论疫情期间个人信息的刑法保护

饶惠智

摘要：疫情期间，一些收集和使用个人信息的乱象使得个人信息保护与公共安全保障之间的冲突问题像被置于放大镜下一样集中体现出来。政府等个人信息的收集和使用主体应当确立个人疫情信息保护和利用的利益衡量理念，协调疫情信息公开与个人知情同意的关系，遵守对个人疫情信息权利限制的比例原则。在对违法收集使用个人信息行为的刑法规制层面，通过明确侵犯公民个人信息罪条文中“公民”、“非法获取”、“情节严重”的内涵外延以及该罪主观罪过的具体形式，能够更为清晰地划分罪与非罪的界限，完善个人信息的刑法保护。

关键词：个人信息;刑法规制;利益衡量;疫情防控

一、问题的提出

疫情期间，收集和使用相关人员的行踪轨迹等信息以促进联防联控工作无疑是当务之急。但是，收集和使用主体亦应当对个人信息权益这一合法正当的权益予以足够的重视和保护，不能顾此失彼。本文拟从个人疫情信息为视角，探讨个人疫情信息保护和利用的冲突处理方式，为政府部门、单位、APP运营商等主体提供合法化收集与使用的建议。并通过进一步探讨侵犯个人信息罪的刑法认定问题，为依法惩治相关违法犯罪贡献微薄之力。

二、APP运营商违法违规收集使用个人信息行为及出罪事由分析

通过对支付宝、微信、QQ等二十余款常用APP的收集使用个人信息行为进行分析后，对可能触及刑法的行为进行了归类，并总结出入罪阻却事由在APP运营过程中的适用，可用于警示APP运营商在合法合规的范围内收集使用用户信息。

（一）APP违法违规收集使用个人信息行为归纳

其一，传统的积极行为。包括未经用户同意收集使用个人信息违反必要原则、收集与其提供的服务无关的个人信息、未经用户同意向他人提供个人信息等。這些行为都有可能构成犯罪。

其二，大数据时代下新型的积极行为。包括面部特征等生物特征信息收集使用不规范，APP后台自启动、关联启动，私自调用权限上传个人信息，录音、拍照等敏感权限滥用等，这些行为也都有可能构成犯罪。

其三，消极行为。包括未按法律规定提供删除或更正个人信息功能，未公布投诉、举报方式等信息，未公开收集使用规则，未明示收集使用个人信息的目的、方式和范围等，这些行为不构成犯罪，但是可能构成民事或者行政违法。

（2）APP侵犯个人信息的入罪阻却事由

其一，刑事合规阻却刑法适用，是指用户协议和隐私政策文本合法合规，且行为符合文本规定。争议点在于：（1）将收集的个人信息提供给关联企业。我国对关联企业并未有法律上的一致概念，造成司法实践对“关联企业”的认定不一，进言之，若APP服务提供者完全依照合法合规的用户协议与隐私政策将其所收集的个人信息提供给关联企业，就应当从最宽泛的角度解释关联企业，避免因个人信息被提供方因未被认定为关联企业而导致“非法提供”的认定。（2）收集与服务内容关联的个人信息。判断运营商收集的个人信息与提供服务内容的“关联度”时，若完全依照用户协议与隐私政策进行收集，则在如果刑事责任层面的判断，应当为其中关联性保留最大限度弹性空间。

其二，信息自决权阻却刑法适用，视为被害人同意。APP服务提供者可以以通过用户协议与隐私政策获得了用户授权为由，主张适用“被害人承诺”，从而主张刑事责任的免除。但如果其具有恶意目的，超越服务范围收集个人信息等，则不能基于用户协议与隐私政策进行免责。例如，在经同意买卖个人信息进而盈利的案件中，信息出卖者因为信息自决权的存在而不具有刑事违法性，但信息购买者并不因出卖人同意便能够从刑法层面免责。

三、促进各层级主体规范性收集、使用个人信息的建议

（一）个人信息采集阶段

在突发公共卫生事件中，利用个人信息进行有效防控的第一步是采集个人信息，理应遵循最小范围原则。一是收集对象方面，原则上只收集重点人群的个人信息;二是地域范围方面，不针对某一特定地区的所有自然人;三是如果可以通过使用所收集的非敏感个人信息就可以实现目标，那么就不应扩大个人信息收集的范围。

（二）个人信息传输阶段

在突发卫生公共事件中，个人信息传输存储的安全性尤为重要。传输储存个人信息应当遵循必要性原则和最小化原则，即目标信息应当满足防控目的，个人信息范围不宜过于宽泛。此次我国在应对 COVID -19 疫情时，有关部门、企业、个人在传输存储肺炎患者和疑似人群的个人信息过程中应当严格控制传输途径和存储方式。传输过程中要保证对应接收单位的合法性，存储时要注意存储保密等级以及存储期限限制。

（三）个人信息使用阶段

《通知》对信息使用过程中个人信息进行保护的同时，忽略了对被收集的个人信息进行共享的规制。立法的阙如使得个人信息的共享缺少必要的引导，信息收集显得无序混乱各地政府以及相关部门在个人信息收集上形成了各行其是的局面。实践中，往往出现同一信息主体的个人信息被多个信息收集主体（派出所、居委会等）收集，以及同一信息主体的个人信息被同一信息收集主体重复收集的情况，严重降低了信息收集效率，也侵扰了公民的正常生活。因此，对信息共享规制的缺失，加剧了个人信息面临的安全风险。

（四）个人信息披露阶段

在此次疫情中，人民政府、基层组织都在法律框架内披露目标人群信息，但从新闻报道中可以发现存在小区物业公司向小区住户披露新冠肺炎患者、疑似人群的具体姓名以及精准住址，甚至其亲属的个人敏感信息，造成相关群体的私生活曝光。可见，个人信息的披露范围需要谨慎，患者以及疑似人群的具体姓名以及居住门号不应当向小区全体用户披露。此类人群的具体居住栋数如果以防控疫情传播为目的，可以由适格主体进行披露，保证披露个人信息准确性的同时保护披露信息主体的个人权益。

（五）个人信息销毁阶段

在公共卫生事件趋于缓和后，仍有大量的个人信息在公共卫生事件结束后保留在网络空间中，对信息主体未来的个人隐私等人格权益造成侵害，影响现实的社会生活。为保障信息收集主体有正当权利销毁以上个人信息，可以运用一般人格权的兜底作用来实现“被遗忘”这一法律所保护的利益，并赋予信息主体被遗忘权，不仅可以对公共卫生事件中不符合法律规定而公开的信息行使被遗忘权，而且可以对公共卫生事件结束后不必要继续公开的个人信息行使被遗忘权，从而实现公共卫生事件中个人信息的保护。

（华中师范大学 法学院 430079）