公民個人信息法律保護探究

關鍵詞 公民個人信息 信息泄露 法律保護 救濟

作者簡介：肖之云，湖北省黃梅縣人民檢察院檢察官助理，主要從事檢察理論、刑事訴訟理論研究。

中圖分類號：D923? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ?? ? ? ? ? ? DOI：10.19387/j.cnki.1009-0592.2020.07.185

面對由新型冠狀病毒引起的突發疫情，舉國上下眾志成城，共克時艱。然而，在強烈的疫情防控需求下，一些不當行為對公民的個人信息安全造成了危害。一例例政務失職侵害公民個人信息的案例雖已浮出水面，而水面之下，還有許許多多份名單在各個微信群及其他社交平臺中肆意傳播，所涉人員包括武漢返鄉人員、確診病人、疑似病人、密切接觸者等等，他們的身份證號、家庭住址、手機號等隱私信息在名單中一覽無遺。伴隨大規模個人信息泄露而來的，是對涉疫人員甚至無關人員的人身攻擊和無端歧視，也給電信網絡詐騙、盜竊、敲詐勒索等不法活動埋下巨大隱患。鑒于此，重大疫情防控背景下公民個人信息法律保護與制約成為一個重要課題。

一、公民個人信息的界定

目前，我國尚未制定專門的個人信息保護法律，《個人信息保護法》在2019年3月被納入十三屆全國人大常委會的立法規劃，有望在2020年頒行實施。《民法總則》第一百一十一條規定“自然人的個人信息受法律保護”，但對于個人信息的定義及范圍未予明確。《網絡安全法》第七十六條規定“本法下列用語的含義：（五）個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”2017年公布生效的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。國家質量監督檢驗檢疫總局和國家標準化管理委員會聯合發布的國家標準GB/T 35273- 2017《信息安全技術個人信息安全規范》將個人信息定義為“以電子或以其他方式記錄的能夠單獨與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”，包括“姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等”。在個人信息的基礎上，該國家標準新增“個人敏感信息”概念，即“一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇的個人信息”。

綜上所述，現行法律法規對于個人信息的定義體現了共同的判斷標準，即通過相關信息能否確定特定自然人的身份。在此次疫情的特殊情境下，武漢返鄉人員及其他涉疫人員的個人信息的泄露、非法提供或濫用可能直接導致其遭受某種負面社會評價，甚至受到更為嚴重的不法行為的侵害。因此，對于前述人員的個人信息，應當上升為GB/T 35273-2017《信息安全技術個人信息安全規范》規定的“個人敏感信息”予以保護。其中，為了防止危害人身和財產安全的行為發生，尤其需要保障個人身份證號碼、手機號碼和住址等信息的私密性。

二、重大疫情防控中收集和公開個人信息的法理基礎

（一）合理性：個人利益與公共利益沖突的價值取舍

本次新冠病毒具有“人傳人”的特征，傳播的途徑包括飛沫傳播和接觸傳播。鑒于此，以“人”作為突破口開展防控工作，實有必要。衛生行政部門及相關部門需要盡快通過政府間信息共享和走訪排查等途徑，尋找確定病毒攜帶者、疑似攜帶者及密切接觸者等涉疫人員，控制傳染源;社會民眾則需要通過獲知涉疫人員的相關信息，判斷自己是否存在感染病毒的可能，了解自我防護過程中的風險。疫情形勢復雜嚴峻，防控任務緊張艱巨，對涉疫人員信息調查和采集可能會觸及個人信息權益，由此就產生了個人信息保護與疫情防控需要的沖突，這在本質上屬于個人利益與公共利益的沖突。對此，我國《憲法》第五十一條規定“中華人民共和國公民在行使自由和權利的時候，不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權利。”這意味著個人的自由和權利存在著法定的內在制約，在特定時間和特定環境下須讓步于公共利益。面對疫情下無數公眾的生命健康權益和防控的迫切需求，涉疫人員應當容忍一定程度的個人信息收集與公開。

（二）合法性：收集和公開個人信息的法律依據

面對突發的疫情，調查、收集和公開涉疫人員的信息是一項極為緊急的任務。根據《傳染病防治法》第十二條、第三十三條、三十九條和四十條，衛生行政部門及相關部門、疾病預防控制機構、醫療機構有權在發現傳染病疫情后進行信息調查收集。根據《突發事件應對法》第三十八條、《突發公共衛生事件應急條例》第二十一條、第三十六條、第四十條和四十四條，國務院衛生行政主管部門或者其他有關部門指定的專業機構、單位和個人以及街道、鄉鎮、居民委員會、村民委員會也有權進行疫情信息的采集。此外，多地已經啟動重大突發公共衛生事件一級響應，相應的預案中也規定了信息收集的主體和要求。

基于防疫的迫切需要，對于涉疫人員信息的公開如若需提前征求每位人員的同意，將會使防疫工作陷入困境。根據《政府信息公開條例》第十五條規定“涉及商業秘密、個人隱私等公開會對第三方合法權益造成損害的政府信息，行政機關不得公開。但是，第三方同意公開或者行政機關認為不公開會對公共利益造成重大影響的，予以公開。”出于疫情防控目的必須公開的涉疫人員信息，即使未經當事人同意，也可以依法在合理限度內予以公開。GB/T 35273-2017《信息安全技術個人信息安全規范》第5.4條也明確“與公共安全、公共衛生、重大公共利益直接相關的，個人信息控制者收集、使用個人信息無需征得個人信息主體的授權同意。”

三、重大疫情防控中公民個人信息可能面臨的風險

（一）信息收集主體權限存疑

在此次疫情防控中，通常以社區、村組為單位進行防控，絕大多數地區采取了網格式排查方式，重點排查武漢、湖北返鄉人員和外地車輛。在排查過程中，信息收集主體并不唯一，公安機關、醫療衛生機關（包括社區醫院）、街道辦、鄉鎮政府、社區、村委會甚至物業公司等等都可能參與其中。盡管多方主體積極參與疫情防控工作的態度值得肯定，但部分主體收集個人信息的權限尚有待明確。疾控機構、醫療衛生機構及公安機關等收集個人信息的權限自不必多言，而且《突發公共衛生事件應急條例》的規定中使用了“有關機構”的用語，這意味著鄉鎮政府、街道辦等機關可以得到授權并從事信息收集事務。但是，對于社區居委會、村委會等群眾自治組織來說，如果本地的《應急預案》中未作出規定，則其無權收集個人信息。至于物業公司等民事主體，其當然不具有收集個人信息的權限。

（二）公民個人信息存在泄露風險

另一風險就是即疫情解除后，大量敏感個人信息數據可能得不到妥善的后續處理，進而引發泄露的風險。退一步講，此次疫情防控過程中，即使是有權收集個人信息的主體也存在不當使用個人信息的現象。根據各地官方通報的情況來看，個人信息被泄露的情況并不罕見：1月30日，湖南益陽市政府發布通報，當地四名公務人員在疫情防控過程中將涉及市民及親屬等11人隱私的調查報告轉發給了無關人員并傳播至微信群，引發了部分市民恐慌，當地紀委監委對涉案的四名公務人員分別予以黨紀立案調查、誡勉談話、通報批評處分;2月3日，江西資溪縣紀委監委通報，當地一副鎮長因泄露與新型冠狀病毒感染的肺炎確診病例密切接觸的29人個人信息，對其在全縣范圍內通報批評;2月3日，玉溪市紀委監委通報，當地街道辦以工作人員過失泄露個人信息，后被當地三名村（居）委會負責人員進一步擴散，一人受到通報問責處理，三人受到提醒談話處理;2月4日，內蒙古鄂爾多斯市東勝區紀委監委通報，當地一名社區衛生服務中心工作人員泄露公民個人信息，被當地公安局行政拘留10日，并被處黨內嚴重警告。

個人信息泄露至少會導致兩方面的危害：一方面會對公民個人及其家庭造成一定影響，還會在一定程度上引發社會公眾恐慌;另一方面，這些極為詳盡個人信息有可能被不法分子利用，實施詐騙等違法犯罪。如當前常見的以提供防疫用品、出售防疫新藥、協助提供住醫院床位、火車、飛機等退改簽、旅行團、酒店等退費等為由進行詐騙的活動，在獲取特定人群的個人信息后，犯罪分子極易得手。

（三）公民個人信息讓步于公共利益的邊界

疫情防控中對涉疫人員信息的利用有價值選擇上的合理性，也有法律法規賦予的合法性，但并非沒有邊界。根據《突發事件應對法》第十一條“有關人民政府及其部門采取的應對突發事件的措施，應當與突發事件可能造成的社會危害的性質、程度和范圍相適應;有多種措施可供選擇的，應當選擇有利于最大程度地保護公民、法人和其他組織權益的措施。”對于涉疫人員個人信息的采集和公布應當把控在合理的尺度內，且相關機構和部門應當做好個人信息的保密工作。

四、公民個人信息遭受侵犯的救濟途徑

疫情期間，個人應履行的信息申報義務，特別是如患有或者疑似患有新型冠狀病毒感染的肺炎，不得隱瞞、謊報病情、旅居史、密切接觸人員等信息。當然若公民個人信息受到有關機構或人員或的侵犯，有以下幾種救濟方式：

（一）要求網絡服務提供者刪除或屏蔽相關信息

若個人信息通過網絡平臺擴散，被侵權者有權根據《侵權責任法》第三十六條規定，要求網絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施，清除傳播中的信息文件，防止個人敏感信息的進一步泄露。

（二）向人民法院起訴

若能確定違法公開、傳播個人敏感信息的行為人，被侵權者可以其為被告向人民法院提起訴訟。需注意的是，若個人敏感信息經網絡傳播，網絡服務提供者未根據被侵權者的要求及時采取刪除、屏蔽、斷開鏈接等必要措施，導致損害擴大的，可將網絡服務提供者列為共同被告;若個人敏感信息經由微信群傳播，微信群主對群內違法公開他人個人敏感信息的行為未盡監管審查義務的，也可列為共同被告。

（三）向公安機關報案

若他人違法公開、傳播個人敏感信息，已經產生對被侵權者正常生活及身心健康造成損害、社會影響惡劣等嚴重后果，被侵權者可以向公安機關報案。若公安機關不予立案，還可以向人民法院提起自訴。

（四）向有關政府部門舉報

若個人敏感信息經由疾病防控機構、醫療機構或其他機構工作人員傳播擴散，被侵權者可根據《傳染病防治法》第十二條規定，向有關人民政府衛生行政部門舉報，要求依法處理。

重大疫情防控背景下，既要維護好疫情防控下的公共利益，也要保護好公民的個人信息權益。涉疫人員有義務積極配合相關部門，及時并如實提供自己的個人信息及健康狀況;相關部門及其工作人員有責任采取保密措施，保護涉疫人員的個人信息安全;社會公眾有義務尊重涉疫人員的隱私，切勿實施侵犯他人個人信息的不法行為。只有如此，才能實現疫情防控工作與個人信息保護的利益平衡。