突发公共危机事件中个人信息利用的法律规制

●魏暄沛 朱恩仪

新冠肺炎事件爆发后,某返乡大学生发出举报信,说明了包含他在内的万名返乡学生的名字、身份证号以及返乡时间等在私人群聊中发布,基本信息被曝光;平安北京微信公众账号发布,一位新冠肺炎确诊患者手机号码被曝光后,频繁接收到大量侮辱性消息、骚扰威胁电话；某医院五名医护人员私用手机偷拍且通过社交账号平台转发,使得该医院新冠肺炎确诊病例的姓名、工作地点、就诊过程等个人信息遭到广泛传阅;多名艺人在经人脸识别与图像采集后的健康宝照片等多项个人信息被打包泄露。

来势汹汹的新冠肺炎疫情爆发后,民众对相关群体的信息产生了迫切渴求，群众需要掌握新冠肺炎高危群体信息的心理可以理解,但在多地屡次出现、对新冠确诊患者、密切接触者身份证号码、家庭成员信息等极易识别的个人信息被非法泄露的情况却不能躲过法律制裁。新冠肺炎高危人群除了遭受病毒带来的恐慌,个人信息还被过度收集、不当利用，日常人际交往生活受到干扰，个人与家庭的人身财产安全受到伤害的风险也极大提高。

一、突发公共危机事件中个人信息利用概述

（一）突发公共危机事件中个人信息的界定

《个人信息保护法》开宗明义，对个人信息做出了具体定义：个人信息，就是以电子设备或其他任何方式记载的、与已识别或者可识别的自然人相关的各类信息内容,不包括经过匿名化、隐私化处理后的信息；《民法典》中对个人信息的定义与范畴也进行了阐述：个人信息，指以电子或是其他方式所记录的、可以直接单独或者与其他信息结合而识别出特定自然人的所有信息,包含姓名名称、出生时间、生物识别信息、住址、通信通讯方式、生理健康信息、行踪记载、财产信息等。

要明确新冠肺炎疫情中的个人信息, 先要了解信息主体:新冠肺炎高危人群，分为三大类：新冠肺炎确诊病例、密切接触者、疑似肺炎患者。关于新冠肺炎高危群体的个人信息,主要包括上述三个群体的名称、家庭地址、行踪轨迹、旅居史、健康状况、核酸筛查情况等,除此之外,部分地方还收集了婚姻状况、家庭情况、工作状况等重要个人信息,并通过对这些个人信息实行了收集、保存、分类、处理、传递、共享、公开披露。

总结而言,突发公共危机事件中的个人信息是指以电子或者其他方法记录的、可独立或与其他信息整合的、可确定突发公共危机事件中涉及主体个人身份的所有信息。因此,认定某类信息是否属于此类事件中的个人信息,主要判断依据是能否直接或者与其他信息相结合间接地识别出个人的身份, 进而通过收集、存储、公开、共享等利用方式来有效防控此类事件发生。

（二）突发公共危机事件中个人信息利用与法律规制的必要性

以2019 年末新冠肺炎疫情在武汉市最初爆发为例,通过排查与分析武汉市华南某区某海鲜市场的商户与消费者的行动轨迹、居住史、旅游史、密切接触史等信息，可以锁定大部分新冠确诊者、密切接触者合疑似感染人群，极大程度上帮助了疫情防控部门在第一时间采取有效措施，分层监测、控制新冠肺炎确诊者、限制密切接触者与疑似感染者人员的流动，迅速识别危险源，实现精准隔离，在源头处遏制病毒扩散。

在新冠肺炎疫情中收集到的个人信息是全方位而具有敏感性的。掌握了个人姓名、地址、收集的电话号码等信息,基本能了解某个人的生活动态；而身份证号码、行踪轨迹、财产管理等信息存在的另一个重要特点就是具有敏感性，这类信息如果泄漏或者被非法使用,就易使信息主体权益受侵害。为保护社会公众的身体健康和财物安全、为维持稳定的社会秩序，基于防疫信息具有公益性的前提，信息主体需要做出相应利益退让，但个人作出适当让渡不代表着侵犯个人信息权益合法化,如果信息主体被过度索权，那么必然背离行为初衷，最终不能有效防控突发公共危机事件。

二、我国突发公共危机事件中个人信息利用的立法现状

历经2003 年非典型肺炎公共卫生事件, 为更有效应对此类突发公共危机事件,我国完善并制定多部专门法律规范。新冠疫情发生以来,笔者查阅了现阶段与突发公共危机事件中个人信息的规定,发现《民法典》《突发事件应对法》《个人信息保护法》《传染病防治法》《治安管理处罚法》等法律和《政府信息公开条例》《突发事件应急条例》等规范中均有规制个人信息的利用以应对突发公共危机事件的内容,其中《民法典》《个人信息保护法》等均在新冠肺炎疫情背景下应运而生。

《个人信息保护法》把保护个人信息视为立法基本理念所在,严格规范了自然人信息受到法律保护,不受到其他单位和个人侵犯,并以合理、公平、必要和诚实等为准则,禁止采用误导、威胁等方法处理信息, 个人信息的使用范围进行了规制；《民法典》也把个人信息列入到了人格权编,把个人信息与其所具有的人格权益都列入了民事保障范畴中,以合法、正当、必要的原则对个人信息的使用范围进行了规制,并加大对个人信息的保障力度。

国家完善处理突发公众危机事件立法工作，出台专门法律规范对信息使用进行规制的目的，不在于把信息禁锢于密不透风的环境中,而是为了保证信息被依法、正当利用而不被滥用,既能充分发挥信息的时效价值,又减少了不合理利用个人信息给公民个人权益、社会秩序带来的风险。

（一）个人信息在突发公共危机事件中利用的抽象原则

1.合法性原则。使用个人信息的第一准则是合法性原则。所有获取、管理等信息利用必须在合法性准则下进行。首先，要求利用个人信息的主体合法。按照《传染病防治法》《突发公共卫生事件应急条例》等法律规范,出于处理突发性公众危机事件、维持社会正常秩序的考虑,信息利用主体主要是指国务院卫生行政主管部门及其委托的专门医疗单位或防治单位,具体包括,国家传染病防治与控制部门、专门医疗机构、国务院卫生行政主管部门、其他国家相关行政部门及其委托的专门技术单位、街道办事处、村委会或者居委会,上述单位可依法收集、处理个人信息。合法性原则也要求相关主体对个人信息的利用方式合法。各文中合法性主体应当以身作则,提高自我的约束力，严格落实法律规定的利用信息的方法,依法利用公民个人信息,使权力在合法的轨道上运行。

2.正当性原则。利用个人信息的另一原则是正当性原则,又可称为程序正当原则。衡量个人信息利用过程是否合法的重要标准之一是是否符合正当性原则。在突发公共危机事件发生的紧急情况下,对疾病预防控制机构、医疗机构等个人信息利用主体的要求只会更高。利用主体应该遵循合法的信息管理过程和法律规定程序来获取、管理、共享信息,并明确告知信息主体使用其个人信息的法律依据与正当理由，不过度、随意地获取信息,也不任意共享信息于其他无权限、无资格的主体,以防止信息被别人非法利用,依靠广播新闻、公告等媒介告知社会公众目前采取的防控措施,耐心告知公众在防控过程中社会公众配合相关措施的必要性,同时听取公众建议,改进收集与利用个人信息的行为方式。

3.必要性原则。利用个人信息的另一原则是必要性原则，《个人信息保护法》《民法典》对必要性原则上作出了明文规定,要求收集、公开披露、共享等利用须具备明确、科学、合理的目的,必须与目的密切关联,采用对个人权益危害最小的方法,限于达到办理目的的最少范围内,以必要性约束信息利用,可收集、也可不收集的个人信息尽量不整合，可公开、也可不公开的个人信息尽量不披露，将处理的个人信息范围、存储期限、披露方式等需要符合必要性原则，避免任意用权与过度索权情况发生，反映了“禁止国家公权力过度”的立法思想。

（二）公法、私法合作下的条文规制

宪法并未明文规范个人信息利用的条件, 但第三十三条、第三十八条、第四十条都阐述了国家尊重和保障人权、公民人格尊严受宪法保护、通讯通信自由与秘密受宪法保护的思想，可以归纳出我国宪法作为根本大法对个人信息的规制与保护。

个人信息的私法规制主要是指以《民法典》《个人信息保护法》为基础的个人信息使用和维护法律规制体系,如《民法典》中对个人信息权益的侵犯损害与赔偿问题规定了民事责任；《个人信息保护法》是中国首部关于个人信息保护法的专门性法律规范,它的颁布施行在中国社会主义法治道路上具有里程碑意义，其中设置“法律责任”章节，特别规定信息权益受侵害时民事、行政与刑事法律责任，强化处罚力度。《个人信息保护法》等陆续施行,我国突发公共危机事件中个人信息利用的法律规制也初步形成。在此之前,由于对信息使用的立法严格规制长期处在“碎片化”状态,规制条文散见于法律法规、条例规章中,相互交叉,衔接性弱,不利于个人信息有效利用。

个人信息的公法规制主要是行政法、刑法、突发公共危机事件相关法等领域,如刑法中关于公民个人信息罪名的规定以及最高院颁布的司法解释作为兜底性法律存在；《突发事件应对法》明确了事件相关高危群体的配合义务，基于社会公共利益与公共安全的需要，要求该群体及时向有关疾病防控部门、卫生行政部门、医疗机构等报告姓名、行踪轨迹、旅居史、健康信息等。

疫情爆发之初，个人信息利用法律规制体系尚未形成,对在突发公共危机事件中个人信息利用的条文规制较粗放。经过近两年经验总结,我国社会主义法律制度不断完善，逐步健全个人信息利用法律规制系统,以公私法合作的规制方式促使不同主体依法、合理、有序利用信息，促进个人信息更好地服务于社会，发挥应对突发事件的价值。

三、应对突发公共危机事件下个人信息利用的建议

（一）明确信息主体的知情权与删除权

从信息主体享有的权利角度考虑，社会公众对利用信息的法律依据、使用目的等拥有知情权。对信息内容的使用必须要遵循合法性、正当性、必要性原则，信息内容不能被任意获取、共享和公开披露，政府组织对信息的各种使用须征得该信息主体的许可或同意；公民基于此权利可以督促政府行使公权力，倒逼国家公权力在合法、正当、必要的轨道上行使。在突发事件背景下，法律需赋予信息主体删除权，信息主体许可或者同意利用的信息一旦缺乏实效性，并且存在着可能危害信息主体日常生活、损害公民个人利益情况时，信息主体尤其是已经康复的新冠确诊者可以申请删除。疫情防控个人信息管理方面的工作人员应及时筛选收集、保管、共享的个人信息，保留仍具有实效性与剩余价值的信息数据，主动对其他信息及时采用匿名化的保护措施，或移除、销毁等永久性删除。

（二）明确利用主体的行为目的

疫情防控行政部门等信息利用主体在利用个人信息时,要严格把握自身收集、处理信息的目的，保证利用行为与初始目的具有关联性，不收集、公开与防治疫情工作无关的个人信息，不将收集、整合的个人信息与不具备合法利用权限或者无信息利用必要的主体共享。当已获取和保存的个人信息在疫病防控工作中已不再具有利用价值时,必须及时移除、删除或者采用匿名化保护措施,防止发生个人信息泄漏等问题，将其对公众利益可能产生的危害减至最少,将利用行为严格束缚在法律规定的“笼子”内,为个人信息利用提供全方位的规制方式,实现公民个人权益与社会公共利益平衡。

（三）设立个人信息利用监管机构

设立专门的个人信息利用与保护的监督管理机构，依法明确其作为监督管理个人信息利用部门的法定职责与监管范围，赋予其监督管理权利，依法监督信息利用主体是否合法、利用方式是否合法正当、收集存储信息范围是否必要、法律规定是否落实，并及时处理公众就个人信息方面的投诉、举报。同时该机构作为独立的国家机关存在，不受行政权等其他公权力干扰，依法独立行使监督管理权。

（四）明确民事、行政、刑事法律责任

按照罪行法定原则,民法典、刑法、行政处罚法、治安管理法等各部门法应明确非法利用个人信息案件的民事、行政、刑事责任,以刑法为例，虽然明确了侵犯公民个人信息罪的刑事责任, 但也仅仅明确地约定了该罪名的构成条件, 而并未把具体的判断标准以法律条文形态确定下来,仍需要结合其他立法体系成为法律评判的基石，因此，多部法律规范相互配合、综合规制是防止个人信息被非法利用的正确途径，严厉打击不法分子趁突发公共危机事件非法利用公民个人信息行为，起到事前震慑与事后惩戒双重效果，对信息利用行为上了层层“枷锁”。

四、结语

在疫情防控工作中, 个人信息经过利用形成了数据链,帮助疫情防控部门勾勒出新冠肺炎高危人群的行程轨迹,为掌握疫情发展趋势、精准布局防控疫情提供参考,相关部门发出的疫情资讯使民众能及时了解疫情最新情况,但其带来的问题不可忽视。在疫情防控期,我国形成了以个人信息保护法这一特别法为主、以民法典等其他法律规范为辅的个人信息利用规制体系,界定特殊事件下个人信息概念，明确个人信息的利用原则,为社会公众保护自身的个人信息权益提供了依据,徒法不足以自行,要实现个人信息在突发公共危机事件中的有效利用并实现利益平衡,需要多方主体共同努力,任重而道远。