引言

个人信息，是指单独或与其他信息结合可识别特定自然人的信息。其法律特征有三：一是个人信息的主体只能是自然人；二是个人信息必须是能被记录下来的信息；三是个人信息必须具备可识别性的特征。在大数据时代以及疫情防控的背景之下，个人信息的保护正遭受双重挑战。

在最初“新冠肺炎疫情”来势汹汹、抗疫形势严峻的环境下，及时且完整的疫情信息公开不仅有助于公众对疫情的认识和了解，还有助于疫情防控措施的落实推进，但同时也造成了个人信息泄露，甚至导致“网暴”和“社会性死亡”等不可挽回的危害发生。

例如，重庆市赵女士买了进口白虾之后，白虾的核酸检测呈阳性，很快网络上就流传出一份《重庆已购进口白虾顾客名单》，上面详细记录了赵女士的姓名、电话、身份证号码，甚至精确到具体住址信息。赵女士将散布名单的营销策划公司告上法庭，要求赔偿一块钱，最终获得了胜诉判决。这是疫情中第一例与“新冠肺炎疫情”有关的侵犯公民隐私权纠纷案件。

再比如，辽宁省沈阳市确诊病例尹某某个人信息被泄露后，家属发文称遭受了“网暴”，每天都能接到上百个陌生的电话和短信，情绪几近崩溃。

在疫情初期，为了增强群众的防疫意识，网上公布的流调活动轨迹十分详细，包括确诊人员的性别、年龄、工作、居住地以及在什么时刻、和什么人、去过什么地点等等。但网络空间是一把双刃剑，一些确诊病例的私生活被“吃瓜”网民无限放大，甚至被造谣出各种诸如“三角关系”“戴绿帽”等博人眼球的虚假故事，给当事人的生活、工作以及心理精神状态都造成难以磨灭的伤害。

因此，在坚持“动态清零”新冠肺炎疫情防控总方针的同时，要强化个人信息保护的科学性、合理性，减少不必要的个人信息泄露以及侵犯公民隐私权的现象发生。

        一、个人信息利用与保护存在的问题

近两年来，在疫情形势较为紧张的环境之下，不少公民个人信息被不当收集、不当公开和不当使用[1]。

（一）主体方面：对个人信息进行不当收集和披露[2]

1.无主体资格

尽管在疫情防控时，对相关人员的信息进行收集披露具有一定的正当性和法律依据，但实际操作中常常出现无权主体以疫情防控为由收集公民个人信息的问题。如小区物业、一些小型零售商铺要求出入人员进行详实登记等。收集信息的主体如此混杂，大大增加了信息泄露的风险。对此，中央网络安全和信息化委员会办公室（简称“网信办”）发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，强调“除国家授权机构外，其他任何单位机构和个人都无权以疫情防控需要为由收集披露个人信息。不属于法定或授权的信息采集主体，要求公民提供个人信息的行为属于无权采集。”

2.过度收集和披露

依据行政法的基本原则——最小损害原则，疫情防控期间的信息收集披露应当限定在疫情防控所必要的范围内。但此范围的界定十分困难，既要有效实现疫情防控目的，又不能侵害公民个人信息权益。正因为界定不清，导致过度的收集披露时常发生。例如具体的姓名、户籍地、民族、政治面貌、身份证号码、职业、学历、医院诊疗信息、高考成绩等详尽的个人信息被披露在互联网上，甚至被倒卖商用。此类做法远超出了疫情防控之必要限度，不仅对防疫工作无所助益，泄露了个人隐私，甚至还产生地域歧视等不良影响，扰乱社会秩序，十分不利于疫情防控工作的开展和社会和谐的维系。

（二）客体方面：被侵权个人举证困难

1.侵权主体多元复杂

大数据信息收集披露系统使得疫情防控工作“如虎添翼”，但其在高效率收集披露个人信息的同时，也使获取个人信息的途径多样化，导致个人信息权益被侵犯时无法确定具体的侵权主体。在疫情防控大数据体系应用过程中，对个人信息价值的分析及选取整合需要信息收集者、分析者、利用者以及数据交易服务平台等多个主体联合共同完成，而公民对此运作过程一无所知。在个人信息权益被侵害时，普通公民难以定位责任主体，往往不知道向谁主张权益，更遑论取证索赔。

2.证据收集提交困难

在个人信息侵权案件中，多采用“谁主张谁举证”，由原告即被侵权者承担举证责任。但现实中，原告很难达到举证标准，最终多因证据不足而败诉。因为运用大数据处理个人信息，往往存在多个掌握原告个人信息的主体。在诸多“潜在被告”参与的情况下，对侵权行为定量定性，准确举证被告的难度不言而喻。再者，原告作为单个自然人，相较而言往往处于弱势地位，既不具备获得举证材料的技术与条件，且原告、被告在经济实力、社会地位及人脉关系等方面差异悬殊，被告甚至可能强势到对原告证据的收集提交产生不利影响。

        二、个人信息被侵犯时的救济手段

在一般情况下，个人信息权益被侵犯，可采取投诉举报或司法救济两种救济途径，而在疫情防控期间还可以通过申诉或行政复议进行维权。

（一）行政复议

在重大公共卫生事件发生时，行政主体及经授权行使公共管理职能的主体参与进个人信息处理与管理过程中。此时，除了投诉举报和司法救济外，如果行政机关或者经授权的组织在个人信息处理过程中涉嫌侵犯公民个人信息权益的，民众可以依据《中华人民共和国行政复议法》等相关法律法规的规定，通过申诉或行政复议的方式来积极维护自身的合法权益[3]。

（二）投诉举报

民众可以在互联网上搜索“中央网信办违法和不良信息举报中心”，向国家网信办进行投诉举报。国家网信办系重大公共卫生事件暴发之后专门的个人信息保护机构，对疫情期间的个人信息具有监管职责，主动向网信办反映个人信息权益受侵害的事实情况，不仅能获取帮助和指导，一定程度上还能帮助政府部门从民众反馈中了解民意，进而促进个人信息保护制度的完善以及保护措施的落实。

（三）司法救济

民法层面，《中华人民共和国民法典》（简称“《民法典》”）系统地确立了个人信息保护制度。2021年11月1日正式施行的《中华人民共和国个人信息保护法》实现了与《民法典》的有机衔接，明确侵害个人信息适用过错推定责任的归责原则，损害赔偿规则也已成型。

行政法层面，执法机关依据《中华人民共和国治安管理处罚法》可对侵犯个人信息的行为进行教育、警告、罚款乃至拘留。

刑法层面，《中华人民共和国刑法修正案（七）》《中华人民共和国刑法修正案（九）》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》构建了以“侵犯公民个人信息罪”为主要罪名的犯罪“笼子”。另外，早在疫情初期（2020年2月6日），最高人民法院、最高人民检察院、公安部、司法部就出台《关于依法惩治妨害新型冠状病毒感染肺炎疫情防控违法犯罪的意见》，就拒不履行信息网络安全管理义务罪，编造、故意传播虚假信息罪等侵犯涉疫情个人信息法益的相关罪名的刑法适用提出办案指导意见，快速出拳，打击侵犯民众个人信息的犯罪行为，应对突发事件已经出现和可能出现的社会问题和风险。

        三、结语

观察现下的疫情通报所包含的内容，已逐渐形成既定的格式——仅包含性别、年龄、国籍、居住地这些必要的信息。病例的活动轨迹不再按个人划分进行详细描述，而是对数个病例集中概括，以行政区划分，列出各区感染者所涉及的重点场所。这就在公开时很大程度上保护了感染者的个人信息，避免因活动轨迹的公布而锁定到特定的自然人，造成个人隐私的泄露。如此，“收集利用的手段是必要的，即所采取的方式是实现疫情防控这一目的行之有效的、必要的，且对于公民个人信息权益的限制是最低的。既维护确诊病例所在区域民众的知情权，有助于民众的自觉防疫，充分实现疫情防控的目标，又避免了对于个人信息权益的不当限制。”[4]

由此可见，在重大公共卫生事件暴发之后，有效推进疫情防控工作的同时，兼顾重视对个人信息的权益保护是十分必要的。

注释

[1]参见赵晖.浅析新冠疫情防控中个人信息的法律保护[J].西部学刊,2022,(157):70.

[2]参见潘文雯，刘振宇.疫情防控背景下个人信息利用与保护平衡路径探究[J].甘肃广播电视大学学报,2022,(32):81-82.

[3]参见郭鹏飞，林慧翔.公共卫生事件中的个人信息保护——以新冠肺炎疫情防控为视角[J].西华大学学报,2022,(41):63-74.

[4]同注释1.