疫情期间，各种突发事件产生，为更好地普及相关法律法规常识，云南省司法厅、云南省普及法律常识办公室组织全省律师开展了一系列疫情期间的法律服务活动。

一份份由云南律师们编撰的“新冠肺炎疫情期间法律法规知识问答”由此产生。今天，云南勤业律师事务所的律师就为大家具体分析疫情期间，与那些被泄露了的个人信息相关的法律知识，供大家了解、参考！

案例检视：恐慌不止来源于病毒

新冠肺炎疫情的出现，给人们带来了巨大的恐慌。为控制疫情，全国各地展开个人信息报告、活动监管。一时间，各类感染患者、疑似病例、武汉返乡人员、往来疫区人员信息在网络上、各种亲友群、同事群、老乡群中流传开来，所载内容可能包括姓名、身份证号、手机号码、住址、工作单位、就读学校、返乡日期、民航或火车班次、座位号、入住酒店、活动轨迹、车牌号中数项不等，个人信息保护再次成为热点话题。

法条探寻：法律如何保护个人信息

笔者认为，弄清我国目前个人信息保护的法律规定，应当是参与前述话题讨论的前提。

根据《网络安全法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等规定，公民个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

从该定义可知，判断某条信息是否包含公民个人信息，关键在于其是否足以指向了某名特定的自然人。

如下图两份披露新冠肺炎确诊病例的信息，左图中直接指出了该名特定患者本人和其家庭成员，显然已包含公民个人信息，右图中则即使提及了活动轨迹等信息但并未指向任何特定的个人，则不属于公民个人信息。

而如左图这般冷漠的曝光患者个人信息，真的是疫情防控所必要的吗？又是法律所允许的吗？

2020年2月4日中央网络安全和信息化委员会办公室发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》明确给出了答复：“任何单位和个人未经被收集者同意，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息，因联防联控工作需要，且经过脱敏处理的除外。”

事实上，该《通知》仅系对疫情防控中公民个人信息保护的再次重申，我国公民信息保护早已有法可依。

不可否认，在经济飞速发展和信息网络快速普及之下，我国曾经历过个人信息保护的立法缺失，侵害公民个人信息问题突出，不仅导致滋扰型“软暴力”泛滥，甚至成为电信诈骗、网络诈骗、敲诈勒索、暴力追债等信息犯罪的根源。

基于形势之严峻，我国个人信息保护立法发展呈现出先刑后民的特点：

2009年2月28日起施行的《刑法修正案（七）》成为首部正式提出个人信息保护的法律，其中新设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，直接将个人信息保护纳入刑事规制范围；

随后，2012年12月28日通过施行的《全国人民代表大会常务委员会关于加强网络信息保护的决定》、修改后于2014年3月15日起施行的《消费者权益保护法》、2016年11月7日施行的《网络安全法》等，陆续在各部门法中对公民个人信息保护进行规范；

2017年3月15日，《民法总则》（自2017年10月1日起施行）中正式确立了个人信息的独立民事权利地位；

2017年12月29日，国家标准化管理委员会发布国家标准GB/T35273-2017《信息安全技术个人信息安全规范》（自2018年5月1日起施行），规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为。

至此，我国已构建起个人信息保护的多元法律体系。

刑事规制

根据《刑法》第二百五十三条之一以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定，以下三类行为均为法律所禁止的侵犯公民个人信息行为（A、禁止性行为）：

A1．向他人出售或者向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息；

【案例：据山西临汾市警方消息，1月29日15时许，网民姚某以网民“cora”身份擅自将微信内部工作群中严禁转发的“35名密切接触者名单”（名单内容涉及姓名、身份证号、家庭住址等公民个人信息）转发至其小区业主微信群中，引发网民大量转发】

A2.未经被收集者同意，将合法收集的公民个人信息向他人提供的，但是经过处理无法识别特定个人且不能复原的除外；

【案例：据鄂尔多斯东胜公安网安部门调查，2月1日，东胜区某社区卫生服务中心工作人员将涉疫情排查人员名单发送至内部工作群开展工作，被群内的王某擅自将内部微信工作群中严禁转发的涉疫情排查人员名单对外转发至3个社会群众微信群，引发网民大量转发。】

A3.窃取或者以其他方法非法获取公民个人信息（违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息）。

【案例：据文山市公安局2月3日消息，经调查认定文山州人民医院文某、谢某、关某利用工作便利，私自拍摄患者相关信息散布，文山市人民医院刘某、余某通过微信转发传播。】

实施上述行为，具有下表所列情节之一的，将构成“侵犯公民个人信息罪”，并面临相应刑罚处罚，归纳而言主要包括：

被他人用于犯罪（该种情形并无提供个人信息条数的限制，哪怕仅提供过一条也可能构成犯罪）；

达到数量标准（行踪轨迹等50条、住宿信息等500条、其他信息5000条，向不同单位或者个人分别出售、提供同一公民个人信息的公民个人信息数量累计计算，可见将包含众多个人的姓名、住址等信息的名单发送到不同微信群、QQ群的行为很容易就将达到定罪数量标准）；

达到违法所得标准（五千元，为合法经营非法获取获利五万元）；

将在履行职责或提供服务中获得的信息违法提供的则定罪数量或数额标准减半且依法从重处罚（行踪轨迹等25条、住宿信息等250条、其他信息2500条）；

侵犯公民个人信息累犯（曾受刑事处罚或二年内受行政处罚）。

B.严重情节（处三年以下有期徒刑或者拘役，并处或者单处罚金）

（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；

（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；

（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；

（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；

（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；

（七）违法所得五千元以上的；

（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；

（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；

（十）其他情节严重的情形：

1.为合法经营活动而非法购买、收受第三项、第四项规定以外的公民个人信息，具有下列情形之一的：

（1）利用非法购买、收受的公民个人信息获利五万元以上的；

（2）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的。

C.特别严重情节（处三年以上七年以下有期徒刑，并处罚金）

（一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；

（二）造成重大经济损失或者恶劣社会影响的；

（三）数量或者数额达到前款第三项至第八项规定标准十倍以上的；

（四）其他情节特别严重的情形。

【案例：2月8日，涟水警方破获全市首例涉及疫情防控的侵犯公民个人信息刑事案件，抓获犯罪嫌疑人薛某。】

行政责任

正如上文所述，我国系由刑法先于其他部门法明确了侵犯公民个人信息犯罪的界限，再通过刑法的积极适用防止侵犯公民个人信息违法犯罪行为的蔓延，因此，实施上述A项所列侵犯公民个人信息行为，即使尚未达到B、C项所列犯罪标准的，也将被追究相应违法责任，其中较为常用的法规如：

《治安管理处罚法》第四十二条规定，偷窥、偷拍、窃听、散布他人隐私的，处五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款。

最近，部分地区已对疫情防控中泄露个人信息、侵犯隐私行为予以治安处罚：如据报道，上述A1案例中姚某已被处以行政拘留五日；A2案例中王某已被处以行政拘留十日；A3案例中文某、余某、刘某、谢某已被处以行政拘留10日，并处罚款500元，关某被处以罚款500元。

《网络安全法》第六十四条规定，网络运营者、网络产品或者服务的提供者违反法律规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

《消费者权益保护法》第五十条、第五十六条规定，经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的，除应当承担停止侵害、恢复名誉、消除影响、赔礼道歉、赔偿损失等民事责任外，其他有关法律、法规对处罚机关和处罚方式有规定的，依照法律、法规的规定执行；法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照。

《传染病防治法》第六十八、第六十九条规定，疾病预防控制机构、医疗机构违反规定，故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的，由县级以上人民政府卫生行政部门责令限期改正，通报批评，给予警告；造成传染病传播、流行或者其他严重后果的，对负有责任的主管人员和其他直接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书。

民事责任

2017 年10 月1 日起施行的《民法总则》第一百一十一条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”自此，个人信息的民事法律保护从隐私权概念中独立出来（隐私权是指自然人享有的私人生活安宁与私人生活信息依法受到保护，不受他人侵扰、知悉、使用、披露和公开的权利，个人信息与隐私权的概念存在一定的重合，但一些侵犯个人信息如姓名、性别等的行为未必构成侵犯隐私），任何个人信息遭受泄露的公民有权直接依据该条为请求权基础，向侵权人请求承担该法第一百七十九条规定的停止侵害、消除影响、恢复名誉、赔礼道歉、赔偿损失等民事责任。根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十七条规定，侵害公民个人信息的赔偿损失范围可包括精神损害赔偿。

路径选择：如何保护个人信息

1. 公民个人审慎提供个人信息

公民应当提高防范意识，不随意填写个人信息。

首先，在不同的法律关系下，基于不同的特定目的，法律所规定的有权收集公民个人信息的主体也不相同，在被要求提供个人信息时，我们有权对收集信息主体的适格性进行审查，仅向获得法律明确授权或其他有权收集主体授权的主体提供个人信息；

其次，《信息安全技术个人信息安全规范》以及《消费者权益保护法》《网络安全法》等均规定了收集个人信息应当坚持合法、正当、必要原则，对于超出为实现特定目的所必需范围以外的信息我们有权提出异议或拒绝提供。

2. 企业加强个人信息安全管理  

企业如为疫情防控等各特定目的需收集员工个人信息的，应当强化个人信息安全保障和披露管理。

首先，应准确界定所收集信息的使用目的并如实向员工告知（尤其收集后需向上级单位等第三方提供的情况），严格确保所收集信息确仅用于该特定目的；

其次，确定专人访问和管理相关信息，并与其签订保密协议提示相关保密义务和责任；

再次，所收集的个人信息未经本人同意不得公开或向其他单位共享姓名、性别、身份证号码、电话号码、家庭住址等个人信息，当确需对外提供信息时应当按照必要性原则先进行去标识化处理等技术措施，避免不必要地披露相关人员的个人信息。

3.提高意识正当合法传播信息  

公民当发现自己所看到的信息涉及他人个人信息时，不能径直转发。

首先，善意提醒发送者撤回重新发送仅属于交流事项所必要的信息；

在需传播、转发的信息中涉及他人个人信息时，应当按照必要性原则，采取匿名化、去标识化的转发方式，以免造成侵权；

确需提供他人个人信息的（尤其涉及众多人员个人信息的名单、表格时）需征得本人同意，合理选择传播方式，如仅需纸质文件即可的便不发送电子资料。 

4. 被侵权时及时固定相应证据

公民发现他人未经本人同意传播个人信息的，可向相关侵权人要求停止侵权并删图删帖，及时固定证据，如QQ、微信等即时通讯工具聊天记录、论坛、贴吧、电子邮件、手机短信记录等电子数据，同时向“中国互联网违法和不良信息举报中心”举报。

若是App非法收集、公开披露个人信息还可以通过“App个人信息举报”微信公众号进行举报。

如果已造成恶劣传播，严重影响，也可直接向派出所报警。

不久前，全国人大常委会法工委发言人岳仲明在2019年12月20日举行的第三次记者会上介绍，个人信息保护法已列入2020年立法工作计划。而在立法工作不断完善的同时，我们更需要的是公民树立“边界意识”，尊重他人个人信息权益，避免伤害与被伤害的循环。请让我们保持冷静与理智，以团结的姿态坚定应对这场战“疫”，不再给他人造成次生伤害。（作者：段继骧 刘峻宇    文中相关网片来自网络）

来源 云南普法

责编 马寅瑞

审核 马永虎