從疫情期個人信息收集常態化談信息安全

李毅 張靈巖

新冠肺炎疫情在我國得到有效遏制，大數據的運用功不可沒，但公民個人信息被過度利用及肆意傳播的問題異常嚴重，個人信息安全面臨嚴重威脅。

個人信息收集常態化

新冠肺炎疫情防控之初，個人信息保護問題即引起全社會的高度關注。

2020年1月10日，吳某乘坐高鐵從武漢返回江西寧都老家。1月24日晚，她在家庭微信群中看到一份“武漢回寧都人員數據表”的表格。除她外，還有四五百人的個人信息被曝光，包括身份證號碼、電話號碼、具體家庭住址和列車信息等內容。因為信息泄露，吳某收到很多騷擾電話和信息。據其提供的微信截圖顯示，有陌生人通過手機號碼在微信上發起好友申請，然后直接發來“武漢的請回去”“勞駕自行在家隔離二周”“武漢毒人害人害己”等騷擾信息。

除返鄉大學生，很多去武漢出差、在武漢工作春節返鄉人員的信息也遭到泄露。如一份名為“省廳推送武漢回青（青島）人員信息”的表格，表頭顯示“2020年1月6日至21日武漢來青島市人員”。該表格共有2257條，包括身份證號、手機號、戶籍地詳址、戶籍地派出所、來魯方式、車次班次等信息，且大部分信息屬實。

新冠肺炎疫情期間，個人信息收集已然常態化。部分收集主體要求網上填寫，個別收集主體則干脆提供一張表格要求依次填寫。無論哪種方式，都難免使信息提供者疑慮重重：個人信息收集有法可依么？泄露后如何維權？疫情后已經收集的個人信息將如何處理？

信息安全所涉個人信息范圍

為遏制個人信息非法收集、濫用、泄露等亂象，最大程度地保障個人的合法權益和社會公共利益，根據《中華人民共和國網絡安全法》等相關法律，國家市場監督管理總局、國家標準化管理委員會于3月6日正式發布《信息安全技術個人信息安全規范》（下稱《規范》），并定于2020年10月1日實施。

根據《規范》，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

將于2021年1月1日正式實施的《民法典》第1034條也對個人信息作出了規定，明確自然人的個人信息受法律保護，其中對“個人信息”的定義與《規范》相同。

《規范》同時對個人敏感信息做出規定，包括身份證件號碼、個人生物識別信息、銀行賬戶、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等。對此，《民法典》將其作為私密信息認定，適用有關隱私權的相關規定。

收集個人信息的有權主體

根據我國現行法律規定，有權收集個人信息的主體是受到嚴格限定的，即便在疫情期，物業、商業主體、工作單位等未經授權的組織收集個人信息亦缺乏法律依據。

首先，國務院衛生行政主管部門或者其他有關部門指定的專業技術機構、疾病預防控制機構、醫療機構等有權收集。我國《傳染病防治法》《突發事件應對法》《突發公共衛生事件應急條例》，對于政府機構等特定主體在疫情期間收集公民個人信息且無需公民授權同意提供了正當性依據。

其次，社區、居委會在疾病預防控制機構的指導下，有權協助衛生行政主管部門和其他有關部門、醫療衛生機構做好疫情信息的收集和報告工作。根據我國現行法律規定，城市社區和農村基層醫療機構承擔城市社區、農村基層相應的傳染病的防治工作，其在一定范圍內行使個人信息收集權限。

由于新冠肺炎疫情傳染速度快，且目前尚未研制出有效防治的疫苗，為嚴防死守做好防控工作，保護人民群眾身體健康，出入公共場合皆面臨不同程度的個人信息提供要求，在特殊時期針對特殊人群可以進行收集，疫情緩解后應及時予以禁止。

收集個人信息的基本義務

個人信息一旦泄露、非法提供或濫用可能危害個體的人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等嚴重后果。因此，無論哪一級有權收集機構皆應在收集過程中依法進行。

首先，在特殊情況下，未經公民授權收集個人信息的，必須向公民履行告知義務。相比一般個人信息的取得，敏感信息在取得程序上的要求更加嚴格，根據《規范》，在收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規則，并征得個人信息主體的明示同意。

其次，個人信息的收集范圍應限定為“最小必要”，在滿足目的所需的前提下盡可能收集最少的個人信息類型和數量。

再次，應采取足夠的管理措施和技術手段，確保個人信息的保密性、完整性、可用性不受侵害。

最后，在個人信息有必要公開的情況下，盡量做“去標識化”處理，確保數據接收方無法通過公開信息識別出特定個體。

個人信息遭泄露后如何維權

2020年4月13日，膠州市民的微信群里出現中心醫院出入人員名單信息，內容涉及6000余人的姓名、身份證號碼、聯系方式等個人信息，造成了不良社會影響。膠州市公安局發現后迅速展開調查。經查：葉某工作中將接到的隨訪人員名單信息轉發至所在公司微信群，該群內的姜某將名單信息轉發至家人群，其家人又繼續轉發傳播。張某工作中將接到的隨訪人員名單信息轉發至家人微信群，其家人又繼續轉發傳播。以上3人的行為，造成中心醫院出入人員名單在社會上被迅速轉發傳播，侵犯了公民的個人隱私。依據《治安管理處罰法》的相關規定，公安機關依法對葉某、姜某、張某給予行政拘留的處罰。

個人信息被泄露后，根據侵害結果的嚴重程度，侵權人可能需要承擔行政責任、民事責任，甚至刑事責任。上述案件中，傳播者實施的違法行為因社會危害性不大尚未觸犯刑法，被行政拘留;與此同時，被侵權公民有權提起民事訴訟，要求侵權人對其隱私權受到的損害承擔民事賠償責任。

根據我國《刑法》第253條的規定，疫情防控期間，泄露公民個人信息嚴重的，構成侵犯公民個人信息罪，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

綜上，個人發現信息泄露后可以根據具體情況，到公安部門報案，或到人民法院提起訴訟。

疫情結束后的個人信息處理和保護

中央網絡安全和信息化委員會辦公室于2020年2月4日發布《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》，就個人信息收集使用后的處理作出了規范。

首先，對已收集的個人信息采取動態刪除。對于疫情期間收集的個人信息，在保存時間符合防控疫情需要時即可刪除，未必需要等到疫情完全結束，以此降低個人信息被泄露及非法利用的風險。不同行業的收集主體也紛紛作出聲明，如多家航空公司在采集旅客信息時皆承諾，數據僅用于疫情防控，疫情結束之后，將全部銷毀。

其次，建立完善的信息管理及保護機制。此次疫情防控過程中，各級政府皆加緊建立個人信息采集、存儲、應用、去隱私化和銷毀全流程管理機制;同時，政府各個部門密切合作，針對買賣等侵犯公民個人信息的行為，加大專項檢查以及排查力度，嚴厲打擊非法利用個人信息的違法產業。

個人信息的廣泛收集無疑助推了新冠肺炎疫情在我國的有效抑制;與此同時，疫情也助推了個人信息保護立法的必要性和迫切性。兩會期間，楊元慶等多位代表對個人信息保護提出建議和提案。5月25日，十三屆全國人大三次會議第二次全體會議召開，全國人大常委會工作報告在下一步主要工作安排中指出，圍繞國家安全和社會治理，制定《生物安全法》《個人信息保護法》《數據安全法》，新法將與《網絡安全法》一起構成我國的信息保護基礎性法律體系。