“人肉搜索”和曝光确诊患者、疑似患者或密切接触者本人甚至其家庭成员个人隐私信息的行为，一些人对身处疫情严重地区或涉疫情的“重点人员”进行区别对待、歧视甚至谴责。还有一些地方和部门在疫情防控中实行“地毯式”“网格化”收集个人信息却疏于管理，有的地方则以防疫之名采取悬赏举报等不当甚至极端方式，违法违规收集和使用个人信息。这不仅侵犯了个人隐私权益，而且对疫情防控工作造成严重阻碍和负面影响，公共安全和个人利益的矛盾冲突问题如被置于放大镜下一样集中体现出来。同时，诸多互联网公司收集并掌握了大量用户的个人信息，具备强大的分析技术和处理能力。应当说，利用大数据平台建立公共卫生风险信息管理和沟通系统，加大对传染病传播风险信息的识别和隐患排查，实现社会公共安全防控信息的共享，其作用和效果非常明显。目前在疫情防控中大数据的应用包括“同程排查”“百度迁徙”“新冠肺炎小区速查”“疫况”等，在确定、追踪及排查已感染患者或疑似患者及其相关接触人群轨迹等方面形成准确、全面的信息，从而为疫情防控提供实际的支撑协助。然而，实践中的主要问题在于，在运用大数据实行联防联控的过程中，如何处理个人信息利用和保护之间的冲突与协调的问题。

当下，大数据、移动互联网信息网络技术影响和改变着社会生活，公民个人信息权逐步成为一种重要权利，个人信息所蕴含的权益已超出个人名誉权、隐私权的范围。除个人信息主体的初始人格权外，在个人信息的收集、流通、使用的过程中，权利主体多元化，包括收集者、使用者及管理者；个人信息权益内容复合化，从个体的人格权及其衍生的财产权逐步扩展至社会公共利益、管理秩序和国家安全。应当说，疫情当前，防范疫情扩散蔓延无疑是第一位的，当疫情防控需要收集和使用患者等公民个人信息时，个人隐私信息权利应受到限制，个人不可避免地要让渡其信息权利和利益，必要时须承担公共卫生安全保障义务和法律责任。对于政府部门和企业机构来说，在收集、使用个人疫情信息的同时，也要依法保障公民个人合法正当的权益，不能顾此失彼。对此，中央网络安全和信息化委员会办公室于2020 年2 月4 日发布《关于做好个人信息保护 利用大数据支撑联防联控工作的通知》，要求在疫情防控工作中要高度重视个人信息保护工作，收集个人信息应参照个人信息安全规范的国家标准，坚持最小范围原则，收集对象原则上限于确诊者、疑似者、密切接触者等重点人员，防止形成对特定地域人群的事实上的歧视；为疫情防控、疾病防治收集的个人信息，不得用于其他用途，未经被收集者同意不得公开其个人信息，但因联防联控工作需要，且经过脱敏处理的除外；等等。

从个人信息保护立法上看，自2012 年起，我国先后制定发布了《关于加强网络信息保护的决定》《消费者权益保护法》《网络安全法》等法律法规，初步建立了个人信息保护的法律规范体系。近期全国人大审议中的《民法典人格权编（草案）》也作出了更具体的规定，要求收集、处理个人信息应当遵循合法、正当、必要的原则，并应征得信息权利主体同意。全国人大将“个人信息保护法”和“数据安全法”列入2020 年立法规划，核心议题之一就是如何实现个人信息数据权益保护与数据流动的平衡。此外，国家互联网信息办公室、全国信息安全标准化技术委员会等部门和机构先后发布了《信息安全技术 个人信息安全规范》及其修订草案、《信息安全技术 个人信息告知同意指南（征求意见稿）》《个人金融信息保护技术规范》等国家行业标准。2020年3月6日，国家市场监督管理总局、国家标准化管理委员会正式发布新版国家标准《信息安全技术 个人信息安全规范》（以下简称《安全规范》），对有关个人信息保护的规定作出进一步细化，能够为法律、行政法规的操作和应用提供具体规范和参考依据。但《安全规范》不是强制性法律标准，而是推荐性行业标准，对个人信息保护的要求也更为严格，用户“同意”处于行业规范体系中的核心位置①。这显示出我国政府与行业机构协力整治侵犯个人信息权益的违法违规乱象，保护个人权利、公共利益乃至国家安全的政策趋向。

总的来看，相对于网络信息安全，我国在公民个人信息权益保护方面的立法显得相对不足，层级低且效力弱，专门化、板块化、“碎片化”问题突出。有关个人信息安全的法律法规和行业规范多头迭出，能够起到提纲挈领和体系协调作用的“个人信息保护法”尚未出台；各部门法采取分散立法模式，对有关个人信息保护的法律义务缺乏明确规定；《刑法》与其他部门法及行业规范之间存在诸多不衔接、不协调问题。《刑法》中，侵犯公民个人信息罪属于法定犯，作为其构成要件“违反国家有关规定”的前置性规范主要以《网络安全法》为依据。但《网络安全法》主要针对网络经营者提出保障网络安全的要求，具有明显的风险管控价值取向，在个人信息权利保障方面同样存在缺陷和漏洞。2017 年5月，最高人民法院、最高人民检察院颁布实施《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《刑案解释》），明确了公民个人信息的内涵和定罪量刑的情节标准。面对此次疫情，最高人民法院、最高人民检察院、公安部、司法部于2020 年2 月6 日出台《关于依法惩治妨害新型冠状病毒感染肺炎疫情防控违法犯罪的意见》（以下简称《意见》），其中就拒不履行信息网络安全管理义务罪，编造、故意传播虚假信息罪等侵犯涉疫情个人信息法益的相关罪名的刑法适用提出办案指导意见。司法实践中，由于公民个人信息类别丰富多样、千差万别，对于信息类型的判定、信息来源的证实、违反国家有关规定的认识分歧，以及不同刑法规范、不同罪名之间存在交叉竞合和冲突等问题，仍然困扰着司法机关，并未形成对公民个人信息权利完整的体系化保护，单一的部门法无法实现多元化的价值目标。

二、涉疫情个人信息法益与知情同意原则

（一）涉疫情个人信息的复合法益属性

根据我国《网络安全法》第七十六条第五项的规定，个人信息的本质属性在于其可识别性，即能够识别特定个人身份或者反映特定个人活动情况。本文中的“涉疫情个人信息”或“个人疫情信息”是指为了疫情防控需要收集和使用的有关确诊或疑似患者及其他相关自然人的个人信息。在疫情防控期间，除公民个人的姓名、身份证号码、手机号码、生物识别信息等反映其特定身份的信息外，个人行踪轨迹信息显得尤为重要。在传染源发现、追踪、控制、隔离的过程中，收集使用个人信息的目的是寻找与患者有密切接触的高风险个体或人群，目标对象可以是在特定时段内以特定频率在传染源附近出现过的A，也可以是已经确诊感染病毒的B，以及与B 有接触史的个体C②。当前我国网民数量巨大，手机已成为生活必备品，疫情时期人们更是依赖使用手机与外界沟通。以手机及App相关的个人信息为线索可以快捷精准地搜索涉疫情人群的火车票、机票等行程信息，行车导航记录信息，宾馆住宿信息，交易支付信息，快递收货地信息等。由于新型冠状病毒肺炎具备“人与人”传播的特性，潜伏期较长，难以捕捉传播路径，有必要借助大数据技术，追踪了解特定时间段内相关人员的移动轨迹，进行关联分析和风险预测，为疫情防控提供参考依据。

目前，个人信息所蕴含的权益内容逐渐丰富，从个人隐私权、名誉权逐渐发展形成了一个权利系统，包含知情权、同意权、查询权、更正权、删除权、利用权和公开权等一系列子权利。同时，在公民个人信息的收集和使用的过程中，初始权利主体逐渐不再拥有对个人信息完全的控制权，信息权利主体也呈现多元化，从初始权利主体扩展至收集者、使用者及管理者。从广义上说，个人信息自由不仅包括公民个体的权利自由，而且包括其他自然人、企业机构的信息使用权利和国家政府的管理职权；而个人信息安全实际上也包括国家、社会和个人不同层面的法益内涵，个人信息安全权也是公民个人信息权利的重要内容。因此，个人信息所蕴含的法益具有复合性，既有个人权利自由的内容，又涉及公共利益、社会秩序和国家安全。相应地，个人信息权利法律保护也具有信息自由与信息安全的多元价值。对于疫情时期的确诊或疑似患者来说，其对涉及本人的疫情信息同样拥有隐私权、名誉权等人格权，收集利用个人疫情信息的部门和机构则拥有信息使用权，社会公众有获悉和分享个人疫情信息的知情权，行政机关则有公开和发布个人疫情信息的权力。个人疫情信息的法益属性同样具有复合性特征，不仅包括初始信息权利主体的权利自由，而且包括其他收集、使用疫情信息的单位或个人相应的信息权利。同时，个人信息安全也是个人疫情信息权的重要内容，个人疫情信息法益不仅包括公民个人信息安全，更涉及公共卫生健康安全乃至国家安全。另外，当涉疫情的个人私密敏感信息经过去识别化“脱敏”技术处理之后，其人格权属性减弱，不再归初始信息主体个人拥有，而成为政府部门和企业机构所掌握的疫情公共数据。《传染病防治法》第十二条规定“……疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料”，第六十八条、第六十九条规定故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的机构或相关人员将受到纪律处分、行政处罚乃至依照《刑法》第二百五十三条之一以“侵犯公民个人信息罪”予以刑事处罚。

疫情防控特殊时期，依法惩治涉疫情个人信息犯罪，防控疫情安全风险，保障公共卫生安全成为刑事立法和司法价值选择。作为个人信息保护领域的主要罪名，侵犯公民个人信息罪设置于《刑法》分则第四章侵犯公民人身权利、民主权利罪当中。然而，《刑法》对公民个人信息的保护不限于单一、平面的个人法益，其法益也具有复合性特征：一是传统法益，即公民个体的人格权和财产权；二是新型法益或“超个人法益”③，即信息领域的国家和社会公共利益、安全或秩序。个人信息的刑法保护所追求的价值目标也具有信息自由和信息安全两方面。比较而言，个人信息法益的保护内容具体明确，而“超个人法益”内容概括模糊，在区分罪与非罪的界限的关键领域，个人信息法益保护仍是刑法适用所主要考虑的因素。

（二）信息主体知情同意保护原则及例外

所谓“知情同意”，即收集和使用公民个人信息应明确告知其相关情况并征得本人授权同意，也有学者称其为“告知同意”④。在国外，2018 年欧盟的《通用数据保护条例》（GDPR）较为全面地规定了欧盟公民享有的对个人数据处理的各项权利，其中最重要的是个人知情同意的基础权利。2018 年美国加州消费者隐私立法创设的各项权利，与欧盟GDPR 中数据权利的内容并无二致。在国际法领域，个人信息知情同意原则也在相关国际规范性文件中得到确认。如经济合作与发展组织（OECD）颁布的《关于隐私保护和个人数据跨境流通的指南》指出，在多数情况下，个人信息数据的收集行为不仅要获得信息数据主体的同意，还要限于为实现征求同意通知书中所表明的目的之必要的最小信息数据量，且该信息数据在没有获得新的同意时不得被用于其他不相关的目的⑤。在我国，根据《网络安全法》第四十一条的规定，网络运营者须经过个人信息主体同意之后，才能进行信息收集和使用。此条规定直接体现个人信息主体个人意志的“法益自决权”⑥，即“公民能够自主决定同意他人对其本人信息进行收集、储存、处理以及利用的权利”⑦，这种自决权的核心内容就是信息主体的知情同意权。我国立法应首先将个人信息权确立为具体人格权，并进一步将其明确为个人信息主体的知情、同意、查询、更正、补充、删除、封锁等权利内容。关于知情同意的具体方式，《安全规范》修订草案第四条明确了“选择同意”原则，即区分基本功能和扩展功能，摒弃《安全规范》原规定的“概括同意”的方式，并通过交互界面或设计的方式，强化“明示同意”的合规性要求。

另一方面，法律并不是仅仅保护公民个人信息的知情同意权，还要对个人信息的合理使用、分享和处理加以保护。如欧盟的《通用数据保护条例》规定了6 种个人信息使用的合法性基础，用户知情同意只是其中一种情形，此外还包括符合用户、企业及公共利益的需要等情形⑧。我国《民法总则》第一百一十一条、《网络安全法》第四十一条规定，收集、使用个人信息，除了法律规定的例外情形，还必须是合法、正当、必要的，且须经权利主体同意。在此基础上，《安全规范》修订草案第四条b 项进一步规定，收集、利用个人信息需要“具有合法、正当、必要、明确的个人信息处理目的”。在刑法适用中，也需要对不同信息主体应承担的保护义务进行利益衡量和责任分配，在法律允许的范围内实现个人信息数据经济效益的有效利用。经个人信息主体同意的行为并不意味着当然地阻却刑事违法性，知情同意权的行使不能逾越法律的界限，不能与国家和社会公共利益相冲突。如果收集、使用个人信息的行为违反了前置性法律法规或部门规章，那么即便个人信息主体作出同意的意思表示，也不能被认定是有效的，不能排除其刑事违法性。在此情况下，认定非法收集、使用个人信息的行为构成侵犯公民个人信息罪，也可以相应地减轻行为人的刑事责任。

三、涉疫情个人信息保护和利用的价值衡量

在大数据背景下，在涉疫情个人信息的收集和使用过程中，信息流动的起点是公民个体，而在信息流动过程中会涉及使用者、经营者和服务者等多方主体的相应权利，该类信息的社会公共属性得以体现和凸显。个人信息的权利保护和价值利用是一枚硬币的两面，自由与安全的价值取向既是对立的，又统一于权利保护和价值利用的关系当中，包括《刑法》在内的相关法律法规既能保护公民个人信息的基本权利（隐私权），又能有效促进个人信息价值的实现。

（一）疫情信息公开与个人知情同意的协调

作为国家重大突发性公共安全事件，疫情可能造成社会恐慌，影响国家安全，疫情数据理应成为国家安全信息报告和发布的重要数据。出于疫情防控的需要，政府和卫生行政、疾病防控部门以及医疗机构可以未经个人信息主体授权而收集有关个人信息，同时政府部门可以在突发公共卫生事件应急预案中将信息收集、发现的权力再次授权给其他部门、机构组织⑨。另外，《突发事件应对法》《传染病防治法》《动物防疫法》均对有关主体违反疫情报告义务有可能承担刑事责任进行了规定。在疫情防控中，政府部门实行疫情信息公开，面临着如何处理与公民个人知情同意权、社会公众知情权保护的关系问题。在防控疫情过程中收集和产生的政府信息可能会涉及个人敏感信息，须进行“脱敏”的去识别化处理，或者征得相关权利人同意。其实，实行政府信息公开及数据开放、保障公众的知情权就是治理网络谣言最好的“特效药”。从一定意义上说，政府信息的公开就是公众知情权的实现，疫情信息公开中也包括个人疫情信息，其中个人信息主体的隐私权与公众知情权会存在一定的冲突。例如，有些地方防疫部门推出“疫情防控调查登记App”，但没有得到统一使用；有的社区采用保险公司等机构提供的App 采集信息；有的则是用自己的IPAD上门登记。这些由基层社区和单位收集、保存的个人信息数据基本处于无监管状态。不少互联网公司凭借大数据技术能力，为政府部门防控疫情提供了海量的信息数据。其中当然也涉及公民个人隐私信息保护的问题。不可否认，防控疫情是政府面临的重要任务，根据防疫需要可将公民个人信息作为疫情公共信息予以收集和使用，甚至向社会公众公开；公民个人在必要时须让渡自身的个人信息权利，承担公共卫生安全保障义务和责任。政府部门和相关企业机构收集使用个人疫情信息，要依法保障公民个人的隐私权等基本人格权益，不能顾此失彼。可以说，政府疫情信息公开的过程也应当是公民个人隐私权不断得到合理利用和妥当保护的过程。公共疫情防控与个人信息保护本质上是不矛盾的，即便相关法律法规或政策制度出现了冲突，对于公民个人信息权利的克减也必须遵循比例原则，采取最小损害的方式进行，不得损害其人格尊严等基本权利。例如，2020年1月30日，深圳市在广东省率先公布新冠肺炎患者逗留过的小区等场所，但具体的门牌号码等信息都被隐去了，其他地方也采取了类似做法。政府部门对确诊患者病例详情的通报中对姓名、工作单位等具有可识别性的个人数据信息进行删除，仅保留家庭住址、个人行踪轨迹等有特定用途价值（排查密切接触者及普通公众预防）的内容⑩。此种去识别行为既能有效达到披露个人信息的目的，又降低了运用该信息可能对确诊患者的隐私造成威胁或损害的风险。

（二）涉疫情个人信息权利限制的比例原则

面对来势汹汹的新冠肺炎疫情，政府部门和相关机构在收集和使用涉疫情个人信息的过程中，必须把握好政府信息公开及数据开放的法律边界。限制个人信息应当遵循比例原则，须具有目的的正当性、手段的适宜性和侵害的最小性，这种限制不能对个体造成难以承受的负担。对此，《政府信息公开条例》第十五条、《网络安全法》第四十五条等对于政府部门及工作人员保护个人信息的义务都作了相应规定。合理的法律体系设计和具体举措规划都应使个体权益受到的限制和干预尽量处于最低水平,这样对公众的侵犯最小,社会成本也最低。紧急状态下对部分权利的限制并不能扩张至所有权利，其中不能被削减的权利包含最基本的人身安全、医疗救治和生活保障等权利○1。按照此原则，收集确诊或疑似患者的个人信息的范围应与确定病例涉及的区域、场所、车次以及筛查密切接触人员相关，其财务、婚姻史、性取向等信息则不在收集范围之列；对正常人员的数据收集应限于基本信息，如姓名、位置行踪、电话、住址、健康数据等。疾控部门收集的本区域内确诊病例的相关具体信息，包括性别、年龄、住址、车辆乘坐历史、位置踪迹、活动区域场所、人群接触史等，但不能公布姓名、身份证号、电话、门牌号等能锁定识别具体身份的数据。此外，限制个人信息权利的范围应符合有限性原则。公民个人的信息权属于基本人格权利，同样需要被作为原则上不能被削减的权利予以保障，而绝对不能被予以剥夺。政府部门和企业机构可基于防控疫情的公益需要对个人信息进行收集、使用，但须遵守防控疫情的目的性原则，遵照依法收集、分类存储、匿名处理的要求，禁止基于供未来不特定目的使用而收集、使用个人信息或擅自改变原来的防疫目的和用途。目前，大数据技术在疫情联防联控工作中被大量应用，对政府进行疫情信息公开，提高疫情追踪和响应能力、疫情早期预警能力、诊断检测与治疗方法的研发能力等方面都能发挥重要作用○12。但也需要对大数据的运用进行必要限制，不能突破个人信息保护的法律底线。

四、涉疫情个人信息保护的法律体系结构

涉疫情个人信息保护的法律规范是由多个组成部分、要素和环境以一定的结构形式聚合成的法律体系。在疫情防控中，需要有效发挥个人疫情信息保护法律体系的制度功能，处理好相关部门法及相关制度政策的关系，促进体系内外部的衔接协调，实现个人权利自由和社会公共安全的双层保护，促进个人疫情信息保护和利用的利益平衡。

（一）涉疫情个人信息保护法律体系的整体性

法律规范体系是按照一定规则形成的有机整体。刑法应当确立个人信息保护的整体性观念，这是其与民法和行政法在个人信息保护方面的紧密关联性、从属性的反映。虽然民法、行政法、刑法等部门立法的价值目标各有侧重，但部门法之间应当是相互衔接协调的，也只有将具有不同效力层次的规范条文看作一个整体，才能正确理解不同条文的真正含义。疫情防控涉及隔离治疗措施保障、医护人员安全保护、医疗物资供应保障、社会公共秩序维护、涉疫情个体权利自由保障等。在疫情防控特殊时期，公共安全风险增大，法律所要保护的公民个人信息的法益性质与正常时期相比产生了新的变化，具有综合性、公共性；公民个人信息同时也成为疫情信息，并带有公共性，甚至涉及国家信息安全。根据“法秩序的统一性”原理，法律体系应当是自洽的，法律规范之间并不存在矛盾，也就是说，在某一法律规范文件或条文中被认为是合法的行为，在其他法律规范文件和法条中就不能被认定为违法而加以禁止，或者不可能出现与之相反的事态○13。基于个人信息权益的复合性、复杂性，刑法需要发挥其自身的保障法作用，对于收集使用公民个人信息的民事侵权行为，在具有严重社会危害性的情况下予以介入。在疫情防控中，应当将涉疫情个人信息的法律保护置于整体思维之下，构筑涉疫情个人信息违法犯罪的法律责任和制裁体系，实现“整体大于部分之和”的体系功能，从而实现防控公共卫生安全风险的根本目的。

（二）涉疫情个人信息保护法律体系的开放性

系统既有开放性又有封闭性，这一双重属性影响甚至决定了系统的独立存续和与外界的互动。法律体系的封闭性设置刑法系统的边界，并保证法律体系具有自治性和独立性。在风险社会背景下，法律体系与外部环境的开放互动性更加凸显，对刑法适用的体系解释也同样具有动态性和开放性，主要体现在《刑法》第二百五十三条之一规定的侵犯公民个人信息罪中“违反国家有关规定”的前置性规范的判断上面。根据《刑案解释》第二条规定，“国家有关规定”不局限于国家法律、行政法规，还应包括部门规章。基于罪刑法定和刑法谦抑性原则，应将“国家有关规定”作限制解释，排除同级地方性法规和地方政府规章，只应限定在部门规章的范围内，即国务院所属的各部、委员会根据法律和行政法规制定的规范性文件。在疫情防控中，如果行为人违反相关法律法规以及地方政府和有关部门依据上述法律法规制定实施的有关疫情预防、控制措施的规定，如各地出台的居住小区或社区的人员流动管理办法，均可认定为具备妨害传染病防治罪中“违反传染病防治法”的前置性规范。应当看到，《网络安全法》等相关法律法规对收集、使用公民个人信息行为的义务规范规定尚不够明确，难以为侵犯公民个人信息犯罪的违法性判断提供必要且充分的依据。近年，我国公安部、工业和信息化部、国家互联网信息办公室、全国信息安全标准化技术委员会等部门机构颁布实施的诸多有关个人信息收集、使用的国家、行业标准，属于推荐性行业标准，与法律规范的出发点都是对个人信息权进行保护，但保护的目的和方式不同。这些标准规范从建立与完善行业规则的角度出发，对个人信息的规制范围更广，对个人信息处理的行为要求更高。需要强调的是，个人信息安全行业标准与法律规范之间如何进行有效衔接的问题。虽然二者的出发点都是对个人信息权进行保护，但保护的目的和方式不同。行业规范对于用户知情同意的规定，可以作为界定个人信息法益保护的前置性依据，但不宜直接将其作为判断违法性的依据，否则将导致打击范围过大，反而不利于个人信息权益的保护。

（三）涉疫情个人信息保护法律体系的目的性

个人信息保护的法律体系也有其目的性，即在疫情防控中依法保护个人信息所蕴含的人格权等基本权利。《网络安全法》第四十一条规定，信息收集者必须按照信息提供者同意的方式与范围使用信息，不得超出收集个人信息的原始目的使用。2019 年的《安全规范》修订草案在原有规范文本的基础上，增加规定了“不得强迫收集个人信息”的要求，修改了保障个人信息主体选择同意权的方法及征得授权同意的“例外”情形，增加了基本业务功能、扩展业务功能的告知和明示同意等内容。大数据平台经营者和技术服务提供者不能随意关联不同数据类型，或者将在公权力基于疫情防控授权下收集的个人数据或制作的大数据关联分析模型用于当前或日后的其他目的，造成个人信息的滥用。如果超出原定疫情防控目的使用个人信息的，必须符合“正当、合法、必要”的原则及其配套法律规则、行业标准，并履行必要的“告知+同意”程序。因传染病防控而强制收集的个人信息，通常需要在一定范围内不经信息主体同意及时进行披露，这可以视为“同意原则”的例外。然而，例外之所以称为例外，相关法律法规必须对它们予以穷尽列举。这类信息通常在参与传染病防控的卫生行政部门、疾控机构和医疗机构之间交流使用，需要分享给其他单位的也必须由法律明确规定。同时，基于疫情防控而收集的个人数据应有其自身固有的生命周期，疫情退去后，对于被收集的海量个人数据，应由疾控机构予以封存或匿名化处理。授权部门和组织储存的个人数据，包括人工数据和电子数据均应上交政府有关部门或予以销毁。相关企业应关注基于疫情防控目的而收集和衍生的个人信息留存时限，一旦卫生健康部门提出要求或疫情结束，应及时删除原始数据与相关分析成果；确有必要时，经网络主管部门审批备案，以合法、安全方式保留必要记录，从而杜绝数据泄露隐患。在疫情防控的特殊时期，公民个人信息安全风险也随之增大，法律需要积极应对，但也要防止过度干预。为了疫情防控需要，个人信息相关权利也要受到一定的限制，个人信息保护和利用之间需要进行利益平衡，但个人信息中的隐私权等基本权利不能受到限制或被剥夺，应当根据个人信息安全法益所可能遭受侵害的危险程度对其予以不同程度的法律保护。

五、收集和使用涉疫情个人信息的刑法认定

我国《刑法》中与个人信息保护相关的罪名包括侵犯公民个人信息罪，拒不履行信息网络安全管理义务罪，非法利用信息网络罪，帮助信息网络犯罪活动罪，非法获取计算机信息系统数据罪，编造、故意传播虚假信息罪等。上述涉个人信息的犯罪都属于法定犯，作为其构成要件的前置性规范主要以《网络安全法》为依据。基于前文对个人疫情信息保护刑法体系结构与功能的分析，以下从刑事司法层面对收集和使用个人疫情信息犯罪的认定进行体系性思考。

（一）收集、使用涉疫情个人信息的违法性判断

《刑法》第二百五十三条之一规定的侵犯公民个人信息罪属于典型的法定犯，判断行为刑事违法性以行为人违反前置性法律法规为前提。作为个人信息安全保护方面的国家标准，《安全规范》第5条至第8 条及附录C 根据《网络安全法》中确立的“正当、合法、必要”原则和“公开、明示、最少”原则，对收集、使用个人信息行为提出了具体要求，对个人信息生命周期过程如何处理也作了全面、完整的规定，发挥着重要的行业规范的指引功能。2019年《安全规范》修订草案增加了不得强迫收集个人信息的要求，修改了征得授权同意的“例外”情形及保障个人信息主体选择同意权的方法，在区分基本业务和扩展业务两种功能的基础上规定了“告知和明示同意”的相关要求。须指出，《安全规范》不具有法律效力，不能直接作为认定违法违规收集使用个人信息的行为构成犯罪的前置性规范。上述未经个人信息主体知情同意而收集使用其个人信息的行为也不必然违反刑法意义上的保护义务，反之，个人知情同意也不必然能够成为排除上述行为的刑事违法性的事由。一般来说，对于收集和使用个人信息的刑事违法性判断须把握以下几点：其一，在民法或行政法中属于合法的行为，就不具有刑事违法性，民法或行政法中的合法性可作为排除刑事违法性的事由；其二，在民法或行政法中没有规定或不违法的行为，其刑事违法性的认定不需要以一般违法性判断为前提；其三，在民法或行政法中属于违法的行为，也不必然具有刑事违法性，须以刑法规范及司法解释规定为依据进行认定。

（二）疫情防控期间侵犯个人信息罪从重处罚的政策把握

根据《意见》第十条的规定，在疫情防控期间实施有关违法犯罪的，予以从重处罚。从重处罚作为一种量刑原则，如何在疫情防控特殊时期予以把握，值得讨论。一般情况下，在疫情防控时期实施侵犯公民个人信息犯罪的，相较于正常时期无疑社会危害性更为严重，将其作为从重情节予以严惩，是合理而且必要的。但必须做到“依法从严”，而不能与罪刑相适应原则和法定量刑情节的规定相冲突。有的侵犯公民个人信息行为在正常时期并不会被认定为犯罪行为，甚至在疫情发展的早期也不会被认定为犯罪行为，疫情大规模暴发后，其社会危害性明显加大，由一般违法行为上升为犯罪。如果在定罪上已实现了对此类行为在疫情期间严重危害性的刑罚评价，就不需要在量刑层面再考虑从重处罚的问题，否则就违背了禁止重复评价原则，会导致量刑畸重。须指出，依法严惩疫情防控时期侵犯公民个人信息的犯罪行为，并不意味着抛开一贯的宽严相济的基本刑事政策。司法机关认定和处理此类犯罪应当坚持宽严相济的刑事政策，“该严则严，该宽则宽”，避免刑事政策的重心从“严格”到“严厉”发生偏移。实践中，在依法严惩此类犯罪的同时，尤其要注意针对个案具体情况，采取刑事一体化的综合性惩治和预防对策，注意节省有限的司法资源，集中力量有效打击其他严重妨害疫情防控的犯罪。例如，对于在疫情防控中做出突出贡献的卫生防疫等相关工作人员，在收集和利用公民个人信息过程中，如果实施了非法获取、滥用个人信息或将个人信息提供给他人等行为的，应适当予以从宽处罚，可捕可不捕的应当不予逮捕，尽量采用非刑罚处理方式，避免刑事打击范围过大○14。

（三）被害人同意下收集和使用涉疫情个人信息的出罪化

在疫情防控中，运用刑事法律手段惩治侵犯公民个人信息权益的违法犯罪是十分必要的，然而，刑法也是一把双刃剑，仅靠刑法或单个部门法无法对个人疫情信息的复合法益实施全面保护，不能过于追求个人信息的刑法保护而对疫情防控造成不当影响或瓶颈阻碍。个人疫情信息的收集者和使用者往往也是从事疫情防控的一线工作人员，个人信息的收集和使用、自由与安全的矛盾关系是客观存在的，刑法应当理性对待。在疫情防控特殊时期，尤其应秉持宽严相济的刑事政策和出罪化的司法思维，在能够避免使用刑罚的情况下，尽量采用非刑事法律手段和方式去解决问题。如前所述，我国相关法律、行政法规及行业规范已确立了收集、使用个人信息的知情同意原则，并且除了法律规定的特殊情况，收集、使用个人信息应经过信息主体的明示同意。刑法理论上，个人的知情同意可以被看作一种被害人同意或承诺，具有一定的出罪功能。未经信息主体同意而收集、使用个人信息的行为，也不必然违反刑法意义上的保护义务；反之，信息主体知情同意也不必然能够成为排除刑事违法性的事由，但可以成为阻却或减轻个人信息侵权行为刑事责任的根据。被害人同意（或承诺）的出罪功能得到很多学者的认同，但这种出罪功能并非没有任何限制。经个人信息主体同意的行为并不意味着当然地阻却刑事违法性，知情同意权的行使不能逾越法律的界限，不能与国家和社会公共利益相冲突。如果收集、使用个人信息的行为违反了前置性法律法规或部门规章，那么即便信息主体作出同意的意思表示，也不能被认定是有效的，不能排除收集、使用行为的刑事违法性。此时，“被害人同意”不能被作为免罪根据，但可被作为量刑情节加以考虑，即使认定非法收集、使用个人信息的行为构成侵犯公民个人信息罪，也可以相应地减轻行为人的刑事责任。总之，刑法需要对不同主体处分个人信息的权利和应承担的保护义务进行利益衡量和分配，在法律允许的范围内实现个人信息数据经济效益的最大化。

六、结论

在疫情防控时期，社会安全风险因素和潜在威胁因素突发增加，追求公共卫生安全成为社会公众的普遍心态和立法目标选择，这使得个人信息保护的法益呈现多元化、复杂化的形态和发展趋势。大数据时代扩增了个人信息体量，法律在强调个人信息保护的同时，也要注重保护限度，处理好保护与利用之间的关系，警惕法律保护过度膨胀。司法机关需要运用法治思维和法治方式，依法预防和惩治疫情防控时期的侵犯公民个人信息的违法犯罪行为。应当看到，我国个人信息保护立法存在“碎片化”和规范冲突问题，这源于对个人信息权利属性界定模糊不清，加上不同部门法的立法价值目标存在差异。可以说，“碎片化”是一种立法常态，虽然对法律体系构成一定冲突，但没有破坏法律体系的整体性及适用效力。不同的部门法各有其调整对象和范围，相互之间存在交叉竞合、冲突矛盾的情况在所难免。在个人疫情信息保护方面，单一的民法、行政法或刑法无法实现多元化的价值目标，需要各自发挥在信息自由保护和信息安全保障方面的作用，相互衔接协调加以实现。我们需要从立法到司法，从体系内部到外部，通过犯罪构成要素、法条结构关系、外部法律规则的衔接协调，发挥法律体系的结构功能，从而构建和完善公民个人信息保护的法律体系，为依法防控和治理涉疫情违法犯罪提供有效的法律保障。

注释：

①阳雪雅：《论个人信息的界定分类及流通体系——兼评〈民法总则〉第111条》，《东方法学》2019年第4期。

②洪延青：《疫情防控与个人信息保护初探之三：“接触追踪”的数据共享安全规范》，https://m.21jingji.com/article/20200130/herald/ed380053d 1db7506b121c02f0980e5ab.html，2020 年1 月13 日访问。

③曲新久：《论侵犯公民个人信息犯罪的超个人法益属性》，《人民检察》2015年第11期。

④张新宝：《个人信息收集：告知同意原则适用的限制》，《比较法研究》2019年第6期。

⑤高富平：《个人数据保护和利用国际规则：源流与趋势》，法律出版社2016年版，第36页。

⑥冀洋：《法益自决权与侵犯公民个人信息罪的司法边界》，《中国法学》2019年第4期。

⑦姚岳绒：《论信息自决权作为一项基本权利在我国的证成》，《政治与法律》2012年第4期。

⑧林洹民：《个人信息保护中知情同意原则的困境与出路》，《北京航空航天大学学报（社会科学版）》2018年第3期。

⑨2020年2月24日，最高人民检察院疫情防控检察业务领导小组召开专题会议指出，为防控疫情需要，由政府部门组织动员的居（村）委会、社区工作人员可以认定为受国家机关委托从事公务的人员。对于防疫人员依职权行使的与防疫、检疫、强制隔离、隔离治疗等措施密切相关的行为，应认定为公务行为。

⑩张郁安、杨筱敏：《疫情下的数据利用和个人信息保护再权衡》，http://www.cbdio.com/BigData/2020-02/17/content_6154604.htm，2020年2月17日访问。

[11]赵宏：《疫情防控下个体的权利收缩与尊严保障》，http://www.mzyfz.com/html/1335/2020-02-10/content-1418025.html，2020年2月10日访问。

[12]中央网络安全和信息化委员会办公室于2020年2月4 日发出《关于做好个人信息保护 利用大数据支撑联防联控工作的通知》，要求在疫情防控工作中，除法律授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集、使用个人信息；收集个人信息应参照个人信息安全规范的国家标准，坚持最小范围原则；为疫情防控、疾病防治收集的个人信息，不得用于其他用途；未经被收集者同意不得公开其个人信息，因联防联控工作需要，且经过脱敏处理的除外。

[13]吴镝飞：《法秩序统一视域下的刑事违法性判断》，《法学评论》2019年第3期。

[14]黎宏：《助力抗击疫情，刑法当仁不让》，2020 年2月7日《人民法院报》，第2版。