疫情防控下个人信息的保护路径

王志杰

一、问题缘起

自新型冠状病毒疫情暴发以来，大数据技术利用海量的个人信息在疫情态势预测、人员流动管理、疫苗研发、诊断方案改善、复工复产等多方面都发挥了积极作用（详见表1）。

由表1可知，大数据在助力疫情防控的过程中，个人的身份证号、联系方式、家庭人员、财产账户、就诊记录、出行信息、健康状况等大量个人信息被收集、使用和公开。这些个人信息可分为六类：由地方教育部门掌握的武汉高校学生名单；由公安部门掌握的交通数据；由基层工作人员和物业逐户登记的手机号、身份证号、近期行程等数据；由电信运营商通过手机信令掌握的客户24小时定位信息；由互联网公司掌握的人口流动数据、住址等信息；由医疗机构、疾病防控部门掌握的患者的健康信息和医疗就诊信息。[1]

然而，由于法治意识淡薄、缺乏信息分享监督机制、缺乏统一的收集数据标准、安全技术有漏洞、缺乏公开信息的规范、公民的恐慌情绪等等，这些数据控制方在收集、使用、公布个人信息的过程中存在很大的个人信息安全隐患。例如，2020年1月24日，山西临汾姚某因擅自在微信群散发密切传播者名单被拘留；1月27日，江西宜丰两名干部因泄露湖北返乡人员名单被政务立案；1月30日，湖南一区卫生局局长涉嫌泄露患者隐私被立案调查；2月8日，江西涟水警方抓获利用疫情收集个人信息来犯罪的嫌疑人薛某某等等，个人信息安全被侵害的程度可见一斑。

被泄露的个人信息在疫情发酵下宛如一张张“通缉令”，给信息主体的人身与财产安全、心理健康等都带来了很大危害，也影响着疫情防控后续采集信息的效率和准确度，不利于早日战胜疫情。那么这些数据控制方是否有权收集、使用、公布这些个人信息呢？个人信息面临着些什么具体风险及如何防控之？被侵权后有什么救济途径?本文拟予探讨,期能为疫情防控背景下个人信息的保护提供一个合理的路径。

表1 大数据在疫情防控中发挥的积极作用

二、疫情防控下个人信息的法益及其界定

（一）个人信息的法益

个人信息所涉的法益复杂：既有财产法益，也有人格法益；既有积极权能，也有消极权能。[2]

1.人格权。

第一，隐私权。个人信息的保护对隐私权至关重要：首先，私密信息一般与信息主体有着很强的特定联系，具有很高的可识别性，被包括在个人信息之中；其次，大数据时代，数据挖掘、用户画像等技术的发展，使不具有私密性的个人信息也存在泄露隐私的风险。

第二，人格尊严权、名誉权、平等权。个人信息的泄露会导致信息主体的性别、地址、生理健康信息等被他人掌握。疫情下恐慌情绪和焦虑情绪的蔓延，使信息主体可能被等同视为“病毒”，遭受旁人或社会的排挤、歧视、人身攻击、侮辱等，其人格尊严权、名誉权、平等权会遭到严重侵犯。

第三，人格的自由发展权。一方面，公民自主使用个人信息本就是其人格自由发展的一个体现。[3]信息主体有权决定个人信息使用的方式、范围、内容；另一方面，如何使用个人信息的自我判断，是实现人格自由发展的关键。个人信息过度暴露，在与外部环境的互动过程中必然会受到更多影响，严重者甚至会被控制，人格自由自然会被限制。

2.人身和财产权。

个人信息的可识别性和社交关联性为某些不法之徒制造了违法犯罪的机会：通过信息主体的联系方式，可以很方便地实施电信诈骗、敲诈、恐吓；利用信息主体的身份证号和账户信息可以实施盗窃银行卡、银行卡；利用信息主体的地址可以实施绑架、抢劫、盗窃、杀人等。可见，个人信息的不当暴露使信息主体的人身和财产都危机四伏。

（二）个人信息的界定

由国家市场监督管理总局、国家标准化管理委员会发布的《个人信息安全规范（2020年）》这一国家标准中，将“个人信息”界定指为可以识别信息主体身份或者反映信息主体活动状况的信息。①据此，个人信息的关键特征为“可识别性”，包括直接可识别和间接可识别（即与其他信息结合后可识别）的信息。故，在疫情防控中泄露的个人信息，诸如个人身份证号、家庭住址、手机号码、活动范围等无可争议地属于法律保护的“个人信息”。

个人信息又分为敏感信息和非敏感信息。敏感信息和非敏感信息的区别在于“场景的不同”：信息所泄露的场景是否会给个人的人身、财产、心理带来负面影响。如上文所述，疫情蔓延的背景下，个人信息主体的人格权、人身安全、财产安全等法益都面临着严峻的威胁，因此应该界定涉疫情人员的相关个人信息为“敏感信息”而予以特殊保护。

三、疫情防控下处理个人信息的法理分析

由前文可知，个人信息涉及隐私、尊严、安全等法益，具有人格权和财产权双重属性，保护个人信息安全是法治的应有之义。大数据时代，个人信息被侵害的风险空前加剧，各国在法律上纷纷完善个人数据保护法规。那么，我国法律在处理个人信息时应遵循什么的基本原则？在疫情防控期间，个人信息保护是否存在例外条款？相关机构、人员在疫情防控期间对个人信息的收集、利用、公开是否有法律依据？这是本文需要讨论的重要内容。

（一）个人信息处理的基本原则——“知情同意”

现行法中处理个人信息的主要合法性基础是——“同意原则”（详见表2）。

由此可见，知情同意原则，是我国个人信息保护的核心条款和基本原则。其具体有三个要素：一是事先同意，即任何主体要收集、利用、披露个人信息都应该先取得信息主体的同意；二是明示同意为原则，默示同意为例外，其中敏感信息必须取得明示同意；三是充分告知，即只有信息主体充分了解信息所收集、处理、披露的内容、范围、方式和可能的后果之后而允诺的同意，才是有效的。

但是，知情同意原则是不是处理个人信息的唯一一个合法性基础？特别是在疫情防控中，是否有知情同意原则的例外呢？

（二）疫情防控下“知情同意”原则的例外

1.目的正当性。

如前述表1所示，大数据技术利用个人信息在疫情防控的各领域发挥了至关重要的作用。疫情防控具有着极高的急迫性，而疫情所涉人员众多，逐一获取信息主体的同意显然是不现实的。对信息主体而言，生命健康权较个人信息权有优先性；对公共利益而言，在矛盾的情况下较个人利益有优先性。因此，疫情防控应构成“知情同意”原则的例外情形，因其具有目的正当性。

2.法律合法性。

目的正当性并不构成个人信息处理“知情同意原则”例外情形的充分理由，同时有法律上的依据（详见表3）。

综上，法律层面上，《传染病防治法》《突发事件应对法》和《突发事件应急条例》授予县级以上政府、医疗单位、疾病预防控制机构等在疫情防控时使用个人信息的权利，并要求个人配合；行业标准层面上，《互联网个人信息安全保护指南》和《个人信息安全规范》（以下简称“相关行业标准”）也将涉及公共安全、公共卫生、重大公共利益列为“同意原则”的例外场景。疫情防控构成处理个人信息“同意原则”的例外情形，具有合法性基础。

四、疫情防控不同阶段个人信息的风险问题

疫情防控虽然在法律上构成“同意原则”的例外情形，为抗击疫情提供了支持，但是一些配套规范的缺失却给信息安全保护带来了很大风险。

（一）在信息采集阶段的风险

第一，采集主体不适格。由前述表2可知，我国《传染病防治法》《突发事件应对法》《突发公共事件应急条例》（以下简称“相关法律”）未授予县级以下政府及有关部门收集个人信息的权力。疫情防控实践中，村/居委会、物业、街道办等组织却都享有个人信息的采集权，且未明确这些组织对所采集个人信息的法律责任。同时，互联网公司、电信运营商也是个人信息的采集者，它们不仅没有法律授权，而且作为盈利机构，极有可能存在借疫情为由过度收集用户信息以备日后商业利用。

表2 个人信息处理的“同意原则”

表3 疫情防控构成“知情同意”原则例外情形的法律依据

第二，采集范围不统一。相关法律规定个人应配合疾病预防机构、医疗机构、卫生部门等收集信息，但未明确收集的范围，导致各地标准参差不齐，多地有收集财产账户、户籍信息、超过医学观察期的出行信息甚至性取向等明显与疫情无关信息的情形。

第三，未明确告知原则，加重过度采集风险。逐一获取信息主体的同意自然不现实，但是告知信息主体采集信息的目的和范围显而易见是可行的。否则极易为过度采集蒙上遮羞布，相关法律却未明确这一原则。

第四，违法分子“钓鱼收集”的风险。违法分子可能会将病毒伪装成“填写表单抢购口罩”“当地疫情问卷调查”等对普通民众有吸引力的程序，客户打开填写后便可侵入其电脑，收集、窃取相关个人信息。

（二）在信息传输、存储阶段的风险

第一，数据控制方可能因为法治意识薄弱、隐私意识不强，难以保障个人信息的安全。疫情期间的个人信息泄露案件多为基层工作人员个人信息保护意识薄弱，擅自转发扩散等所致。

第二，大数据时代，个人信息多存储在云空间，一些黑客会趁机窃取个人信息犯罪，一旦保密技术有技术性漏洞，海量信息将落入犯罪分子之手，后果不堪设想。我国《民法总则》《网络安全法》明文规定了信息传输、存储阶段的安全义务，但作为宣示性条款，缺乏具体的制度与技术安排。

（三）在信息使用、披露阶段的风险

第一，使用、披露主体不合格。“百度迁徙”地图的人口迁徙数据大公开、各大电信运营商的“武汉手机用户迁返报告”、部分媒体对武汉人员个人信息的直接披露等都缺乏法律/有关部门的授权。《个人信息安全规范》和《互联网个人信息安全保护指南》对数据控制者提出了要求，但作为推荐性标准，约束力太弱，缺乏强制力和执行力更好的保护条令。

第二，缺少统一的操作规范。相关法律未对使用、披露个人信息的方式、范围进行规定，导致基层在实际执行时存在疏于对披露数据进行脱敏处理、公开年龄、户籍、家庭人员等无关信息等情形。

第三，缺乏对告知原则的规定。这和采集阶段类似。

第四，缺乏监督机制。我国《民法总则》《网络安全法》等未规定具体侵权责任；《刑法修正案九》及相关司法解释虽然规定了保护个人信息的刑事责任，但也仅为事后惩戒，缺乏事中的监督机制。

（四）在信息交换、共享阶段的风险

第一，责权划分不明确，数据交换、共享过程中不可避免存在数据拥有者和管理者分离、数据所有权和使用权分离的情况。但相关法律及标准未规定交换、共享个人信息双方的权利与义务，安全监管责任不清晰，不仅隐含着滥用数据的风险，也可能导致交换效率低，无法打破“数据孤岛”，影响抗击疫情。

第二，交换、共享范围不明确，过程不公开。防控实践中多为“一刀切”打包交换共享，但个人信息不应该全部被允许交换、共享，应按敏感程度分级，加以不同等级的保护，应用不同的共享规则。同时为了防止暗箱操作，过程也应对公众公开。

第三，信息共享涉及大量数据的集中，一方面极易成为黑客的攻击目标，如果技术安保不到位，大量个人信息将泄露；另一方面也面临着内部的安全风险，例如员工过量下载等问题。

（五）疫情结束后的风险

目前对于疫情疫情结束之后个人信息的后续处理没有相关政策或规定。防控实践中涉及海量复杂的个人信息，很多部门或组织是受疫情影响经上级授权充当临时信息控制者。这些临时控制者一方面数据管理制度不完善，管理能力有限，对长期处理海量的个人信息力不从心；另一方面，疫情之后大部分机构持有个人信息的行为都丧失了合法性基础，易给信息主体带来后续的隐私困扰等。

五、疫情防控下个人信息的保护路径及权利救济

疫情下对个人信息权的限制和缩减虽有其合理性和合法性，但是这种限制并不是没有边界，必须遵循基本的原则，符合合理的限度，予以基本的保护。[4]

（一）疫情防控下个人信息保护的基本原则

梳理域外法制经验和我国《关于做好个人信息保护利用大数据支撑联防联控工作的通知》（以下简称“联防联控通知”）要求，可以发现保护个人信息需要遵守一些基本原则：比例原则、合法原则、公开原则、目的限制原则、信息安全原则和保护“数据被遗忘权”原则。根据这些原则，提出具体的保护建议：

1.比例原则。

收集、使用、公开个人信息对于抗击疫情目的而言应是适当的、必要的，但不能对信息主体造成过度负担。参考欧盟的一般数据保护条例（General Data Protection Regulation，以下简称“GDPR”）规定，为了控制传染病收集个人信息必须满足数据最小化原则（最少够用原则）[5]；亚太经合组织的《APEC隐私框架》，其第十三条要求在“使用隐私保护的例外原则时需要限缩于与例外条款相关之目的并符合比例原则”[6]；我国“联防联控通知”有最小范围原则要求②。

具体而言，首先，明确收集数据的范围：对确诊患者、疑诊患者、医学观察期内的接触者的信息收集，限于姓名、年龄、行踪轨迹、健康信息、家庭住址、共同生活人员等和疫情相关的关系，对其财产状况、籍贯等无关信息禁止收集；对正常健康人员的信息收集，限于健康信息、年龄、性别、住址这些检测健康状况必须的基本信息，其他信息都禁止收集。[7]其次，明确数据使用、公布、共享的范围：应该将所收集的个人信息进行分类，非必要情况不公布敏感度较高的个人信息，也要先进行脱敏或匿名化处理。

2.合法原则。

合法原则的基本要求是主体适格、权责分明，即对个人信息的采集、使用、共享、公布都应该严格依照相关法律的规定。根据“联防联控通知”的第一条规定，县级以下政府及部门，互联网企业、电信运营商等不适格主体，必须得到有权部门的授权，并且明确其应该承担的数据安全责任，才能参与收集、处理个人信息。参考欧盟“GDPR”规定，只允许特定成员国的有权机构才能相互交换收集的个人信息，同时成员国要对信息后续流转承担全部法律责任的规定。[8]因此，完善我国的数据共享规则，建议共享双方签订共享协议，明确各自的安全监管责任等。

3.公开原则。

其一，公开原则要求告知个人信息主体收集、使用、公开信息的目的、方式、范围、内容。相关法律赋予了医疗机构、疾病防控部门等在疫情背景下不经个人同意收集使用信息的权力，但并没有赋予其更多的特权。告知是个人信息主体知情权不可剥离的一部分，也是对数据控制者的一种约束。

其二，要以明确、简单、易懂的方式向公众公开收集到的疫情信息，避免因为公众的恐慌、猜忌情绪给信息主体带来次生伤害。

4.目的限制原则。

对个人信息的收集、使用、公开、共享限于防控疫情这一目的，不可滥用于他途。尤其是需要加强对互联网企业、电信运营商等盈利机构的监管，明确与政府合作的过程中收集、使用个人信息的目的和应承担的责任，督促其加强内部的员工管理等，以防止日后海量信息用作商用。同时，政府管理部门也应警惕，不可将个人信息用作一般的公安侦查等，否则都是违反了目的限制原则，突破了对个人信息权的合理限制程度。

5.信息安全原则。

一方面，要加强对不同信息处理行为中数据控制者的法治素养和信息保护意识，明确不同控制者的信息安全责任，加大执法力度，严禁泄露或违规使用个人信息，否则，可以使用《网络安全法》《刑法修正案（九）》等予以惩戒，同时还需要进一步完善我国侵犯公民个人信息罪的定罪量刑标准；另一方面，要加强和研发更完善的数据安全技术，充分调动产学研各界的积极性，加强数据安全监管技术，筑牢防火墙，减少技术漏洞、抵御黑客攻击的潜在风险。

6.保护数据“被遗忘权”原则。

在疫情防控结束后，为了信息主体的生活安宁，个人信息主体有权要求数据控制者删除其个人信息。可以参考“GDPR”的“为了控制传染病而收集的个人信息存储时间不得超过12个月”限期存储的规定，[9]在疫情结束后限期删除收集的原始个人信息，并采取技术措施防止私人恢复。一些不具有可识别性的聚合信息若有日后研究的必要可由疾病控制部门封存，确保以保密性和安全性；若信息主体同意，也可以保留一些可识别个人信息以供日后的智慧医疗建设等合理目的使用，但要注意假名化等技术脱敏处理。

综上所述，在疫情防控各个阶段的个人信息保护途径如下图所示：

图 疫情防控各阶段个人信息的保护路径

（二）个人信息自我保护措施及权利救济

1.自我保护措施。

第一，谨慎提交、填写个人信息。手机下载app或扫码时关注是否存在个人信息收集行为，如填报手机号、要求打开权限等；确认存在个人信息收集行为后，关注信息收集者是否是具备疫情防控相关授权的机构；填写信息时只填写与疫情防控相关的必填项信息；对于存在疑问的填写项，与相关人员进行沟通，了解原因及目的后再进行填写。

第二，监督后续保护措施。对于已经提交的个人信息，主动了解、询问收集方将如何存储、处理、公开，并进行监督。

2.权利救济。

第一，申诉举报。若遇到个人、互联网机构、企业等泄露、传播个人信息或者有其他侵权行为时可以参考表4进行申诉维权。

表4 个人申诉举报的正规渠道

第二，司法救济。（1）刑事诉讼。根据我国《刑法修正案（九）》以及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》相关规定，如果侵害个人信息的情节严重，信息主体可以提起刑事自诉，信息控制者可能因为侵犯公民个人信息罪、拒不履行信息网络安全义务罪受到刑事制裁。（2）民事诉讼。信息主体发现个人信息在疫情防控中被违规收集、泄露的可以以“人格权纠纷”项下的“隐私权纠纷”为案由提起民事诉讼；若信息主体与违法行为者系商家与消费者的关系，或存在服务合同等协议，也可以“消费者权益保护纠纷”或“合同纠纷”为案由提起民事诉讼。（3）行政复议或行政诉讼。信息主体认为政府机构等公权力组织存在违法违规收集使用个人信息行为的，可以向上级行政机关复议举报，或提起行政诉讼。

举证责任方面，基于合法原则和信息控制者较个人而言的支配地位，信息控制者承担“过错推定责任”，举证自己已经遵守法律，履行了信息安全保护义务，否则，就要承担举证不力的法律后果。

六、结语

疫情防控之下，公民个人的信息权有所缩减和限制具有一定合法和正当性基础，但是，这种限制举措并非没有边界，应遵循比例原则、合法原则、公开原则、目的限制原则、信息安全原则和保护“数据被遗忘权”等原则开展个人信息的收集与后续处理活动，同时，需要修订和完善《突发事件应对法》《传染病防治法》等相关法律中有关主体的权利与义务、具体的信息保护措施和法律责任等规定，出台规范的公民《个人信息保护法》，完善个人信息主体安全的保护路径，明确权利救济渠道。唯有如此，才能实现疫情防控的公共卫生安全和个人信息保护的平衡，在法治下早日迎来疫情防控攻坚战的胜利。

注释

①《个人信息安全规范》第三条第一款：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动状况的各种信息”。

②《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第二条：“收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》，坚持最小范围原则”。