疫情防控涉及个人信息的法律规定

我国尚未制定专门的个人信息保护法律，《个人信息保护法》在2019年3月被纳入十三届全国人大常委会的立法规划，有望在2020年颁行实施。根据2017年公布生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，「个人信息」是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。就此来看，「个人信息」所涉及的范围非常广泛。在疫情防控期间，姓名、证件号码、通信方式、住址及行踪轨迹是主要收集对象。

根据《传染病防治法》第十二条规定：在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。第三十三条规定：疾病预防控制机构应当主动收集、分析、调查、核实传染病疫情信息。接到甲类、乙类传染病疫情报告或者发现传染病暴发、流行时，应当立即报告当地卫生行政部门，由当地卫生行政部门立即报告当地人民政府，同时报告上级卫生行政部门和国务院卫生行政部门。第三十九条和第四十条规定的医疗机构和疾病预防控制机构可采取的措施也隐含了其可收集个人信息的权限。

以及，《突发公共卫生事件应急条例》第四十四条规定：在突发事件中需要接受隔离治疗、医学观察措施的病人、疑似病人和传染病病人密切接触者在卫生行政主管部门或者有关机构采取医学措施时应当予以配合；拒绝配合的，由公安机关依法协助强制执行。此外，多地已经启动重大突发公共卫生事件一级响应，相应的预案中也规定了信息收集的主体和要求。如《湖北省突发公共卫生事件应急预案》5.4应急措施：「……（8）开展群防群治。乡镇（街道）、村（居）委会应当协助卫生行政部门和其他部门、医疗卫生机构，落实疫情信息的收集和报告、人员疏散和医学观察以及其他公共卫生措施。……」

疫情防控中个人信息可能面临的风险

在此次疫情防控中，通常以社区、村组为单位进行防控，绝大多数地区采取了网格式排查方式，重点排查武汉、湖北返乡人员和外地车辆。在排查过程中，信息收集主体并不唯一，公安机关、医疗卫生机关（包括社区医院）、街道办、乡镇政府、社区、村委会甚至物业公司等等都可能参与其中。尽管多方主体积极参与疫情防控工作的态度值得肯定，但部分主体收集个人信息的权限尚有待明确。疾控机构、医疗卫生机构及公安机关等收集个人信息的权限自不必多言，而且《突发公共卫生事件应急条例》的规定中使用了「有关机构」的用语，这意味着乡镇政府、街道办等机关可以得到授权并从事信息收集事务。但是，对于社区居委会、村委会等群众自治组织来说，如果本地的《应急预案》中未作出规定，则其无权收集个人信息。至于物业公司等民事主体，其当然不具有收集个人信息的权限。

如前所述，部分主体不具有信息收集的权限。此处还存在另一风险，即疫情解除后，大量敏感个人信息数据可能得不到妥善的后续处理，进而引发泄露的风险。退一步讲，此次疫情防控过程中，即使是有权收集个人信息的主体也存在不当使用个人信息的现象。根据各地官方通报的情况来看，个人信息被泄露的情况并不罕见：

1月30日，湖南益阳市政府发布通报，当地四名公务人员在疫情防控过程中将涉及市民及亲属等11人隐私的调查报告转发给了无关人员并传播至微信群，引发了部分市民恐慌，当地纪委监委对涉案的四名公务人员分别予以党纪立案调查、诫勉谈话、通报批评处分；2月3日，江西资溪县纪委监委通报，当地一副镇长因泄露与新型冠状病毒感染的肺炎确诊病例密切接触的29人个人信息，对其在全县范围内通报批评；2月3日，玉溪市纪委监委通报，当地街道办以工作人员过失泄露个人信息，后被当地三名村（居）委会负责人员进一步扩散，一人受到通报问责处理，三人受到提醒谈话处理；2月4日，内蒙古鄂尔多斯市东胜区纪委监委通报，当地一名社区卫生服务中心工作人员泄露公民个人信息，被当地公安局行政拘留10日，并被处党内严重警告。

个人信息泄露至少会导致两方面的危害：一方面会对公民个人及其家庭造成一定影响，还会在一定程度上引发社会公众恐慌；另一方面，这些极为详尽个人信息有可能被不法分子利用，实施诈骗等违法犯罪。如当前常见的以提供防疫用品、出售防疫新药、协助提供住医院床位、火车、飞机等退改签、旅行团、酒店等退费等为由进行诈骗的活动，在获取特定人群的个人信息后，犯罪分子极易得手。

我国法律对个人信息的保护

近日，国家卫生健康委办公厅发布了《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》（国卫办规划函〔2020〕100号），其中提到要「加强网络信息安全工作，以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点，畅通信息收集发布渠道，保障数据规范使用，切实保护个人隐私安全，防范网络安全突发事件，为疫情防控工作提供可靠支撑」。无独有偶，交通运输部印发的《关于统筹做好疫情防控和交通运输保障工作的紧急通知》也提到，「要依法严格保护个人隐私和个人信息安全，除因疫情防控需要，向卫生健康等部门提供外乘客信息外，不得向其他机构、组织或者个人泄露有关信息、不得擅自在互联网散播」。但如前所述，我国尚未制定专门的《个人信息保护法》，对个人信息的保护散布于民法、行政法及刑法当中：

根据《民法总则》第五章「民事权利」第一百一十一条的规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。对于侵害个人信息权益的行为，权利主体可以向法院提起诉讼，要求侵权方排除妨碍、消除危险、停止侵害。在造成损失的情况下，可以要求其赔偿损失。

根据《传染病防治法》第十二条规定：疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。对应的责任见于第六十八条和第六十九条，疾病预防控制机构或医疗机构违反本法规定，存在故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的情形时，由县级以上人民政府卫生行政部门责令限期改正，通报批评，给予警告；对负有责任的主管人员和其他直接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书；构成犯罪的，依法追究刑事责任。值得注意的是，这一规定针对的是疾病预防控制机构、医疗机构及其工作人员，并且限定为「故意」泄露的情形。

根据《居民身份证法》第十九条规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由公安机关处十日以上十五日以下拘留，并处五千元罚款，有违法所得的，没收违法所得。单位有前款行为，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由公安机关对其直接负责的主管人员和其他直接责任人员，处