突發公共衛生事件下公民個人信息保護法律對策研究*

華中農業大學文法學院 和胤秀，崔惠京

2020年2月5日，在中央全面依法治國委員會上，習近平總書記強調，防控越艱難的時刻，越要堅持依法防控，推進各項防控工作更要依法進行，確保防控工作合法且高效地有序進行。立足于立法、執法、司法、守法等各個環節，提高依法防控、依法治理的能力，利用科學化、法治化手段，為防控工作提供強有力保障[1]。

特殊時期，武漢高校部分大學生的個人信息遭到非法泄露，既侵犯了公民的個人信息安全，也在一定程度上造成了恐慌，影響了社會秩序穩定。在突發公共衛生事件下，如何在保障防控工作有效進行的同時，注重對公民個人信息的保護，值得更加深入的思考和研究。

一、突發公共衛生事件下保護公民個人信息的必要性

信息技術的飛速發展，網絡數據和個人信息雖是基于獨立個體或單個單位活動產生的，但又是數字經濟時代用以維持正常運轉所共生共存、必不可少的資源，因而，它們既具有私人屬性，也具有公共屬性。所以，保護個人信息不僅要遵從數據信息的雙重性，還要界定信息自主權的邊界[2]，消除保護公民個人信息安全和維持社會秩序正常運轉的矛盾對立面，在突發事件下，做到在積極應對突發事件的同時保護信息安全，填補侵權漏洞。

對于突發公共衛生事件之下公民個人信息泄露相關問題的法律對策研究，具有完善個人保護法律體系、健全個人信息保護機制的積極作用，能夠促進從立法到執法，從公職人員到社區服務再到個人的全體系的逐步落實與完善。公民基本人權也通過個人信息保護制度的完善而得以實現。規范公民個人信息的收集、利用和處置，可以減少因個人信息泄露帶來的人身財產安全等隱患，更深層次的與深入，有利于彌補法律漏洞，提高應急能力，形成完善的應急處理機制；更有利于公民形成個人信息保護的觀念，增強全社會法律意識。

二、關于公民個人信息保護研究的現狀

總體來說，我國個人信息保護起步較晚，大數據時代個人信息保護需求增長與個人信息保護機制建設速度不均衡。雖然《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）于2021年8月20日頒布，但在應對突發公共衛生事件時的適用仍然有一個過程。我國個人信息保護的力度仍處于上升期，有很大發展空間，也存在一些不足。在當今的信息化時代，如何完善個人信息保護制度備受學者關注，基于此筆者著重研究個人信息保護的發展空間和方向，并提出完善建議，以期促進個人信息保護事業的發展。

（一）個人信息保護的立法現狀

在立法方面，《中華人民共和國憲法》作為國家根本大法，從根源上明確了國家尊重和保護人權，公民的人格尊嚴和通信秘密等基礎權利依法受到法律的保護；《個人信息保護法》的頒布意味著個人信息乃至隱私權等權利，得到了從憲法到具體部門法的尊重和保護，得到了在具體部門法上的細化和延伸。該規定適應了社會生活的新變化和新發展，大數據時代出現的新問題有法可依，基于互聯網信息泄露產生的侵權問題也將有據可循。

在立法意義上，將公民的個人信息得到明確尊重和保護納入人民對美好生活的向往，法律不僅保護公民生命財產權利不受侵害，更代表法律對公民個人信息保護需求的回應和保障，《個人信息保護法》不僅依法保護當事人的隱私權同時也是社會誠實守信的道德期待。

（二）個人信息保護的方式

目前學界關于個人信息保護方式的學說有兩類：一類為主體論，強調保護主體，即以政府、學校等主體為提供保護行為的核心。另一類為途徑論，即以立法、司法等途徑達成個人信息保護的目的。

主體論中，對于政府而言，在個人信息保護問題上，政府責任的內在邏輯是其主要的驅動因素。一方面，在信息化時代公民個人信息保護，減少弱化因信息問題產生的矛盾沖突，維持網絡管理秩序與社會秩序安全穩定勢在必行，政府理應回應公民訴求，滿足公眾期待，從管理角度出發接手個人信息保護問題的處理解決；另一方面，政府自身為適應新時代行政管理新要求，提升信息化時代管理能力和服務能力，必須保護公民個人信息，完善個人信息保護體系，做到個人信息保護在官方層面規范化、有序化。

途徑論認為，信息化時代，公民個人信息保護機制需要摒棄傳統的以“知情同意”為基礎的模式，引進具體場景的風險管理方式，對個人信息的采集、使用與處理采用動態風險管理模式，強化對公民個人信息使用的管理；設置對內和對外的雙重監督機制，并設立獨立于政府之外、具有專業素質能力的信息保護監管機構；當個人信息受到非法采集或濫用時，采取差異化的救濟賠償模式，具體問題具體分析，將公民個人信息保護機制在條理中細化，避免個人信息保護落空。

（三）個人信息保護存在的法律問題

綜上，個人信息保護的研究呈現上升趨勢，為我國個人信息保護法律制度的健全和完善提供了一定的借鑒意義。

在立法層面，我國《個人信息保護法》出臺不久，將原本零散的法律規定、司法解釋進行體系化和系統化的編撰，更多關注單方面保護個人的隱私權，對于數據跨境等問題的規定也多為概括性的義務規定，但是對于未來可能出現的大宗跨境數據信息問題、以個人信息為切入點的國家利益矛盾問題等還缺乏一定的預防性規定[3]，對于新出現的問題與漏洞臨時加以規制的做法也有違法律的權威性與穩定性，因此，對于本身處于新興領域的個人信息保護問題，需要進一步提出具有一定前瞻性、預防性的規定和條款加以輔助，使個人信息保護問題從現在到未來均具有適用意義和價值。

在歸責方面，首先，《個人信息保護法》作為特別法，對于個人信息保護的規定應當遵循一般法即民法典關于人格權保護和侵權責任構成的基本規則，但是對于作為專門對個人信息進行保護和使用個人信息進行規制的法律，應當進一步把握好保護公民合法權益和承擔侵權責任的度，實踐中應當注重《個人信息保護法》五項基本原則之間的有機統一。

其次，該法對于侵害個人信息民事責任規定比較分散，需要進一步整理與歸納，才能全面展現在針對個人信息的專門保護中，民事責任保護個人信息權益的規則和職能。

在監管方面，目前采取的“規則制定權相對集中，執法權相對分散”的架構，仍然缺乏對個人信息保護的專門性。對于突發性、臨時性的問題無法及時且全面地應對，尤其是我國各城市發展水平不平衡產生的城鄉差距導致協調調配速度因地域性產生差異，保護力度與實現程度也不一致，這些都是《個人信息保護法》實施過程中仍需要仔細斟酌并進行完善的方面。個人信息保護逐步滲透到教育、醫療、大數據等高危領域，意味著需要一個能概括現在與未來，兼顧各個領域，應對多種情形，自上而下條理性實施的體系支撐[4]。

三、武漢七所部屬高校大學生個人信息泄露情況調查

在應對突發公共衛生事件下，部分地區的部分工作人員和相關人員基于種種原因，違反工作紀律，通過網絡信息平臺擅自傳播患者和自武漢回鄉的大學生的個人信息譬如身份證號、電話號碼、家庭住址等，給受害者帶來了很大困擾，造成了不良的社會影響，對網絡秩序與社會穩定產生了一定的消極影響。為了解公民個人信息泄露的情況，以便能更加客觀地提出保護公民個人信息的法律對策，筆者針對武漢七所部屬高校展開了調研。

2020年6月至7月，項目組發放問卷共983份，其中有效問卷856份。從此次問卷調查結果來看，只有少部分個人信息被泄露的大學生，但多數學生對于我國個人信息保護的相關法律了解程度還是相對不足，對于個人信息保護的具體措施也不甚了解。可見相關法律在高校大學生群體中的普及和教育力度有待加強。

四、突發公共衛生事件下對公民個人信息保護的法律對策建議

（一）完善敏感個人信息處理規則，彌補個人信息處理中存在的漏洞

《中華人民共和國民法典》首次明確了個人信息的概念并設立專門章節進行保護，對收集個人信息的原則、個人信息的存儲安全等問題進行了明確規定和細致劃分，這些原則在實踐中需要通過相關細則落到實處。《個人信息保護法》規定，實踐中需厘清公民個人信息處理的一般規則、敏感個人信息處理的特殊規則和國家機關處理個人信息的特別規定三者間的區別。個人在個人信息處理中享有知情權、查閱復制權和更正補充權以及請求刪除權等權利[5]，而相應的個人信息處理者必須依法履行監督、報送、審計、風險評估等義務。國家網信部門及國務院相關個人信息保護部門應當依法履行保護職責，違反規定的，依法給予處罰或追究刑事責任。法律的包容性和前瞻性要求對尚存爭議的問題，在實踐中不斷進行修改和完善，特殊情況期間，需要進一步健全突發公共衛生事件下公民個人信息處理的具體規則。

（二）設置以收集處理公民個人信息為職能的專門機構

當下我國沒有專門負責收集處理公民個人信息的部門機構，當面對突發事件時，導致對公民個人信息泄露問題處理不到位、不深入，造成處理效率低下的問題，對此，我國應進一步強化和落實司法領域對公民個人信息的保護，加大公檢法各個系統之間的溝通協作力度，統一執法辦案口徑，打擊侵犯公民個人信息的違法行為，實現打擊、保護、警示為一體的司法治理鏈條。在政府機關方面，《個人信息保護法》中規定國家網信部門和縣級以上地方人民政府有關部門統稱為履行個人信息保護職責的部門。為了短時間內能夠解決問題，需要作出具有比較明顯的妥協性措施，在某種程度上實現理想與現實的一種折中，然而一個相對完善健全的個人信息保護機構必須具備公正、權威、獨立的基本制度，應當設立獨立的行政機構來進行有效監管[6]。

（三）明確信息保護范圍，公安、網信和金融等部門要加強網絡監管力度

針對公共衛生事件的現狀，公安、衛生、教育、郵政、網信等公民個人信息聚集部門要處理好個人信息收集、公布與保護問題，既要做到公布合理信息進行有效追蹤，促進高效率防控，又要保證此類公民的個人信息得到保護，不得泄露。針對我國現今個人信息保護范圍劃分不明、信息監管力度不足等問題，相關部門要盡早明確個人信息公開范圍，公安、網信、金融等部門要積極配合，多方投入，加速研發公民個人信息保護技術，加強網絡監管力度，使公民個人信息電子化存儲更安全，及時切斷非法出售、違規使用和披露個人信息的渠道，減少泄露和非法侵害公民個人信息的風險[7]。

（四）完善公民個人信息泄露糾紛多元解決機制

隨著互聯網技術發展勢頭越來越強勁，在信息技術進一步提升、廣泛使用的同時，新的安全漏洞也在不斷出現，完全寄希望于法律規定和執法監督來實現對公民個人信息的全方位保護是不現實的。因此為保護公民個人信息，就需要在考慮到個人信息公共性和私人性的基礎上，在政府部門、技術企業和社會三個主體之間，形成一種多元平衡、資源整合、互動共享、安全高效的公民個人信息泄露糾紛的解決機制。

首先，政府部門要尋求最大范圍保護公民個人信息的方法。當前為依法實現網絡監管，更好地凈化網絡環境，維持網絡秩序，政府部門多采取實名制注冊登記的監管方式，但是這種方式也逐漸暴露出個人信息泄露的風險。因此，為實現保護公民個人信息與實名制注冊登記推廣的平衡，政府部門要嚴格遵守《個人信息保護法》第九條相關規定，落實信息存儲的安全機制并采取必要保障措施，如制定政府內部管理細則和操作流程、對采集到的個人信息分類監管等。其次，當今互聯網安全的前沿技術，大多掌握在實力雄厚的各大企業之中。因此企業在誠信經營的同時要制定保護用戶個人信息的決策，加強企業內部法制建設，提升員工的職業素養[8]。最后，社會主體可以為保護公民個人信息建立激勵機制，呼吁掌握高超信息技術手段的網絡志愿者主動參與到修補網絡安全漏洞的活動中。

五、結語

突發公共衛生事件對我國本就存在的個人信息保護問題提出了更嚴峻的挑戰。通過對武漢在校大學生在此期間的個人信息泄露狀況以及其個人信息保護素養、日常生活個人信息保護情況等的調查研究來看，個人信息保護制度的建設道阻且長，新法實踐中可能存在的漏洞和缺陷在此次突發公共衛生事件下暴露出來。個人信息保護從出臺專門法律開始，走上規范化、體系化道路，建立系統化立法體系，建立起采集信息過程與信息保護結果平衡兼顧的規則機制，使公民個人信息保護取得實效，這樣才能更好地實現“共建共治共享”的社會治理格局。