淺析抗“疫”期間公民個人信息的保護

莊偉

關鍵詞公民 個人信息 疫情期間 刑法保護

2020年春節期間，猝不及防的病毒，迅速擴散的疫情，讓我們不得不打響一場阻擊疫情蔓延的人民戰爭。2月9日開始，全國各省市地區的單位及企業已經開始陸續復工復產，為防止疫情在復工復產過程中蔓延傳播，各個單位和企業開始廣泛落實人員申報登記制度，出入小區、超市購物都需要填寫個人信息，這樣能夠幫助衛生監督機構及時掌握情況，迅速切斷傳播。但同時，個人信息泄露現象在各地頻現，例如：病毒感染者的個人信息被網民深度挖掘公開、武漢返鄉個人信息被不當泄露、小區住戶職業（醫護人員）信息泄露被拒絕回小區等等不和諧事件。因此在疫情期間公民的個人信息也需穿上“防護服”，嚴厲打擊侵犯公民個人信息罪等一系列違法犯罪行為。

一、公民個人信息的概念及認定

公民個人信息是一種為公民本人所專屬的信息。從直觀表現來看，在不同的層面上個人信息的體現方式不同。一是主體性。主體享有公民個人信息的所有權、控制權和支配權，主體不能是組織或者法人，只有自然人才可以。二是可識別性。公民個人信息內容上會有很多的形式，利用不同形式的信息可以識別出公民的具體情況。具體到相應的法律規定，根據兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定可知，公民個人信息即能夠識別特定自然人身份或者反映其活動情況的各種信息，包括姓名、身份證號、聯系方式、家庭住址、行蹤軌跡等。

具體到本次疫情防控，街道、社區、學校、單位等向公民獲取的疫情期間的行程信息、人員接觸信息、健康狀況等信息以及公民在部分城市自主申報平臺填寫的信息，筆者認為，這些登記填報的身份信息具備公民個人信息的屬性，也應該屬于公民個人信息的范疇。

二、侵犯公民個人信息的現狀

1月29日15時許，網民“cora”在微信群中傳播“35名密切接觸者名單”文件，嚴重損害涉疫情人員的合法權益。經查，網民姚某紅擅自將微信內部工作群中嚴禁轉發的“35名密切接觸者名單”轉發至其小區業主微信群中，引發網民大量轉發。1月31日，根據《中華人民共和國治安管理處罰法》規定，臨汾市公安局直屬分局依法對姚某紅作出行政拘留5日的處罰決定。

2月3日下午3時，文山州人民醫院文某（編外職工）、謝某（編外護士）、關某（編外護士）利用工作便利，私自用手機拍攝醫院電腦記錄的新型冠狀病毒感染肺炎患者的姓名、家庭詳細住址、工作單位、行程軌跡、接觸人員、診療信息等基本情況并公開散布，文山市人民醫院劉某（財務人員）、余某（編外財務人員）通過微信轉發傳播，造成相關小區住戶人員高度恐慌，嚴重影響患者的家庭安全，其行為觸犯《治安管理處罰法》第四十二條的規定，文山市公安局依法決定對文某、余某、劉某、謝某作出行政拘留10日并處罰款500元的處罰決定，對關某作出罰款500元的處罰決定。鑒于當前疫情防控工作的嚴峻性，文山市公安局暫緩執行對文某、余某、劉某、謝某的行政拘留決定。

疫情防控期間，在復工復產的大環境下，公民的個人信息登記、使用頻率也隨之迅速增長，在一些不法分子眼中，這些信息蘊含著動人的經濟利益，因此鋌而走險對公民個人信息進行竊取或者非法盜用。一方面會使受害者的生活產生不必要的影響影響，例如信息泄露經常接到某某推銷電話或短信。另一方面會導致公民的人身安全受到嚴重威脅，例如疑似病例因信息泄露而導致遭到歧視甚至是打罵。綜合來看，當前侵犯公民個人信息的行為主要體現在兩個方面。一是非法收集公民個人信息。疫情期間公民使用個人信息的頻率極高且保護較為薄弱，所以很容易在不注意的情況下產生泄露，例如某些不是法律規定收集或者政府部門授權的主體收集的個人信息。二是從網絡途徑上產生了泄露。在收集信息后的不規范使用或保存導致了公民個人信息的泄露。

三、公民個人信息的收集主體和使用限制

（一）收集主體

現實生活中，掌握個人信息的主體有很多，本文主要探討基于疫情防控目的有權依法主動獲取公民個人信息的組織機構。一是應當遵循合法正當原則，意思是在有法律法規和政府部門規定等合法基礎前提下，通過正當的收集手段收集信息。通常而言，“合法”地收集個人信息的基礎包括：一是依據法律規定，對個人信息進行收集;二是基于一定的合同關系收集個人信息?！秱魅静》乐畏ā芬幎?，一切單位和個人，必須接受疾病預防控制機構等機構有關傳染病的調查等預防和控制措施，如實提供有關情況?！锻话l公共衛生事件應急條例》規定，傳染病爆發時，街道、鄉村需協助有關部門做好疫情信息的收集和報告、人員的分散隔離等工作。除法律法規和政府要求外，收集個人信息的合法基礎也包括合同關系。企業與員工之間的勞動關系、企業與顧客之間的服務關系都是屬于收集個人信息的合法基礎。對于大多數企業而言，員工是生產經營的主體，如果有員工患有新型冠狀病毒肺炎，或者已經是疑似患者或其密切接觸者，可能會威脅企業其他員工的健康安全，進而對企業的生產經營產生重大影響。對于企業直接接觸的顧客也是同樣，對其健康狀況的了解，也是保障業務持續的重要因素之一。因而，出于企業自身的利益，在疫情期間收集了解員工和直接接觸的顧客的過往旅行史、密切接觸史和健康信息是有合法基礎的。

由此可知，疾病預防控制機構、醫療機構、被指定的專業技術機構、街道、鄉道以及居民委員會、村民委員會等組織機構以及公民所就職的企業在疫情防控期間有權向公民收集個人疫情信息，公民應積極履行配合義務。

（二）使用限制

為履行防控疫情的法定義務，抑或出于保證員工健康安全，并不意味著可以無限制地索取個人信息。在使用公民個人信息時必須要遵守“必要最小”原則，即，收集信息的范圍應僅限于實現收集的目的的必要范圍內，并且個人信息的保存期限也不得超過必要使用的期間。有多部法律都對公民個人信息的披露作出明確限制，《網絡安全法》要求，在沒有經過公民本人允許的情況下，網絡運營者不能他人提供其收集的個人信息。同時《傳染病防治法》也要求不得泄露涉及公民隱私的有關信息和資料。為了控制疫情蔓延，也為了防止因疫情而導致公民個人信息泄漏，交通運輸部特別下發了《關于統籌做好疫情防控和交通運輸保障工作的緊急通知》并強調：除非疫情防控需要的特殊情況下，才可以向有關部門提供乘客信息，除此之外不得泄露乘客有關信息、也不得在未經有關部門授權的情況下發布并散播信息。2月9日，中共中央網絡安全和信息化委員會辦公室再次強調，一是要嚴格依照有關法律法規規定，限制公民個人信息的收集和使用主體范圍;二是收集的個人信息只能作為疫情防控需要的情況下使用，不能挪作他用;三是在沒有公民本人的授權許可下，不能公開其收集的個人信息，并負責管理和保存信息，防止泄漏。

因此，對于個人信息的收集者而言，在完成收集個人信息之后，其有義務采取必要的措施保護個人信息安全。一是在使用目的方面，基于履行法定義務、醫療、防控目的的個人信息的收集和使用，應當限于該目的使用個人信息，而不得為其他目的使用，比如為推銷藥品、衛生用品而構筑潛在用戶信息庫等商業目的進行使用。二是在使用方式方面，個人信息的處理、利用和披露不能超過法定或信息主體同意的范圍，且不得與其他渠道的個人信息進行混用。三是在保存期限方面，基于疫情原因收集的個人信息，收集者應當在疫情結束后及時刪除，法律法規有特殊要求的除外。

四、法律如何保護公民個人信息

現階段專門的公民個人信息保護法還沒有頒布實施，我國關于保護公民個人信息的法律條款有許多，《民法總則》《網絡安全法》《傳染病防治法》等都有相關的保護規定。具體如下：

《民法總則》規定，任何組織和個人不得非法收集、使用他人個人信息，不得非法提供或者公開他人個人信息?！毒W絡安全法》規定也有類似的規定，即不得竊取或者非法獲取個人信息，不得非法出售或提供個人信息?！秱魅静》乐畏ā芬幎?，醫療機構故意泄漏涉及個人隱私的有關信息的，由有關部門責令改正、通報批評，或者給予警告、撤職、開除等處分，如果構成犯罪，則追究其刑事責任。

其中，我們要重點關注的是《刑法》對于公民個人信息是如何保護的，《刑法》第253條規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。

根據《中華人民共和國刑法修正案（九）》的規定可知，一是此罪的犯罪主體有所擴大。擴大為所有主體，這樣可以更有效地公民保護個人信息的權益。二是客觀行為的范圍也有所擴充，將“非法提供”修改為“提供”，即只要是出售或者違反規定提供，情節嚴重的都要追究，這就體現的是立法者的意圖是對于公民個人信息的一種絕對保護。至于何為修正案（九）中所述的情節嚴重呢？兩高發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條中也有明確具體的解釋，在此不再贅述。

綜上，如何才能做好公民個人信息的妥當收集和規范利用呢？第一，從意識上，當公民個人隱私權的保護和公共利益發生沖突時，公民應當主動遵守公權利的相關規定，服從有關法律的規定，服從地方政府的安排，不能以私權利的保護對抗公共利益。第二，從規范上，即使處在防控疫情的特殊時期，個人信息的利用仍不能突破防控疫情所需的必要限度。收集主體和共享單位應當保證數據共享過程的安全，且在數據公開錢應該征求公民的同意，同時應該盡可能地對個人信息（尤其是個人敏感信息）進行脫敏或匿名處理。在防控工作需要內部掌握特定對象的真實敏感信息時，必須在內部資料上載明保密要求，禁止私自擴散，特別禁止線上超范圍傳播，防控任務完成后除法定專門機構外應對個人信息采取消除措施。第三，從政策上，建議出臺相應的政策或者地方政府出臺相應的規定，規定疫情防控期間公民個人信息收集之后如何進行保存和處理，建議可以采用政府統一采購技術服務的形式，由專門的保密系統進行回收，具體個人信息只有政府有關部門才能看到，比如杭州綠碼的形式，既方便管理，又利于信息的保護。以及泄露個人信息的處罰等進行明確并做好宣傳。

筆者認為，疫情之下，我們既要利用好網絡和大數據打贏疫情阻擊戰，也要重視個人信息保護的防線牢固，只有嚴格把控公布渠道與主體，并且對私自泄露個人隱私及信息的實施者，依據危害情況予以追究責任，才能在疫情期間切實維護好法治與公眾領域的平衡，并且維護法律實施的尊嚴，不讓法律法規對個人權益的保護成為一紙空文。