突发公共卫生事件下公民个人信息保护法律对策研究*

华中农业大学文法学院 和胤秀，崔惠京

2020年2月5日，在中央全面依法治国委员会上，习近平总书记强调，防控越艰难的时刻，越要坚持依法防控，推进各项防控工作更要依法进行，确保防控工作合法且高效地有序进行。立足于立法、执法、司法、守法等各个环节，提高依法防控、依法治理的能力，利用科学化、法治化手段，为防控工作提供强有力保障[1]。

特殊时期，武汉高校部分大学生的个人信息遭到非法泄露，既侵犯了公民的个人信息安全，也在一定程度上造成了恐慌，影响了社会秩序稳定。在突发公共卫生事件下，如何在保障防控工作有效进行的同时，注重对公民个人信息的保护，值得更加深入的思考和研究。

一、突发公共卫生事件下保护公民个人信息的必要性

信息技术的飞速发展，网络数据和个人信息虽是基于独立个体或单个单位活动产生的，但又是数字经济时代用以维持正常运转所共生共存、必不可少的资源，因而，它们既具有私人属性，也具有公共属性。所以，保护个人信息不仅要遵从数据信息的双重性，还要界定信息自主权的边界[2]，消除保护公民个人信息安全和维持社会秩序正常运转的矛盾对立面，在突发事件下，做到在积极应对突发事件的同时保护信息安全，填补侵权漏洞。

对于突发公共卫生事件之下公民个人信息泄露相关问题的法律对策研究，具有完善个人保护法律体系、健全个人信息保护机制的积极作用，能够促进从立法到执法，从公职人员到社区服务再到个人的全体系的逐步落实与完善。公民基本人权也通过个人信息保护制度的完善而得以实现。规范公民个人信息的收集、利用和处置，可以减少因个人信息泄露带来的人身财产安全等隐患，更深层次的与深入，有利于弥补法律漏洞，提高应急能力，形成完善的应急处理机制；更有利于公民形成个人信息保护的观念，增强全社会法律意识。

二、关于公民个人信息保护研究的现状

总体来说，我国个人信息保护起步较晚，大数据时代个人信息保护需求增长与个人信息保护机制建设速度不均衡。虽然《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）于2021年8月20日颁布，但在应对突发公共卫生事件时的适用仍然有一个过程。我国个人信息保护的力度仍处于上升期，有很大发展空间，也存在一些不足。在当今的信息化时代，如何完善个人信息保护制度备受学者关注，基于此笔者着重研究个人信息保护的发展空间和方向，并提出完善建议，以期促进个人信息保护事业的发展。

（一）个人信息保护的立法现状

在立法方面，《中华人民共和国宪法》作为国家根本大法，从根源上明确了国家尊重和保护人权，公民的人格尊严和通信秘密等基础权利依法受到法律的保护；《个人信息保护法》的颁布意味着个人信息乃至隐私权等权利，得到了从宪法到具体部门法的尊重和保护，得到了在具体部门法上的细化和延伸。该规定适应了社会生活的新变化和新发展，大数据时代出现的新问题有法可依，基于互联网信息泄露产生的侵权问题也将有据可循。

在立法意义上，将公民的个人信息得到明确尊重和保护纳入人民对美好生活的向往，法律不仅保护公民生命财产权利不受侵害，更代表法律对公民个人信息保护需求的回应和保障，《个人信息保护法》不仅依法保护当事人的隐私权同时也是社会诚实守信的道德期待。

（二）个人信息保护的方式

目前学界关于个人信息保护方式的学说有两类：一类为主体论，强调保护主体，即以政府、学校等主体为提供保护行为的核心。另一类为途径论，即以立法、司法等途径达成个人信息保护的目的。

主体论中，对于政府而言，在个人信息保护问题上，政府责任的内在逻辑是其主要的驱动因素。一方面，在信息化时代公民个人信息保护，减少弱化因信息问题产生的矛盾冲突，维持网络管理秩序与社会秩序安全稳定势在必行，政府理应回应公民诉求，满足公众期待，从管理角度出发接手个人信息保护问题的处理解决；另一方面，政府自身为适应新时代行政管理新要求，提升信息化时代管理能力和服务能力，必须保护公民个人信息，完善个人信息保护体系，做到个人信息保护在官方层面规范化、有序化。

途径论认为，信息化时代，公民个人信息保护机制需要摒弃传统的以“知情同意”为基础的模式，引进具体场景的风险管理方式，对个人信息的采集、使用与处理采用动态风险管理模式，强化对公民个人信息使用的管理；设置对内和对外的双重监督机制，并设立独立于政府之外、具有专业素质能力的信息保护监管机构；当个人信息受到非法采集或滥用时，采取差异化的救济赔偿模式，具体问题具体分析，将公民个人信息保护机制在条理中细化，避免个人信息保护落空。

（三）个人信息保护存在的法律问题

综上，个人信息保护的研究呈现上升趋势，为我国个人信息保护法律制度的健全和完善提供了一定的借鉴意义。

在立法层面，我国《个人信息保护法》出台不久，将原本零散的法律规定、司法解释进行体系化和系统化的编撰，更多关注单方面保护个人的隐私权，对于数据跨境等问题的规定也多为概括性的义务规定，但是对于未来可能出现的大宗跨境数据信息问题、以个人信息为切入点的国家利益矛盾问题等还缺乏一定的预防性规定[3]，对于新出现的问题与漏洞临时加以规制的做法也有违法律的权威性与稳定性，因此，对于本身处于新兴领域的个人信息保护问题，需要进一步提出具有一定前瞻性、预防性的规定和条款加以辅助，使个人信息保护问题从现在到未来均具有适用意义和价值。

在归责方面，首先，《个人信息保护法》作为特别法，对于个人信息保护的规定应当遵循一般法即民法典关于人格权保护和侵权责任构成的基本规则，但是对于作为专门对个人信息进行保护和使用个人信息进行规制的法律，应当进一步把握好保护公民合法权益和承担侵权责任的度，实践中应当注重《个人信息保护法》五项基本原则之间的有机统一。

其次，该法对于侵害个人信息民事责任规定比较分散，需要进一步整理与归纳，才能全面展现在针对个人信息的专门保护中，民事责任保护个人信息权益的规则和职能。

在监管方面，目前采取的“规则制定权相对集中，执法权相对分散”的架构，仍然缺乏对个人信息保护的专门性。对于突发性、临时性的问题无法及时且全面地应对，尤其是我国各城市发展水平不平衡产生的城乡差距导致协调调配速度因地域性产生差异，保护力度与实现程度也不一致，这些都是《个人信息保护法》实施过程中仍需要仔细斟酌并进行完善的方面。个人信息保护逐步渗透到教育、医疗、大数据等高危领域，意味着需要一个能概括现在与未来，兼顾各个领域，应对多种情形，自上而下条理性实施的体系支撑[4]。

三、武汉七所部属高校大学生个人信息泄露情况调查

在应对突发公共卫生事件下，部分地区的部分工作人员和相关人员基于种种原因，违反工作纪律，通过网络信息平台擅自传播患者和自武汉回乡的大学生的个人信息譬如身份证号、电话号码、家庭住址等，给受害者带来了很大困扰，造成了不良的社会影响，对网络秩序与社会稳定产生了一定的消极影响。为了解公民个人信息泄露的情况，以便能更加客观地提出保护公民个人信息的法律对策，笔者针对武汉七所部属高校展开了调研。

2020年6月至7月，项目组发放问卷共983份，其中有效问卷856份。从此次问卷调查结果来看，只有少部分个人信息被泄露的大学生，但多数学生对于我国个人信息保护的相关法律了解程度还是相对不足，对于个人信息保护的具体措施也不甚了解。可见相关法律在高校大学生群体中的普及和教育力度有待加强。

四、突发公共卫生事件下对公民个人信息保护的法律对策建议

（一）完善敏感个人信息处理规则，弥补个人信息处理中存在的漏洞

《中华人民共和国民法典》首次明确了个人信息的概念并设立专门章节进行保护，对收集个人信息的原则、个人信息的存储安全等问题进行了明确规定和细致划分，这些原则在实践中需要通过相关细则落到实处。《个人信息保护法》规定，实践中需厘清公民个人信息处理的一般规则、敏感个人信息处理的特殊规则和国家机关处理个人信息的特别规定三者间的区别。个人在个人信息处理中享有知情权、查阅复制权和更正补充权以及请求删除权等权利[5]，而相应的个人信息处理者必须依法履行监督、报送、审计、风险评估等义务。国家网信部门及国务院相关个人信息保护部门应当依法履行保护职责，违反规定的，依法给予处罚或追究刑事责任。法律的包容性和前瞻性要求对尚存争议的问题，在实践中不断进行修改和完善，特殊情况期间，需要进一步健全突发公共卫生事件下公民个人信息处理的具体规则。

（二）设置以收集处理公民个人信息为职能的专门机构

当下我国没有专门负责收集处理公民个人信息的部门机构，当面对突发事件时，导致对公民个人信息泄露问题处理不到位、不深入，造成处理效率低下的问题，对此，我国应进一步强化和落实司法领域对公民个人信息的保护，加大公检法各个系统之间的沟通协作力度，统一执法办案口径，打击侵犯公民个人信息的违法行为，实现打击、保护、警示为一体的司法治理链条。在政府机关方面，《个人信息保护法》中规定国家网信部门和县级以上地方人民政府有关部门统称为履行个人信息保护职责的部门。为了短时间内能够解决问题，需要作出具有比较明显的妥协性措施，在某种程度上实现理想与现实的一种折中，然而一个相对完善健全的个人信息保护机构必须具备公正、权威、独立的基本制度，应当设立独立的行政机构来进行有效监管[6]。

（三）明确信息保护范围，公安、网信和金融等部门要加强网络监管力度

针对公共卫生事件的现状，公安、卫生、教育、邮政、网信等公民个人信息聚集部门要处理好个人信息收集、公布与保护问题，既要做到公布合理信息进行有效追踪，促进高效率防控，又要保证此类公民的个人信息得到保护，不得泄露。针对我国现今个人信息保护范围划分不明、信息监管力度不足等问题，相关部门要尽早明确个人信息公开范围，公安、网信、金融等部门要积极配合，多方投入，加速研发公民个人信息保护技术，加强网络监管力度，使公民个人信息电子化存储更安全，及时切断非法出售、违规使用和披露个人信息的渠道，减少泄露和非法侵害公民个人信息的风险[7]。

（四）完善公民个人信息泄露纠纷多元解决机制

随着互联网技术发展势头越来越强劲，在信息技术进一步提升、广泛使用的同时，新的安全漏洞也在不断出现，完全寄希望于法律规定和执法监督来实现对公民个人信息的全方位保护是不现实的。因此为保护公民个人信息，就需要在考虑到个人信息公共性和私人性的基础上，在政府部门、技术企业和社会三个主体之间，形成一种多元平衡、资源整合、互动共享、安全高效的公民个人信息泄露纠纷的解决机制。

首先，政府部门要寻求最大范围保护公民个人信息的方法。当前为依法实现网络监管，更好地净化网络环境，维持网络秩序，政府部门多采取实名制注册登记的监管方式，但是这种方式也逐渐暴露出个人信息泄露的风险。因此，为实现保护公民个人信息与实名制注册登记推广的平衡，政府部门要严格遵守《个人信息保护法》第九条相关规定，落实信息存储的安全机制并采取必要保障措施，如制定政府内部管理细则和操作流程、对采集到的个人信息分类监管等。其次，当今互联网安全的前沿技术，大多掌握在实力雄厚的各大企业之中。因此企业在诚信经营的同时要制定保护用户个人信息的决策，加强企业内部法制建设，提升员工的职业素养[8]。最后，社会主体可以为保护公民个人信息建立激励机制，呼吁掌握高超信息技术手段的网络志愿者主动参与到修补网络安全漏洞的活动中。

五、结语

突发公共卫生事件对我国本就存在的个人信息保护问题提出了更严峻的挑战。通过对武汉在校大学生在此期间的个人信息泄露状况以及其个人信息保护素养、日常生活个人信息保护情况等的调查研究来看，个人信息保护制度的建设道阻且长，新法实践中可能存在的漏洞和缺陷在此次突发公共卫生事件下暴露出来。个人信息保护从出台专门法律开始，走上规范化、体系化道路，建立系统化立法体系，建立起采集信息过程与信息保护结果平衡兼顾的规则机制，使公民个人信息保护取得实效，这样才能更好地实现“共建共治共享”的社会治理格局。