○熊 姿

　　摘 要

　　公民个人信息是公民个人权利的重要内容。在疫情背景下，个人信息在防控工作方面起到了重要作用。为保护公民权利，处理个人信息应遵守合法、正当、必要原则，具体应符合收集主体适格、符合防疫目的、处理适度、公开审慎等要求。实践中，处理个人信息存在队伍素质不足、信息管理疏漏、信息处理不当等问题，面临民事、行政、刑事方面的法律风险。因此，应强化个人信息保护措施，进一步提高政府依法行政能力水平，提高工作队伍法治意识和水平，强化对个人信息处理的合法审查和引导，做好信息保护安全预案，完善信息保护管理制度，疏通个人信息权利保护通道等。

　　关键词

　　公民个人信息；信息处理；信息保护

　　作者简介

　　重庆市人民检察院第五分院法律政策研究室干部
 

　　一、公民个人信息是个人权利的重要内容

　　在信息社会，各类信息是重要的财富资源，也是国家机关、各类社会组织等借以强化、优化社会管理的基础性条件，因此，获取信息，特别是公民个人信息具有较强的驱动力。然而，技术的进步是一把“双刃剑”，获取公民个人信息在创造财富、便利个人生活和社会管理的同时，一旦处理不当则会对公民权利造成侵害，甚至引起严重后果。我国法律和司法实践对公民个人信息的保护经历了从无到有、从弱到强的过程，近年来在民事、行政、刑事方面都加强了个人信息保护。

　　（一）公民个人信息在重大公共卫生事件处置中具有重要作用

　　《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”该定义揭示了个人信息最核心的特征是“具有识别性”，即通过特定的信息能够直接或者结合其他信息间接地与某一自然人形成对应。据此可知，个人信息的范围比较宽广。值得注意的是，个人信息中有一部分属于私密信息，属于隐私的范畴，例如病史、行踪等。隐私指的是关涉公民私人生活安宁以及不愿为他人知晓的私密空间、私密活动、私密信息。而隐私保护程度要高于个人信息保护，《民法典》第一千零三十三条规定，对于不得侵害隐私权的例外情形只能由“法律”作出规定，而该法第一千零三十五条规定，“法律、行政法规”即可对处理个人信息是否需要征得自然人或者其监护人的同意进行规定。

　　在防疫等重大公共卫生事件中，较多涉及对公民个人信息的收集、存储、使用、加工、传输、提供、公开等处理，实现的功能主要有：一是通过大数据分析个人信息，宏观监测全国人口迁徙的来源地、途径、目的地、规模等情况，为疫情防控提供基础信息；二是利用行动轨迹和位置信息提供防疫信息查询，提醒群众避免进入防疫重点地区；三是利用行程、位置信息等确定密切接触者，为针对性采取防疫措施提供准确信息；四是通过“健康码”等方式为群众个体提供未接触防疫重点人群的证明，尽量减小隔离范围，提高群众活动自由度。

　　（二）处理公民个人信息应遵循一定的原则和法律规范

　　公民的个人信息受法律保护，处理个人信息应当遵循合法、正当、必要原则。合法原则指的是信息处理要有合法依据，处理的方式符合法律规定。除了《民法典》以外，《网络安全法》《传染病防治法》《突发公共卫生事件应急条例》《政府信息公开条例》《关于促进和规范健康医疗大数据应用发展的指导意见》等法律法规、规范性文件对处理公民个人信息也有相关规定。正当性原则指的是，信息处理的目的和手段要正当。必要性原则指的是处理个人信息的目的应当特定，处理应当受到限制。在原则性约束范围内，具体操作上应注意以下几个方面：

　　1.收集信息的主体合法。收集个人信息原则上应征得信息主体的同意，但根据相关法律法规，有权主体也可以根据行使职权需要不征得同意而收集个人信息。在防疫情形下，县级以上人民政府及其相关部门、各级疾病防控机构、被指定的专业技术机构有权根据防疫需要收集有关信息，街道、乡镇以及居民委员会、村民委员会可以协助相关部门收集信息。主要依据是，《传染病防治法》第十八条第一款规定，各级疾病预防控制机构在传染病预防控制中履行收集、分析和报告传染病监测信息，预测传染病的发生、流行趋势等职责。该法第二十条第一条第二款规定，县级以上地方人民政府应当制定传染病预防、控制预案，控制预案内容应包含传染病的监测、信息收集、分析、报告、通报制度等。《突发公共卫生事件应急条例》第三十六条规定：“国务院卫生行政主管部门或者其他有关部门指定的专业技术机构，有权进入突发事件现场进行调查、采样、技术分析和检验，对地方突发事件的应急处理工作进行技术指导，有关单位和个人应当予以配合；任何单位和个人不得以任何理由予以拒绝。”该法第四十条规定：“传染病暴发、流行时，街道、乡镇以及居民委员会、村民委员会应当组织力量，团结协作，群防群治，协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告……”

　　2.收集信息符合防疫目的。处理公民个人信息应当服务于防疫需要，包括以防疫为目的收集、以防疫为目的而分析、加工、发布等，不得将个人信息用于与防疫无关的活动。

　　3.处理个人信息适度。法律法规要求在特定情形下个人信息权利让位于公共利益，但这个规定应当有谦抑性，不是断然粗暴地排斥公民个人权利，而应达到保护和排斥的平衡点。收集个人信息时应以满足防疫需要为限度，采集与防疫有关联的信息，比如病情、行动轨迹等，不得毫无边界地广泛收集，例如信息主体的详细家庭住址、工作单位、家庭成员等就与疫情防控关联度不大，不得随意收集，尽量减小侵害公民个人信息权益的范围和程度。

　　4.信息公开宜审慎。个人信息保护的核心是避免个人信息不恰当地被他人获取和利用，信息公开与个人信息保护，特别是与个人隐私保护制度存在冲突，因此要处理好信息公开和个人信息保护之间的关系。《政府信息公开条例》第十五条规定：“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息，行政机关不得公开。但是，第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的，予以公开。”对于公开个人信息甚至隐私应严格把握，充分权衡个人权利保护和社会公共利益维护，并以适当方式予以公开，确保权利侵害程度最小。

　　二、不当处理公民个人信息应承担相应的法律责任

　　在今年新冠肺炎疫情防控工作中，公民个人信息被大量运用，为成功抗击疫情作出了重要贡献。且在运用个人信息的技术手段、熟练程度、功能挖掘，以及合法合规方面都有明显的进步和提升，但仍然存在明显的问题和不足。

　　一是队伍素质上存在不足。在疫情防控工作中，全国各级组织展现出了强大的组织动员能力。在收集和运用个人信息方面，基层群众性组织是一线中坚力量，他们在上级主管部门的领导下严密收集居民的姓名、身份证号码、经常居住地、阶段行程、联系方式、体温、病史等信息，掌握了大量的信息材料。暴露出来的问题是，部分人员将收集到的信息材料进行不当传输、传播，或在工作群中共享，具有极大的泄露个人信息的隐患。实践中不乏类似现象，疫病患者信息被毫无遮掩地在网络上传播，导致患者本人及家人遭受严重骚扰歧视，承受沉重心理压力。从根源上讲，可归因于相关工作人员法治意识不强，缺乏对他人合法权益的起码尊重。

　　二是在信息管理上存在疏漏。疫情防控属于突发事件，在现实生活中发生的概率较小，相关单位没有建立起相应的管理制度，相关人员缺乏足够的知识，因此，在信息的收集、存储、传输、销毁等管理环节上无章可循，造成混乱，给各种窃密、失密，随意公布个人信息等违法行为提供了可趁之机。例如，将收集的个人信息存储在未设置保密措施的计算机上，纸质载体未妥善保存，未设置专门的管理人员，查阅信息无相应的审批程序等。

　　三是在信息处理上存在不当。首先体现在信息收集主体不适格。如前文所述，在防疫过程中，有权收集公民个人信息的仅限于部分单位和组织，其他个人和组织未经信息主体同意无权收集。实践中，部分物业公司、群众志愿者也直接参与到收集个人信息的活动中来，存在违规违法的风险。至于商业机构、工作单位、行业组织等自行收集公民个人信息更是缺乏法律依据。但这并非意味着这些组织和个人不能协助有权部门和社会组织开展信息收集工作，而是应明确他们的职能仅仅是“协助”，例如通知有权部门和组织开展收集工作，劝说信息主体主动申报信息，为有权部门和组织提供人力物力便利等，而直接收集信息的方式应属不妥。其次是不当公开个人信息。随着法治政府建设程度和公民个人权利意识提高，有权部门和组织不经任何加工即公开公民个人信息的情况越来越少，但尚未达到全部经过匿名化脱密处理的程度，公众仍然可以直接或者间接推断出信息主体的身份。再次是不当使用信息。主要是工作人员违法将掌握的公众信息出售牟利，例如在疫情缓解社会生活逐步回归常态后，不法人员通过电话推销所谓保健品的情形突然增多，且能准确掌握公民的个人健康信息，暴露了个人信息已被不法利用。

　　总的来讲，疫情期间侵犯公民个人信息的情形，从主观上可以分为故意和过失，从违法主体上可分为单位和个人。对此类违法犯罪的处理，相关法律法规进行了相应规范。

　　民事责任方面，侵害公民个人信息权利的，信息主体可以主张侵权人承担停止侵害、消除影响、恢复名誉、赔礼道歉、赔偿损失等侵权责任。个人信息中属于隐私信息的，因隐私权属于人格权，信息主体可以主张适用《民法典》第九百九十七条规定的人格权禁令制度，依法向人民法院申请采取责令行为人停止有关侵权行为的措施。

　　行政法律责任方面，《治安管理处罚法》第四十二条规定，偷窥、偷拍、窃听、散布他人隐私的，可处以拘留、罚款处罚。

　　刑事责任方面，《刑法》第二百五十三条对向他人出售或者提供公民个人信息的，在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，窃取或者以其他方法非法获取公民个人信息的，以及单位有上述情形的，均作为犯罪处理。

　　除此之外，对公民个人信息被侵害负有管理责任的人员，行政机关或者社会组织也有相关的法律法规、纪律规章等明确责任，实践中确实存在部分管理人员、经办人员被给予纪律处分的案例。

　　三、重大公共卫生事件中应强化个人信息保护的措施

　　疫情是一面镜子，它通过制造一系列非常规的“规则”来考验社会生活的各种个体。疫情也暴露出了我们在保护公民个人信息权利方面存在的诸多不足，侵害公民个人信息权利的原因和情形不一而足，我们应采取的规范措施也需要及时跟进和完善。

　　一是进一步提高政府依法行政的能力水平。公民个人信息是极度敏感的特殊信息，关系群众的切身利益。不断提高政府尊重和维护公民信息安全程度，对于制约工作人员违法执法，避免对社会、公民造成侵害，切实履行为人民服务职责，维护社会稳定，提高政府形象，取信于民，具有重要的现实意义。

　　二是提高工作队伍的法治意识和水平。强化人员队伍教育管理。第一，严格依法执法。公民个人信息保护是相对专业的领域，涉及较多部门法，防疫工作人员可能并不掌握依据哪些法律法规来执法，比如，一般个人信息和私密信息受保护的程度是不同的，依据《民法典》第一千零三十三条，对于侵害公民隐私权的例外规定，只能由“法律”作出；而依据第一千零三十五条第一项，“法律、行政法规”就可以对处理个人信息是否需要取得自然人或者其监护人的同意作出另外的规定。这种情况就需要工作人员具有较高的法律运用能力。第二，严格管理。侵害公民个人信息的行为往往发生在单个的工作人员身上，按照组织意图违法处理个人信息的情况并不多见。主要原因在于组织管理不善，工作人员纪律意识不强，应强化纪律教育，通过制度管理减少侵权行为发生。第三，注重平时普法和权利教育。公民个人信息权利被轻易侵害的社会背景是，相关单位和个人对于公民个人的该项权利未能充分尊重。应开展公民基本权利教育，增强自身权利意识，提升尊重他人权利的同理心。

　　三是强化对个人信息处理的合法审查和引导。何为个人信息、有何相关规定、侵权风险点何在等问题，专业性强、领域宽广、界定尺度存在模糊区域，仅凭某个单位或某个执法人员难以理清，因此需要发挥更高层面的审查和引导职能，结合行业、业务、岗位等出台专门、系统的规范性文件予以规范。

　　四是做好信息保护安全预案。信息安全，特别是公民个人信息安全的保护往往未列入安全预案的考虑范围，通过疫情可以意识到该领域是重要的工作范围。因此，公民个人信息保护应当在防控和处置重大公共卫生事件的应对预案中予以体现。

　　五是完善信息保护管理制度。建立信息管理责任制，明确信息处理的每个环节的管理责任。实行合理的“留痕”管理，在信息的收集、存储、传输、发布等方面，体现领导和经办流程，确保信息来源合法合理，处理适度有效。对于信息使用的起始、调整、结束，应当严格根据疫情防控需要由某一地区统一确定，不能各部门、组织自行其是。例如，不能在疫情稳定后，还保持对个人信息的大力度收集和发布；不能在抗疫胜利后继续以防疫为名收集信息。另外，疫情过后应做好信息数据的后续处理工作，对有社会管理、防疫研究价值等意义的信息可以交由有关部门、疾控预防部门、医疗单位等保存使用，其他信息则应及时销毁。

　　六是疏通个人信息权利保护通道。在疫情期间，有关单位和组织容易片面理解“防疫大于一切”的思想，侵害公民个人信息权利，对公民的异议也容易忽视。公民个人通过诉讼、信访等方式维权，又受制于周期长、费用高、消耗精力大等因素，维权成本较大。最高效的途径是建立侵害权利的自我纠错机制，可以充分发挥政府网站接受投诉、广泛吸纳群众意见的功能，通过专业分析研判，对是否造成侵权进行审查，进而及时指令有关部门进行纠正。司法层面，人民法院可以通过办理此类案件，树立合理合法处理个人信息的标准和导向；检察机关可通过制发检察建议、开展公益诉讼等方式，抑制类似情况的发生。