序言

2020年1月份以来，随着新型冠状病毒肺炎（“Novel Coronavirus Pneumonia”，以下简称“新冠肺炎”）的爆发和蔓延，《光明日报》报道称，多地武汉返乡人员配合调查后，个人信息被泄露，包括姓名、家庭住址、电话、身份证号、返回车次，甚至高考成绩等信息，表格在各个老乡群和小区群里传播，不少人反映被陌生人通过电话、微信骚扰。 某自媒体在未获得授权的情况下，将武汉女生小杭在豆瓣广播发布的疫情期间日记全文转载，导致个人信息严重泄露，引起全网关注。上述问题实质在于个人信息利用和个人信息保护之间的冲突与协调。

2月9日，网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》。“通知”有两点：一是明确做好个人信息安全保护，二是充分发挥大数据在疫情中的作用。一方面为疫情需要，可能要在个人信息上做出一定程度的“让步”；另一方面，有效利用大数据、尤其是在确定、追踪及排查已感染患者或疑似患者及其相关接触人群轨迹等方面所形成的准确、全面的信息，对于疫情防控会起到良好的支撑协助作用。同时，在疫情及其防控这一突发公共事件的背景下，个人主体利益与社会公共利益两者之间如何权衡的问题尤为凸显。这些个人信息的泄露，无助于疫情防控，反而会使受害者在遭受疫情侵扰的同时承受巨大心理压力，还可能涉嫌违反关于个人信息保护的规定。对此，笔者就新型冠状病毒疫情下个人信息的定义、个人信息库、立法现状原则及如何避免个人信息滥用、泄露、如何保护个人信息等问题进行探讨。

首先，通过百度搜索定义“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。并且根据《网络安全法》第75条（五）项规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。而作为实操性的指导标准，我国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》参考了这一概念，进一步补充将个人信息界定为：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

其次，《个人信息安全规范》还就个人敏感信息进行了规定。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息，具体包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息。值得注意的是，个人信息中的私密信息，还应作为自然人的隐私，受隐私权的保护。如反映个人身体状况、家庭状况、婚姻状况等个人不愿意公开披露的个人信息，属于个人隐私。关于个人信息的相关规定，主要是强调识别性，将姓名、出生日期、身份证件号码、住址、电话号码等具有识别性的信息纳入个人信息。

据统计，我国网民规模达8.54亿，其中使用手机上网的比例达99.1%，手机和APP已成为生活必备品，在疫情时期网民更是依赖于使用手机与外界沟通。其实，这就形成了一定的个人信息数据库，以计算机或手机终端为载体，通过机构、网站、网购支付平台等媒介对信息进行搜集、保存。常见的有银行客户信息、微信实名信息、各类招考网站考生信息、各类网购平台实名及绑定银行信息等等。这些机构、网站或网购支付平台在运营过程中搜集的信息通过机械式地集合、分项统计归类等方式就形成了各种数据库，如：储户信息、报考信息、各类交易支付信息等，这些信息无不包含着或多或少的个人信息，因此可以统称为个人信息数据库。以手机及App相关的个人信息为出发点，行踪轨迹最有助于精准锁定“潜在传染源”，其中相关性高的有效信息获得包括：

 ①交易/支付信息

根据《非银行支付机构网络支付业务管理办法》等要求，以及机构对账、生成账单的必要，所有的支付机构必然留存用户的支付信息，支付信息会同时保存在用户终端、支付终端（包括专用收款终端和收款的个人手机）。同时，完整的交易/支付信息中还包含准确的时间，以及支付风控机制、专用收款终端定点部署、摊主实名登记等原因，交易/支付信息可与位置信息产生关联。

②火车票/机票/汽车票等行程信息

根据《公共航空运输企业航空安全保卫规则》、《铁路旅客车票实名制管理办法》、《道路旅客运输及客运站管理规定》、《中华人民共和国反恐怖主义法》等要求，以及实名购买、实名查验环节的“票、人、证”一致性核对必要，需要记录有关旅客身份信息及出行信息，交通管理、公安等部门均会保留实名乘机、乘车等记录。同时，随着网络购票的普及，购票所需的实名信息、购票记录、退改签信息以及联系方式都会被相关APP、网站留存。

③住宿信息

根据《旅馆业治安管理条例》要求，旅馆接待住宿应当查验住宿人员身份证件，逐人如实登记住宿人员的姓名、性别、民族、住址、有效身份证件种类和号码以及入住、退房房号及时间等信息，登记的信息也应当通过旅馆业治安管理信息系统实时传输报送公安机关。同时，随着网络预订的普及，预订住宿的记录以及联系方式都会被相关APP、网站留存。

④行车/导航记录信息

不管是乘坐网约车还是开车自驾开启导航成为常态，而开启导航服务所必要的信息是精准地理位置。以网约车为例，其计费模式依赖导航路线，其结算模式依赖于行车记录（时间、起止地点等），其纠纷处理依赖于乘客信息（联系方式、姓名等），行车记录中包含足够的可用信息。以私家车为例，导航记录可能包括了注册手机号码、设备识别码（硬件或软件自定义）、导航路线、时间等。以收费站为例，因缴费所需，收集了车牌信息、所经路线及时间，车牌信息可与车辆登记人信息进行关联。

⑤收货地址信息

网购、外卖已经成为大众的日常习惯，提供准确的收货地址也成为上门配送的必要条件。通常，配送记录、配送地址、联系方式信息等通常会被相关APP、网站留存。

⑥疫情下行政部门要求采集信息

此次疫情下，为做好疫情的防控工作，响应政府要求，各单位、企业、社区组织逐步开展对相关人员的信息收集与排查工作，对所有来访人员进行健康监测和登记等工作。这期间几乎将所有人的信息均通过电子二维码登记，或者通过手机号码、身份证号码、家庭地址门牌号等进行一对一信息采集、登记，还有是各地用于预定政府采购的“口罩”、用于查询乘坐交通工具等行为留下无数的信息在外，这些信息均被留存。

○ 《计算机信息系统安全保护条例》于1994年基于国家信息安全保护的背景出台。《关于信息安全等级保护工作的实施意见》《信息安全等级保护管理办法》等规定在之后的2004年和2007年分别出台，但这些规定的制定目的都是为了保障国家、政府层面的信息安全，但对个人信息和个人信息的保护则鲜有涉及。

 ○ 《民法总则》第一百一十条、第一百一十一条规定，公民享有隐私权，个人信息受法律保护，任何组织和个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

○ 《网络安全法》第四十二条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

○ 《传染病防治法》第十二条也有相关规定，疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。

○ 《刑法》第253条原条文规定，出售、非法提供公民个人信息罪和非法获取公民个人信息罪的犯罪主体是特殊主体，即仅限于国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员。“修九”第17条将上述两罪名的犯罪主体扩大为一般主体及单位，即凡是达到法定刑事责任年龄的个人及任何单位均可以构成本罪追究刑事责任，加强犯罪打击力度。

○ 《治安管理处罚法》第四十二条规定了相关行政责任，偷窃、偷拍、窃听、散布他人隐私，处五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款。

○ 《传染病防治法》以及《突发公共卫生事件应急条例》相关条文的规定，出于传染病防治和突发公共卫生事件应对的需要，人民政府、卫生行政部门、疾病预防控制机构以及医疗机构可以未经个人信息主体授权而收集有关个人信息，同时人民政府还可以在“突发公共卫生事件应急预案”中将信息收集、发现的权力再次授权给相关部门、机构、组织，这其中就可能包括公安部门、基层一线工作人员等。但同时也规定了疾病预防控制机构、医疗机构等单位对于涉及个人隐私的有关信息、资料的保密义务。

○  《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第2条的规定，为防控疫情所收集的个人信息，采集信息的主体应当严格遵循“最小必要”原则，避免收集无关信息，即采集实现防控疫情目的所需要的必要最小个人信息。

○  全国人大常委会于2019年底发布的《民法典草案》（征求意见稿）人格权编第六章专门对隐私权和个人信息的保护专门予以规定。其将《民法总则》第111条规定的“自然人个人信息受法律保护”进一步丰富和细化：明确了个人信息的概念——能够单独或者与其他信息结合识别特定自然人的各种信息；明确了个人信息收集、处理的基本原则——合法、正当、必要；明确了信息收集、控制者的义务——确保个人信息安全，防止信息泄露、篡改、丢失；明确国家机关及其工作人员不得泄露个人信息。