黄羽沛

(西南政法大学 民商法学院，重庆 401120)

0 引 言

因新型冠状病毒具有强烈的突发性，导致我国在疫情爆发初期一度难以控制其蔓延。为提高我国防控工作的效率性，构建大数据防疫体系，即由各级政府通报数据，国家卫健委统一公布疫情信息，并做到防疫信息的实时更新，保障疫情相应情况的公开透明。在这场没有硝烟的疫情抗战中，医疗救援自然是最有效的抗击武器。但信息的合理收集与运用，也是保证此次战役胜利至关重要的一环。然而，由于疫情突发，相关主体对个人信息的收集利用难免存在不足。因此，在疫情期间应当如何保障公民的个人信息不受侵害，维护公民的合法权益，成为一个值得探讨的问题。

1 战疫亦是一场信息战

在疫情期间，国家卫健委首次利用大数据对疫情进行实时监控，并每隔一小时更新一次数据，使社会公众能够实时了解我国疫情的动态变化。与此相关，我国三大电信企业也开发了相关的小程序，通过扫码即可知晓用户在14天内的行程，以此判断是否进入过疫情高危地区。科技公司也积极利用相应的信息数据，制定了“健康码”等应用程序来帮助用户防控疫情。[1]地图公司甚至利用地方政府公布的患者用户信息制做了疫情地图，用户可通过定位自己所在的位置了解周边是否存在确诊人员。

虽然采集和利用患者的个人信息能够在抗击疫情工作中起到重要作用，但是大规模甚至大范围地利用个人信息，尤其是在未经患者同意对其个人信息加以收集利用，无疑是侵犯了公民的个人信息权。对此，在疫情期间如何合理保护公民的个人信息权，找准公共利益和私人利益之间的平衡点，是目前亟需解决的问题。

2 疫情下个人信息保护范围的界定

尽管在理论界中，各学者针对个人信息的内涵和保护范围仍未达成一致看法，但均承认个人信息同时具备形式要素和实质要素：形式要素是指以某种方式记载于一定的载体之上；实质要素是指个人信息必然能够指向个体的某种身份特征，具有可识别性。[2]就个人信息的定义而言，在《中华人民共和国网络安全法》的附则部分中，对个人信息作出了合理的定义。而于5月28日通过的《中华人民共和国民法典》(以下简称《民法典》)，则顺应疫情变化，对个人信息保护作了较为详尽的规定。《民法典》第1034条规定了个人信息的定义，并且特别强调健康信息和行踪信息受法律保护，以此在新修订的法律中对疫情下个人信息保护弱化的现状进行了回应。在章节标题上将隐私权和个人信息保护并列设置，将公民的个人信息作为一项独立人格权利进行保护，并于第1034条提出：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”以此对公民的个人信息提供更大范围和更充分的保护。但民法是保护私人利益的法律，对于民事主体个人信息权的保护也应当仅限于私人利益。而在疫情期间，患者在就诊过程中必然产生大量的个人信息，由于这些信息涉及防疫所需，必然要被国家用于疫情防控。例如新冠肺炎患者的个人医疗信息，包括医疗机构在诊疗过程中制作或获取的反映病患姓名、年龄、性别、籍贯、病种、病情以及各种检验报告和医生的诊断结论等[3]121-131，尽管此类信息也涉及一定的私人利益，但为了防疫的需要而应当强制公开。倘若按照民法的保护方法，以患者的“同意或授权”为合法公开的前提，不仅可能导致大数据疫情防控体系难以构建，还会使诸多病患隐藏于社会之中，民众安全难以得到保障。因此，为公共利益所需而强制公开的医疗信息不在民法调整范围内。目前在疫情之下与疫情防控相关并受到民法保护的个人信息，主要包括以下两种情形：第一种情形是，未对涉疫信息做脱敏化处理便公开的个人信息。由于个人信息具有可识别性，通过对已公开的个人信息加以分析就极易搜寻到未被强制公开的部分，进而对应到特定个人，对于这部分信息应当受到民法保护，以便被侵权人及时救济自身权利。第二种情形是，对个人信息不加以区分便随意公开，导致私密信息和与疫情防控不相关的信息被公开，构成对公民个人信息权和隐私权的侵犯，也应当受到民法保护。

3 疫情下个人信息权被侵犯的原因

就法理上而言，在公共利益与私人利益相冲突的情况下，私人利益应当适度让位于公共利益。在疫情防控中，若利用或披露个人信息仍坚持“被收集者同意或授权”的原则，无疑会使大数据分析在疫情中的应然作用大打折扣。对于个人信息的性质而言，其除了具有个人属性之外，还具有公共利益属性。[4]其本质属性决定了当个人信息与公共利益相冲突时，为了维护公共利益，对公民的个人信息权可以适当予以限制，并在一定程度倾向于可将与公共利益相关的个人信息强制公开，使个人利益让位于公共利益。且依据《民法典》第1034条的规定，个人信息权作为一项权利，在行使上也不能违反公共利益，这是公序良俗原则的必然要求。

但在抗击疫情中，个人信息的私人利益和公共利益却出现了协调失衡的现象。很多患者详细的个人信息甚至是隐私信息都暴露在互联网上，这已经超出基于公共利益而对个人信息权限制的程度，甚至已经造成了对患者私人利益的践踏。此外，其他公民在进入不同的场所或者使用一些与疫情相关的小程序时，都需要提供自己的个人信息，信息安全也岌岌可危。公共利益与私人利益协调失衡，具体主要体现在法律规范适用上的协调失衡、公权力与私权利的协调失衡、社会利益与个人利益的协调失衡以及商业利益与个人利益的协调失衡等方面。如何兼顾各方利益，是我们需要在此次抗疫中进行反思的问题。对此，在防疫背景下对患者个人信息权被侵犯的现象进行分析，以便寻求相应解决措施，对症下药。

3.1 针对个人信息的法律规范适用上存在冲突

由于疫情在2020年1月底迅速爆发，不少地区都将其按照甲类传染病的相关规定采取防护措施，其中就包括对个人信息的收集利用。从《中华人民共和国传染病防治法》(以下简称《传染病防治法》)第31条规定可以看出，其允许单位和个人可以未经他人同意而向相关机构透露疑似病例的个人信息。而这与《民法典》第1035条规定的“征得该自然人或者其监护人同意”存在着冲突。而《传染病防治法》第12条规定了一切单位和个人都必须接受疾病预防控制机构的调查，如实提供信息。原则上，对个人信息的收集是需要经过主体的授权同意的，但在此条却为患者强加了提供个人信息的义务。此外，《中华人民共和国突发事件应对法》(以下简称《突发事件应对法》)第38条也授予了县级以上人民政府及其有关部门、专业机构收集患者个人信息的权利，进一步扩大了收集利用的主体范围。在有效应对疫情的同时，法律规范的不一致加大了个人信息权被侵犯的可能。

3.2 地方政府对个人信息保护不周

不少地方政府在疫情防控中的某些措施，侵犯了公民的合法权益，体现出公权力与私权利的协调失衡。在中央网信办所颁布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称通知)中强调，只有依据相关法律授权的组织机构才能对公民的个人信息进行收集，且收集对象原则上仅限于确诊者、疑似者、密切接触者等人群。然而在实际生活中，不少小区要求住户填写相关的申报表。同时，在进入相关公共场所时被要求进行登记，且所登记的信息除了基本信息外，还要求填写民族、政治面貌、学历、身高、血型、婚姻状况、微信号等内容。[5]此种做法显然与中央网信办的文件要旨相背离。地方政府在疫情防控过程中并未重视对公民个人信息权的保护，导致信息采集的主体混乱。信息掌控者越多，信息泄露的风险系数越高。还有些地方政府针对确诊患者，以新冠肺炎疫情防控应急指挥部的名义开具调查函，将确诊患者的姓名、住址、行动轨迹等无保留地公示出来。此种做法尽管有利于疫情防控，但却超出了必要的限度，日后会给患者带来生活和工作上的困扰。此外，由于疫情期间的信息量巨大，不少地方政府难以处理，或者缺乏相应的处理机制，造成了信息资源的浪费。因此，地方政府在疫情期间对于个人信息权的保护不周也是此次疫情中个人信息泄露和滥用的重要原因之一。

3.3 民众恐惧心理的影响

此次疫情具有突发性、易传染、高爆发的特点，加之国内前期，对新型冠状病毒了解较少，对疫情防控不周造成了防控初期死亡率持续增高的现象。从哄抢口罩到大肆购买网上流传的抗疫情药物就得以看出公众的恐惧感在不断升级。而通过疫情的相关报道，也经常可以看出一些疑似病例隐瞒武汉居住史等情况，造成所到地区的大面积感染。民众希望可以了解这类人群的各种信息，例如出行信息、住址、姓名等。据此，不仅可以通过这类个人信息来判断自己是否有与疑似或确诊病例的密切接触史，还可以对该类群体加以预防，自我缩减可出行的范围。因此，公众往往偏向于利用多种途径来深度挖掘该类群体的个人信息。加之政府、医疗机构等部门也会及时公布疑似病例和确诊病例的相关信息，例如车次、航班号等，获取该类群体的个人信息将变得更加容易。由此产生了社会利益与个人利益的协调失衡。

3.4 网络和媒体对个人信息的不正当传播

由于自媒体信息技术的高速发展，我国的《民法典》侵权责任编亦与时俱进地规定了网络侵权责任。互联网、媒体等作为个人信息广泛传播的主要阵地，网络服务提供者应当履行法定的积极作为义务，去审查网络上的相关信息，对包含侵权内容的信息应当采取相应的删除、屏蔽等措施。然而，在疫情期间，网络阵地不断曝光特定人群的个人信息，甚至有些仅仅是由于邻居的怀疑而被曝光于网络，受害者的个人信息权遭受极大的侵害。即便是政府、防疫机构等所公布的信息，有的人仍然会对其进行加工，自行将确诊或疑似患者更为详尽的个人信息曝光于网络之中。面对此种情形，网络服务提供者却采取消极态度，甚至某些媒体在批判隐瞒病史者和拒不隔离者时，不作隐名化的处理，丝毫不考虑相关报道将会对被报道者造成不利影响。由此可见，在疫情期间，网络服务提供者和媒体在个人信息侵权中也在一定程度上成为了“帮凶”。

3.5 商业机构对于个人信息的滥用

《民法典》第86条和《公司法》第5条规定了公司的社会责任，不少商业机构也积极地投身于抗击疫情之中。各大商业机构除了积极捐款外，也致力于为疫情防控献言献策。例如，一些科技公司为防疫需要开发的疫情地图、健康码等小程序。在对民众提供帮助的同时也能够积极履行公司的社会责任，展现其良好形象。然而，在这些应用的开发中不可避免地要利用公民的个人信息，在使用这些小程序之时，通常也要求使用者提供位置信息，甚至是私密信息。由于大数据和AI技术的运用，通过数据分析锁定信息主体，很容易造成个人信息的泄露和不正当获取。此外，由于商业机构本身的营利性特征，一方面很难保证其对个人信息的利用是完全基于对公共利益的需要，另一方面也存在保管不善、非法买卖公民个人信息等隐患。

4 疫情背景下个人信息权的保护建议

在坚持“全国一盘棋”的疫情防控思想下，经过不懈努力，我国目前对新冠肺炎的防控工作已取得一定成效。在此背景下，侵犯个人信息权的情形并未收敛。对此，必须以疫情期间的特殊情形为基点，结合上述原因，对公民的个人信息权进行相应的保护和救济，以此协调公共利益与私人利益的关系，使对信息主体权利的维护和数字化疫情都能够相互兼顾，并行不悖。

4.1 法律规范应明确个人信息权的保护界限

由于疫情期间针对个人信息的收集利用存在多种法律规范可供适用。因此，应当理清相应法律规范的适用范围，明确不同种类的个人信息应由哪些法律规范进行规制。

首先，《民法典》保护的个人信息是属于非强制性公开的个人信息和私密信息。因此，为了大数据防疫体系的构建，相应的医疗信息以及基础性的个人信息，例如姓名、性别等，一旦被政府、医疗机构公开，就不得再援引该条规范进行救济。而对于一些私密性信息，例如手机号、工作单位、家庭住址等，仍要经过权利主体同意才能公开。因为一旦被详细公开，势必对被公开者的工作、生活造成损害，且这些信息对于疫情的防控也并非必需。这也与《民法典》第1032条和第1034条的规定相吻合。

其次，在我国的《传染病防治法》和《突发事件应对法》中，对于个人信息收集利用的相关规定，在适用性上优先于《民法典》的规定。在这两部法中规定了一些主体也有权对公民个人信息进行收集利用。但是由于两部法律的目的是为了维护公共利益，因此对于个人信息的收集利用仅限于公共利益的现实需要。这种理念在中央网信办发布的《通知》中也有所体现，其规定了最小范围原则。即要求所收集该信息内容应当配合防控工作的需要，收集利用也应当局限在迫不得已的情况。值得注意的是，《突发公共卫生事件应急条例》也对个人信息收集作出了规定，对于规范有冲突的应当以上位法为准。

最后，在难以判断个人信息是否属于《传染病防治法》和《突发事件应对法》中所规定的个人信息时，应当要偏重于私人利益的保护。但也要考虑公共利益的需要，必要时个人利益可以适当让位于公共利益。

4.2 规范地方政府对于个人信息的收集利用

《突发事件应对法》赋予了政府多项应急的权力，使得地方政府和其授权的机构能够合法开展信息收集的工作。[6]但由于政府在疫情防控中经验不足等原因，导致其在信息收集利用过程中侵害了被收集者的个人信息权，且由于公权力本身具有一定的侵略性，作为民事主体难以获得充分的救济。与其关注于事后救济，不如先行对地方政府收集利用个人信息的行为进行规范，做好事前预防。因此，地方政府在疫情期间收集利用个人信息时，应当要做到以下几点要求：

第一，在收集对象上，应当局限于特定主体。如果地方政府能够随意收集个人信息，必然会产生个人信息大规模侵权的隐患，也不符合合理行政的要求。因此，政府采集和强制披露个人信息的对象应当局限于确诊或疑似患者等重点人群。

第二，收集的内容应当局限于与防疫相关的信息。例如，确诊或疑似患者在诊疗过程中所产生的医疗信息以及与之相关的基本个人信息。而对于私密性较强且与防疫无关的信息不应当收集，并且被收集者也有权予以拒绝。

第三，对于强制公开的个人信息，应当对涉及隐私部分做模糊化处理。倘若对所收集的病患信息完全公开，可能使患者治愈后在生活中受到歧视，甚至会被他人恶意报复。所以在对个人信息进行公开时，应当对敏感内容做脱敏处理。例如，可以采取化名，可以不精确到门牌号等，以此使个人信息的利用和防疫需要保持适当平衡。

第四，在信息的收集上，应当要保证公开透明，坚持程序规范。在疫情防控中，有些地方政府在收集利用他人的个人信息中造成了不正当泄露，给当事人带来了诸多不便。因此，确保信息收集流程规的范化是政府收集和利用个人信息的基本要求。同时，地方政府可以以党中央的相关文件和疫情防控思想为基准，制定适应当地防控需要的规范性文件。

第五，在对个人信息收集之前要明确政府收集行为的合法性、正当性以及收集范围的适当性。《传染病防治法》第12条和《突发事件应对法》38条赋予了地方政府在疫情之下收集相关信息的权力，为其收集个人信息提供了法律上的依据。但该权力并不是无限制的，其限度应当仅限于疫情防控的需要。《传染病防治法》第31条规定，对于任何传染病病例或疑似病例都需及时报告。而对于如此大规模的传染病，仅通过报告制度已经不足以满足疫情防控的需要，地方政府应主动收集相关信息，以明确疫情状况，防止疫情恶化。在中央网信办发布的《通知》中，对疫情期间地方政府等部门收集个人信息的行为进行了合理限制，其中明确表明政府所收集信息仅能用于疫情防控，且收集限度仅为疫情所需，并且在该文件中还特别强调在收集中要做好个人信息防护措施。而2020年3月6日公布的新版《GB/T 35273-2020信息安全技术个人信息安全规范》，也在技术和标准上对疫情期间个人信息收集行为的规制，其旨在遏制个人信息非法收集、滥用的乱象，以维护公民个人合法权益。在对个人信息的收集上，该文件对个人信息的处理和第三方接入管理个人信息等问题作了新的规范标准，以便更大程度的加强对收集行为的规范。同时，对于政府超越权限和限度收集个人信息的行为，《传染病防治法》第12条也赋予了公民提起行政复议和诉讼的救济路径，以防止政府违法收集、随意收集的现象发生。

4.3 缓解民众恐慌情绪

在疫情肆虐期间，民众的恐惧心理作祟也是个人信息侵权的一大原因。因此，缓解民众的恐惧情绪对于减少个人信息侵权现象的发生也有着重要作用。针对上述原因，主要可以通过以下几点措施来缓解和消除民众的恐慌情绪：

首先，要加强医疗物资的供给。民众保护自己的方式除了远离疫情高危地区外，就是充分利用医疗资源“武装”自己。我国目前的医疗物资产能，尤其是医用口罩产能已经逐渐得以恢复，一方面应当加大对社会的供应，另一方面要加强对医用口罩市场的整治力度，使社会公众都可以在周边的药店和医疗机构购买相应的医疗物资，以保障自己的生命健康与财产安全。[6]25-30与此同时，恐惧心理的缓解会降低民众侵犯他人个人信息权的动机。

其次，网信部门要加强对网络平台的监管。由于AI和大数据等技术的广泛应用，不仅被侵权人难以及时发现自己的个人信息被滥用，相关部门也难以从源头控制和规范针对个人信息侵权行为。因此，网信部门必须要加强对于网络空间的监管，对于个人信息在网络空间的不正当公开和传播要及时的介入，并主动删除或者联系网络服务提供者删除。这样，在被侵权人不知情的情况下可以及时防止侵权行为的发生。

最后，有关部门应当及时公布地区疫情。在疫情爆发的前期，有关部门公布疫情的信息相较于网络，往往会有迟延。这种情况下，民众只能通过网络自行收集或深度挖掘疫情信息。虽然目前我国的疫情信息公布体系逐渐完善，但不少偏远地区或者乡镇对当地疫情的通报仍然存在一定的迟延。因此，督查有关部门及时公布和更新疫情信息也是缓解民众恐惧情绪的重要措施。

4.4 加强对网络和媒体的监督

在此次疫情防控中，媒体和网络对防疫信息的实时传播，有助于我们能够在第一时间了解疫情防控的相关情况。但不可否认，媒体和网络平台也逐渐成为对公民个人信息权侵犯的阵地。例如，在疫情爆发初期，有人在微博曝光了确诊患者的身份证、工作住址等个人信息，造成了大批网民对患者进行人肉搜索，侵犯了患者的合法权益。因此，我们在对直接侵权行为人追责的同时，对于网络服务提供者也要加强监督，督促其积极履行相应义务，尽可能降低个人信息违法公布所造成的不良影响。而对于拒不履行相应职责的网络服务提供者，可依据《民法典》追究其民事责任。同时，媒体报道也不得随意公开他人的个人信息。若其擅自报道未经有权机构公开的信息内容，且侵犯了被报道者的民事权利时，受害人有权要求其承担相应的责任。在司法实践中，法院认定媒体未经同意擅自曝光个人信息的行为，构成对他人权益的侵犯。除此之外，还需要引入公民、政府等机构的监督。有了相应的监督机制，才可能尽量减少网络平台和媒体的侵权，防止损害的进一步扩大。同时，对于严重侵犯个人信息权的行为，可依据《中华人民共和国刑法》第253条侵犯公民个人信息罪依法追究刑事责任。

4.5 规范商业机构对于个人信息的利用

尽管部分商业机构通过利用有关个人信息为抗击疫情贡献力量，但也存在着侵害公民个人信息的法律风险。针对可能出现的种种问题，对于商业机构利用个人信息的行为也应当有所限制。

首先，商业机构对个人信息的利用应当要有相应的授权。由于商业机构自身的技术或者能力，在个人信息的收集利用上，相较于一般的个人和组织机构更加强大。一旦对个人信息不正当使用，所造成的损害也会更大。故商业机构在利用防疫信息时，应当要有政府、防疫机构的授权。否则，应当认定其对所公布个人信息的利用行为是不正当的，信息所有者有权请求其停止利用并对于所受损失进行赔偿，以此减少商业机构二次利用所造成的不利影响。

其次，商业机构利用与疫情相关的个人信息时，应当制定相关的利用方案，并经过政府等机构的备案登记，以此确保信息利用的安全性。对疫情防控中所利用的个人信息以及通过AI技术被挖掘的个人信息，应当要严格保密，提升个人信息数据的保护级别，并且严禁商业利用。此外，对于利用AI等技术挖掘的个人信息也应当严格遵守民法有关个人信息保护的相关规定，及时告知信息所以者，利用相关信息也应当事先征得个人信息所有者同意。

最后，可以通过构建临时性的监督机制，来规制商业机构获取和利用与疫情相关的个人信息的行为。由于疫情影响范围广，且疫情信息时刻都在发生变化，而商业机构天生又具备营利目的，仅靠上述措施并不能完全消除个人信息商业化利用的隐患。对此，可以在商业机构中设置临时性的监督机构，由当地政府等机构派驻人员。一方面，可以及时反馈相应的利用情况，保障商业机构在利用个人信息时做到合理合法。另一方面，在疫情结束后可以督促商业机构对所采集的个人信息进行相应地销毁，做到全程监督，有始有终。

5 结 语

在新型肺炎防控期间，通过收集个人信息来构建大数据防疫体系既体现出时代的进步，也体现出我国对疫情防控的能力。但由于经验不足等诸多原因，难免会疏忽对公民个人信息权的保护。若在疫情防控中没有对公民的个人信息和隐私秉持尊重的态度，则会使得本身就处于“自我隔离”状态的社会民众产生被监控的不安感和不信任感。因此，在疫情期间要找准公共利益和私人利益之间的平衡点。在维护公共利益的同时，也应当要对公民的个人信息权加以重视，并进行合理利用，以此才能凝聚人心共同抗疫，为世界各国做好榜样，展现中国力量。