張 勇

（華東政法大學 刑事法學院，上海 200042）

一、問題的提出

自新型冠狀病毒肺炎疫情暴發(fā)以來，疫情信息時刻牽動著所有人的神經，大量有關疫情的數據、圖片、視頻、評論充斥于朋友圈和微信群，其中不乏網絡謠言，也出現了不少“人肉搜索”和曝光確診患者、疑似患者或密切接觸者本人甚至其家庭成員個人隱私信息的行為，一些人對身處疫情嚴重地區(qū)或涉疫情的“重點人員”進行區(qū)別對待、歧視甚至譴責。還有一些地方和部門在疫情防控中實行“地毯式”“網格化”收集個人信息卻疏于管理，有的地方則以防疫之名采取懸賞舉報等不當甚至極端方式，違法違規(guī)收集和使用個人信息。這不僅侵犯了個人隱私權益，而且對疫情防控工作造成嚴重阻礙和負面影響，公共安全和個人利益的矛盾沖突問題如被置于放大鏡下一樣集中體現出來。同時，諸多互聯(lián)網公司收集并掌握了大量用戶的個人信息，具備強大的分析技術和處理能力。應當說，利用大數據平臺建立公共衛(wèi)生風險信息管理和溝通系統(tǒng)，加大對傳染病傳播風險信息的識別和隱患排查，實現社會公共安全防控信息的共享，其作用和效果非常明顯。目前在疫情防控中大數據的應用包括“同程排查”“百度遷徙”“新冠肺炎小區(qū)速查”“疫況”等，在確定、追蹤及排查已感染患者或疑似患者及其相關接觸人群軌跡等方面形成準確、全面的信息，從而為疫情防控提供實際的支撐協(xié)助。然而，實踐中的主要問題在于，在運用大數據實行聯(lián)防聯(lián)控的過程中，如何處理個人信息利用和保護之間的沖突與協(xié)調的問題。

當下，大數據、移動互聯(lián)網信息網絡技術影響和改變著社會生活，公民個人信息權逐步成為一種重要權利，個人信息所蘊含的權益已超出個人名譽權、隱私權的范圍。除個人信息主體的初始人格權外，在個人信息的收集、流通、使用的過程中，權利主體多元化，包括收集者、使用者及管理者；個人信息權益內容復合化，從個體的人格權及其衍生的財產權逐步擴展至社會公共利益、管理秩序和國家安全。應當說，疫情當前，防范疫情擴散蔓延無疑是第一位的，當疫情防控需要收集和使用患者等公民個人信息時，個人隱私信息權利應受到限制，個人不可避免地要讓渡其信息權利和利益，必要時須承擔公共衛(wèi)生安全保障義務和法律責任。對于政府部門和企業(yè)機構來說，在收集、使用個人疫情信息的同時，也要依法保障公民個人合法正當的權益，不能顧此失彼。對此，中央網絡安全和信息化委員會辦公室于2020 年2 月4 日發(fā)布《關于做好個人信息保護 利用大數據支撐聯(lián)防聯(lián)控工作的通知》，要求在疫情防控工作中要高度重視個人信息保護工作，收集個人信息應參照個人信息安全規(guī)范的國家標準，堅持最小范圍原則，收集對象原則上限于確診者、疑似者、密切接觸者等重點人員，防止形成對特定地域人群的事實上的歧視；為疫情防控、疾病防治收集的個人信息，不得用于其他用途，未經被收集者同意不得公開其個人信息，但因聯(lián)防聯(lián)控工作需要，且經過脫敏處理的除外；等等。

從個人信息保護立法上看，自2012 年起，我國先后制定發(fā)布了《關于加強網絡信息保護的決定》《消費者權益保護法》《網絡安全法》等法律法規(guī)，初步建立了個人信息保護的法律規(guī)范體系。近期全國人大審議中的《民法典人格權編（草案）》也作出了更具體的規(guī)定，要求收集、處理個人信息應當遵循合法、正當、必要的原則，并應征得信息權利主體同意。全國人大將“個人信息保護法”和“數據安全法”列入2020 年立法規(guī)劃，核心議題之一就是如何實現個人信息數據權益保護與數據流動的平衡。此外，國家互聯(lián)網信息辦公室、全國信息安全標準化技術委員會等部門和機構先后發(fā)布了《信息安全技術 個人信息安全規(guī)范》及其修訂草案、《信息安全技術 個人信息告知同意指南（征求意見稿）》《個人金融信息保護技術規(guī)范》等國家行業(yè)標準。2020年3月6日，國家市場監(jiān)督管理總局、國家標準化管理委員會正式發(fā)布新版國家標準《信息安全技術 個人信息安全規(guī)范》（以下簡稱《安全規(guī)范》），對有關個人信息保護的規(guī)定作出進一步細化，能夠為法律、行政法規(guī)的操作和應用提供具體規(guī)范和參考依據。但《安全規(guī)范》不是強制性法律標準，而是推薦性行業(yè)標準，對個人信息保護的要求也更為嚴格，用戶“同意”處于行業(yè)規(guī)范體系中的核心位置①。這顯示出我國政府與行業(yè)機構協(xié)力整治侵犯個人信息權益的違法違規(guī)亂象，保護個人權利、公共利益乃至國家安全的政策趨向。

總的來看，相對于網絡信息安全，我國在公民個人信息權益保護方面的立法顯得相對不足，層級低且效力弱，專門化、板塊化、“碎片化”問題突出。有關個人信息安全的法律法規(guī)和行業(yè)規(guī)范多頭迭出，能夠起到提綱挈領和體系協(xié)調作用的“個人信息保護法”尚未出臺；各部門法采取分散立法模式，對有關個人信息保護的法律義務缺乏明確規(guī)定；《刑法》與其他部門法及行業(yè)規(guī)范之間存在諸多不銜接、不協(xié)調問題。《刑法》中，侵犯公民個人信息罪屬于法定犯，作為其構成要件“違反國家有關規(guī)定”的前置性規(guī)范主要以《網絡安全法》為依據。但《網絡安全法》主要針對網絡經營者提出保障網絡安全的要求，具有明顯的風險管控價值取向，在個人信息權利保障方面同樣存在缺陷和漏洞。2017 年5月，最高人民法院、最高人民檢察院頒布實施《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《刑案解釋》），明確了公民個人信息的內涵和定罪量刑的情節(jié)標準。面對此次疫情，最高人民法院、最高人民檢察院、公安部、司法部于2020 年2 月6 日出臺《關于依法懲治妨害新型冠狀病毒感染肺炎疫情防控違法犯罪的意見》（以下簡稱《意見》），其中就拒不履行信息網絡安全管理義務罪，編造、故意傳播虛假信息罪等侵犯涉疫情個人信息法益的相關罪名的刑法適用提出辦案指導意見。司法實踐中，由于公民個人信息類別豐富多樣、千差萬別，對于信息類型的判定、信息來源的證實、違反國家有關規(guī)定的認識分歧，以及不同刑法規(guī)范、不同罪名之間存在交叉競合和沖突等問題，仍然困擾著司法機關，并未形成對公民個人信息權利完整的體系化保護，單一的部門法無法實現多元化的價值目標。

二、涉疫情個人信息法益與知情同意原則

（一）涉疫情個人信息的復合法益屬性

根據我國《網絡安全法》第七十六條第五項的規(guī)定，個人信息的本質屬性在于其可識別性，即能夠識別特定個人身份或者反映特定個人活動情況。本文中的“涉疫情個人信息”或“個人疫情信息”是指為了疫情防控需要收集和使用的有關確診或疑似患者及其他相關自然人的個人信息。在疫情防控期間，除公民個人的姓名、身份證號碼、手機號碼、生物識別信息等反映其特定身份的信息外，個人行蹤軌跡信息顯得尤為重要。在傳染源發(fā)現、追蹤、控制、隔離的過程中，收集使用個人信息的目的是尋找與患者有密切接觸的高風險個體或人群，目標對象可以是在特定時段內以特定頻率在傳染源附近出現過的A，也可以是已經確診感染病毒的B，以及與B 有接觸史的個體C②。當前我國網民數量巨大，手機已成為生活必備品，疫情時期人們更是依賴使用手機與外界溝通。以手機及App相關的個人信息為線索可以快捷精準地搜索涉疫情人群的火車票、機票等行程信息，行車導航記錄信息，賓館住宿信息，交易支付信息，快遞收貨地信息等。由于新型冠狀病毒肺炎具備“人與人”傳播的特性，潛伏期較長，難以捕捉傳播路徑，有必要借助大數據技術，追蹤了解特定時間段內相關人員的移動軌跡，進行關聯(lián)分析和風險預測，為疫情防控提供參考依據。

目前，個人信息所蘊含的權益內容逐漸豐富，從個人隱私權、名譽權逐漸發(fā)展形成了一個權利系統(tǒng)，包含知情權、同意權、查詢權、更正權、刪除權、利用權和公開權等一系列子權利。同時，在公民個人信息的收集和使用的過程中，初始權利主體逐漸不再擁有對個人信息完全的控制權，信息權利主體也呈現多元化，從初始權利主體擴展至收集者、使用者及管理者。從廣義上說，個人信息自由不僅包括公民個體的權利自由，而且包括其他自然人、企業(yè)機構的信息使用權利和國家政府的管理職權；而個人信息安全實際上也包括國家、社會和個人不同層面的法益內涵，個人信息安全權也是公民個人信息權利的重要內容。因此，個人信息所蘊含的法益具有復合性，既有個人權利自由的內容，又涉及公共利益、社會秩序和國家安全。相應地，個人信息權利法律保護也具有信息自由與信息安全的多元價值。對于疫情時期的確診或疑似患者來說，其對涉及本人的疫情信息同樣擁有隱私權、名譽權等人格權，收集利用個人疫情信息的部門和機構則擁有信息使用權，社會公眾有獲悉和分享個人疫情信息的知情權，行政機關則有公開和發(fā)布個人疫情信息的權力。個人疫情信息的法益屬性同樣具有復合性特征，不僅包括初始信息權利主體的權利自由，而且包括其他收集、使用疫情信息的單位或個人相應的信息權利。同時，個人信息安全也是個人疫情信息權的重要內容，個人疫情信息法益不僅包括公民個人信息安全，更涉及公共衛(wèi)生健康安全乃至國家安全。另外，當涉疫情的個人私密敏感信息經過去識別化“脫敏”技術處理之后，其人格權屬性減弱，不再歸初始信息主體個人擁有，而成為政府部門和企業(yè)機構所掌握的疫情公共數據?！秱魅静》乐畏ā返谑l規(guī)定“……疾病預防控制機構、醫(yī)療機構不得泄露涉及個人隱私的有關信息、資料”，第六十八條、第六十九條規(guī)定故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息、資料的機構或相關人員將受到紀律處分、行政處罰乃至依照《刑法》第二百五十三條之一以“侵犯公民個人信息罪”予以刑事處罰。

疫情防控特殊時期，依法懲治涉疫情個人信息犯罪，防控疫情安全風險，保障公共衛(wèi)生安全成為刑事立法和司法價值選擇。作為個人信息保護領域的主要罪名，侵犯公民個人信息罪設置于《刑法》分則第四章侵犯公民人身權利、民主權利罪當中。然而，《刑法》對公民個人信息的保護不限于單一、平面的個人法益，其法益也具有復合性特征：一是傳統(tǒng)法益，即公民個體的人格權和財產權；二是新型法益或“超個人法益”③，即信息領域的國家和社會公共利益、安全或秩序。個人信息的刑法保護所追求的價值目標也具有信息自由和信息安全兩方面。比較而言，個人信息法益的保護內容具體明確，而“超個人法益”內容概括模糊，在區(qū)分罪與非罪的界限的關鍵領域，個人信息法益保護仍是刑法適用所主要考慮的因素。

（二）信息主體知情同意保護原則及例外

所謂“知情同意”，即收集和使用公民個人信息應明確告知其相關情況并征得本人授權同意，也有學者稱其為“告知同意”④。在國外，2018 年歐盟的《通用數據保護條例》（GDPR）較為全面地規(guī)定了歐盟公民享有的對個人數據處理的各項權利，其中最重要的是個人知情同意的基礎權利。2018 年美國加州消費者隱私立法創(chuàng)設的各項權利，與歐盟GDPR 中數據權利的內容并無二致。在國際法領域，個人信息知情同意原則也在相關國際規(guī)范性文件中得到確認。如經濟合作與發(fā)展組織（OECD）頒布的《關于隱私保護和個人數據跨境流通的指南》指出，在多數情況下，個人信息數據的收集行為不僅要獲得信息數據主體的同意，還要限于為實現征求同意通知書中所表明的目的之必要的最小信息數據量，且該信息數據在沒有獲得新的同意時不得被用于其他不相關的目的⑤。在我國，根據《網絡安全法》第四十一條的規(guī)定，網絡運營者須經過個人信息主體同意之后，才能進行信息收集和使用。此條規(guī)定直接體現個人信息主體個人意志的“法益自決權”⑥，即“公民能夠自主決定同意他人對其本人信息進行收集、儲存、處理以及利用的權利”⑦，這種自決權的核心內容就是信息主體的知情同意權。我國立法應首先將個人信息權確立為具體人格權，并進一步將其明確為個人信息主體的知情、同意、查詢、更正、補充、刪除、封鎖等權利內容。關于知情同意的具體方式，《安全規(guī)范》修訂草案第四條明確了“選擇同意”原則，即區(qū)分基本功能和擴展功能，摒棄《安全規(guī)范》原規(guī)定的“概括同意”的方式，并通過交互界面或設計的方式，強化“明示同意”的合規(guī)性要求。

另一方面，法律并不是僅僅保護公民個人信息的知情同意權，還要對個人信息的合理使用、分享和處理加以保護。如歐盟的《通用數據保護條例》規(guī)定了6 種個人信息使用的合法性基礎，用戶知情同意只是其中一種情形，此外還包括符合用戶、企業(yè)及公共利益的需要等情形⑧。我國《民法總則》第一百一十一條、《網絡安全法》第四十一條規(guī)定，收集、使用個人信息，除了法律規(guī)定的例外情形，還必須是合法、正當、必要的，且須經權利主體同意。在此基礎上，《安全規(guī)范》修訂草案第四條b 項進一步規(guī)定，收集、利用個人信息需要“具有合法、正當、必要、明確的個人信息處理目的”。在刑法適用中，也需要對不同信息主體應承擔的保護義務進行利益衡量和責任分配，在法律允許的范圍內實現個人信息數據經濟效益的有效利用。經個人信息主體同意的行為并不意味著當然地阻卻刑事違法性，知情同意權的行使不能逾越法律的界限，不能與國家和社會公共利益相沖突。如果收集、使用個人信息的行為違反了前置性法律法規(guī)或部門規(guī)章，那么即便個人信息主體作出同意的意思表示，也不能被認定是有效的，不能排除其刑事違法性。在此情況下，認定非法收集、使用個人信息的行為構成侵犯公民個人信息罪，也可以相應地減輕行為人的刑事責任。

三、涉疫情個人信息保護和利用的價值衡量

在大數據背景下，在涉疫情個人信息的收集和使用過程中，信息流動的起點是公民個體，而在信息流動過程中會涉及使用者、經營者和服務者等多方主體的相應權利，該類信息的社會公共屬性得以體現和凸顯。個人信息的權利保護和價值利用是一枚硬幣的兩面，自由與安全的價值取向既是對立的，又統(tǒng)一于權利保護和價值利用的關系當中，包括《刑法》在內的相關法律法規(guī)既能保護公民個人信息的基本權利（隱私權），又能有效促進個人信息價值的實現。

（一）疫情信息公開與個人知情同意的協(xié)調

作為國家重大突發(fā)性公共安全事件，疫情可能造成社會恐慌，影響國家安全，疫情數據理應成為國家安全信息報告和發(fā)布的重要數據。出于疫情防控的需要，政府和衛(wèi)生行政、疾病防控部門以及醫(yī)療機構可以未經個人信息主體授權而收集有關個人信息，同時政府部門可以在突發(fā)公共衛(wèi)生事件應急預案中將信息收集、發(fā)現的權力再次授權給其他部門、機構組織⑨。另外，《突發(fā)事件應對法》《傳染病防治法》《動物防疫法》均對有關主體違反疫情報告義務有可能承擔刑事責任進行了規(guī)定。在疫情防控中，政府部門實行疫情信息公開，面臨著如何處理與公民個人知情同意權、社會公眾知情權保護的關系問題。在防控疫情過程中收集和產生的政府信息可能會涉及個人敏感信息，須進行“脫敏”的去識別化處理，或者征得相關權利人同意。其實，實行政府信息公開及數據開放、保障公眾的知情權就是治理網絡謠言最好的“特效藥”。從一定意義上說，政府信息的公開就是公眾知情權的實現，疫情信息公開中也包括個人疫情信息，其中個人信息主體的隱私權與公眾知情權會存在一定的沖突。例如，有些地方防疫部門推出“疫情防控調查登記App”，但沒有得到統(tǒng)一使用；有的社區(qū)采用保險公司等機構提供的App 采集信息；有的則是用自己的IPAD上門登記。這些由基層社區(qū)和單位收集、保存的個人信息數據基本處于無監(jiān)管狀態(tài)。不少互聯(lián)網公司憑借大數據技術能力，為政府部門防控疫情提供了海量的信息數據。其中當然也涉及公民個人隱私信息保護的問題。不可否認，防控疫情是政府面臨的重要任務，根據防疫需要可將公民個人信息作為疫情公共信息予以收集和使用，甚至向社會公眾公開；公民個人在必要時須讓渡自身的個人信息權利，承擔公共衛(wèi)生安全保障義務和責任。政府部門和相關企業(yè)機構收集使用個人疫情信息，要依法保障公民個人的隱私權等基本人格權益，不能顧此失彼。可以說，政府疫情信息公開的過程也應當是公民個人隱私權不斷得到合理利用和妥當保護的過程。公共疫情防控與個人信息保護本質上是不矛盾的，即便相關法律法規(guī)或政策制度出現了沖突，對于公民個人信息權利的克減也必須遵循比例原則，采取最小損害的方式進行，不得損害其人格尊嚴等基本權利。例如，2020年1月30日，深圳市在廣東省率先公布新冠肺炎患者逗留過的小區(qū)等場所，但具體的門牌號碼等信息都被隱去了，其他地方也采取了類似做法。政府部門對確診患者病例詳情的通報中對姓名、工作單位等具有可識別性的個人數據信息進行刪除，僅保留家庭住址、個人行蹤軌跡等有特定用途價值（排查密切接觸者及普通公眾預防）的內容⑩。此種去識別行為既能有效達到披露個人信息的目的，又降低了運用該信息可能對確診患者的隱私造成威脅或損害的風險。

（二）涉疫情個人信息權利限制的比例原則

面對來勢洶洶的新冠肺炎疫情，政府部門和相關機構在收集和使用涉疫情個人信息的過程中，必須把握好政府信息公開及數據開放的法律邊界。限制個人信息應當遵循比例原則，須具有目的的正當性、手段的適宜性和侵害的最小性，這種限制不能對個體造成難以承受的負擔。對此，《政府信息公開條例》第十五條、《網絡安全法》第四十五條等對于政府部門及工作人員保護個人信息的義務都作了相應規(guī)定。合理的法律體系設計和具體舉措規(guī)劃都應使個體權益受到的限制和干預盡量處于最低水平,這樣對公眾的侵犯最小,社會成本也最低。緊急狀態(tài)下對部分權利的限制并不能擴張至所有權利，其中不能被削減的權利包含最基本的人身安全、醫(yī)療救治和生活保障等權利○1。按照此原則，收集確診或疑似患者的個人信息的范圍應與確定病例涉及的區(qū)域、場所、車次以及篩查密切接觸人員相關，其財務、婚姻史、性取向等信息則不在收集范圍之列；對正常人員的數據收集應限于基本信息，如姓名、位置行蹤、電話、住址、健康數據等。疾控部門收集的本區(qū)域內確診病例的相關具體信息，包括性別、年齡、住址、車輛乘坐歷史、位置蹤跡、活動區(qū)域場所、人群接觸史等，但不能公布姓名、身份證號、電話、門牌號等能鎖定識別具體身份的數據。此外，限制個人信息權利的范圍應符合有限性原則。公民個人的信息權屬于基本人格權利，同樣需要被作為原則上不能被削減的權利予以保障，而絕對不能被予以剝奪。政府部門和企業(yè)機構可基于防控疫情的公益需要對個人信息進行收集、使用，但須遵守防控疫情的目的性原則，遵照依法收集、分類存儲、匿名處理的要求，禁止基于供未來不特定目的使用而收集、使用個人信息或擅自改變原來的防疫目的和用途。目前，大數據技術在疫情聯(lián)防聯(lián)控工作中被大量應用，對政府進行疫情信息公開，提高疫情追蹤和響應能力、疫情早期預警能力、診斷檢測與治療方法的研發(fā)能力等方面都能發(fā)揮重要作用○12。但也需要對大數據的運用進行必要限制，不能突破個人信息保護的法律底線。

四、涉疫情個人信息保護的法律體系結構

涉疫情個人信息保護的法律規(guī)范是由多個組成部分、要素和環(huán)境以一定的結構形式聚合成的法律體系。在疫情防控中，需要有效發(fā)揮個人疫情信息保護法律體系的制度功能，處理好相關部門法及相關制度政策的關系，促進體系內外部的銜接協(xié)調，實現個人權利自由和社會公共安全的雙層保護，促進個人疫情信息保護和利用的利益平衡。

（一）涉疫情個人信息保護法律體系的整體性

法律規(guī)范體系是按照一定規(guī)則形成的有機整體。刑法應當確立個人信息保護的整體性觀念，這是其與民法和行政法在個人信息保護方面的緊密關聯(lián)性、從屬性的反映。雖然民法、行政法、刑法等部門立法的價值目標各有側重，但部門法之間應當是相互銜接協(xié)調的，也只有將具有不同效力層次的規(guī)范條文看作一個整體，才能正確理解不同條文的真正含義。疫情防控涉及隔離治療措施保障、醫(yī)護人員安全保護、醫(yī)療物資供應保障、社會公共秩序維護、涉疫情個體權利自由保障等。在疫情防控特殊時期，公共安全風險增大，法律所要保護的公民個人信息的法益性質與正常時期相比產生了新的變化，具有綜合性、公共性；公民個人信息同時也成為疫情信息，并帶有公共性，甚至涉及國家信息安全。根據“法秩序的統(tǒng)一性”原理，法律體系應當是自洽的，法律規(guī)范之間并不存在矛盾，也就是說，在某一法律規(guī)范文件或條文中被認為是合法的行為，在其他法律規(guī)范文件和法條中就不能被認定為違法而加以禁止，或者不可能出現與之相反的事態(tài)○13?；趥€人信息權益的復合性、復雜性，刑法需要發(fā)揮其自身的保障法作用，對于收集使用公民個人信息的民事侵權行為，在具有嚴重社會危害性的情況下予以介入。在疫情防控中，應當將涉疫情個人信息的法律保護置于整體思維之下，構筑涉疫情個人信息違法犯罪的法律責任和制裁體系，實現“整體大于部分之和”的體系功能，從而實現防控公共衛(wèi)生安全風險的根本目的。

（二）涉疫情個人信息保護法律體系的開放性

系統(tǒng)既有開放性又有封閉性，這一雙重屬性影響甚至決定了系統(tǒng)的獨立存續(xù)和與外界的互動。法律體系的封閉性設置刑法系統(tǒng)的邊界，并保證法律體系具有自治性和獨立性。在風險社會背景下，法律體系與外部環(huán)境的開放互動性更加凸顯，對刑法適用的體系解釋也同樣具有動態(tài)性和開放性，主要體現在《刑法》第二百五十三條之一規(guī)定的侵犯公民個人信息罪中“違反國家有關規(guī)定”的前置性規(guī)范的判斷上面。根據《刑案解釋》第二條規(guī)定，“國家有關規(guī)定”不局限于國家法律、行政法規(guī)，還應包括部門規(guī)章?；谧镄谭ǘê托谭ㄖt抑性原則，應將“國家有關規(guī)定”作限制解釋，排除同級地方性法規(guī)和地方政府規(guī)章，只應限定在部門規(guī)章的范圍內，即國務院所屬的各部、委員會根據法律和行政法規(guī)制定的規(guī)范性文件。在疫情防控中，如果行為人違反相關法律法規(guī)以及地方政府和有關部門依據上述法律法規(guī)制定實施的有關疫情預防、控制措施的規(guī)定，如各地出臺的居住小區(qū)或社區(qū)的人員流動管理辦法，均可認定為具備妨害傳染病防治罪中“違反傳染病防治法”的前置性規(guī)范。應當看到，《網絡安全法》等相關法律法規(guī)對收集、使用公民個人信息行為的義務規(guī)范規(guī)定尚不夠明確，難以為侵犯公民個人信息犯罪的違法性判斷提供必要且充分的依據。近年，我國公安部、工業(yè)和信息化部、國家互聯(lián)網信息辦公室、全國信息安全標準化技術委員會等部門機構頒布實施的諸多有關個人信息收集、使用的國家、行業(yè)標準，屬于推薦性行業(yè)標準，與法律規(guī)范的出發(fā)點都是對個人信息權進行保護，但保護的目的和方式不同。這些標準規(guī)范從建立與完善行業(yè)規(guī)則的角度出發(fā)，對個人信息的規(guī)制范圍更廣，對個人信息處理的行為要求更高。需要強調的是，個人信息安全行業(yè)標準與法律規(guī)范之間如何進行有效銜接的問題。雖然二者的出發(fā)點都是對個人信息權進行保護，但保護的目的和方式不同。行業(yè)規(guī)范對于用戶知情同意的規(guī)定，可以作為界定個人信息法益保護的前置性依據，但不宜直接將其作為判斷違法性的依據，否則將導致打擊范圍過大，反而不利于個人信息權益的保護。

（三）涉疫情個人信息保護法律體系的目的性

個人信息保護的法律體系也有其目的性，即在疫情防控中依法保護個人信息所蘊含的人格權等基本權利?！毒W絡安全法》第四十一條規(guī)定，信息收集者必須按照信息提供者同意的方式與范圍使用信息，不得超出收集個人信息的原始目的使用。2019 年的《安全規(guī)范》修訂草案在原有規(guī)范文本的基礎上，增加規(guī)定了“不得強迫收集個人信息”的要求，修改了保障個人信息主體選擇同意權的方法及征得授權同意的“例外”情形，增加了基本業(yè)務功能、擴展業(yè)務功能的告知和明示同意等內容。大數據平臺經營者和技術服務提供者不能隨意關聯(lián)不同數據類型，或者將在公權力基于疫情防控授權下收集的個人數據或制作的大數據關聯(lián)分析模型用于當前或日后的其他目的，造成個人信息的濫用。如果超出原定疫情防控目的使用個人信息的，必須符合“正當、合法、必要”的原則及其配套法律規(guī)則、行業(yè)標準，并履行必要的“告知+同意”程序。因傳染病防控而強制收集的個人信息，通常需要在一定范圍內不經信息主體同意及時進行披露，這可以視為“同意原則”的例外。然而，例外之所以稱為例外，相關法律法規(guī)必須對它們予以窮盡列舉。這類信息通常在參與傳染病防控的衛(wèi)生行政部門、疾控機構和醫(yī)療機構之間交流使用，需要分享給其他單位的也必須由法律明確規(guī)定。同時，基于疫情防控而收集的個人數據應有其自身固有的生命周期，疫情退去后，對于被收集的海量個人數據，應由疾控機構予以封存或匿名化處理。授權部門和組織儲存的個人數據，包括人工數據和電子數據均應上交政府有關部門或予以銷毀。相關企業(yè)應關注基于疫情防控目的而收集和衍生的個人信息留存時限，一旦衛(wèi)生健康部門提出要求或疫情結束，應及時刪除原始數據與相關分析成果；確有必要時，經網絡主管部門審批備案，以合法、安全方式保留必要記錄，從而杜絕數據泄露隱患。在疫情防控的特殊時期，公民個人信息安全風險也隨之增大，法律需要積極應對，但也要防止過度干預。為了疫情防控需要，個人信息相關權利也要受到一定的限制，個人信息保護和利用之間需要進行利益平衡，但個人信息中的隱私權等基本權利不能受到限制或被剝奪，應當根據個人信息安全法益所可能遭受侵害的危險程度對其予以不同程度的法律保護。

五、收集和使用涉疫情個人信息的刑法認定

我國《刑法》中與個人信息保護相關的罪名包括侵犯公民個人信息罪，拒不履行信息網絡安全管理義務罪，非法利用信息網絡罪，幫助信息網絡犯罪活動罪，非法獲取計算機信息系統(tǒng)數據罪，編造、故意傳播虛假信息罪等。上述涉?zhèn)€人信息的犯罪都屬于法定犯，作為其構成要件的前置性規(guī)范主要以《網絡安全法》為依據。基于前文對個人疫情信息保護刑法體系結構與功能的分析，以下從刑事司法層面對收集和使用個人疫情信息犯罪的認定進行體系性思考。

（一）收集、使用涉疫情個人信息的違法性判斷

《刑法》第二百五十三條之一規(guī)定的侵犯公民個人信息罪屬于典型的法定犯，判斷行為刑事違法性以行為人違反前置性法律法規(guī)為前提。作為個人信息安全保護方面的國家標準，《安全規(guī)范》第5條至第8 條及附錄C 根據《網絡安全法》中確立的“正當、合法、必要”原則和“公開、明示、最少”原則，對收集、使用個人信息行為提出了具體要求，對個人信息生命周期過程如何處理也作了全面、完整的規(guī)定，發(fā)揮著重要的行業(yè)規(guī)范的指引功能。2019年《安全規(guī)范》修訂草案增加了不得強迫收集個人信息的要求，修改了征得授權同意的“例外”情形及保障個人信息主體選擇同意權的方法，在區(qū)分基本業(yè)務和擴展業(yè)務兩種功能的基礎上規(guī)定了“告知和明示同意”的相關要求。須指出，《安全規(guī)范》不具有法律效力，不能直接作為認定違法違規(guī)收集使用個人信息的行為構成犯罪的前置性規(guī)范。上述未經個人信息主體知情同意而收集使用其個人信息的行為也不必然違反刑法意義上的保護義務，反之，個人知情同意也不必然能夠成為排除上述行為的刑事違法性的事由。一般來說，對于收集和使用個人信息的刑事違法性判斷須把握以下幾點：其一，在民法或行政法中屬于合法的行為，就不具有刑事違法性，民法或行政法中的合法性可作為排除刑事違法性的事由；其二，在民法或行政法中沒有規(guī)定或不違法的行為，其刑事違法性的認定不需要以一般違法性判斷為前提；其三，在民法或行政法中屬于違法的行為，也不必然具有刑事違法性，須以刑法規(guī)范及司法解釋規(guī)定為依據進行認定。

（二）疫情防控期間侵犯個人信息罪從重處罰的政策把握

根據《意見》第十條的規(guī)定，在疫情防控期間實施有關違法犯罪的，予以從重處罰。從重處罰作為一種量刑原則，如何在疫情防控特殊時期予以把握，值得討論。一般情況下，在疫情防控時期實施侵犯公民個人信息犯罪的，相較于正常時期無疑社會危害性更為嚴重，將其作為從重情節(jié)予以嚴懲，是合理而且必要的。但必須做到“依法從嚴”，而不能與罪刑相適應原則和法定量刑情節(jié)的規(guī)定相沖突。有的侵犯公民個人信息行為在正常時期并不會被認定為犯罪行為，甚至在疫情發(fā)展的早期也不會被認定為犯罪行為，疫情大規(guī)模暴發(fā)后，其社會危害性明顯加大，由一般違法行為上升為犯罪。如果在定罪上已實現了對此類行為在疫情期間嚴重危害性的刑罰評價，就不需要在量刑層面再考慮從重處罰的問題，否則就違背了禁止重復評價原則，會導致量刑畸重。須指出，依法嚴懲疫情防控時期侵犯公民個人信息的犯罪行為，并不意味著拋開一貫的寬嚴相濟的基本刑事政策。司法機關認定和處理此類犯罪應當堅持寬嚴相濟的刑事政策，“該嚴則嚴，該寬則寬”，避免刑事政策的重心從“嚴格”到“嚴厲”發(fā)生偏移。實踐中，在依法嚴懲此類犯罪的同時，尤其要注意針對個案具體情況，采取刑事一體化的綜合性懲治和預防對策，注意節(jié)省有限的司法資源，集中力量有效打擊其他嚴重妨害疫情防控的犯罪。例如，對于在疫情防控中做出突出貢獻的衛(wèi)生防疫等相關工作人員，在收集和利用公民個人信息過程中，如果實施了非法獲取、濫用個人信息或將個人信息提供給他人等行為的，應適當予以從寬處罰，可捕可不捕的應當不予逮捕，盡量采用非刑罰處理方式，避免刑事打擊范圍過大○14。

（三）被害人同意下收集和使用涉疫情個人信息的出罪化

在疫情防控中，運用刑事法律手段懲治侵犯公民個人信息權益的違法犯罪是十分必要的，然而，刑法也是一把雙刃劍，僅靠刑法或單個部門法無法對個人疫情信息的復合法益實施全面保護，不能過于追求個人信息的刑法保護而對疫情防控造成不當影響或瓶頸阻礙。個人疫情信息的收集者和使用者往往也是從事疫情防控的一線工作人員，個人信息的收集和使用、自由與安全的矛盾關系是客觀存在的，刑法應當理性對待。在疫情防控特殊時期，尤其應秉持寬嚴相濟的刑事政策和出罪化的司法思維，在能夠避免使用刑罰的情況下，盡量采用非刑事法律手段和方式去解決問題。如前所述，我國相關法律、行政法規(guī)及行業(yè)規(guī)范已確立了收集、使用個人信息的知情同意原則，并且除了法律規(guī)定的特殊情況，收集、使用個人信息應經過信息主體的明示同意。刑法理論上，個人的知情同意可以被看作一種被害人同意或承諾，具有一定的出罪功能。未經信息主體同意而收集、使用個人信息的行為，也不必然違反刑法意義上的保護義務；反之，信息主體知情同意也不必然能夠成為排除刑事違法性的事由，但可以成為阻卻或減輕個人信息侵權行為刑事責任的根據。被害人同意（或承諾）的出罪功能得到很多學者的認同，但這種出罪功能并非沒有任何限制。經個人信息主體同意的行為并不意味著當然地阻卻刑事違法性，知情同意權的行使不能逾越法律的界限，不能與國家和社會公共利益相沖突。如果收集、使用個人信息的行為違反了前置性法律法規(guī)或部門規(guī)章，那么即便信息主體作出同意的意思表示，也不能被認定是有效的，不能排除收集、使用行為的刑事違法性。此時，“被害人同意”不能被作為免罪根據，但可被作為量刑情節(jié)加以考慮，即使認定非法收集、使用個人信息的行為構成侵犯公民個人信息罪，也可以相應地減輕行為人的刑事責任?？傊?，刑法需要對不同主體處分個人信息的權利和應承擔的保護義務進行利益衡量和分配，在法律允許的范圍內實現個人信息數據經濟效益的最大化。

六、結論

在疫情防控時期，社會安全風險因素和潛在威脅因素突發(fā)增加，追求公共衛(wèi)生安全成為社會公眾的普遍心態(tài)和立法目標選擇，這使得個人信息保護的法益呈現多元化、復雜化的形態(tài)和發(fā)展趨勢。大數據時代擴增了個人信息體量，法律在強調個人信息保護的同時，也要注重保護限度，處理好保護與利用之間的關系，警惕法律保護過度膨脹。司法機關需要運用法治思維和法治方式，依法預防和懲治疫情防控時期的侵犯公民個人信息的違法犯罪行為。應當看到，我國個人信息保護立法存在“碎片化”和規(guī)范沖突問題，這源于對個人信息權利屬性界定模糊不清，加上不同部門法的立法價值目標存在差異?？梢哉f，“碎片化”是一種立法常態(tài)，雖然對法律體系構成一定沖突，但沒有破壞法律體系的整體性及適用效力。不同的部門法各有其調整對象和范圍，相互之間存在交叉競合、沖突矛盾的情況在所難免。在個人疫情信息保護方面，單一的民法、行政法或刑法無法實現多元化的價值目標，需要各自發(fā)揮在信息自由保護和信息安全保障方面的作用，相互銜接協(xié)調加以實現。我們需要從立法到司法，從體系內部到外部，通過犯罪構成要素、法條結構關系、外部法律規(guī)則的銜接協(xié)調，發(fā)揮法律體系的結構功能，從而構建和完善公民個人信息保護的法律體系，為依法防控和治理涉疫情違法犯罪提供有效的法律保障。

注釋：

①陽雪雅：《論個人信息的界定分類及流通體系——兼評〈民法總則〉第111條》，《東方法學》2019年第4期。

②洪延青：《疫情防控與個人信息保護初探之三：“接觸追蹤”的數據共享安全規(guī)范》，https://m.21jingji.com/article/20200130/herald/ed380053d 1db7506b121c02f0980e5ab.html，2020 年1 月13 日訪問。

③曲新久：《論侵犯公民個人信息犯罪的超個人法益屬性》，《人民檢察》2015年第11期。

④張新寶：《個人信息收集：告知同意原則適用的限制》，《比較法研究》2019年第6期。

⑤高富平：《個人數據保護和利用國際規(guī)則：源流與趨勢》，法律出版社2016年版，第36頁。

⑥冀洋：《法益自決權與侵犯公民個人信息罪的司法邊界》，《中國法學》2019年第4期。

⑦姚岳絨：《論信息自決權作為一項基本權利在我國的證成》，《政治與法律》2012年第4期。

⑧林洹民：《個人信息保護中知情同意原則的困境與出路》，《北京航空航天大學學報（社會科學版）》2018年第3期。

⑨2020年2月24日，最高人民檢察院疫情防控檢察業(yè)務領導小組召開專題會議指出，為防控疫情需要，由政府部門組織動員的居（村）委會、社區(qū)工作人員可以認定為受國家機關委托從事公務的人員。對于防疫人員依職權行使的與防疫、檢疫、強制隔離、隔離治療等措施密切相關的行為，應認定為公務行為。

⑩張郁安、楊筱敏：《疫情下的數據利用和個人信息保護再權衡》，http://www.cbdio.com/BigData/2020-02/17/content_6154604.htm，2020年2月17日訪問。

[11]趙宏：《疫情防控下個體的權利收縮與尊嚴保障》，http://www.mzyfz.com/html/1335/2020-02-10/content-1418025.html，2020年2月10日訪問。

[12]中央網絡安全和信息化委員會辦公室于2020年2月4 日發(fā)出《關于做好個人信息保護 利用大數據支撐聯(lián)防聯(lián)控工作的通知》，要求在疫情防控工作中，除法律授權的機構外，其他任何單位和個人不得以疫情防控、疾病防治為由，未經被收集者同意收集、使用個人信息；收集個人信息應參照個人信息安全規(guī)范的國家標準，堅持最小范圍原則；為疫情防控、疾病防治收集的個人信息，不得用于其他用途；未經被收集者同意不得公開其個人信息，因聯(lián)防聯(lián)控工作需要，且經過脫敏處理的除外。

[13]吳鏑飛：《法秩序統(tǒng)一視域下的刑事違法性判斷》，《法學評論》2019年第3期。

[14]黎宏：《助力抗擊疫情，刑法當仁不讓》，2020 年2月7日《人民法院報》，第2版。