AG真人国际-(china)官方网站

2020年2月21日，宁波公布新增一例新冠肺炎病例。而在此之前，关于该患者及其亲属的详细信息却已在当地微信群中传播，共涉及16人，泄露的信息包括姓名、身份证号、家庭住址等。据相关报道，这起事件并不是抗疫期间第一起公民个人信息被泄露并被大范围传播的事件，由此也引发对个人信息保护的讨论。本文将结合相关案例对新冠疫情防控期间个人信息保护的问题进行探讨。

一、个人信息保护概述

（一）个人信息的概念

目前对个人信息的表述在立法上存在不同，个人信息的范围是通过列举的方式表述，在相关立法中存在差异。

《民法总则》第111条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。这是民事立法中第一次使用 “个人信息”的概念。

在部门法中，《网络安全法》第 76 条第 5 项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。《民法典各分编（草案）》（第三次审议稿）第 813 条第 2 款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等”。

对以上立法进行考察可以明确，个人信息是指能够单独或者与其他信息结合识别自然人个人身份的各种信息，既包括法律明确列举的自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、电子邮箱地址、行踪信息，也包括法律没有列举但具有此种识别功能的其他信息。

（二）个人信息的特征

“个人信息”这一法律概念的核心内涵在于“能够单独或者与其他信息结合识别特定自然人的各种信息”。理论和实务界一般认为可识别性是公民个人信息的根本特性，即通过相关信息能够识别到公民个人，包含有直接可识别和间接可识别。

可识别性是判断是否属于个人信息的关键，即个人信息与个人信息主体存在某一客观确定的可能性。具体而言，与个人相关的，能够直接或间接识别到特定自然人的信息即个人信息。判断个人信息可通过以下两条路径：（1）识别，可由信息本身的特殊性识别出特定自然人的为个人信息；（2）关联，已知特定自然人，由该自然人在其活动中产生的信息为个人信息。只有特定信息能够与特定的个人存在可识别的客观联系，才能构成个人信息。如该信息不能关联或定位到个人，则可以定义为非个人信息，不需要获得用户授权同意或明示同意。

对于个人信息的判断，应当是动态而不是静止的，个人信息的判断应当依据特定的业务情境，而不是预先对数据的性质作出判断。对于同一数据的法律界定，在不同的业务场景下可能会有不同的结果。

（三）个人信息的分类

根据国家发布的《个人信息安全规范》和《个人信息保护指南》，可将个人信息分为一般个人信息和敏感个人信息。判断的标准是后者的泄露会给用户财产与精神利益带来更为严重的后果。

在个人信息收集过程中，如果收集的是个人一般信息可以采取默示同意的方式，而针对个人敏感信息，则必须明确告知收集信息的目的用途并征得个人信息主体的明确同意。在个人信息的保存使用过程中，对于个人一般信息和敏感信息的要求也有所不同，为保障个人信息主体合法权益免受侵害，需要对个人敏感信息负有较高注意义务。

个人信息是否敏感的判断也依赖于一定的场景，如在特定环境中，公开或泄露姓名等个人一般信息而极易导致个人名誉、身心健康受到损害或歧视性待遇等后果，则这些信息就应当升格为个人敏感信息来保护。

防控新冠疫情期间，为防止疫情扩散和传染，需要收集掌握相关人员的姓名、家庭成员、住址、行动轨迹，以及是否属于新冠病患者、疑似，或者是否存在密切接触的可能。为了公共安全的需要，上述信息需要在相关部门人员之间实现共享，甚至需要向公众进行披露。一般情况下家庭成员、住址、病情状况等可以作为个人隐私加以保护，但在抗击新冠疫情过程中，为了防范疫情扩散，保护他人身体健康并保障社会公共利益，需要对该部分信息进行适当披露与公示，此时个人隐私将向公共利益进行让渡。

（四）个人信息控制者

个人信息控制者，通常指的是指对个人信息具有法律上或事实上控制力的自然人、法人或者非法人组织。相关法律法规规定了信息控制者有保护个人信息的义务，否则将可能承担法律责任。

防疫期间可能收集或掌握个人信息并成为个人信息控制者的主体有以下几类：（1）交通运输部门如铁路航空客运游轮等；（2）公安部门；（3）基层组织工作人员包括社区工作人员等；（4）医疗机构；（5）电信运营商；（6）工作或居住楼宇的物业单位等。

中央网信办印发的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》（下称“通知”）要求，除国务院卫生健康部门依据《中华人民共和国网络安全法》、《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息。

二、个人信息保护司法裁判规则摘要

案例1：时某诉王某、李某等隐私权纠纷案[1]

【法院观点】被告将执勤人员实名制统计表信息在微信群中转发、在微信朋友圈公开。表中涉及包括原告在内的多名村民的姓名、性别、身份证号、银行账户、工资金额等信息。法院认定涉案行为构成侵权。

【裁判规则】公民个人姓名、身份证号、银行卡号等信息从整体上属于个人隐私，他人在微信中转发公开等传播行为构成侵犯隐私权。

案例2：高某诉北京某科技公司网络侵权责任纠纷案[2]

【法院观点】原告高某在涉案被查时系未成年人。快手用户在被告运营的APP中发布信息时披露了原告的姓名，并配有照片，虽然该用户对原告的眼部打了马赛克，但未对其他面部特征及面部以外的重要可识别身体部位进行打马赛等方式的技术处理。法院判令被告对用户侵犯隐私权的行为承担连带责任。

【裁判规则】任何组织或者个人不得披露未成年人的个人隐私。在未成年人犯罪案件中，新闻报道、影视节目、公开出版物、网络等不得披露该未成年人的姓名、住所、照片、图像以及可能推断出该未成年人的资料。

案例3：庞某诉北京某信息技术公司等隐私权纠纷案[3]

【法院观点】被告网站作为消费者出行信息的控制者，应有相应的能力保护好消费者的个人信息免受泄露，也是其应尽的法律义务。被告尤其在知晓可能涉嫌泄露乘客隐私后，未迅速采取专门的、有针对性的有效措施，以加强其信息安全保护。法院判决其应承担侵权责任。

【裁判规则】被告作为信息控制者负有保护个人信息安全的义务，应当采取一定措施保障个人信息不被泄露，被告未举证证明其采取了专门的、有针对性的有效措施以加强个人信息安全保护，法院认定被告存在泄露原告个人隐私信息的高度可能，因此判令被告承担侵权责任。
案例4：赵某诉某房产中介公司一般人格权纠纷案[4]

【法院观点】作为企业员工的管理者，被告未建立信息安全的管理制度和操作规程，没有对客户信息安全进行风险提示，没有对客户敏感信息采取加密处理等措施以保障客户的信息安全，从而无法确保经纪人谨慎依约合法使用公民个人信息。本案侵权事实的发生与被告内部对客户个人信息的保护存在监管漏洞直接相关，因被告的管理存在过错，故应对原告个人信息泄露承担侵权责任。

【裁判规则】企业员工将工作过程中所掌握的客户信息提供给他人用于非法目的，企业因在个人信息管理方面存在漏洞被判令应当承担侵权责任。

案例5：淘宝诉美景不正当竞争纠纷案[5]

【法院观点】原告淘宝公司经用户同意，在记录、采集用户于淘宝电商平台上进行浏览、交易等活动所留下的痕迹而形成的海量原始数据基础上，采取脱敏处理后制作“生意参谋”产品。被告通过技术手段获取“生意参谋”数据产品中的数据内容。法院认定原告采集并脱敏化使用用户信息具有正当性，被告行为构成不正当竞争。

【裁判规则】个人信息经去标识化处理后，无法复原或识别到个人信息主体的，则此类信息的使用无需再另行通知用户并征得用户同意。

三、疫情防控期间个人信息保护的建议

（一）个人信息控制者应采取合理措施保障个人信息安全

在数据化时代，原来单个、孤立的信息被大量收集整理后，一旦发生泄露，个人隐私将面临巨大威胁。此时，信息控制者应妥善保管个人信息，采取措施防范泄露发生。同时应当建立个人信息保护制度与规范，通过技术手段防范个人信息泄露事件的发生。当发现可能或已有个人信息泄露的情况，应迅速采取有效措施防止损失扩大，及时加强个人信息安全保护。

本次新冠疫情防控中，“通知”规定，收集或掌握个人信息的机构要对个人信息的安全保护负责，应采取严格的管理和技术防护措施，防止被窃取、被泄露。任何组织和个人发现违规违法收集、使用、公开个人信息的行为，可以及时向网信、公安部门举报。

（二）对个人敏感信息应当进行特别保护

针对个人敏感信息应当采取较强的保护措施，如有的单位专门制定有自己《敏感信息处理规范》，从数据的生命周期角度出发，在数据收集、存储、显示、处理、使用、销毁等各个环节需建立安全防护措施。根据信息敏感程度的级别采取不同的控制措施，包括但不限于访问控制或进行一定强度的加密算法进行加密存储、敏感信息脱敏显示等。

个人信息控制者单位中可能接触敏感信息的员工，将有可能成为泄露个人信息的行为主体，而如果由于单位管理不善的原因导致个人信息泄露的，单位将要为员工的行为负责。因此，个人信息控制主体还应当对可能接触到个人敏感信息的人员进行严格管理，对于数据访问、内外部传输使用、脱敏、解密等重要操作建立审批机制，并与相关人员签署保密协议等。同时还应当进行信息安全培训，要求相关人员在日常工作中形成良好操作习惯，提升个人信息保护意识。

如果发现个人敏感信息泄露事件的，应当及时进行处理，以防止个人信息的进一步扩散，尤其是要防范被不法分子利用，从而损害个人信息主体的正当合法权益。

（三）以适当方式如匿名化等手段保护个人信息

根据《网络安全法》第 42 条第1款的规定,匿名化处理应该达到经过处理无法识别特定个人且不能复原的标准。匿名化，是指通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程。对个人信息进行匿名化处理，一定程度上切断了个人与匿名数据之间的法律联系，在数据被充分匿名化之后，可以在一定程度上保护个人隐私不被侵犯。为保护个人信息权益，在使用处理各类个人信息时，就应当对个人信息进行匿名化处理。

在疫情突发期内，为了公共安全的目的，需要公开个别人员的行踪信息以加强疫情的防控本身无可厚非，但有些信息的公开和公示并非必要。比如要公开相关人员行踪信息的，其实并无必要一定要把该人的身份证号也一起公开。身份证号属于个人敏感信息，对于个人权益影响较大，对于疫情防控而言也并非必须要公开的信息。这种情况下，建议进行匿名化处理，比如只显示头四位，也就是标明户籍地的数字，而对于其他的数字可以采取遮挡遮盖的方式进行匿名化处理而不予公开。

采取匿名化或者部分公开相关信息的方式，既能够满足疫情防控工作的需要，同时也可以避免侵犯个人隐私。本次防控疫情中，“通知”明确要求，为疫情防控、疾病防治收集的个人信息，不得用于其他用途。任何单位和个人未经被收集者同意，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息，因联防联控工作需要，且经过脱敏处理的除外。

（四）注重公共利益与个人隐私保护的平衡

个人隐私的让渡应当基于保障社会公共利益的必要，在合理的限度内限制个人权利的行使，但不意味着个人信息可以被无限度无规则的使用。实际上，在现实生活中公共利益与个人隐私保护并非完全对立。不可否认，在本次新冠疫情抗击过程中，统计与疫情防控有关信息并在一定范围内进行数据共享具有正当性和必要性，但是对于统计数据的后续管理问题，也确实存在一些疏漏和不规范的做法。

《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案适用法律规定》第十二条规定，网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。但下列情形除外：（一）经自然人书面同意且在约定范围内公开；（二）为促进社会公共利益且在必要范围内……可见，即使是为了社会公共利益的需要，公开个人信息也必须在必要范围内，如果超出必要范围，也将可能构成侵权。如果忽视公共利益的必要性，随意泄露个人信息，甚至是恶意传播，给信息主体造成损害或其他不利后果，则信息控制者和传播者应当承担相应法律责任。

个人信息应当受到法律保护，即使是特殊时期，也应有一定的隐私边界，应尽可能采取合理措施，保障个人隐私和信息安全。

注释：

[1] 参见（2017）京0109民初4483号民事判决书。

[2] 参见（2018）琼02民终822号民事判决书。

[3] 参见（2017）京01民终509号民事判决书。

[4] 参见（2018）京0105民初9840号民事判决书。[5] 参见（2017）浙8601民初4034号民事判决书。