浅析新冠疫情防控中个人信息的法律保护

摘要：为了迅速有效地遏制新冠肺炎疫情蔓延，各地政府采取如登记居民出行信息，公开确诊感染者活动路线等针对性的防控措施，其实施过程中个人信息的收集、公开和利用成为了常态。虽然有利于防疫，但个人信息泄露的风险不容忽视，包括公民个人信息被不当收集、公开和使用，甚至被非法出售、提供给他人牟利因而导致疫情期间出现“精准诈骗”。疫情期间公民个人信息的保护应当遵循禁止权力滥用，权力行使不得违背社会公共利益;个人信息的利用应当坚持合法性、合理性和正当程序性的原则。具体的保护措施有：（一）建立个人信息分级保护机制;（二）建立健全监督机制;（三）加大违法行为的惩罚力度。

关键词：疫情防控;个人信息;信息利用

中图分类号：D923文献标识码：A文章编号：2095-6916（2022）04-0069-04

在防控新型冠状病毒肺炎疫情过程中，公民个人信息的收集、公开和利用发挥了关键作用。但是在此过程中，个人信息的非法收集、滥用、泄露等问题也时有发生，疫情为个人信息安全带来新的风险挑战。

一、个人信息概述

（一）个人信息的概念沿革

《网络安全法》最早定义了个人信息的法律概念，个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。

在民事法律领域首个明确个人信息保护的法律是《民法总则》，但并未界定个人信息的法律概念。2021年实施的《民法典》，弥补了《民法总则》中个人信息法律定义的空白，其对个人信息的表述基本与《网络安全法》保持一致，但在自然人之前增加了“特定”二字，更加准确。

2021年8月20日，我国首部个人信息专门性保护法律《个人信息保护法》正式通过。该法将个人信息界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”相较于以往的法律定义，此表述更加精准。

（二）个人信息的法律特征

首先，个人信息的主体只能是自然人。个人信息只能是与自然人有关的信息，个人信息的目的是用来识别自然人的身份，只有自然人才是法律所认可的个人信息的权利主体。在个人信息法律保护范畴中，法人、非法人组织等其他非自然人主体是被绝对排除在外的。

其次，个人信息必须是被记录下来的信息。若只是一段对话，由于没有被记录下来，那么这段对话中的信息就无法被认定为个人信息。若这段对话被以录音的形式记录下来，那么这段录音中出现的信息则可能被认为是个人信息。

最后，个人信息必须具备可识别性的特征。所谓可识别性，即可以识别特定的自然人的身份的性质。这种个人信息包括两类：一类是不需要借助其他信息就能够独立识别个人身份的信息，具有直接识别性，如身份证件号码。另一类是虽然不能独立识别个人身份，但是可以通过与其他信息相结合从而识别个人身份的信息，具有间接识别性。以姓名为例，由于重名的现象非常普遍，所以仅仅根据姓名这一个信息，我们是无法特定到具体的某个自然人的身份的，所以还必须结合其他的信息，比如家庭住址进行识别。这也就意味着虽然某些信息并不能单独识别个人身份，但是并不意味者它就被完全排除在个人信息的范围外，只要其能与其他信息结合达到识别个人身份的效果，它仍然属于个人信息。

那么在此次疫情过程中，可能被收集和利用的个人信息是多种多样的。具有直接识别性的个人信息，如居民的身份证号码、护照号码等。这类信息毫无疑问是最容易识别个人身份的信息，因此也是在疫情防控过程中采集率、利用率最高的信息。无论是政府相关部门的疫情防控还是医疗机构的医疗诊断，居民的身份证号码或者护照号码都是首要采集的信息。当然，此类具有直接识别性信息的种类是有限的，而间接性识别的个人信息相较而言则是十分之多的。这些信息通过多种渠道被多方主体采集和利用。

二、疫情期间公民个人信息遭受不当侵害概况

（一）公民个人信息被不当收集

一方面，在疫情防控期间，个人信息的收集主体是十分广泛的，而公民对于收集个人信息的权力主体却是不明知的，公民在被收集信息时难以及时准确地分辨收集的主体是否具有相关权力;另一方面社区居委会、医疗结构以及交通部門等收集使用个人信息的主体，在收集个人信息时不能严格以自身的防控目的为限，这些主体可以收集和使用的个人信息没有明确的界限。不能排除个人信息被没有权限的主体不当收集或者被有权限的主体超越权限收集的可能。

（二）公民个人信息被不当公开

政府部门在公开确诊者相关信息时，未做匿名化处理或者匿名化处理不到位，导致社会公众仍然可以轻易地通过其他方法特定到具体的当事人。此外，据媒体报道，在疫情防控期间，有人私自将包含有新冠肺炎确诊人员信息的图片发送到有27名成员的微信家庭群内，导致该图片在网络上大量传播。

（三）公民个人信息被不当使用

据新闻报道，天津市委网信办发现，与疫情防控相关的移动互联网应用程序存在未经授权或用户同意收集使用个人信息、未经同意向他人提供个人信息、疫情结束后未及时采取删除等措施处理疫情防控相关个人信息等违法违规收集使用个人信息行为。在收集个人信息之后，由于保管不善、程序漏洞以及收集主体非法出售、提供给他人牟利等原因导致疫情期间出现了“精准诈骗”。

出现此类公民个人信息遭受不当侵害的主要原因，首先是由于个人信息的收集使用管理不规范。例如，社区普遍采用纸簿登记个人信息方式，但是登记时缺乏有效信息保护措施，登记簿随意摆放，没有严格管理，将个人信息无保留地暴露在公共空间;其次是个人信息的存储使用缺乏有效监督。信息被收集之后，信息的使用渠道、存储方式等不对个人公开，个人很难对信息的存储、使用情况进行有效监督。信息收集主体与收集渠道又十分广泛，公民对于自己传递出去的个人信息以何种方式保存，被哪些机构所使用，最终这些信息会被如何处理等缺少必要的了解和监督。再次是个人信息收集授权不明。据媒体报道，在疫情期间，除了社区居委会、医疗机构等超市、理发店、饭店等营业场所也会对个人信息进行登记，这些机构是否有法定的个人信息收集权力，个人信息收集授权不明导致个人信息收集主体众多，难以有效控制和监督，极易造成个人信息的泄露。

个人信息因为具有“可识别性”特征，其上所承载的内容是侵害其他权利和法益的基础。个人身份信息是自然人进行社会交往开展社会活动的前提条件和基本条件。个人信息的安全是自然人行动安全和行动自由的基础，也是自然人生活安宁的保障。个人信息若处于风险之中，自然人的身份就处于随时暴露在公众视野中的不稳定状态之中。从立法目的来看，个人信息之所以受法律保护的根本原因是通过法律保护自然人对表征个人身份的信息的自主控制权，从而保障个人人格平等、人格尊严和人格自由的实现。

三、疫情期间公民个人信息的保护原则

在此次新冠疫情防控过程中，政府等相关部门为疫情防控而采取的一系列紧急措施中，很多都涉及对公民个人权利和自由在一定程度上的限制。在这其中就必然涉及公民个人利益的保护与国家、社会公共利益的保护之间的矛盾，公民个人的权利自由与社会公众的健康利益之间的矛盾。那么在这个过程中如何平衡公民个人信息保护与信息利用之间的关系，协调二者之间的利益就是我们首要思考并且要解决好的问题。疫情期间公民个人信息的保护应当遵循以下原则：

（一）禁止权利滥用，权利行使不得违背社会公共利益

任何权利都是有边界的，任何权利都不是绝对的。自然人的个人信息受法律保护，信息主体之外的其他任何人都负有尊重个人信息权益，保障个人信息权益不被非法侵犯的义务。但是任何权益所享有的自由都必须在法律规定的一定的范围内才是正当的，超过该范围将不会被法律所保护。在疫情防控中，个人信息权益当然要依法保护，任何人不得非法泄露公民的个人信息。但与此同时，由于此次疫情是一次十分严重的公共卫生危机，已经严重威胁到全国人民的生命安全和身体健康，那么为了保护国家、社会公共利益，对公民个人的信息权益进行一定的限缩是正当的。根据民法的规定，权利人不能滥用自身权利，权利的行使应当遵从公序良俗原则。公序良俗原则的内涵中就包含了国家和社会公共利益的这一层面的内容。那么为了疫情防控和疾病防治，个人必须按照要求如实提供自己的相关信息。若无理由拒绝提供或者隐瞒相关信息，对疫情防控产生极其不利影响的，还必须依法承担法律责任。

（二）疫情防控中个人信息的利用应当坚持合法性、合理性和正当程序性原则

合法性原则即在收集利用个人信息的过程中要严格遵守我国的相关法律规范，如，我国针对突发性公共卫生事件的法律规范《中华人民共和国突发事件应对法》和《中华人民共和国传染病防治法》中关于政府部门在行使自身权力的过程应当遵守的要求。特别是，中央网信办发布的关于在联防联控中个人信息保护的专门通知中的各项规定，必须要严格遵守与执行。必须明确，应急期间公民权利可能会受到更多限制，但这些限制应该是在法律规定范围内的限制。对于个人信息的收集和利用行为应当严格依法进行，不得违背法律规范的要求。

合理性原则即在收集利用个人信息过程中，必须要符合以下要求：一是出于合法的目的，二是手段是必要的且造成的损害是最低的，三是获得的公共利益与造成的损失应当符合比例。收集和利用个人信息的目的必须是为了履行疫情防控、疾病防治等法律法规所赋予的职责，而不是出于其他目的，如个人利用等。收集利用的手段必须是必要的，即所采取的方式是实现疫情防控这一目的行之有效的和必要的且对于公民个人信息权益的限制是最低的。比如，对于确诊病例所在地区，向公众公开确诊病例的年龄、性别、居住区域、活动区域等个人信息，维护所在区域民众的知情权有助于民众的自觉防疫。既要充分实现疫情防控的目标又要避免对于个人信息权益的不当限制。

正当程序原则即政府部门以及其他主体必须严格按照规定的程序收集和利用个人信息，要遵守相关的法律规范所规定的正当程序，要保证程序的严谨、标准的客观和统一。无论是收集、公开还是处理个人信息都应该按照程序进行，坚持统一的标准，避免主观随意性。尤其是被授权的组织，更应当向公众公开权力来源。收集信息的组织应当公开信息使用的用途、渠道，存儲的方式以及保护方式等。

四、疫情期间公民个人信息保护的具体措施

个人信息的保护问题涉及全社会的综合治理，不是某个部门法或者单独某个部门就可以解决的。新冠肺炎疫情仍然在持续，也许仍然需要在今后的很长一段时间内保持防控的态势。在遵守上述基本原则之外，在疫情期间公民个人信息保护还需要更加具体明确的措施。本文认为，可以从以下方面努力：

（一）建立个人信息分级保护机制

个人信息不仅种类繁多，而且根据个人信息与个人利益保护的重要性的密切关系，这些信息之间也是存在差别的。根据民法典第一千零三十二条和第一千零三十四条的规定可以看出，公民个人信息可以分为普通信息与私密信息。个人信息中不愿为他人知晓的私密信息属于个人的隐私范畴。私密信息的保护应当适用有关隐私权的规定。而民法典中树立了个人隐私与个人普通信息分开保护原则。基于此，我们对于疫情防控期间个人信息的保护也应当坚持这一原则，且《信息安全技术个人信息安全规范》中也明确规定了个人信息中的敏感信息。此类敏感信息与民法典中的私密信息应当是一致的。因此，在疫情期间我们应当建立个人信息分级保护机制，根据信息的层级予以分级保护，对于普通信息与私密信息在保护措施、保护力度等方面予以区分，只有这样才能够实现个人信息保护的全面性与细致性。

（二）建立健全监督机制

疫情防控期间，围绕个人信息的收集利用产生了个人信息被泄露等一系列问题，一个很重要的原因是个人信息在被收集、公开、利用的过程中缺乏有效监督。一是公民个人对于信息的保护与监督缺乏必要性认识;二是信息收集、公开、利用的主体缺乏主动接受监督的意识和行动。正是由于监督上的漏洞，助长了个人信息被泄露等问题的产生。所以，必须建立健全信息收集、公开、利用、存储的全方位的监督机制。与此同时我们也必须认识到，监督即意味着公开，所以监督机制的建立以信息公开为前提。信息收集、公开、利用主体的权力来源公开，尤其是被授权组织的权力来源公开。信息的收集方式、使用方式以及存储方式也应当公开。

（三）加大违法行为的惩罚力度

在疫情期间，由于公共卫生安全利益的极端重要性以及国家疫情防控的紧迫性，公民在信息收集、公开和利用过程中予以了积极的配合，将个人信息毫无保留地贡献给国家和社会。基于此，在疫情期间我国才能够迅速地遏制疫情蔓延的趋势。但是个人信息被泄露的问题不断涌现，也让我们清醒地认识到，在疫情防控期间，我们对于个人信息的保护缺乏必要的认识和措施。那么不仅是个人信息被泄露，而且很有可能个人信息已经被不法收集和不法使用。同时我们也必须认识到，基于此次疫情，信息收集几乎是覆盖全国，那么一旦这些信息被不法使用，将会影响到每一位公民的切身利益。基于以上两点，我们应当对于在疫情防控期间利用疫情防控的目的而不当收集、公开、利用个人信息而导致他人权益受损的行为予以更为严重的惩罚与制裁。

参考文献：

[1]李琨.“公民个人信息”的法律界定分析[J].现代商贸工业，2020（4）.

[2]夏金彪.用大数据防疫要做好个人隐私保护[N].中国经济时报，2020-02-13（2）.

[3]任生林.疫情之下如何保护隐私权[N].山西法报，2020-03-09（3）.

[4]苏今.《民法总则》中个人信息的“可识别性”特征及其规范路径[J].大连理工大学学报（社会科学版），2020（1）.

[5]彭飞.法治的硬度和底线[J].法人，2020（3）.

作者简介：赵晖（1993—），女，汉族，山西长治人，单位为天津市第二中级人民法院，研究方向为民商法。