大规模流行病中的个人信息保护

    摘要：“可识别性”是个人信息的核心内涵。只有可识别的信息才有保护的必要和意义。直接识别自然人信息的泄露，极大增加了信息主体的风险。新冠肺炎疫情仍然没有完全控制， “联防联控、群防群治”作为一种有效的防御举措，还在各地普遍实施之中，信息登记、活动监测合理也必须，但须防止个人信息泄露风险。

    大疫当前无隐私？

    新冠肺炎疫情暴发后，随着各地防控措施不断加强，一段时间内微博上#武汉返乡人员信息被泄露#成为热点话题，知乎上也有相关问答，看得人惊心动魄。

    公开报道和社交媒体的帖子显示，多地武汉返乡人员，包括放假的大学生和外出务工回家的人，在配合基层工作人员调查后，个人信息在微博、微信、QQ等平台上被转发，流入了家庭群、工作群、小区业主群、校友群、同乡群甚至微商群中。

    有媒体记者获得了青岛、潍坊、吕梁等地对途径武汉或从武汉返回人员的报送信息表。这些表格统计了包括但不限于姓名、身份证号、手机号码、户籍地址、现住址、就读学校、监护人信息、往返交通信息等在内的个人信息。从大学生在微博上上传的截屏来看，各地的表格名称不一，有《某某区可疑病例排查情况登记表》《某某区武汉返回人员排查登记表》《某某社区新型冠状感染肺炎疫情联防联控名单》等，相当多的都是Excel原文件向外扩散。有一条评论这样写道：“我是贩卖个人信息的，我现在好高兴，够用好几年了。”

    个人信息被暴露的一方，感受到的却是背弃、受伤害、愤怒与恐慌。在微博上，一名返乡大学生发文说：“我们不只是那些Excel表格里一个个冰冷的、仿佛洪水猛兽的名字……我们不需要太多，只希望得到一点尊重。”

    大学生们希望把#武汉返乡人员信息被泄露#的话题推上热搜，然而留在他们愤怒声音下边的某些评论，以及微信群里的对话片段，揭示了不同隐私观的差异之大，也暴露出一些人对隐私的边界认知模糊程度。如：

    *公开信息才是对社会负责，尤其是对邻居负责。

    *疫区跑出来的人没有隐私。

    表格泄露之后，许多人转发时还觉得自己十分正义：“朋友圈紧急扩散！……防控疫情，人人有责！”在他们眼里，隐私权在所谓“大局”面前，是完全无足轻重的。殊不知，有意泄露个人信息的人和大肆传播的人，既犯了法，也违背了道德。

    我国法律中的个人信息保护

    我国虽然还没有专门的个人信息保护法，但多项法律中，都有明确的个人信息保护条款。

    《民法总则》第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全……”在民事权利一章中明确写入“自然人的个人信息受法律保护”，结束了个人信息保护规定散落于公法或司法解释中零碎条文的现状，成为个人信息民事保护领域的基本规范依据。

    由这一条来看“武汉返乡人员信息被泄露”一事，虽然采集这些人的信息满足了合法性要求：一是依据法律行政法规的授权直接收集（如国家机关收集个人信息），二是经自然人同意而收集其个人信息。但是，请不要忘记，对于依法取得的他人之个人信息，持有者负有确保其安全的积极作为义务。

    怎样叫做确保安全？全国人大常委会《关于加强网络信息保护的决定》第四条规定：“……防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。”

    同时，《民法总则》第111条还明确规定了两个“不得”：不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或公开他人个人信息。第一个“不得”针对的是非法收集、使用、加工、传输他人个人信息的行为；第二个“不得”针对的是非法有偿转让和无偿提供（给特定相对人）以及向不特定的第三人公开他人个人信息的行为。《网络安全法》第四十一条第二款也明确规定，网络运营者不得违反法律、行政法规的规定和双方的约定收集、使用个人信息；第四十二条第一款规定，未经被收集者同意，不得向他人提供个人信息。

    随意传播、公开和使用个人隐私信息，是对国家有关法规的直接违反。《居民身份证法》第十九条规定：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由公安机关处十日以上十五日以下拘留，并处五千元罚款，有违法所得的，没收违法所得。

    “单位有前款行为，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由公安机关对其直接负责的主管人员和其他直接责任人员，处十日以上十五日以下拘留，并处十万元以上五十万元以下罚款，有违法所得的，没收违法所得。

    “有前两款行为，对他人造成损害的，依法承担民事责任。”

    《刑法修正案》（九）将第二百五十三条之一修改为：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”

    “违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。”

    “窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。”

    “单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

    《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（法释〔2014〕11号）第十二条对于互联网上侵害个人信息的情形作出了较为具体的规定：

    “网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。但下列情形除外……（五）以合法渠道获取的个人信息……

    网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息，或者公开该信息侵害权利人值得保护的重大利益，权利人请求网络用户或者网络服务提供者承担侵权责任的，人民法院应予支持。”

    《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定，非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：

    “……（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的……（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的……”

    《传染病防治法》第六十八条规定：“疾病预防控制机构违反本法规定，有下列情形之一的，由县级以上人民政府卫生行政部门责令限期改正，通报批评，给予警告；对负有责任的主管人员和其他直接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书；构成犯罪的，依法追究刑事责任……（五）故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的。”

    法律写得清清楚楚、明明白白。除了众多法律，各部委的规定也不含糊。1月30日，交通运输部网站发布紧急通知，特别强调疫情溯源不得泄露乘客信息。通知要求各地交通运输部门，督促客运、出租车、网约车等相关企业配合卫生健康部门，做好同一交通工具内与病例密切接触人员的信息报送工作，不得对来自部分地区的乘客采取区别政策；依法严格保护个人隐私和个人信息安全，除因疫情防控需要，向卫生健康等部门提供乘客信息外，不得向其他机构、组织或者个人泄露有关信息、不得擅自在互联网散播。

    但在个别地方，返乡人员的个人隐私所遭受的侵害，到了匪夷所思的程度。一位当事人叙述说，1月2日路过武汉，在高铁站经停半小时，回乡之后派出所连续打了两天电话，个人信息包括身份证号码被派出所报交给卫生所，暴露在微信群里面。另一位不仅被要求每天量体温，还要拍量体温时的本人照片，然后发到群里去：“之前的身份信息泄露已经影响到我的生活了，现在竟然又要泄露我的照片，这不是把我赤裸裸地展现在大众面前，然后增加我受攻击、受歧视的几率吗？”

    个人信息的可识别性及其风险

    “可识别性”是个人信息的核心内涵。只要足以构成对个人予以识别的信息都属于个人信息。可识别性是指通过个人资料中所反映的个人信息加上人们的判断就可以确定这些资料是有关某个人的，或者通过资料中的信息可以确认特定个人的身份。只有可识别的信息才有保护的必要和意义。

    2018年5月25日正式实施的《欧盟通用数据保护条例》第4条对于“个人数据”作出了定义，该条规定：“‘个人数据’是指与任何已识别的或可识别的自然人（‘信息主体’）有关的信息；一个可识别的自然人是指一个或直接或间接地可被识别的人，尤其是在参照例如姓名、身份证号码、定位信息、网络身份标识等身份标识或者一项或多项该自然人所特有的物理性、生理性、遗传性、心理性、经济性、文化性或社会性要素的情况下。”①

    我国《网络安全法》第七十六条第五款也规定，个人信息即“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。

    很多返乡人员被泄露的个人信息，包括姓名、身份证号、电话号码、住址等可以定位到个人的信息，可用以直接识别自然人，极大增加了信息主体的风险。我们都知道，随着网络的不断发展，个人信息的价值越来越高。巨大的利益驱动，使得不法分子铤而走险。这些泄露出来的私密信息随时都有可能被利用、误用，甚至被盗用和滥用，推销、诈骗、信用卡盗刷等有可能接踵而来，骚扰、威胁、跟踪等人身安全事件亦或发生；而且，隐私的暴露，在疫情流行的非常时期，不仅可能损害个人的人格尊严，带来身心的伤害，也会造成对当事人的歧视，违背社会公正。

    我们欣喜地看到，一些民众对个人信息的保护意识很强，并敢于展开维权行动。然而，令人遗憾的是，某些收集信息的公务机构特别是基层机构，守法意识薄弱，既未严格遵守与个人信息相关的合规要求，包括信息收集及使用规范、安全保障措施和监督及检查等方面，也没有在信息泄露发生之后，采取相应的补救措施，致使信息被泄露者处于一种“呼救无门”的困境中。

    除了用户知情权等伦理性权利之外，我国《网络安全法》特别明确了用户对自己数据的“自我决定权”。该法第四十三条规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息，网络运营者应当采取措施予以删除。当然，此次疫情中的个人信息收集者，不是网络运营者而大多是公务机关，打的也是公共利益的旗号。然而，我国的相关法律同样赋予了个人信息主体事中、事后的反对、限制、删除的权利。这样的规定体现了一种个人信息风险动态平衡的思路，鼓励个人主动参与到风险治理的过程中。在此，勇敢维权的武汉返乡人员和先是超出“最小够用”原则过度收集信息、继而违背约定泄露信息的公务机关，谁在捍卫法律的尊严，一目了然。

    迄今为止，疫情扩散仍然没有得到有效控制，“联防联控、群防群治”被作为一种有效的防御举措，还在各地普遍实施之中，但这种“严防”不能以损害个人信息权为代价。把相关人员的信息公开，除了徒增乱局，并无益于疫情的好转。越是非常时期，越要遵守法律。

    （作者系北京大学新闻与传播学院教授）

    责任编辑：冷  梅

    注释：

    ①欧盟委员会法律网站：

    https://eurlex.europa.eu/legalcontent/en/TXT/?uri=CELEX%3A32016R0679