□方亚亚

(武汉大学，湖北 武汉 430000)

一、问题的提出

2020年初，在确定新冠病毒具有人传人的特性后，对涉疫人群(主要包括确诊患者、疑似患者、密切接触者)的锁定及隔离成为防控疫情的关键举措。大数据信息在疫情检测、患者追踪、社区管理等各个方面发挥了重要作用，为顺利抗击疫情助力颇多。“利用大数据平台建立公共卫生风险信息管理和沟通系统，加大对传染病传播风险信息的识别和隐患排查，实现社会公共安全防控信息的共享，其作用和效果非常明显。”[1]

但与此同时，公民个人信息面临的风险也在不断增加。疫情初期，外地返乡人员的个人信息遭到泄露，并在各大社交平台上被广泛传播，一时间民众“谈鄂色变”，对来自疫情严重地区的人员区别对待甚至歧视，使得个人及家人的人身安全面临危险和侵害。同时，疫情期间个人信息的收集主体也在不断扩大。各大手机应用平台大量收集用户信息并对其进行数据分析和技术处理，小区、商场等公众场所强制收集公民个人信息，否则不予入内。这些措施在确定、追踪及排查涉疫人群轨迹方面确实作出了突出贡献，但其中也不乏假借抗疫之名，非法收集和利用个人信息的乱象。在这次疫情防控中，个人信息传播范围广、速度快，侵犯公民个人信息犯罪现象集中爆发，对公民合法权益产生威胁，同时信息的不当传播容易造成社会公众恐慌，反而不利于疫情防控工作的开展。

因此，疫情防控的特殊时期，如何处理信息安全与信息利用之间的冲突，成为保护涉疫情个人信息亟需解决的问题。

二、涉疫情个人信息的特征及保护原则

根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)相关规定，(1)《解释》第一条：刑法第235条之一规定的“公民个人信息”是指以电子或者其他方式记录的能够单独或与其他信息结合识别自然人个人身份或者反映特定个人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。个人信息的认定核心在于“可识别性”，即对“个人信息”采用识别论的界定范式。[2]本文中的“涉疫情个人信息”是指出于疫情防控需要收集和使用的有关确诊或疑似患者及其他相关自然人的个人信息，除姓名、身份证号、联系方式等常见信息外，还包括行动踪迹、个人生物识别信息等。疫情防控特殊时期，个人信息呈现出与常态下不同的特征，承载着特殊的公共利益，个人信息的保护和利用方式需要适时作出调整。

(一)涉疫情个人信息的特征

1.涉疫情个人信息具有半公开性

根据个人信息的表现是否公开，可将其细分为公开信息和不公开信息。公开信息的公开对公共利益和信息主体的个人利益均不会造成任何损害，通常由公权力机关在法律许可的范围内予以公开。不公开信息由于涉及信息主体个人隐私，公开可能对其人身和财产权利造成侵害，而不公开也不会对公共利益或他人合法利益产生任何影响，因此不允许公权力机关强制公开。除此之外，现代社会中越来越多的个人信息处在公开与不公开之间的灰色地带，即呈现“半公开性”的特征。此类信息兼具私人性与公共性，信息主体会采取措施保护信息不被公开，国家出于社会公共利益的考虑，赋予公权力机关公开此类信息的权力。[3]

个人信息属于公开或不公开、一般信息或敏感信息，应当置于特定的语境具体认定。相较于一般信息，敏感信息的泄漏或滥用，对主体的人身、财产安全产生的风险更高。[4]疫情时期，涉疫人群或湖北返乡群体、境外返乡群体等特殊人群的个人信息容易引发社会特别关注。这些个人信息一旦泄露，相关主体及家人可能会面临来自社会的歧视性待遇，并对其名誉和隐私招致损害，甚至会危害其人身健康和财产安全。从这方面看，有必要将部分涉疫情个人信息作为个人敏感信息予以更高程度的保护。同时，出于疫情防控的需要，政府需要利用个人信息追踪患者、锁定接触人群，进行传染病排查工作和医疗救治，个人信息的及时公开有助于落实“早发现、早报告、早隔离、早治疗”政策。因而，涉疫情个人信息不同于常态下的个人信息，兼具私人性与公共性的双重属性，呈现出鲜明的“半公开性”的特征。

2.涉疫情个人信息具有复合法益属性

大数据时代，个人信息的权益内容已不再局限于信息主体的人格权或财产权，信息控制主体也不再局限于信息权利主体。疫情时期，除涉疫人员对其个人信息当然地享有权利外，在个人信息的收集和利用过程中，公权力机关和企业机构等其他主体成为数据的收集者、使用者、管理者，享有相应的信息权利。[5]例如，在疫情防控过程中，政府、企业或其他单位对其收集的个人信息享有信息使用权，社会公众享有知晓涉疫人群信息的公众知情权，公权力机关享有公布和分享涉疫情个人信息的权利。由此可见，涉疫情个人信息的权利内容不仅包括初始主体的权利，也包含收集者、使用者、管理者的相应权利。

风险社会背景下，个人信息蕴含丰富的公共管理价值，信息的公共属性更加明显，这使得信息犯罪侵害的法益已经突破个人法益的范畴，上升到公共法益甚至国家安全的层面。[6]目前，侵犯公民个人信息的犯罪类型多样化，个人信息犯罪“产业链”已然成型，从前端的获取和出售，再到后期的非法谋利，整个犯罪链条涉及人员众多，危害范围甚广，一旦信息遭到侵害，不仅危害到公民个人信息安全，更牵涉到公共秩序、公共卫生、经济秩序等公共法益。

由此可见，当前个人信息已具备复合法益属性，既有个人权利自由的内容，又涉及公共利益、社会秩序和国家安全。然而，目前我国刑法仍然通过个人法益的保护范式对侵犯公民个人信息的行为进行规制，这一模式已不符合当前个人信息保护的发展现状，不能达到全面保护个人信息的效果。

(二)涉疫情个人信息的保护原则

1.信息保护与信息利用的对立统一

如前所述，涉疫情个人信息的法益内容不仅包括信息主体的权利自由，还包括公权力主体的个人信息管理职权、社会公众知情权等公共权益，而个人信息犯罪不仅会侵害相关主体的个人信息安全，也同样会破坏公共法益、社会秩序和国家安全。个人信息法律保护与价值利用的关系背后反映的是信息安全与自由的价值选择，二者既对立又统一。

由于新冠病毒具有“人传人”的传染性，政府和社会机构需要采集公民个人信息，及时发现并隔离确诊患者、疑似患者，以便向社会寻找密切接触者。信息透明不仅有利于疫情防控、公共卫生安全，也是保障公众知情权的客观需求。[7]我国《传染病防治法》《突发公共卫生事件应急条例》和《信息安全技术个人信息安全规范》(以下简称《规范》)均明确赋予部分医疗机构和政府组织收集个人信息的权利。(2)《传染病防治法》第12条：在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。《突发公共卫生事件应急条例》第40条：传染病暴发、流行时，街道、乡镇以及居民委员会、村民委员会应当组织力量，团结协作，群防群治，协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作，向居民、村民宣传传染病防治的相关知识。《规范》5.4 征得授权同意的例外：以下情形中，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意：a)与国家安全、国防安全直接相关的；b) 与公共安全、公共卫生、重大公共利益直接相关的。当前防疫工作是国家和社会的首要任务，政府出于防疫需要收集利用个人信息具有正当性，必要时可以向社会公开，个人需要让渡部分权益，必要时承担保障公共卫生安全的责任。[8]但政府信息公开与个人信息安全之间不是完全对立的，政府公开疫情信息的过程也是公民个人隐私合理利用和妥当保护的过程。[9]政府部门在收集和使用个人疫情信息的过程中，也应当依法保障公民个人信息权，不能顾此失彼。

因此，疫情时期，政府收集和利用个人信息的同时，需要妥善处理好个人信息保护与公众知情权之间的关系，将公民信息权作为基本权利保护的前提之下，在不超出疫情信息合理范围内及时公开涉疫情个人信息。疫情防控与信息保护不是绝对对立的，即使二者之间产生冲突，也不得以侵害个人信息安全为代价，应当遵循必要限度，坚持比例原则，平衡信息安全与信息利用的冲突，在个人法益与公共法益之间作出价值衡量。[10]

2.涉疫情个人信息保护与利用的比例原则

公共利益对个人信息权的限制不是绝对的，应当满足比例原则的要求。具体而言，需要同时满足适当性、必要性和均衡性三个子原则：

(1)适当性原则指限制采取的措施能够合理地促成目的实现。[11]该原则要求疫情时期收集、使用个人信息，必须与疫情防控的目的之间具有合理的因果关系，不能超越防疫目的收集。[12]例如，疫情期间各大商场、小区等公共场所收集的个人信息仅限用于病毒监测和接触范围锁定，禁止挪作他用。

(2)必要性原则要求在所有能够实现目的的方法中采取限度最低的一种。[13]从信息主体上看，为实现疫情防控，只应当收集确诊或疑似患者、密切接触者的个人信息，不应收集无关人员的信息；从信息内容上看，如果只收集个人一般信息即可达到防疫目的，就不应当收集个人敏感信息；从信息利用上看，如果信息收集、使用者在采取某项措施时可以使用也可不使用个人信息的，尽量不使用他人信息。[14]

(3)均衡性原则要求对方法和目的进行价值衡量，唯有当收集利用个人信息产生的收益高于对公民招致的损害时，才可以采取该方法。[15]如前所述，疫情时期的个人信息保护承载着个人法益和公共法益的双重法益，因此进行利益衡量时，不能仅将其作为个人信息权与公共法益衡量，如果忽视了个人信息的超个人法益属性，就会导致个人信息权一味让步于公共法益，比例原则将形同虚设。

综上，在疫情防控特殊时期，某些情况下，个人信息安全在国家利益和社会利益面前需要作出让步，但司法人员在个案中进行利益衡量时，不应忽视个人信息的公共法益属性。

三、涉疫情个人信息的刑法保护

重大突发公共卫生事件下，在利益衡量的基础上，个人信息安全在公共法益面前需要作出一定的让步，但这并不表示疫情时期可以不受任何限制地收集和使用个人信息。相反，涉疫情个人信息因承载着公共法益属性，更应当加大个人信息的保护力度。然而，如果对收集和利用个人信息的行为规定得过于严苛，不当扩大犯罪面，将不利于防疫工作的顺利进行。因此，面对疫情之下的新变化，如何准确理解侵犯公民个人信息罪的具体适用对于精准打击犯罪、全面保护个人信息权利尤为重要。

(一)侵犯公民个人信息罪：由实害犯转向危险犯

从现行法律规定来看，侵害公民个人信息罪理应划归到实害犯的范畴，但事实上，该罪的设立目的则强调对公民权益的提前保护，具有危险犯的性质。当个人信息被非法获取或非法提供时，信息主体并未遭受因信息泄露带来的实际法益侵害，然而被泄露的个人信息随时都有被不法分子非法利用的危险，并且这种危险是现实的、紧迫的，在大数据时代随时都有可能转化为实际危险。如果等到公民合法权利遭到现实侵害时才对其规制，那么刑法对个人信息的保护则过于迟滞，难以发挥保护信息权利、惩治信息犯罪的作用。涉疫情个人信息因其具有与公共卫生安全和国家安全密切相关的特殊性，更需要刑法予以提前保护。因此，对涉疫情个人信息的保护中，只要使得个人信息遭到直接的、紧迫的危险，就有必要将其行为予以犯罪化处理，防止危险转向实害。

(二)个人信息的刑法保护范围及程度

涉疫情个人信息范围的确定是刑法保护此类法益的前提。针对不同类型的个人信息，收集和使用的范围和方式不尽相同，入罪标准也不尽一致。防疫时期，个人信息类型复杂多样，有必要顺应客观情况的变化，对不同类型的个人信息予以不同程度的分级保护。《解释》对个人信息范围的规定采用“概括+列举”的方式，但所列举的范围仅限于一般性的规定。结合《规范》的相关规定，疫情时期收集和利用的个人信息主要包括以下四类：(1)个人基本信息；(2)个人身份信息；(3)个人位置信息，如行踪轨迹、家庭住址等；(4)个人生理信息，如个人核酸检测结果、因感染的诊治信息等。

根据个人信息对法益的影响程度，可以将其分为个人敏感信息和个人一般信息。二者的区别在于泄露、滥用后对个人法益的损害程度不同，换言之，个人敏感信息的泄露、滥用对被识别个体造成的损害远大于一般信息，对信息主体法益影响更大。因此，对前者的保护程度要高于后者。为保障公众对其所在区域内疫情分布、风险程度的知情权，以及确保疫情防控部门及时采取防范措施，需要对涉疫人员的相关信息进行公开。但涉疫信息的特殊性使其直接关系着信息主体及其家庭的人身安全和财产安全，一旦被非法泄露和利用，容易引发社会不公正待遇，给信息主体招致难以挽回的损失。实际上，在此次疫情期间，对于涉疫人员的“人肉搜索”甚至歧视、谩骂在网络上并不罕见，甚至初期从武汉返乡的健康人员也遭到电话骚扰或威胁，严重影响公民正常生活。

因此，对个人敏感信息应当予以高度的重视与保护：将个人身份信息、个人生理信息、个人基本信息中的电话和家庭住址作为敏感信息予以特别保护，在制定涉上述信息的防控措施时应当更为审慎；在收集和利用个人敏感信息时应当采取一定的保护措施，如脱敏处理，使其丧失能够识别特定自然人的功能；对于除电话和家庭住址之外的个人基本信息以及个人位置信息，基于疫情防控需要可以适当降低保护程度，予以一定程度的公开。

(三)收集使用个人信息行为的刑事违法性判断

侵犯公民个人信息罪属于典型的法定犯，刑事违法性的判断以行为人违反前置性规范为前提，因此前置性规范的范围对认定收集使用行为的刑事违法性至关重要。

根据《解释》第4条，(3)《解释》第四条：违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于《刑法》第253条之一第三款规定的“以其他方法非法获取公民个人信息”。收集、使用信息行为的非法性以是否违反国家有关规定为判断标准。从体系解释的角度看，非法性的认定不应局限于《解释》的条文，还应当结合《网络安全法》的有关规定。根据《网络安全法》第41条，(4)《网络安全法》第41条：网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。违反法律、行政法规和违反双方约定的都属于非法获取，前者具有行政违法性，后者则具有民事违法性。因此，“非法获取公民个人信息”的刑事违法性判断应当以其行政违法性和民事违法性为前提，分别考察，综合认定，才能更好保护信息主体的自决权。

在行政违法性层面上，根据《解释》第2条，(5)《解释》第2条：违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为《刑法》第253条之一规定的“违反国家有关规定”。“国家有关规定”除国家法律、行政法规之外，还包括部门规章。基于罪刑法定原则和刑法谦抑性，应对其作限制解释，排除同级地方性法规和地方行政规章，只应限定在部门规章的范围。然而，《网络安全法》等相关法律法规对收集、使用公民个人信息行为的义务规范规定尚不够明确，难以为侵犯公民个人信息犯罪的违法性判断提供必要且充分的依据。近年来，有关个人信息收集使用的国家标准、行业标准颁布实施，这些标准规范扩大了个人信息的规制范围，提高了个人信息处理的行业要求，为个人信息保护提供了更健全的行业规则。《规范》作为个人信息安全保护方面的国家标准，确立了“正当、合法、必要”原则和“公开、明示、最少”原则，对收集、使用个人信息行为提出了具体要求，为个人信息保护的行业规范提供了指引。但是，该规范不具有法律效力，不宜直接作为认定收集、使用个人信息行为刑事违法性的前置性规范，否则将导致个人信息犯罪的打击面过大，反而不利于个人信息权益的刑法保护。

在民事违法性层面上，《网络安全法》第41条规定网络运营者应当征得用户同意并遵循双方约定收集使用个人信息，《规范》也规定了信息控制主体在开展信息处理活动时，除例外情况，应当征得信息主体的授权同意。信息主体知情同意权是个人同意他人对本人信息收集、存储、处理以及利用的自主决定权，[16]是法益自决权的重要内容。信息主体知情同意类似于刑法理论中的被害人承诺，具有出罪功能，为信息控制主体收集、利用信息等行为提供合法化依据。同时，《规范》根据信息种类对知情同意标准作出区分，(6)例如，收集个人一般信息，应当告知信息主体收集、使用其个人信息之目的、方式、范围等，并获得信息主体的授权同意；收集个人敏感信息的，则应当满足三个条件：(1)经过信息主体明示同意；(2)信息主体对信息使用目的、方式、范围等规则完全知情；(3)信息主体自主给出的、清晰明确的、具体的意愿表示。违反标准收集、利用个人信息的，不应当视为信息主体知情同意，收集、利用行为丧失合法性。例如在疫情期间骗取信息主体的同意、在信息主体拒绝后仍然收集利用或超出授权范围收集利用等行为，不视为主体知情同意，不具有合法性。须指出，信息主体的知情同意并不当然阻却收集、使用行为的刑事违法性。信息主体知情同意为信息处理行为提供合法化依据的前提是收集、利用行为没有违反前置性法律规范，即当收集、利用个人信息的行为与国家利益、社会公共法益产生冲突时，仍然可能构成侵犯公民个人信息罪，被害人同意仅可能作为量刑情节予以考量。

需要注意的是，在民法或行政法上属于违法的收集行为并不当然符合刑事违法性，仍然需要结合刑法规定的犯罪构成要件予以判断。如前所述，收集行为的民事和行政合法性，将直接影响着行为的刑事可罚性。因此，在评价某一收集行为是否应受刑事制裁时，理应先考察其在民法层面和行政法层面的合法性。倘若收集行为符合民法和行政法的规定，则无需再讨论其刑事违法性，否则将可能得出矛盾的结论，有违法秩序的统一性。但即使是于民法或行政法而言违法的收集行为，也仅仅只具备刑事违法性的可能性，该行为并不必然受到刑法规制，应当结合刑法规定的具体犯罪构成要件进一步考察。刑法需要发挥其自身的保障法作用，对于收集使用公民个人信息的民事或行政侵权行为，只有在具有严重社会危害性的情况下才予以介入。

四、涉疫情个人信息刑法保护的边界

个人信息的价值在于合理使用，因此在保护个人信息的同时，仍应允许信息在社会主体间进行流通并合理使用。[17]特殊时期固然应当加大对个人信息的保护力度，但刑事手段是一把双刃剑，不宜过度扩大侵犯公民个人信息罪的适用范围，否则将不利于疫情防控工作的进行，也有违刑法的谦抑性。相反，特殊时期应当严格贯彻罪刑法定原则和罪刑相适应原则，对于不符合犯罪构成要件的行为予以出罪，坚持出罪化思维。[18]

(一)信息主体的知情同意

如前所述，我国相关法律、行政法规及行业规范已确立了收集、使用个人信息的知情同意原则。被收集者知情同意可以视作刑法理论上的被害人承诺，为收集、使用行为的合法性提供依据，具有一定的出罪化功能。未经信息主体同意而收集、使用个人信息的行为，不必然违反刑法意义上的保护义务，因为法律不仅保护公民个人信息的知情同意权，还要对个人信息的合理使用、分享和处理加以保护；反之，经个人信息主体同意的收集、使用行为并不当然阻却刑事违法性，当收集、使用个人信息的行为违反前置性法律法规或部门规章时，或与国家利益、公共利益相冲突时，即便信息主体对收集、使用行为作出同意的意思表示，也不能排除收集、使用行为的刑事违法性。

(二)信息控制者的合法使用

在大数据时代，行政机关和其他主体的工作越来越多地依靠现代科学技术。疫情防控期间，行政机关和其他主体借助APP、二维码等技术手段广泛而迅速地收集个人行踪轨迹等信息，及时排查确诊或疑似患者、密切接触人群，并采取隔离观察等措施，为高效防疫作出突出贡献。《规范》5.6规定了十一种信息主体知情同意原则的例外，即允许个人信息控制主体越过信息主体同意而收集、利用信息的情形。据此，以下几类可为政府部门在疫情时期直接收集、利用个人信息提供合法性依据：(1)为维护公共安全、公共卫生、重大公共利益而收集利用涉疫人员个人信息的；(2)为维护涉疫人员的生命、财产等重大合法权益但难以得到本人同意的；(3)为政府公开疫情实况等信息、疫苗研发等科研活动、学术研究、新闻报道等收集利用个人信息的；(4)为刑事诉讼目的而收集利用犯罪嫌疑人信息的；(5)为履行法律法规规定职能的。

但同时需要注意，疫情期间政府为风险治理掌握大量公民个人信息，行政机关并非是纯粹的个人信息的保护者和监管者，也可能是信息的获取者和非法使用者。[19]行政机关与公民个人之间的信息不对称现象突出，加之当前我国保护个人信息的法律体系中主要针对的是商业机构而非行政机关，为公权力机关侵犯公民个人信息留下空间。[20]因此，即使是疫情防控的特殊时期，政府也不能无节制地收集利用个人信息，个人信息的安全保护始终是信息利用的前提，也是对政府行使公权力的限制。

(三)去识别化处理

根据《网络安全法》第42条第1款的规定，去识别化，或称匿名化，是指对个人信息数据采取“脱敏”“漂白”等技术手段处理，从而使其丧失定位到特定主体的可识别性，在保留信息利用价值的同时，降低信息泄露或非法利用可能给信息主体造成的风险。[21]该规定为个人信息匿名化提供了法律依据，去识别化可以被视为数据利用过程中的出罪化行为。

从法律的表述上看，去识别化处理应当具有三个要素：一是对个人信息去识别的技术手段，即技术要素；二是处理后的个人信息不能定位特定主体，此为目的要素；三是处理后个人信息不能复原。由于目前我国尚未确立个人信息去识别化的规则，疫情防控中涉疫人员的信息去识别化也没有统一标准。本文认为，在制定技术标准时，可以围绕降低再识别风险的必要过程来进行设计，对不同的再识别风险进行评估，进而采取相应的匿名化技术。[22]个人信息的再识别风险越高，越应当采取更严格的去识别化标准。对个人信息的再识别风险进行评估时，应当注意以下两个影响因素：(1)再识别风险程度受个人信息种类的影响。根据欧盟法对个人信息的规定，“识别”是核心要素，包括“被识别”和“可识别”。前者是指根据正在处理的个人信息已经直接识别到信息主体的身份，如新冠病毒感染者、密切接触者等特定人群的姓名、身份证件号码、生物识别信息，后者则是指根据正在处理的信息无法直接识别到特定自然人，需要与其他信息结合才能进行识别，如性别、位置信息、行踪轨迹等。显然，可直接识别的个人信息的再识别风险极高，在去识别化处理中应当直接删除或替换。而仅能间接识别的个人信息的再识别风险低，在疫情防控中发挥着追踪密切接触者、疫情监测等重要的利用价值，可以适当保留，在确保个人信息安全的同时保障公众知情权的实现。(2)再识别风险程度受信息接收者不同的影响。需要向社会公众公布的信息显然再识别风险很高，应当采取最严格的去识别化标准。而对于仅供公权力机关内部和科研机构、医疗机构等主体用于疫情防控、分析研究、保管留存的信息，与信息控制主体约定限制使用条款等即可实现风险防控的目的，因此可以放宽去识别化的标准。[23]

综上，出于防控疫情和社会治理的需要，对个人信息的保护应当是有限度的，不应对信息控制者的收集和利用行为过分苛责，对于征求信息主体知情同意的、合法收集使用的、采取去识别化技术处理的等具有合法依据的行为，应当作出罪化处理。

五、结语

重大传染病防控期间，个人信息的权利保护与价值利用必须在法治轨道上运行。[24]法律在强调个人信息保护的同时，也要注重保护限度，处理好涉疫情信息保护与信息利用之间的关系，坚持在比例原则的指引下寻求个人法益与公共法益之间的价值平衡。既要防止疫情时期个人信息权利无限度地让步于公共卫生安全，也要警惕法律对个人信息保护的过度膨胀，实现个人权利自由、社会公共利益、国家信息安全之间的价值平衡，构建和完善个人信息保护的法律体系，为防控疫情提供有效的法律保障。