□方亞亞

(武漢大學(xué)，湖北 武漢 430000)

一、問題的提出

2020年初，在確定新冠病毒具有人傳人的特性后，對(duì)涉疫人群(主要包括確診患者、疑似患者、密切接觸者)的鎖定及隔離成為防控疫情的關(guān)鍵舉措。大數(shù)據(jù)信息在疫情檢測(cè)、患者追蹤、社區(qū)管理等各個(gè)方面發(fā)揮了重要作用，為順利抗擊疫情助力頗多。“利用大數(shù)據(jù)平臺(tái)建立公共衛(wèi)生風(fēng)險(xiǎn)信息管理和溝通系統(tǒng)，加大對(duì)傳染病傳播風(fēng)險(xiǎn)信息的識(shí)別和隱患排查，實(shí)現(xiàn)社會(huì)公共安全防控信息的共享，其作用和效果非常明顯?！盵1]

但與此同時(shí)，公民個(gè)人信息面臨的風(fēng)險(xiǎn)也在不斷增加。疫情初期，外地返鄉(xiāng)人員的個(gè)人信息遭到泄露，并在各大社交平臺(tái)上被廣泛傳播，一時(shí)間民眾“談鄂色變”，對(duì)來自疫情嚴(yán)重地區(qū)的人員區(qū)別對(duì)待甚至歧視，使得個(gè)人及家人的人身安全面臨危險(xiǎn)和侵害。同時(shí)，疫情期間個(gè)人信息的收集主體也在不斷擴(kuò)大。各大手機(jī)應(yīng)用平臺(tái)大量收集用戶信息并對(duì)其進(jìn)行數(shù)據(jù)分析和技術(shù)處理，小區(qū)、商場(chǎng)等公眾場(chǎng)所強(qiáng)制收集公民個(gè)人信息，否則不予入內(nèi)。這些措施在確定、追蹤及排查涉疫人群軌跡方面確實(shí)作出了突出貢獻(xiàn)，但其中也不乏假借抗疫之名，非法收集和利用個(gè)人信息的亂象。在這次疫情防控中，個(gè)人信息傳播范圍廣、速度快，侵犯公民個(gè)人信息犯罪現(xiàn)象集中爆發(fā)，對(duì)公民合法權(quán)益產(chǎn)生威脅，同時(shí)信息的不當(dāng)傳播容易造成社會(huì)公眾恐慌，反而不利于疫情防控工作的開展。

因此，疫情防控的特殊時(shí)期，如何處理信息安全與信息利用之間的沖突，成為保護(hù)涉疫情個(gè)人信息亟需解決的問題。

二、涉疫情個(gè)人信息的特征及保護(hù)原則

根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》(以下簡(jiǎn)稱《解釋》)相關(guān)規(guī)定，(1)《解釋》第一條：刑法第235條之一規(guī)定的“公民個(gè)人信息”是指以電子或者其他方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人個(gè)人身份或者反映特定個(gè)人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。個(gè)人信息的認(rèn)定核心在于“可識(shí)別性”，即對(duì)“個(gè)人信息”采用識(shí)別論的界定范式。[2]本文中的“涉疫情個(gè)人信息”是指出于疫情防控需要收集和使用的有關(guān)確診或疑似患者及其他相關(guān)自然人的個(gè)人信息，除姓名、身份證號(hào)、聯(lián)系方式等常見信息外，還包括行動(dòng)蹤跡、個(gè)人生物識(shí)別信息等。疫情防控特殊時(shí)期，個(gè)人信息呈現(xiàn)出與常態(tài)下不同的特征，承載著特殊的公共利益，個(gè)人信息的保護(hù)和利用方式需要適時(shí)作出調(diào)整。

(一)涉疫情個(gè)人信息的特征

1.涉疫情個(gè)人信息具有半公開性

根據(jù)個(gè)人信息的表現(xiàn)是否公開，可將其細(xì)分為公開信息和不公開信息。公開信息的公開對(duì)公共利益和信息主體的個(gè)人利益均不會(huì)造成任何損害，通常由公權(quán)力機(jī)關(guān)在法律許可的范圍內(nèi)予以公開。不公開信息由于涉及信息主體個(gè)人隱私，公開可能對(duì)其人身和財(cái)產(chǎn)權(quán)利造成侵害，而不公開也不會(huì)對(duì)公共利益或他人合法利益產(chǎn)生任何影響，因此不允許公權(quán)力機(jī)關(guān)強(qiáng)制公開。除此之外，現(xiàn)代社會(huì)中越來越多的個(gè)人信息處在公開與不公開之間的灰色地帶，即呈現(xiàn)“半公開性”的特征。此類信息兼具私人性與公共性，信息主體會(huì)采取措施保護(hù)信息不被公開，國(guó)家出于社會(huì)公共利益的考慮，賦予公權(quán)力機(jī)關(guān)公開此類信息的權(quán)力。[3]

個(gè)人信息屬于公開或不公開、一般信息或敏感信息，應(yīng)當(dāng)置于特定的語境具體認(rèn)定。相較于一般信息，敏感信息的泄漏或?yàn)E用，對(duì)主體的人身、財(cái)產(chǎn)安全產(chǎn)生的風(fēng)險(xiǎn)更高。[4]疫情時(shí)期，涉疫人群或湖北返鄉(xiāng)群體、境外返鄉(xiāng)群體等特殊人群的個(gè)人信息容易引發(fā)社會(huì)特別關(guān)注。這些個(gè)人信息一旦泄露，相關(guān)主體及家人可能會(huì)面臨來自社會(huì)的歧視性待遇，并對(duì)其名譽(yù)和隱私招致?lián)p害，甚至?xí)：ζ淙松斫】岛拓?cái)產(chǎn)安全。從這方面看，有必要將部分涉疫情個(gè)人信息作為個(gè)人敏感信息予以更高程度的保護(hù)。同時(shí)，出于疫情防控的需要，政府需要利用個(gè)人信息追蹤患者、鎖定接觸人群，進(jìn)行傳染病排查工作和醫(yī)療救治，個(gè)人信息的及時(shí)公開有助于落實(shí)“早發(fā)現(xiàn)、早報(bào)告、早隔離、早治療”政策。因而，涉疫情個(gè)人信息不同于常態(tài)下的個(gè)人信息，兼具私人性與公共性的雙重屬性，呈現(xiàn)出鮮明的“半公開性”的特征。

2.涉疫情個(gè)人信息具有復(fù)合法益屬性

大數(shù)據(jù)時(shí)代，個(gè)人信息的權(quán)益內(nèi)容已不再局限于信息主體的人格權(quán)或財(cái)產(chǎn)權(quán)，信息控制主體也不再局限于信息權(quán)利主體。疫情時(shí)期，除涉疫人員對(duì)其個(gè)人信息當(dāng)然地享有權(quán)利外，在個(gè)人信息的收集和利用過程中，公權(quán)力機(jī)關(guān)和企業(yè)機(jī)構(gòu)等其他主體成為數(shù)據(jù)的收集者、使用者、管理者，享有相應(yīng)的信息權(quán)利。[5]例如，在疫情防控過程中，政府、企業(yè)或其他單位對(duì)其收集的個(gè)人信息享有信息使用權(quán)，社會(huì)公眾享有知曉涉疫人群信息的公眾知情權(quán)，公權(quán)力機(jī)關(guān)享有公布和分享涉疫情個(gè)人信息的權(quán)利。由此可見，涉疫情個(gè)人信息的權(quán)利內(nèi)容不僅包括初始主體的權(quán)利，也包含收集者、使用者、管理者的相應(yīng)權(quán)利。

風(fēng)險(xiǎn)社會(huì)背景下，個(gè)人信息蘊(yùn)含豐富的公共管理價(jià)值，信息的公共屬性更加明顯，這使得信息犯罪侵害的法益已經(jīng)突破個(gè)人法益的范疇，上升到公共法益甚至國(guó)家安全的層面。[6]目前，侵犯公民個(gè)人信息的犯罪類型多樣化，個(gè)人信息犯罪“產(chǎn)業(yè)鏈”已然成型，從前端的獲取和出售，再到后期的非法謀利，整個(gè)犯罪鏈條涉及人員眾多，危害范圍甚廣，一旦信息遭到侵害，不僅危害到公民個(gè)人信息安全，更牽涉到公共秩序、公共衛(wèi)生、經(jīng)濟(jì)秩序等公共法益。

由此可見，當(dāng)前個(gè)人信息已具備復(fù)合法益屬性，既有個(gè)人權(quán)利自由的內(nèi)容，又涉及公共利益、社會(huì)秩序和國(guó)家安全。然而，目前我國(guó)刑法仍然通過個(gè)人法益的保護(hù)范式對(duì)侵犯公民個(gè)人信息的行為進(jìn)行規(guī)制，這一模式已不符合當(dāng)前個(gè)人信息保護(hù)的發(fā)展現(xiàn)狀，不能達(dá)到全面保護(hù)個(gè)人信息的效果。

(二)涉疫情個(gè)人信息的保護(hù)原則

1.信息保護(hù)與信息利用的對(duì)立統(tǒng)一

如前所述，涉疫情個(gè)人信息的法益內(nèi)容不僅包括信息主體的權(quán)利自由，還包括公權(quán)力主體的個(gè)人信息管理職權(quán)、社會(huì)公眾知情權(quán)等公共權(quán)益，而個(gè)人信息犯罪不僅會(huì)侵害相關(guān)主體的個(gè)人信息安全，也同樣會(huì)破壞公共法益、社會(huì)秩序和國(guó)家安全。個(gè)人信息法律保護(hù)與價(jià)值利用的關(guān)系背后反映的是信息安全與自由的價(jià)值選擇，二者既對(duì)立又統(tǒng)一。

由于新冠病毒具有“人傳人”的傳染性，政府和社會(huì)機(jī)構(gòu)需要采集公民個(gè)人信息，及時(shí)發(fā)現(xiàn)并隔離確診患者、疑似患者，以便向社會(huì)尋找密切接觸者。信息透明不僅有利于疫情防控、公共衛(wèi)生安全，也是保障公眾知情權(quán)的客觀需求。[7]我國(guó)《傳染病防治法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》和《信息安全技術(shù)個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱《規(guī)范》)均明確賦予部分醫(yī)療機(jī)構(gòu)和政府組織收集個(gè)人信息的權(quán)利。(2)《傳染病防治法》第12條：在中華人民共和國(guó)領(lǐng)域內(nèi)的一切單位和個(gè)人，必須接受疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)有關(guān)傳染病的調(diào)查、檢驗(yàn)、采集樣本、隔離治療等預(yù)防、控制措施，如實(shí)提供有關(guān)情況。《突發(fā)公共衛(wèi)生事件應(yīng)急條例》第40條：傳染病暴發(fā)、流行時(shí)，街道、鄉(xiāng)鎮(zhèn)以及居民委員會(huì)、村民委員會(huì)應(yīng)當(dāng)組織力量，團(tuán)結(jié)協(xié)作，群防群治，協(xié)助衛(wèi)生行政主管部門和其他有關(guān)部門、醫(yī)療衛(wèi)生機(jī)構(gòu)做好疫情信息的收集和報(bào)告、人員的分散隔離、公共衛(wèi)生措施的落實(shí)工作，向居民、村民宣傳傳染病防治的相關(guān)知識(shí)?！兑?guī)范》5.4 征得授權(quán)同意的例外：以下情形中，個(gè)人信息控制者收集、使用個(gè)人信息無需征得個(gè)人信息主體的授權(quán)同意：a)與國(guó)家安全、國(guó)防安全直接相關(guān)的；b) 與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的。當(dāng)前防疫工作是國(guó)家和社會(huì)的首要任務(wù)，政府出于防疫需要收集利用個(gè)人信息具有正當(dāng)性，必要時(shí)可以向社會(huì)公開，個(gè)人需要讓渡部分權(quán)益，必要時(shí)承擔(dān)保障公共衛(wèi)生安全的責(zé)任。[8]但政府信息公開與個(gè)人信息安全之間不是完全對(duì)立的，政府公開疫情信息的過程也是公民個(gè)人隱私合理利用和妥當(dāng)保護(hù)的過程。[9]政府部門在收集和使用個(gè)人疫情信息的過程中，也應(yīng)當(dāng)依法保障公民個(gè)人信息權(quán)，不能顧此失彼。

因此，疫情時(shí)期，政府收集和利用個(gè)人信息的同時(shí)，需要妥善處理好個(gè)人信息保護(hù)與公眾知情權(quán)之間的關(guān)系，將公民信息權(quán)作為基本權(quán)利保護(hù)的前提之下，在不超出疫情信息合理范圍內(nèi)及時(shí)公開涉疫情個(gè)人信息。疫情防控與信息保護(hù)不是絕對(duì)對(duì)立的，即使二者之間產(chǎn)生沖突，也不得以侵害個(gè)人信息安全為代價(jià)，應(yīng)當(dāng)遵循必要限度，堅(jiān)持比例原則，平衡信息安全與信息利用的沖突，在個(gè)人法益與公共法益之間作出價(jià)值衡量。[10]

2.涉疫情個(gè)人信息保護(hù)與利用的比例原則

公共利益對(duì)個(gè)人信息權(quán)的限制不是絕對(duì)的，應(yīng)當(dāng)滿足比例原則的要求。具體而言，需要同時(shí)滿足適當(dāng)性、必要性和均衡性三個(gè)子原則：

(1)適當(dāng)性原則指限制采取的措施能夠合理地促成目的實(shí)現(xiàn)。[11]該原則要求疫情時(shí)期收集、使用個(gè)人信息，必須與疫情防控的目的之間具有合理的因果關(guān)系，不能超越防疫目的收集。[12]例如，疫情期間各大商場(chǎng)、小區(qū)等公共場(chǎng)所收集的個(gè)人信息僅限用于病毒監(jiān)測(cè)和接觸范圍鎖定，禁止挪作他用。

(2)必要性原則要求在所有能夠?qū)崿F(xiàn)目的的方法中采取限度最低的一種。[13]從信息主體上看，為實(shí)現(xiàn)疫情防控，只應(yīng)當(dāng)收集確診或疑似患者、密切接觸者的個(gè)人信息，不應(yīng)收集無關(guān)人員的信息；從信息內(nèi)容上看，如果只收集個(gè)人一般信息即可達(dá)到防疫目的，就不應(yīng)當(dāng)收集個(gè)人敏感信息；從信息利用上看，如果信息收集、使用者在采取某項(xiàng)措施時(shí)可以使用也可不使用個(gè)人信息的，盡量不使用他人信息。[14]

(3)均衡性原則要求對(duì)方法和目的進(jìn)行價(jià)值衡量，唯有當(dāng)收集利用個(gè)人信息產(chǎn)生的收益高于對(duì)公民招致的損害時(shí)，才可以采取該方法。[15]如前所述，疫情時(shí)期的個(gè)人信息保護(hù)承載著個(gè)人法益和公共法益的雙重法益，因此進(jìn)行利益衡量時(shí)，不能僅將其作為個(gè)人信息權(quán)與公共法益衡量，如果忽視了個(gè)人信息的超個(gè)人法益屬性，就會(huì)導(dǎo)致個(gè)人信息權(quán)一味讓步于公共法益，比例原則將形同虛設(shè)。

綜上，在疫情防控特殊時(shí)期，某些情況下，個(gè)人信息安全在國(guó)家利益和社會(huì)利益面前需要作出讓步，但司法人員在個(gè)案中進(jìn)行利益衡量時(shí)，不應(yīng)忽視個(gè)人信息的公共法益屬性。

三、涉疫情個(gè)人信息的刑法保護(hù)

重大突發(fā)公共衛(wèi)生事件下，在利益衡量的基礎(chǔ)上，個(gè)人信息安全在公共法益面前需要作出一定的讓步，但這并不表示疫情時(shí)期可以不受任何限制地收集和使用個(gè)人信息。相反，涉疫情個(gè)人信息因承載著公共法益屬性，更應(yīng)當(dāng)加大個(gè)人信息的保護(hù)力度。然而，如果對(duì)收集和利用個(gè)人信息的行為規(guī)定得過于嚴(yán)苛，不當(dāng)擴(kuò)大犯罪面，將不利于防疫工作的順利進(jìn)行。因此，面對(duì)疫情之下的新變化，如何準(zhǔn)確理解侵犯公民個(gè)人信息罪的具體適用對(duì)于精準(zhǔn)打擊犯罪、全面保護(hù)個(gè)人信息權(quán)利尤為重要。

(一)侵犯公民個(gè)人信息罪：由實(shí)害犯轉(zhuǎn)向危險(xiǎn)犯

從現(xiàn)行法律規(guī)定來看，侵害公民個(gè)人信息罪理應(yīng)劃歸到實(shí)害犯的范疇，但事實(shí)上，該罪的設(shè)立目的則強(qiáng)調(diào)對(duì)公民權(quán)益的提前保護(hù)，具有危險(xiǎn)犯的性質(zhì)。當(dāng)個(gè)人信息被非法獲取或非法提供時(shí)，信息主體并未遭受因信息泄露帶來的實(shí)際法益侵害，然而被泄露的個(gè)人信息隨時(shí)都有被不法分子非法利用的危險(xiǎn)，并且這種危險(xiǎn)是現(xiàn)實(shí)的、緊迫的，在大數(shù)據(jù)時(shí)代隨時(shí)都有可能轉(zhuǎn)化為實(shí)際危險(xiǎn)。如果等到公民合法權(quán)利遭到現(xiàn)實(shí)侵害時(shí)才對(duì)其規(guī)制，那么刑法對(duì)個(gè)人信息的保護(hù)則過于遲滯，難以發(fā)揮保護(hù)信息權(quán)利、懲治信息犯罪的作用。涉疫情個(gè)人信息因其具有與公共衛(wèi)生安全和國(guó)家安全密切相關(guān)的特殊性，更需要刑法予以提前保護(hù)。因此，對(duì)涉疫情個(gè)人信息的保護(hù)中，只要使得個(gè)人信息遭到直接的、緊迫的危險(xiǎn)，就有必要將其行為予以犯罪化處理，防止危險(xiǎn)轉(zhuǎn)向?qū)嵑Α?/p>

(二)個(gè)人信息的刑法保護(hù)范圍及程度

涉疫情個(gè)人信息范圍的確定是刑法保護(hù)此類法益的前提。針對(duì)不同類型的個(gè)人信息，收集和使用的范圍和方式不盡相同，入罪標(biāo)準(zhǔn)也不盡一致。防疫時(shí)期，個(gè)人信息類型復(fù)雜多樣，有必要順應(yīng)客觀情況的變化，對(duì)不同類型的個(gè)人信息予以不同程度的分級(jí)保護(hù)?！督忉尅穼?duì)個(gè)人信息范圍的規(guī)定采用“概括+列舉”的方式，但所列舉的范圍僅限于一般性的規(guī)定。結(jié)合《規(guī)范》的相關(guān)規(guī)定，疫情時(shí)期收集和利用的個(gè)人信息主要包括以下四類：(1)個(gè)人基本信息；(2)個(gè)人身份信息；(3)個(gè)人位置信息，如行蹤軌跡、家庭住址等；(4)個(gè)人生理信息，如個(gè)人核酸檢測(cè)結(jié)果、因感染的診治信息等。

根據(jù)個(gè)人信息對(duì)法益的影響程度，可以將其分為個(gè)人敏感信息和個(gè)人一般信息。二者的區(qū)別在于泄露、濫用后對(duì)個(gè)人法益的損害程度不同，換言之，個(gè)人敏感信息的泄露、濫用對(duì)被識(shí)別個(gè)體造成的損害遠(yuǎn)大于一般信息，對(duì)信息主體法益影響更大。因此，對(duì)前者的保護(hù)程度要高于后者。為保障公眾對(duì)其所在區(qū)域內(nèi)疫情分布、風(fēng)險(xiǎn)程度的知情權(quán)，以及確保疫情防控部門及時(shí)采取防范措施，需要對(duì)涉疫人員的相關(guān)信息進(jìn)行公開。但涉疫信息的特殊性使其直接關(guān)系著信息主體及其家庭的人身安全和財(cái)產(chǎn)安全，一旦被非法泄露和利用，容易引發(fā)社會(huì)不公正待遇，給信息主體招致難以挽回的損失。實(shí)際上，在此次疫情期間，對(duì)于涉疫人員的“人肉搜索”甚至歧視、謾罵在網(wǎng)絡(luò)上并不罕見，甚至初期從武漢返鄉(xiāng)的健康人員也遭到電話騷擾或威脅，嚴(yán)重影響公民正常生活。

因此，對(duì)個(gè)人敏感信息應(yīng)當(dāng)予以高度的重視與保護(hù)：將個(gè)人身份信息、個(gè)人生理信息、個(gè)人基本信息中的電話和家庭住址作為敏感信息予以特別保護(hù)，在制定涉上述信息的防控措施時(shí)應(yīng)當(dāng)更為審慎；在收集和利用個(gè)人敏感信息時(shí)應(yīng)當(dāng)采取一定的保護(hù)措施，如脫敏處理，使其喪失能夠識(shí)別特定自然人的功能；對(duì)于除電話和家庭住址之外的個(gè)人基本信息以及個(gè)人位置信息，基于疫情防控需要可以適當(dāng)降低保護(hù)程度，予以一定程度的公開。

(三)收集使用個(gè)人信息行為的刑事違法性判斷

侵犯公民個(gè)人信息罪屬于典型的法定犯，刑事違法性的判斷以行為人違反前置性規(guī)范為前提，因此前置性規(guī)范的范圍對(duì)認(rèn)定收集使用行為的刑事違法性至關(guān)重要。

根據(jù)《解釋》第4條，(3)《解釋》第四條：違反國(guó)家有關(guān)規(guī)定，通過購(gòu)買、收受、交換等方式獲取公民個(gè)人信息，或者在履行職責(zé)、提供服務(wù)過程中收集公民個(gè)人信息的，屬于《刑法》第253條之一第三款規(guī)定的“以其他方法非法獲取公民個(gè)人信息”。收集、使用信息行為的非法性以是否違反國(guó)家有關(guān)規(guī)定為判斷標(biāo)準(zhǔn)。從體系解釋的角度看，非法性的認(rèn)定不應(yīng)局限于《解釋》的條文，還應(yīng)當(dāng)結(jié)合《網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定。根據(jù)《網(wǎng)絡(luò)安全法》第41條，(4)《網(wǎng)絡(luò)安全法》第41條：網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息。違反法律、行政法規(guī)和違反雙方約定的都屬于非法獲取，前者具有行政違法性，后者則具有民事違法性。因此，“非法獲取公民個(gè)人信息”的刑事違法性判斷應(yīng)當(dāng)以其行政違法性和民事違法性為前提，分別考察，綜合認(rèn)定，才能更好保護(hù)信息主體的自決權(quán)。

在行政違法性層面上，根據(jù)《解釋》第2條，(5)《解釋》第2條：違反法律、行政法規(guī)、部門規(guī)章有關(guān)公民個(gè)人信息保護(hù)的規(guī)定的，應(yīng)當(dāng)認(rèn)定為《刑法》第253條之一規(guī)定的“違反國(guó)家有關(guān)規(guī)定”?！皣?guó)家有關(guān)規(guī)定”除國(guó)家法律、行政法規(guī)之外，還包括部門規(guī)章?；谧镄谭ǘㄔ瓌t和刑法謙抑性，應(yīng)對(duì)其作限制解釋，排除同級(jí)地方性法規(guī)和地方行政規(guī)章，只應(yīng)限定在部門規(guī)章的范圍。然而，《網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)對(duì)收集、使用公民個(gè)人信息行為的義務(wù)規(guī)范規(guī)定尚不夠明確，難以為侵犯公民個(gè)人信息犯罪的違法性判斷提供必要且充分的依據(jù)。近年來，有關(guān)個(gè)人信息收集使用的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)頒布實(shí)施，這些標(biāo)準(zhǔn)規(guī)范擴(kuò)大了個(gè)人信息的規(guī)制范圍，提高了個(gè)人信息處理的行業(yè)要求，為個(gè)人信息保護(hù)提供了更健全的行業(yè)規(guī)則。《規(guī)范》作為個(gè)人信息安全保護(hù)方面的國(guó)家標(biāo)準(zhǔn)，確立了“正當(dāng)、合法、必要”原則和“公開、明示、最少”原則，對(duì)收集、使用個(gè)人信息行為提出了具體要求，為個(gè)人信息保護(hù)的行業(yè)規(guī)范提供了指引。但是，該規(guī)范不具有法律效力，不宜直接作為認(rèn)定收集、使用個(gè)人信息行為刑事違法性的前置性規(guī)范，否則將導(dǎo)致個(gè)人信息犯罪的打擊面過大，反而不利于個(gè)人信息權(quán)益的刑法保護(hù)。

在民事違法性層面上，《網(wǎng)絡(luò)安全法》第41條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)征得用戶同意并遵循雙方約定收集使用個(gè)人信息，《規(guī)范》也規(guī)定了信息控制主體在開展信息處理活動(dòng)時(shí)，除例外情況，應(yīng)當(dāng)征得信息主體的授權(quán)同意。信息主體知情同意權(quán)是個(gè)人同意他人對(duì)本人信息收集、存儲(chǔ)、處理以及利用的自主決定權(quán)，[16]是法益自決權(quán)的重要內(nèi)容。信息主體知情同意類似于刑法理論中的被害人承諾，具有出罪功能，為信息控制主體收集、利用信息等行為提供合法化依據(jù)。同時(shí)，《規(guī)范》根據(jù)信息種類對(duì)知情同意標(biāo)準(zhǔn)作出區(qū)分，(6)例如，收集個(gè)人一般信息，應(yīng)當(dāng)告知信息主體收集、使用其個(gè)人信息之目的、方式、范圍等，并獲得信息主體的授權(quán)同意；收集個(gè)人敏感信息的，則應(yīng)當(dāng)滿足三個(gè)條件：(1)經(jīng)過信息主體明示同意；(2)信息主體對(duì)信息使用目的、方式、范圍等規(guī)則完全知情；(3)信息主體自主給出的、清晰明確的、具體的意愿表示。違反標(biāo)準(zhǔn)收集、利用個(gè)人信息的，不應(yīng)當(dāng)視為信息主體知情同意，收集、利用行為喪失合法性。例如在疫情期間騙取信息主體的同意、在信息主體拒絕后仍然收集利用或超出授權(quán)范圍收集利用等行為，不視為主體知情同意，不具有合法性。須指出，信息主體的知情同意并不當(dāng)然阻卻收集、使用行為的刑事違法性。信息主體知情同意為信息處理行為提供合法化依據(jù)的前提是收集、利用行為沒有違反前置性法律規(guī)范，即當(dāng)收集、利用個(gè)人信息的行為與國(guó)家利益、社會(huì)公共法益產(chǎn)生沖突時(shí)，仍然可能構(gòu)成侵犯公民個(gè)人信息罪，被害人同意僅可能作為量刑情節(jié)予以考量。

需要注意的是，在民法或行政法上屬于違法的收集行為并不當(dāng)然符合刑事違法性，仍然需要結(jié)合刑法規(guī)定的犯罪構(gòu)成要件予以判斷。如前所述，收集行為的民事和行政合法性，將直接影響著行為的刑事可罰性。因此，在評(píng)價(jià)某一收集行為是否應(yīng)受刑事制裁時(shí)，理應(yīng)先考察其在民法層面和行政法層面的合法性。倘若收集行為符合民法和行政法的規(guī)定，則無需再討論其刑事違法性，否則將可能得出矛盾的結(jié)論，有違法秩序的統(tǒng)一性。但即使是于民法或行政法而言違法的收集行為，也僅僅只具備刑事違法性的可能性，該行為并不必然受到刑法規(guī)制，應(yīng)當(dāng)結(jié)合刑法規(guī)定的具體犯罪構(gòu)成要件進(jìn)一步考察。刑法需要發(fā)揮其自身的保障法作用，對(duì)于收集使用公民個(gè)人信息的民事或行政侵權(quán)行為，只有在具有嚴(yán)重社會(huì)危害性的情況下才予以介入。

四、涉疫情個(gè)人信息刑法保護(hù)的邊界

個(gè)人信息的價(jià)值在于合理使用，因此在保護(hù)個(gè)人信息的同時(shí)，仍應(yīng)允許信息在社會(huì)主體間進(jìn)行流通并合理使用。[17]特殊時(shí)期固然應(yīng)當(dāng)加大對(duì)個(gè)人信息的保護(hù)力度，但刑事手段是一把雙刃劍，不宜過度擴(kuò)大侵犯公民個(gè)人信息罪的適用范圍，否則將不利于疫情防控工作的進(jìn)行，也有違刑法的謙抑性。相反，特殊時(shí)期應(yīng)當(dāng)嚴(yán)格貫徹罪刑法定原則和罪刑相適應(yīng)原則，對(duì)于不符合犯罪構(gòu)成要件的行為予以出罪，堅(jiān)持出罪化思維。[18]

(一)信息主體的知情同意

如前所述，我國(guó)相關(guān)法律、行政法規(guī)及行業(yè)規(guī)范已確立了收集、使用個(gè)人信息的知情同意原則。被收集者知情同意可以視作刑法理論上的被害人承諾，為收集、使用行為的合法性提供依據(jù)，具有一定的出罪化功能。未經(jīng)信息主體同意而收集、使用個(gè)人信息的行為，不必然違反刑法意義上的保護(hù)義務(wù)，因?yàn)榉刹粌H保護(hù)公民個(gè)人信息的知情同意權(quán)，還要對(duì)個(gè)人信息的合理使用、分享和處理加以保護(hù)；反之，經(jīng)個(gè)人信息主體同意的收集、使用行為并不當(dāng)然阻卻刑事違法性，當(dāng)收集、使用個(gè)人信息的行為違反前置性法律法規(guī)或部門規(guī)章時(shí)，或與國(guó)家利益、公共利益相沖突時(shí)，即便信息主體對(duì)收集、使用行為作出同意的意思表示，也不能排除收集、使用行為的刑事違法性。

(二)信息控制者的合法使用

在大數(shù)據(jù)時(shí)代，行政機(jī)關(guān)和其他主體的工作越來越多地依靠現(xiàn)代科學(xué)技術(shù)。疫情防控期間，行政機(jī)關(guān)和其他主體借助APP、二維碼等技術(shù)手段廣泛而迅速地收集個(gè)人行蹤軌跡等信息，及時(shí)排查確診或疑似患者、密切接觸人群，并采取隔離觀察等措施，為高效防疫作出突出貢獻(xiàn)?！兑?guī)范》5.6規(guī)定了十一種信息主體知情同意原則的例外，即允許個(gè)人信息控制主體越過信息主體同意而收集、利用信息的情形。據(jù)此，以下幾類可為政府部門在疫情時(shí)期直接收集、利用個(gè)人信息提供合法性依據(jù)：(1)為維護(hù)公共安全、公共衛(wèi)生、重大公共利益而收集利用涉疫人員個(gè)人信息的；(2)為維護(hù)涉疫人員的生命、財(cái)產(chǎn)等重大合法權(quán)益但難以得到本人同意的；(3)為政府公開疫情實(shí)況等信息、疫苗研發(fā)等科研活動(dòng)、學(xué)術(shù)研究、新聞報(bào)道等收集利用個(gè)人信息的；(4)為刑事訴訟目的而收集利用犯罪嫌疑人信息的；(5)為履行法律法規(guī)規(guī)定職能的。

但同時(shí)需要注意，疫情期間政府為風(fēng)險(xiǎn)治理掌握大量公民個(gè)人信息，行政機(jī)關(guān)并非是純粹的個(gè)人信息的保護(hù)者和監(jiān)管者，也可能是信息的獲取者和非法使用者。[19]行政機(jī)關(guān)與公民個(gè)人之間的信息不對(duì)稱現(xiàn)象突出，加之當(dāng)前我國(guó)保護(hù)個(gè)人信息的法律體系中主要針對(duì)的是商業(yè)機(jī)構(gòu)而非行政機(jī)關(guān)，為公權(quán)力機(jī)關(guān)侵犯公民個(gè)人信息留下空間。[20]因此，即使是疫情防控的特殊時(shí)期，政府也不能無節(jié)制地收集利用個(gè)人信息，個(gè)人信息的安全保護(hù)始終是信息利用的前提，也是對(duì)政府行使公權(quán)力的限制。

(三)去識(shí)別化處理

根據(jù)《網(wǎng)絡(luò)安全法》第42條第1款的規(guī)定，去識(shí)別化，或稱匿名化，是指對(duì)個(gè)人信息數(shù)據(jù)采取“脫敏”“漂白”等技術(shù)手段處理，從而使其喪失定位到特定主體的可識(shí)別性，在保留信息利用價(jià)值的同時(shí)，降低信息泄露或非法利用可能給信息主體造成的風(fēng)險(xiǎn)。[21]該規(guī)定為個(gè)人信息匿名化提供了法律依據(jù)，去識(shí)別化可以被視為數(shù)據(jù)利用過程中的出罪化行為。

從法律的表述上看，去識(shí)別化處理應(yīng)當(dāng)具有三個(gè)要素：一是對(duì)個(gè)人信息去識(shí)別的技術(shù)手段，即技術(shù)要素；二是處理后的個(gè)人信息不能定位特定主體，此為目的要素；三是處理后個(gè)人信息不能復(fù)原。由于目前我國(guó)尚未確立個(gè)人信息去識(shí)別化的規(guī)則，疫情防控中涉疫人員的信息去識(shí)別化也沒有統(tǒng)一標(biāo)準(zhǔn)。本文認(rèn)為，在制定技術(shù)標(biāo)準(zhǔn)時(shí)，可以圍繞降低再識(shí)別風(fēng)險(xiǎn)的必要過程來進(jìn)行設(shè)計(jì)，對(duì)不同的再識(shí)別風(fēng)險(xiǎn)進(jìn)行評(píng)估，進(jìn)而采取相應(yīng)的匿名化技術(shù)。[22]個(gè)人信息的再識(shí)別風(fēng)險(xiǎn)越高，越應(yīng)當(dāng)采取更嚴(yán)格的去識(shí)別化標(biāo)準(zhǔn)。對(duì)個(gè)人信息的再識(shí)別風(fēng)險(xiǎn)進(jìn)行評(píng)估時(shí)，應(yīng)當(dāng)注意以下兩個(gè)影響因素：(1)再識(shí)別風(fēng)險(xiǎn)程度受個(gè)人信息種類的影響。根據(jù)歐盟法對(duì)個(gè)人信息的規(guī)定，“識(shí)別”是核心要素，包括“被識(shí)別”和“可識(shí)別”。前者是指根據(jù)正在處理的個(gè)人信息已經(jīng)直接識(shí)別到信息主體的身份，如新冠病毒感染者、密切接觸者等特定人群的姓名、身份證件號(hào)碼、生物識(shí)別信息，后者則是指根據(jù)正在處理的信息無法直接識(shí)別到特定自然人，需要與其他信息結(jié)合才能進(jìn)行識(shí)別，如性別、位置信息、行蹤軌跡等。顯然，可直接識(shí)別的個(gè)人信息的再識(shí)別風(fēng)險(xiǎn)極高，在去識(shí)別化處理中應(yīng)當(dāng)直接刪除或替換。而僅能間接識(shí)別的個(gè)人信息的再識(shí)別風(fēng)險(xiǎn)低，在疫情防控中發(fā)揮著追蹤密切接觸者、疫情監(jiān)測(cè)等重要的利用價(jià)值，可以適當(dāng)保留，在確保個(gè)人信息安全的同時(shí)保障公眾知情權(quán)的實(shí)現(xiàn)。(2)再識(shí)別風(fēng)險(xiǎn)程度受信息接收者不同的影響。需要向社會(huì)公眾公布的信息顯然再識(shí)別風(fēng)險(xiǎn)很高，應(yīng)當(dāng)采取最嚴(yán)格的去識(shí)別化標(biāo)準(zhǔn)。而對(duì)于僅供公權(quán)力機(jī)關(guān)內(nèi)部和科研機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)等主體用于疫情防控、分析研究、保管留存的信息，與信息控制主體約定限制使用條款等即可實(shí)現(xiàn)風(fēng)險(xiǎn)防控的目的，因此可以放寬去識(shí)別化的標(biāo)準(zhǔn)。[23]

綜上，出于防控疫情和社會(huì)治理的需要，對(duì)個(gè)人信息的保護(hù)應(yīng)當(dāng)是有限度的，不應(yīng)對(duì)信息控制者的收集和利用行為過分苛責(zé)，對(duì)于征求信息主體知情同意的、合法收集使用的、采取去識(shí)別化技術(shù)處理的等具有合法依據(jù)的行為，應(yīng)當(dāng)作出罪化處理。

五、結(jié)語

重大傳染病防控期間，個(gè)人信息的權(quán)利保護(hù)與價(jià)值利用必須在法治軌道上運(yùn)行。[24]法律在強(qiáng)調(diào)個(gè)人信息保護(hù)的同時(shí)，也要注重保護(hù)限度，處理好涉疫情信息保護(hù)與信息利用之間的關(guān)系，堅(jiān)持在比例原則的指引下尋求個(gè)人法益與公共法益之間的價(jià)值平衡。既要防止疫情時(shí)期個(gè)人信息權(quán)利無限度地讓步于公共衛(wèi)生安全，也要警惕法律對(duì)個(gè)人信息保護(hù)的過度膨脹，實(shí)現(xiàn)個(gè)人權(quán)利自由、社會(huì)公共利益、國(guó)家信息安全之間的價(jià)值平衡，構(gòu)建和完善個(gè)人信息保護(hù)的法律體系，為防控疫情提供有效的法律保障。