李偉 張娜

作者簡介：李偉（1977-），男，山東高密人，法學(xué)博士，副教授，山東大學(xué)法學(xué)院博士后研究人員，研究方向：民商法學(xué);張娜（1996-），女，山東淄博人，碩士研究生，研究方向：民商法學(xué)。

摘?要：在重大疫情防控的特殊時(shí)期進(jìn)行個人信息共享，是對疫情狀況進(jìn)行研判預(yù)測的前提。在新冠肺炎疫情防控時(shí)期，個人信息共享中存在信息獲取內(nèi)容的非必要性、信息獲取主體的非授權(quán)性、信息登記傳播的非隱私性、信息獲取使用的非程序性以及信息泄露侵權(quán)風(fēng)險(xiǎn)。在重大疫情防控中，個人信息的獲取應(yīng)該遵循程序法定原則，認(rèn)定只有法律明確授權(quán)的機(jī)構(gòu)才能收集個人信息，獲取信息內(nèi)容應(yīng)當(dāng)以必要性為原則，獲取過程需要遵循“告知同意”原則，在個人信息的合法使用中，應(yīng)符合目的性原則，實(shí)現(xiàn)個人信息的民法保護(hù)。對于重大疫情防控時(shí)期個人信息共享中的侵權(quán)問題，應(yīng)當(dāng)區(qū)分不同情形，認(rèn)定相關(guān)主體的補(bǔ)充責(zé)任、按份責(zé)任或連帶責(zé)任，實(shí)現(xiàn)疫情防控時(shí)期個人信息的依法保護(hù)。

關(guān)鍵詞：重大疫情;個人信息保護(hù);依法防控;侵權(quán)救濟(jì);新冠肺炎疫情

中圖分類號： D923????文獻(xiàn)標(biāo)志碼： A?????文章編號：1672-0539（2021）05-0020-07

截至2020年6月，我國新冠肺炎疫情防控取得重大勝利，社會生產(chǎn)生活秩序基本恢復(fù)正常，但與此同時(shí)國際防疫形勢卻幾乎處于失控狀態(tài)，6月28日全球累計(jì)確診病例超過1000萬。這次新冠肺炎疫情傳播速度之快、范圍之廣前所未有，給疫情防控工作帶來巨大的挑戰(zhàn)。中國的疫情防控經(jīng)驗(yàn)表明，追蹤確診病例及其密切接觸者是實(shí)現(xiàn)有效防控的重要手段，但其中涉及個人信息共享及其權(quán)利保護(hù)的法律問題。《中華人民共和國民法典》（以下簡稱《民法典》）中明確規(guī)定個人信息受法律保護(hù)，現(xiàn)行《中華人民共和國傳染病防治法》（以下簡稱《傳染病防治法》）、《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）也有相關(guān)具體規(guī)則。基于此，需要在防疫工作中貫徹適用相關(guān)法律規(guī)定，促進(jìn)疫情防控工作在法律的框架下有序進(jìn)行。

一、個人信息共享在重大疫情防控中的重要意義

2020年年初，新冠肺炎重大疫情迅速爆發(fā)，在防控如此重大突發(fā)公共安全衛(wèi)生事件過程中，實(shí)現(xiàn)個人信息共享是其中的關(guān)鍵要素[1]，信息共享的成功與否直接影響著疫情防控工作的成效。

（一）疫情防控亟需獲取人員流動信息

隨著現(xiàn)代社會生產(chǎn)生活效率的日益提高，人員流動、市場貿(mào)易和文化交流活動快速增多，在促進(jìn)社會發(fā)展的同時(shí)，也為傳染病的迅速傳播和蔓延提供了可能。這次新冠肺炎疫情在極短的時(shí)間內(nèi)迅速爆發(fā)，在出現(xiàn)確診病例后，如果不能及時(shí)掌握流動人員信息，明確相關(guān)接觸人員的流動軌跡，將成造成疫情預(yù)防和控制上的極大被動。

（二）個人信息共享的重要作用

1.有利于對人員流動情況進(jìn)行實(shí)時(shí)動態(tài)監(jiān)測

通過個人信息共享，各部門可以根據(jù)疫情防控需要獲取人員信息，了解人員流動狀態(tài)，一旦出現(xiàn)確診病例，可以及時(shí)隔斷傳染源，保護(hù)高危易感人群。因此，要實(shí)現(xiàn)疫情狀況的分析、預(yù)防、預(yù)報(bào)[2]，前提就是實(shí)現(xiàn)疫情期間個人信息的共享。

2.有利于節(jié)約人力、物力

在疫情防控期間，經(jīng)常需要追蹤特定人員（主要指確診病例、疑似病例以及密切接觸人員），如果沒有個人信息共享機(jī)制，則需要通過各部門調(diào)查相關(guān)人員的高鐵票、汽車票、機(jī)票等行程信息，支付寶、微信等支付信息進(jìn)行追蹤，耗費(fèi)大量的人力資源調(diào)查取證。因此，在疫情期間實(shí)現(xiàn)個人信息共享，有利于為疫情防控工作節(jié)約人力、物力。

二、重大疫情防控時(shí)期個人信息共享中的侵權(quán)問題

十三屆全國人大第三次會議通過的《民法典》雖然沒有明確個人信息權(quán)的概念，但明確了自然人的個人信息受法律保護(hù)。疫情發(fā)生后，各部門為了防止疫情進(jìn)一步擴(kuò)散，對本地區(qū)及往來人員進(jìn)行詳細(xì)登記，尤其是針對重點(diǎn)地區(qū)的居民及往來人員進(jìn)行登記，這些舉措總體上是值得肯定的，但是在個人信息獲取過程中存在一系列問題。

（一）個人信息獲取內(nèi)容的非必要性

隨著新冠肺炎疫情形勢的不斷升級，各地政府、學(xué)校以及村委會等紛紛采取“硬核”措施進(jìn)行防控。據(jù)悉，某高校對本校學(xué)生尤其是中高風(fēng)險(xiǎn)地區(qū)學(xué)生進(jìn)行詳細(xì)登記，登記內(nèi)容包括姓名、民族、聯(lián)系方式、身份證號、家庭住址、家庭成員的工作、健康狀況以及親友交際往來情況。很多學(xué)生認(rèn)為學(xué)校要求的登記范圍過于寬泛，學(xué)校只需要掌握學(xué)生的聯(lián)系方式和健康狀況就可以了。在疫情防控工作中，有的機(jī)構(gòu)在收集信息時(shí)，將信息種類設(shè)置得過于繁雜，從而取得了許多不必要的個人信息。如果不對獲取范圍加以限制，一方面加大了信息收集的難度，另一方面也不利于個人信息的保護(hù)。

（二）個人信息獲取主體的非授權(quán)性

在新冠肺炎疫情防控的緊要階段，在小區(qū)門口、農(nóng)村村口以及高速路口都有收集個人信息的防控工作人員的身影，從政府的各級部門到社區(qū)的保安、物業(yè)都參與到個人信息收集工作中來，有未經(jīng)授權(quán)的非政府機(jī)構(gòu)也自發(fā)地進(jìn)行信息收集，從而導(dǎo)致個人信息獲取主體的混雜。由此，在信息獲取過程中出現(xiàn)信息主體與信息獲取主體之間的矛盾沖突。

（三）個人信息獲取使用的非程序性

信息獲取規(guī)則的公開是程序正義的前提。但是，從這次的新冠肺炎疫情來看，在個人信息獲取過程中，很少有信息收集人員主動向信息主體闡明信息登記的原因以及信息使用問題，甚至在一些小區(qū)內(nèi)，安保人員以“不登記不得進(jìn)出小區(qū)”為由，強(qiáng)制人員進(jìn)行登記，嚴(yán)重違背了自愿原則。另外，在個人信息使用方面也存在程序缺陷，甚至存在工作人員將信息故意透漏給他人的情形，嚴(yán)重影響了個人信息共享在新冠肺炎疫情防控中的作用發(fā)揮。

（四）個人信息登記傳播的非隱私性

疫情期間，從媒體報(bào)道和日常防控實(shí)踐來看，幾乎在各個小區(qū)門口都有安保人員負(fù)責(zé)對進(jìn)出小區(qū)的人員進(jìn)行登記，登記內(nèi)容包括姓名、聯(lián)系方式、身份證號、家庭住址以及最近行程等諸多詳細(xì)信息。然而，用于登記信息的登記本被安保人員隨意放置在桌子上，幾乎任何人都可以翻動，毫無隱私性可言。在疫情防控過程中，多地頻發(fā)載有民眾個人信息的統(tǒng)計(jì)資料通過網(wǎng)絡(luò)公開傳播事例，這些個人信息資料借助現(xiàn)代通訊工具往往短短數(shù)日就被大量轉(zhuǎn)發(fā)下載，如何在疫情防控時(shí)期保護(hù)個人信息安全和隱私權(quán)益值得高度關(guān)注。

三、重大疫情防控時(shí)期個人信息的合法獲取

（一）重大疫情防控中獲取個人信息應(yīng)遵循程序法定原則

1.授權(quán)行為應(yīng)遵循程序性

在重大疫情防控時(shí)期，為了提高防疫效率，國家授予相關(guān)部門和人員收集個人信息的權(quán)利。“依法定程序做出授權(quán)”是我國行政授權(quán)的一項(xiàng)基本原則，但是我國法律并沒有對“法定程序”做出明確的解釋，從而導(dǎo)致在疫情防控實(shí)踐中關(guān)于授權(quán)正當(dāng)性的爭論，因此我們有必要厘清授權(quán)的程序性問題。

在我國，行政授權(quán)主要通過兩種途徑，一種是以立法形式進(jìn)行行政授權(quán)，一種是以決定形式進(jìn)行行政授權(quán)[3]。以立法形式進(jìn)行行政授權(quán)，即享有立法權(quán)的主體通過立法或者修改法律的形式將權(quán)力賦予特定的單位或個人，從法學(xué)理論上講，享有立法權(quán)的主體是代議制機(jī)構(gòu)（各級人大及其常委會）和行政機(jī)關(guān)（國務(wù)院、國務(wù)院各部委）。在程序上應(yīng)當(dāng)注意立法主體只能在其立法權(quán)限范圍之內(nèi)進(jìn)行行政授權(quán)，例如，全國人民代表大會可以通過制定修改法律授權(quán)，國務(wù)院可以通過制定修改行政法規(guī)授權(quán)。在這次疫情期間，全國人民代表大會常務(wù)委員會對《傳染病防治法》進(jìn)行了修訂，該法第十二條明確規(guī)定了疾病預(yù)防控制機(jī)構(gòu)和醫(yī)療機(jī)構(gòu)有權(quán)調(diào)查相關(guān)情況，被調(diào)查者有義務(wù)告知。以決定的形式進(jìn)行行政授權(quán)即行政機(jī)關(guān)以決定的形式將行政權(quán)力授予其他單位，實(shí)際上就是行政機(jī)關(guān)將本應(yīng)其行使的行政權(quán)力向其他單位轉(zhuǎn)移的行為，這種授權(quán)具有明顯的應(yīng)急性，行政機(jī)關(guān)只能在其職權(quán)范圍內(nèi)進(jìn)行授權(quán)。例如，懷化市人大常委會通過了《懷化市人民代表大會常務(wù)委員會關(guān)于全力做好當(dāng)前新型冠狀病毒感染肺炎疫情防控工作的決定》。該決定是在特殊時(shí)期做出的特殊規(guī)定，明確了政府及其部門、企事業(yè)單位及個人在疫情防控期間的職責(zé)。無論是以立法形式的授權(quán)，還是以決定形式的授權(quán)，授權(quán)的依據(jù)都是法律法規(guī)[4]，沒有法律依據(jù)或超越法律規(guī)定的權(quán)限所做出的授權(quán)并不是真正意義上的授權(quán)，只能稱其為行政委托。在疫情防控的特殊時(shí)期，授權(quán)行為也必須遵守行政法定原則，明確授權(quán)行為的法律界限，接受監(jiān)督。

2.獲取行為應(yīng)遵循程序性

我國的《民法典》《網(wǎng)絡(luò)安全法》等均規(guī)定個人信息受法律的保護(hù)，任何組織和個人需要獲取他人個人信息的，都應(yīng)當(dāng)依法取得，不得以非法方式獲得個人信息，不得非法出售或者非法向他人提供個人信息。因此，任何人獲取、使用他人的個人信息，都應(yīng)當(dāng)遵守程序規(guī)范，目前，我國個人信息獲取、使用一般遵循“知情同意”原則[5]。具體程序如下：

首先，公開信息獲取規(guī)則。根據(jù)《網(wǎng)絡(luò)安全法》第四十一條，收集、使用個人信息，應(yīng)當(dāng)公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍。公開信息獲取規(guī)則是知情同意的前提，在重大疫情的特殊情況下，有關(guān)部門更應(yīng)當(dāng)通過一定方式滿足信息主體的知情權(quán)。例如，可以通過在門口張貼登記原因、登記信息處理通知，或者通過微信等媒介發(fā)送文件，介紹登記情況，使信息主體對規(guī)則進(jìn)行充分了解，做好心理準(zhǔn)備，減少對信息登記的抵觸情緒。

其次，取得當(dāng)事人同意。《民法典》第一千零三十五條第一項(xiàng)規(guī)定，處理個人信息需要征得本人或其監(jiān)護(hù)人的同意。這體現(xiàn)出個人信息保護(hù)規(guī)范嚴(yán)格貫徹了“個人信息自決”這一基本原則[6]。個人信息屬于當(dāng)事人的私人利益，信息的公開應(yīng)當(dāng)取得當(dāng)事人的同意。同意通常分為“明示”和“默示”兩種方式，在我國的司法實(shí)踐中，一般采取明示的同意方式[7]。需要注意的是，依照《個人信息安全規(guī)范》，在重大疫情防控時(shí)期，出于公共安全的考慮，可以不經(jīng)當(dāng)事人同意，適當(dāng)公開必要的個人信息，公開的內(nèi)容應(yīng)當(dāng)確實(shí)必要，盡量減少對當(dāng)事人的影響。需要注意的是，“知情同意”原則應(yīng)當(dāng)受到正當(dāng)目的原則和必要性原則的限制，兩者之間是指導(dǎo)與被指導(dǎo)的關(guān)系[8]，在適用“知情同意”原則之前，應(yīng)當(dāng)首先考慮正當(dāng)目的原則和必要性原則。

（二）重大疫情防控中個人信息獲取的主體范圍應(yīng)有法律授權(quán)

《民法典》第一千零三十二條規(guī)定，自然人享有隱私權(quán)。任何組織或者個人不得以刺探、侵?jǐn)_、泄露、公開等方式侵害他人的隱私權(quán)。政府擁有自主形成信息的權(quán)利，其合法性基礎(chǔ)在于正確行使決策和構(gòu)建信用社會的需要，以及平衡私人利益與公共利益的需要，政府對公民、法人和其他組織享有信息調(diào)查權(quán)，相關(guān)當(dāng)事人應(yīng)當(dāng)積極配合政府的工作，承擔(dān)相應(yīng)的義務(wù)，主要有協(xié)助義務(wù)、提供真實(shí)信息的義務(wù)。

在重大疫情的防控時(shí)期，行政機(jī)關(guān)是獲取個人信息的重要主體，但并不意味著所有行政機(jī)關(guān)都可以隨時(shí)無條件地獲取他人的個人信息。中央互聯(lián)網(wǎng)信息辦公室發(fā)布的《關(guān)于做好個人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》明確指出，除國務(wù)院衛(wèi)生健康部門依據(jù)《網(wǎng)絡(luò)安全法》《傳染病防治法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》授權(quán)的機(jī)構(gòu)外，其他任何單位和個人不得以疫情防控、疾病防治為由，未經(jīng)被收集者同意收集使用個人信息。在行使信息收集權(quán)時(shí)必須嚴(yán)格遵守法律保留原則。

在這次新冠肺炎疫情期間，物業(yè)等非政府機(jī)構(gòu)也積極參與到個人信息獲取活動中來，一定程度上彌補(bǔ)了政府人手短缺問題。但是，政府機(jī)構(gòu)以外的其他組織、個人獲取個人信息，必須取得相關(guān)法律法規(guī)的明確授權(quán)，在授權(quán)范圍內(nèi)行使信息獲取行為，將獲取的個人信息及時(shí)上交給有關(guān)部門，有關(guān)部門應(yīng)當(dāng)對該組織或個人的信息收集、使用行為進(jìn)行監(jiān)督，這也有利于提高政府的行政效率，從而更好地履行維護(hù)公共安全的職責(zé)。

（三）重大疫情防控中個人信息獲取的客體范圍應(yīng)以必要性為前提

全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布實(shí)施的《信息安全技術(shù)個人信息安全規(guī)范》對收集個人信息的行為提出了要求：“收集的個人信息的類型應(yīng)與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)。直接關(guān)聯(lián)是指沒有該信息的參與，產(chǎn)品或服務(wù)的功能無法實(shí)現(xiàn)?！币簿褪钦f，個人信息共享內(nèi)容，以滿足雙方所要完成事項(xiàng)的最低標(biāo)準(zhǔn)為限，以必要性為原則。進(jìn)而言之，必要性原則可以分為“目的必要性”“范圍必要性”和“手段必要性”。

“目的必要性”指的是信息種類的設(shè)定，對于力圖達(dá)到的效果而言，是重要和必不可少的[9]。例如，新冠肺炎疫情防控期間，個人信息共享的必要目的是幫助衛(wèi)生監(jiān)督部門及時(shí)掌握疫情分布和人員流動情況，當(dāng)出現(xiàn)確診病例時(shí)，及時(shí)切斷傳染源，避免疫情進(jìn)一步傳播。出于以上目的的需要，收集相關(guān)人員的姓名、聯(lián)系方式等信息是必要的，但是收集其民族、職業(yè)以及生活經(jīng)歷等信息明顯超出上述目的所需要的范圍，無助于必要目的的實(shí)現(xiàn)，因此應(yīng)當(dāng)不予收集。

“范圍必要性”也稱為“范圍限制性”，指的是信息收集的范圍，只能覆蓋最必要、最核心的要素范圍，將對相關(guān)人員的負(fù)擔(dān)降到最低。原則上，收集范圍僅限于確診病例、疑似病例和密切接觸人群，不主張針對某區(qū)域的全部居民，防止造成對該區(qū)域的歧視和偏見。

收集信息時(shí)還應(yīng)當(dāng)注意“手段必要性”，即收集信息時(shí)應(yīng)當(dāng)選擇對信息主體影響最小的手段。例如，在信息收集過程中，優(yōu)先采用線上掃碼、手動填寫基礎(chǔ)信息等常規(guī)方式，盡量避免照相、捺印指紋等手段，眾所周知，目前大多數(shù)的手機(jī)都有指紋、人臉識別功能，一旦信息泄露，存在造成財(cái)產(chǎn)損失的風(fēng)險(xiǎn)。

在重大疫情防控期間，考慮到公共需要的緊迫性因素，必要性原則在目的、范圍、手段的確定和選擇上可以較于一般狀態(tài)有所放寬，適當(dāng)擴(kuò)大個人信息共享的內(nèi)容范圍，如對于疑似病例可進(jìn)一步獲取其家人以及其他接觸者的相關(guān)信息。因此，相關(guān)部門在處理個人信息共享和必要性原則的關(guān)系時(shí)，應(yīng)當(dāng)尋找一個“平衡點(diǎn)”，處理好個人信息管理的“寬”與“嚴(yán)”的關(guān)系。

四、重大疫情防控時(shí)期個人信息的合法使用

（一）重大疫情防控中使用個人信息應(yīng)符合目的性原則

規(guī)范個人信息的使用行為是保護(hù)個人信息權(quán)益的重要措施，但是我國法律對于如何使用個人信息沒有明確的規(guī)定。對此，我們應(yīng)當(dāng)借鑒國外的征信立法[10]。澳大利亞的《聯(lián)邦隱私權(quán)法》規(guī)定了目的正當(dāng)原則，即信息管理人或保管人只有在確認(rèn)符合特定使用目的并且目的正當(dāng)?shù)那闆r下才能自己使用或者批準(zhǔn)他人使用收集的個人信息。美國的《公平信用報(bào)告法》也嚴(yán)格限制了信息的使用目的。為疫情防控所收集的個人信息，應(yīng)當(dāng)共享于衛(wèi)生、防疫、公共安全等部門之間，用于滿足疫情防控需要。

（二）重大疫情防控中使用個人信息應(yīng)注重隱私權(quán)保護(hù)

《民法典》人格權(quán)編中規(guī)定公民享有隱私權(quán)，個人信息受法律保護(hù)?！秱魅静》乐畏ā返谑l也有相關(guān)規(guī)定，疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)不得泄露涉及個人隱私的有關(guān)信息、資料。結(jié)合上述法律規(guī)定和新冠肺炎疫情防控期間個人信息安全出現(xiàn)的問題，建議個人信息保護(hù)應(yīng)當(dāng)從動態(tài)流通的視角，處理好信息收集、處理、使用、傳遞過程中的權(quán)利、義務(wù)問題[11]，采取隱私權(quán)保護(hù)模式[12]，方能更有利于加強(qiáng)對個人信息的保護(hù)力度。

1.加強(qiáng)對隱私權(quán)的技術(shù)保護(hù)

對于必須收集的信息，應(yīng)當(dāng)盡最大努力保證信息安全，可以充分利用現(xiàn)有的技術(shù)手段進(jìn)行信息收集，將信息泄露的風(fēng)險(xiǎn)降到最低。例如，針對紙質(zhì)方式填寫個人信息，可能出現(xiàn)的登記本遺失等情況，可有效開發(fā)利用“數(shù)字化”防疫手段，充分運(yùn)用健康通行碼，在車站、機(jī)場、商超等場所通過微信或支付寶掃一掃功能進(jìn)行實(shí)名登記，并且登記之后信息可以自動保存，不需要重復(fù)登記，同時(shí)這種方法可以避免人與簽字筆等物品接觸，降低病毒傳播機(jī)會。

2.堅(jiān)持保密原則

負(fù)責(zé)登記個人信息的登記人員，應(yīng)當(dāng)對經(jīng)手的個人信息嚴(yán)格保密，除為了實(shí)現(xiàn)使用目的之外，不得向任何人透漏。在收集過程中，應(yīng)當(dāng)有專門人員負(fù)責(zé)對個人信息的保管，盡量縮小對他人個人信息的知情人員范圍，降低收集過程中信息泄露的可能性?；蛘呖梢栽O(shè)立專門的個人信息保護(hù)機(jī)構(gòu)[13]，明確相關(guān)主體的保護(hù)責(zé)任，從而加強(qiáng)對信息主體隱私權(quán)的保護(hù)。

3.疫情之后妥善處理身份登記信息

在疫情期間收集的個人信息處理機(jī)制上，可以借鑒歐盟數(shù)據(jù)保護(hù)方法。為了平衡個人利益與公共利益，歐盟提出“被遺忘權(quán)”這一新型權(quán)利（2014年修正為“刪除權(quán)”）[14]，該權(quán)利的設(shè)置對我國有一定的立法啟示?！皠h除權(quán)”指的是在歐盟數(shù)據(jù)保護(hù)機(jī)制之下信息主體請求刪除個人信息的權(quán)利，有學(xué)者認(rèn)為該權(quán)利產(chǎn)生的原因是數(shù)據(jù)處理或存儲的合理性或合法性隨著時(shí)間的推移不再存在。在疫情防控期間，登記個人信息的目的是為了滿足疫情防控工作的需要，有關(guān)主體獲取信息仍應(yīng)以必要性、目的性為原則。疫情結(jié)束之后，信息存儲的合理性已不復(fù)存在，應(yīng)當(dāng)及時(shí)刪除信息，消除信息的識別力。我國在大數(shù)據(jù)時(shí)代面臨著數(shù)據(jù)過度化的問題，對于大數(shù)據(jù)背景下個人信息的保護(hù)問題仍然缺乏相應(yīng)的細(xì)則規(guī)范。在法學(xué)界以王利明為代表的學(xué)者認(rèn)為應(yīng)當(dāng)加強(qiáng)對個人信息保護(hù)的力度，《民法典》人格權(quán)也得以獨(dú)立成編，其中對個人信息保護(hù)著墨甚多[15]?？梢栽凇睹穹ǖ洹返谝磺Я闳邨l基礎(chǔ)上更加突出“刪除權(quán)”，在相對義務(wù)人范圍、請求事由等方面予以強(qiáng)化，以更好地從立法角度保護(hù)個人信息安全。

五、重大疫情防控時(shí)期個人信息的侵權(quán)救濟(jì)

《民法典》第一千零三十八條規(guī)定，信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集、儲存的個人信息安全。因此，在重大疫情防控期間，相關(guān)主體對于疫情需要收集的個人信息由于工作疏漏造成個人信息泄露并發(fā)生損害的，應(yīng)當(dāng)依據(jù)相關(guān)法律規(guī)定承擔(dān)相應(yīng)的侵權(quán)責(zé)任。

（一）個人信息的侵權(quán)之認(rèn)定

1.過錯的認(rèn)定

“過錯”可以分為“故意”和“過失”。對于直接侵權(quán)人而言，侵權(quán)人主觀上必須是認(rèn)識到自己的行為會對信息主體造成某種損害，并且希望或放任損害結(jié)果的發(fā)生，直接侵權(quán)人在主觀上應(yīng)當(dāng)是“故意”。對于信息安全保障義務(wù)人，應(yīng)當(dāng)區(qū)分不同情況。惡意買賣、提供、公開他人個人信息的，主觀上應(yīng)當(dāng)是故意的，這種情形在法學(xué)理論界沒有爭議。因工作疏漏造成個人信息泄露的情形下有關(guān)主體的過錯之認(rèn)定，可以借鑒德國判例。德國的民法理論認(rèn)為，信息安全保障義務(wù)人主觀上是否存在過錯取決于是否違反了信息安全保障義務(wù)，違反信息安全保障義務(wù)主要有四個構(gòu)成要件：第一，主體是否是危險(xiǎn)的開啟者;第二，法益是否有保護(hù)的必要;第三，主體是否實(shí)施了必要的預(yù)防措施;第四，主體實(shí)施的措施是否具有可期待性[16]。結(jié)合新冠肺炎疫情期間個人信息泄露問題，個人信息具有保護(hù)的必要性，信息安全保障義務(wù)人在主觀上是否有過錯，主要是從另外三個構(gòu)成要件上進(jìn)行分析。

2.損害結(jié)果的認(rèn)定

侵權(quán)責(zé)任法的目的是補(bǔ)償侵權(quán)行為對權(quán)利人造成的損失，如果侵權(quán)行為沒有造成實(shí)際的損害結(jié)果，就無法要求行為人進(jìn)行賠償，侵權(quán)責(zé)任的構(gòu)成以損害結(jié)果為要件。損害結(jié)果大致上可以分為兩類，一類是財(cái)產(chǎn)性損害[17]，另一類是精神性損害。財(cái)產(chǎn)損害，顧名思義就是權(quán)利人的財(cái)產(chǎn)權(quán)益受到損害。直接財(cái)產(chǎn)損害是指權(quán)利人的個人信息受到侵害，直接造成的經(jīng)濟(jì)損失;間接財(cái)產(chǎn)損害是指權(quán)利人后期進(jìn)行取證、上訴等所產(chǎn)生的訴訟費(fèi)用。當(dāng)前條件下，辦理銀行卡都需要與手機(jī)號碼和身份證號關(guān)聯(lián)，一旦個人信息流入不法分子手中，就可能會對權(quán)利人造成財(cái)產(chǎn)利益的損失。同時(shí)，按照傳統(tǒng)侵權(quán)法理論，只有造成實(shí)際損害結(jié)果才能追究侵權(quán)責(zé)任，而一般個人信息侵權(quán)并不必然產(chǎn)生財(cái)產(chǎn)損失，侵犯的更多是民眾愈益重視的人格權(quán)益。因此，在司法實(shí)踐中，司法機(jī)關(guān)應(yīng)當(dāng)在損害結(jié)果的認(rèn)定上適當(dāng)放寬，以回應(yīng)民眾對于人格權(quán)益的合理訴求[18]。例如，在關(guān)涉重大疫情防控的司法案件中，為進(jìn)一步提高有關(guān)責(zé)任主體的信息保護(hù)意識，司法機(jī)關(guān)應(yīng)當(dāng)著重考察其行為是否導(dǎo)致信息處于不當(dāng)公開狀態(tài)，對于傳統(tǒng)理論上所要求的損害結(jié)果可予以適當(dāng)放寬。

（二）侵權(quán)責(zé)任的承擔(dān)

在新冠肺炎疫情防控期間，由于個人信息泄露導(dǎo)致人身權(quán)、財(cái)產(chǎn)權(quán)遭受第三人損害的案例屢見不鮮，侵權(quán)人應(yīng)當(dāng)對信息主體承擔(dān)損害賠償責(zé)任?！蹲罡呷嗣穹ㄔ宏P(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》（法釋〔2014〕11號）第十六條規(guī)定，賠償責(zé)任形式應(yīng)當(dāng)與侵權(quán)行為的方式和所造成的影響相適應(yīng)。第十七條和第十八條對金錢賠償?shù)臄?shù)額做出了明確的規(guī)定。需要注意的是，隨著大數(shù)據(jù)的發(fā)展，目前的信息存儲都是通過網(wǎng)絡(luò)系統(tǒng)，面對層出不窮的網(wǎng)絡(luò)信息侵權(quán)問題，傳統(tǒng)的補(bǔ)償性賠償已經(jīng)不能發(fā)揮良好的預(yù)防作用，因此對于網(wǎng)絡(luò)信息侵權(quán)問題，應(yīng)當(dāng)引入懲罰性賠償機(jī)制[19]，增強(qiáng)懲罰的威懾力。

在疫情防控期間，由于信息收集機(jī)關(guān)工作疏漏導(dǎo)致第三人造成個人信息泄露而所產(chǎn)生的侵權(quán)責(zé)任是一種典型的復(fù)合責(zé)任，第三人與信息主體的損失之間是一種直接因果關(guān)系，信息收集機(jī)關(guān)對信息主體負(fù)有個人信息安全保障義務(wù)。因此，信息收集機(jī)關(guān)與信息主體的損失之間是一種間接因果關(guān)系。對于這種復(fù)數(shù)侵權(quán)人的侵權(quán)形態(tài)，應(yīng)當(dāng)如何分擔(dān)侵權(quán)責(zé)任呢？在理論上主要有三種觀點(diǎn)，分別是連帶責(zé)任、補(bǔ)充責(zé)任和按份責(zé)任。

第一種是連帶責(zé)任。法理依據(jù)是歐盟《數(shù)據(jù)條例》第82.4條規(guī)定：“當(dāng)不止一個控制者或處理者同時(shí)涉及同一處理，而且它們對第2段和第3段規(guī)定的處理所引起的所有損失承擔(dān)責(zé)任，每個控制者或處理者都應(yīng)當(dāng)對損失負(fù)有連帶責(zé)任，以便保證對數(shù)據(jù)主體的有效賠償?！背诌@種觀點(diǎn)的學(xué)者認(rèn)為，這種連帶責(zé)任本質(zhì)上是由共同侵權(quán)引起的[20]。第二種是補(bǔ)充責(zé)任?！蹲罡呷嗣穹ㄔ宏P(guān)于審理人身損害賠償案件適用法律若干問題的規(guī)定》中首次使用“安全保障義務(wù)”和“補(bǔ)充責(zé)任”的規(guī)定，第6條第2款規(guī)定“因第三人侵權(quán)導(dǎo)致?lián)p害結(jié)果發(fā)生的，由實(shí)施侵權(quán)行為的第三人承擔(dān)賠償責(zé)任。安全保障義務(wù)人有過錯的，應(yīng)當(dāng)在其能夠防止或者制止損害的范圍內(nèi)承擔(dān)相應(yīng)的補(bǔ)充賠償責(zé)任。安全保障義務(wù)人承擔(dān)責(zé)任后，可以向第三人追償。賠償權(quán)利人起訴安全保障義務(wù)人的，應(yīng)當(dāng)將第三人作為共同被告，但第三人不能確定的除外?！痹摋l明確了安全保障義務(wù)人應(yīng)當(dāng)承擔(dān)補(bǔ)充責(zé)任，但必須以存在過錯為前提[21]，同時(shí)明確了安全保障義務(wù)人向直接侵權(quán)人追償?shù)臋?quán)利。第三種是按份責(zé)任。例如，在疫情期間，有關(guān)主體非法買賣或提供他人的信息給第三人，但對于第三人對信息的處理并不知情且無重大過錯，很明顯在這種情況下，損害結(jié)果的造成是由兩個過錯共同組成的，《民法典》第一千一百七十二條規(guī)定：“二人以上分別實(shí)施侵權(quán)行為造成同一損害，能夠確認(rèn)責(zé)任大小的，各自承擔(dān)相應(yīng)的責(zé)任;難以確定責(zé)任大小的，平均承擔(dān)責(zé)任”。因此，相關(guān)主體和第三人應(yīng)當(dāng)承擔(dān)按份責(zé)任。

基于以上對于學(xué)界相關(guān)觀點(diǎn)的梳理，結(jié)合新冠肺炎疫情防控期間的具體實(shí)踐，針對重大疫情期間個人信息泄露問題的處理，應(yīng)當(dāng)區(qū)分不同情形：

1.承擔(dān)補(bǔ)充責(zé)任的情形

對于相關(guān)主體在信息獲取工作中存在疏忽造成信息泄露并有第三人介入利用信息實(shí)施侵權(quán)的情形，相關(guān)主體與直接侵權(quán)人應(yīng)當(dāng)按以下原則分擔(dān)侵權(quán)責(zé)任：直接侵權(quán)人首先承擔(dān)侵權(quán)責(zé)任，相關(guān)主體承擔(dān)相應(yīng)的補(bǔ)充責(zé)任，并在承擔(dān)補(bǔ)充責(zé)任后，享有對直接侵權(quán)人的追償權(quán)[22]。在請求權(quán)的行使上，信息主體應(yīng)當(dāng)首先向直接侵權(quán)人求償，不能實(shí)現(xiàn)則可向其他主體主張權(quán)利。當(dāng)然，其他主體承擔(dān)補(bǔ)充責(zé)任的前提是存在過錯。

2.承擔(dān)按份責(zé)任的情形

在疫情期間，有關(guān)信息獲取主體買賣或提供他人的信息給第三人，但是對于第三人利用個人信息侵害他人人身權(quán)、財(cái)產(chǎn)權(quán)的行為并不知情的情況下，損害結(jié)果的造成是由信息獲取主體泄露信息、第三人利用信息侵權(quán)兩個行為共同組成，按照《民法典》第一千一百七十二條的規(guī)定由信息獲取主體和第三人承擔(dān)按份責(zé)任。

3.承擔(dān)連帶責(zé)任的情形

在疫情期間，如果信息獲取主體與第三人進(jìn)行惡意串通，利用獲取的個人信息侵害他人的人身權(quán)和財(cái)產(chǎn)權(quán)，屬于共同侵權(quán)情形。為了確保對信息主體的有效補(bǔ)償，應(yīng)當(dāng)由信息獲取主體與第三人承擔(dān)連帶責(zé)任。

六、結(jié)語

習(xí)近平總書記2020年5月29日在主持中央政治局“切實(shí)實(shí)施民法典”第二十次集體學(xué)習(xí)時(shí)，要求闡釋好民法典堅(jiān)持主體平等、維護(hù)人格尊嚴(yán)、追究侵權(quán)責(zé)任等基本精神。個人信息共享機(jī)制在新冠肺炎疫情防控中發(fā)揮了很大作用，但信息的獲取、使用、傳播等行為必須依法進(jìn)行，需要結(jié)合《民法典》中表達(dá)出的有關(guān)保護(hù)個人信息合法權(quán)利的法律理念，堅(jiān)持個人信息獲取中的程序法定和必要性原則，強(qiáng)化貫徹實(shí)施《民法典》“總則”部分、《傳染病防治法》等法律法規(guī)的有關(guān)規(guī)定，明確個人信息獲取的主體范圍、共享內(nèi)容、獲取和使用程序，實(shí)現(xiàn)疫情防控的穩(wěn)步推進(jìn)和個人信息權(quán)益的民法保護(hù)。

參考文獻(xiàn)：

[1]陳玉梅.協(xié)同治理下應(yīng)急管理協(xié)作中的信息共享之關(guān)鍵影響因素分析[J].暨南學(xué)報(bào)（哲學(xué)社會科學(xué)版），2018，40（12）：35-49.

[2]余鳳蘋，徐勇，彭磊.傳染病疫情監(jiān)測信息網(wǎng)絡(luò)化收集、利用及管理工作模式的探討[J].中國公共衛(wèi)生管理，2007，（4）：338-340.

[3]楊登峰.行政改革試驗(yàn)授權(quán)制度的法理分析[J].中國社會科學(xué)，2018，（9）：136-158.

[4]李海平.行政授權(quán)的若干爭議問題探析[J].深圳大學(xué)學(xué)報(bào)（人文社會科學(xué)版），2007，（2）：72-76.

[5]萬方.隱私政策中的告知同意原則及其異化[J].法律科學(xué)（西北政法大學(xué)學(xué)報(bào)），2019，37（2）：61-68.

[6]謝遠(yuǎn)揚(yáng).《民法典人格權(quán)編（草案）》中“個人信息自決”的規(guī)范建構(gòu)及其反思[J].現(xiàn)代法學(xué)，2019，41（6）：133-148.

[7]孔繁華.政府信息公開中的個人隱私保護(hù)[J].行政法學(xué)研究，2020，（1）：17-29.

[8]張新寶.個人信息收集：告知同意原則適用的限制[J].比較法研究，2019，（6）：1-20.

[9]莫林.共享平臺的信息規(guī)制義務(wù)[J].科技與法律，2019，（5）：68-75.

[10]占碩.個人征信制度研究——個人信用信息的征集、使用與信息主體權(quán)益的保護(hù)[J].征信，2011，29（3）：1-6.

[11]王曉芬.個人信息的法律屬性及私法保護(hù)模式探究[J].河南財(cái)經(jīng)政法大學(xué)學(xué)報(bào)，2016，31（5）：64-70.

[12]宋藝秋.論突發(fā)事件中的個人信息保護(hù)[J].河南師范大學(xué)學(xué)報(bào)（哲學(xué)社會科學(xué)版），2010，37（5）：131-133.

[13]余計(jì)靈.個人信息保護(hù)制度考量[J].貴州社會科學(xué)，2018，（11）：118-122.

[14]張里安，韓旭至.“被遺忘權(quán)”：大數(shù)據(jù)時(shí)代下的新問題[J].河北法學(xué)，2017，35（03）：35-51.

[15]王利明.論人格權(quán)獨(dú)立成編的理由[J].法學(xué)評論，2017，35（6）：1-11.

[16][德]埃爾溫·多伊奇.德國侵權(quán)法：侵權(quán)行為、損害賠償及痛苦撫慰金[M].葉名怡，溫大軍，譯.北京：中國人民大學(xué)出版社，2016：120-121.

[17]陳吉棟.個人信息的侵權(quán)救濟(jì)[J].交大法學(xué)，2019，（4）：40-53.

[18]李怡.個人一般信息侵權(quán)裁判規(guī)則研究——基于68個案例樣本的類型化分析[J].政治與法律，2019，（6）：150-161.

[19]徐明.大數(shù)據(jù)時(shí)代的隱私危機(jī)及其侵權(quán)法應(yīng)對[J].中國法學(xué)，2017，（1）：130-149.

[20]葉名怡.個人信息的侵權(quán)法保護(hù)[J].法學(xué)研究，2018，40（4）：83-102.

[21]張新寶.我國侵權(quán)責(zé)任法中的補(bǔ)充責(zé)任[J].法學(xué)雜志，2010，31（6）：1-5.

[22]高爭志.侵權(quán)責(zé)任視角下的個人信息安全保障義務(wù)探究[J].重慶郵電大學(xué)學(xué)報(bào)（社會科學(xué)版），2020，32（1）：37-46.

編輯：鄒蕊