公民个人信息法律保护探究

    关键词 公民个人信息 信息泄露 法律保护 救济

    作者简介：肖之云，湖北省黄梅县人民检察院检察官助理，主要从事检察理论、刑事诉讼理论研究。

    中图分类号：D923? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文献标识码：A? ? ? ? ? ? ?? ? ? ? ? ? DOI：10.19387/j.cnki.1009-0592.2020.07.185

    面对由新型冠状病毒引起的突发疫情，举国上下众志成城，共克时艰。然而，在强烈的疫情防控需求下，一些不当行为对公民的个人信息安全造成了危害。一例例政务失职侵害公民个人信息的案例虽已浮出水面，而水面之下，还有许许多多份名单在各个微信群及其他社交平台中肆意传播，所涉人员包括武汉返乡人员、确诊病人、疑似病人、密切接触者等等，他们的身份证号、家庭住址、手机号等隐私信息在名单中一览无遗。伴随大规模个人信息泄露而来的，是对涉疫人员甚至无关人员的人身攻击和无端歧视，也给电信网络诈骗、盗窃、敲诈勒索等不法活动埋下巨大隐患。鉴于此，重大疫情防控背景下公民个人信息法律保护与制约成为一个重要课题。一、公民个人信息的界定

    目前，我国尚未制定专门的个人信息保护法律，《个人信息保护法》在2019年3月被纳入十三届全国人大常委会的立法规划，有望在2020年颁行实施。《民法总则》第一百一十一条规定“自然人的个人信息受法律保护”，但对于个人信息的定义及范围未予明确。《网络安全法》第七十六条规定“本法下列用语的含义：（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”2017年公布生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。国家质量监督检验检疫总局和国家标准化管理委员会联合发布的国家标准GB/T 35273- 2017《信息安全技术个人信息安全规范》将个人信息定义为“以电子或以其他方式记录的能够单独与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”，包括“姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等”。在个人信息的基础上，该国家标准新增“个人敏感信息”概念，即“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇的个人信息”。

    综上所述，现行法律法规对于个人信息的定义体现了共同的判断标准，即通过相关信息能否确定特定自然人的身份。在此次疫情的特殊情境下，武汉返乡人员及其他涉疫人员的个人信息的泄露、非法提供或滥用可能直接导致其遭受某种负面社会评价，甚至受到更为严重的不法行为的侵害。因此，对于前述人员的个人信息，应当上升为GB/T 35273-2017《信息安全技术个人信息安全规范》规定的“个人敏感信息”予以保护。其中，为了防止危害人身和财产安全的行为发生，尤其需要保障个人身份证号码、手机号码和住址等信息的私密性。二、重大疫情防控中收集和公开个人信息的法理基础

    （一）合理性：个人利益与公共利益冲突的价值取舍

    本次新冠病毒具有“人传人”的特征，传播的途径包括飞沫传播和接触传播。鉴于此，以“人”作为突破口开展防控工作，实有必要。卫生行政部门及相关部门需要尽快通过政府间信息共享和走访排查等途径，寻找确定病毒携带者、疑似携带者及密切接触者等涉疫人员，控制传染源;社会民众则需要通过获知涉疫人员的相关信息，判断自己是否存在感染病毒的可能，了解自我防护过程中的风险。疫情形势复雜严峻，防控任务紧张艰巨，对涉疫人员信息调查和采集可能会触及个人信息权益，由此就产生了个人信息保护与疫情防控需要的冲突，这在本质上属于个人利益与公共利益的冲突。对此，我国《宪法》第五十一条规定“中华人民共和国公民在行使自由和权利的时候，不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。”这意味着个人的自由和权利存在着法定的内在制约，在特定时间和特定环境下须让步于公共利益。面对疫情下无数公众的生命健康权益和防控的迫切需求，涉疫人员应当容忍一定程度的个人信息收集与公开。

    （二）合法性：收集和公开个人信息的法律依据

    面对突发的疫情，调查、收集和公开涉疫人员的信息是一项极为紧急的任务。根据《传染病防治法》第十二条、第三十三条、三十九条和四十条，卫生行政部门及相关部门、疾病预防控制机构、医疗机构有权在发现传染病疫情后进行信息调查收集。根据《突发事件应对法》第三十八条、《突发公共卫生事件应急条例》第二十一条、第三十六条、第四十条和四十四条，国务院卫生行政主管部门或者其他有关部门指定的专业机构、单位和个人以及街道、乡镇、居民委员会、村民委员会也有权进行疫情信息的采集。此外，多地已经启动重大突发公共卫生事件一级响应，相应的预案中也规定了信息收集的主体和要求。

    基于防疫的迫切需要，对于涉疫人员信息的公开如若需提前征求每位人员的同意，将会使防疫工作陷入困境。根据《政府信息公开条例》第十五条规定“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息，行政机关不得公开。但是，第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的，予以公开。”出于疫情防控目的必须公开的涉疫人员信息，即使未经当事人同意，也可以依法在合理限度内予以公开。GB/T 35273-2017《信息安全技术个人信息安全规范》第5.4条也明确“与公共安全、公共卫生、重大公共利益直接相关的，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意。”三、重大疫情防控中公民个人信息可能面临的风险

    （一）信息收集主体权限存疑

    在此次疫情防控中，通常以社区、村组为单位进行防控，绝大多数地区采取了网格式排查方式，重点排查武汉、湖北返乡人员和外地车辆。在排查过程中，信息收集主体并不唯一，公安机关、医疗卫生机关（包括社区医院）、街道办、乡镇政府、社区、村委会甚至物业公司等等都可能参与其中。尽管多方主体积极参与疫情防控工作的态度值得肯定，但部分主体收集个人信息的权限尚有待明确。疾控机构、医疗卫生机构及公安机关等收集个人信息的权限自不必多言，而且《突发公共卫生事件应急条例》的规定中使用了“有关机构”的用语，这意味着乡镇政府、街道办等机关可以得到授权并从事信息收集事务。但是，对于社区居委会、村委会等群众自治组织来说，如果本地的《应急预案》中未作出规定，则其无权收集个人信息。至于物业公司等民事主体，其当然不具有收集个人信息的权限。

    （二）公民个人信息存在泄露风险

    另一风险就是即疫情解除后，大量敏感个人信息数据可能得不到妥善的后续处理，进而引发泄露的风险。退一步讲，此次疫情防控过程中，即使是有权收集个人信息的主体也存在不当使用个人信息的现象。根据各地官方通报的情况来看，个人信息被泄露的情况并不罕见：1月30日，湖南益阳市政府发布通报，当地四名公务人员在疫情防控过程中将涉及市民及亲属等11人隐私的调查报告转发给了无关人员并传播至微信群，引发了部分市民恐慌，当地纪委监委对涉案的四名公务人员分别予以党纪立案调查、诫勉谈话、通报批评处分;2月3日，江西资溪县纪委监委通报，当地一副镇长因泄露与新型冠状病毒感染的肺炎确诊病例密切接触的29人个人信息，对其在全县范围内通报批评;2月3日，玉溪市纪委監委通报，当地街道办以工作人员过失泄露个人信息，后被当地三名村（居）委会负责人员进一步扩散，一人受到通报问责处理，三人受到提醒谈话处理;2月4日，内蒙古鄂尔多斯市东胜区纪委监委通报，当地一名社区卫生服务中心工作人员泄露公民个人信息，被当地公安局行政拘留10日，并被处党内严重警告。

    个人信息泄露至少会导致两方面的危害：一方面会对公民个人及其家庭造成一定影响，还会在一定程度上引发社会公众恐慌;另一方面，这些极为详尽个人信息有可能被不法分子利用，实施诈骗等违法犯罪。如当前常见的以提供防疫用品、出售防疫新药、协助提供住医院床位、火车、飞机等退改签、旅行团、酒店等退费等为由进行诈骗的活动，在获取特定人群的个人信息后，犯罪分子极易得手。

    （三）公民个人信息让步于公共利益的边界

    疫情防控中对涉疫人员信息的利用有价值选择上的合理性，也有法律法规赋予的合法性，但并非没有边界。根据《突发事件应对法》第十一条“有关人民政府及其部门采取的应对突发事件的措施，应当与突发事件可能造成的社会危害的性质、程度和范围相适应;有多种措施可供选择的，应当选择有利于最大程度地保护公民、法人和其他组织权益的措施。”对于涉疫人员个人信息的采集和公布应当把控在合理的尺度内，且相关机构和部门应当做好个人信息的保密工作。四、公民个人信息遭受侵犯的救济途径

    疫情期间，个人应履行的信息申报义务，特别是如患有或者疑似患有新型冠状病毒感染的肺炎，不得隐瞒、谎报病情、旅居史、密切接触人员等信息。当然若公民个人信息受到有关机构或人员或的侵犯，有以下几种救济方式：

    （一）要求网络服务提供者删除或屏蔽相关信息

    若个人信息通过网络平台扩散，被侵权者有权根据《侵权责任法》第三十六条规定，要求网络服务提供者采取删除、屏蔽、断开链接等必要措施，清除传播中的信息文件，防止个人敏感信息的进一步泄露。

    （二）向人民法院起诉

    若能确定违法公开、传播个人敏感信息的行为人，被侵权者可以其为被告向人民法院提起诉讼。需注意的是，若个人敏感信息经网络传播，网络服务提供者未根据被侵权者的要求及时采取删除、屏蔽、断开链接等必要措施，导致损害扩大的，可将网络服务提供者列为共同被告;若个人敏感信息经由微信群传播，微信群主对群内违法公开他人个人敏感信息的行为未尽监管审查义务的，也可列为共同被告。

    （三）向公安机关报案

    若他人违法公开、传播个人敏感信息，已经产生对被侵权者正常生活及身心健康造成损害、社会影响恶劣等严重后果，被侵权者可以向公安机关报案。若公安机关不予立案，还可以向人民法院提起自诉。

    （四）向有关政府部门举报

    若个人敏感信息经由疾病防控机构、医疗机构或其他机构工作人员传播扩散，被侵权者可根据《传染病防治法》第十二条规定，向有关人民政府卫生行政部门举报，要求依法处理。

    重大疫情防控背景下，既要维护好疫情防控下的公共利益，也要保护好公民的个人信息权益。涉疫人员有义务积极配合相关部门，及时并如实提供自己的个人信息及健康状况;相关部门及其工作人员有责任采取保密措施，保护涉疫人员的个人信息安全;社会公众有义务尊重涉疫人员的隐私，切勿实施侵犯他人个人信息的不法行为。只有如此，才能实现疫情防控工作与个人信息保护的利益平衡。