当前位置： HOME 行通动态行通原创疫情防控面临的个人信息保护问题

疫情防控面临的个人信息保护问题

为抗击疫情，全国开展个人信息登记制度。现在只要在小区、商场、超市、车站、机场、办公楼进出口等公共场所，都要回答值班人员的“灵魂三问”——“你是谁？你从哪里来？你要到哪里去？”然后深情一“枪”，看你的头脑是否发热。近期，随着各行各业的陆续复工，疫情防控工作面临不小的挑战。全国各地都在积极出台信息登记政策，并不断优化登记方式，从线下记录到线上扫码登记，群防群治网将会越织越密。我们欣喜地看到信息化时代为疫情防控提供了极大便利，但同时产生的个人信息保护问题也引发关注，今天我们就来梳理疫情防控下个人信息保护的五个关键问题。

一什么是个人信息

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等，以上信息均为个人信息。但同时《个人信息安全规范》中还将个人敏感信息进行界定，个人敏感信息具体包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

法律依据：

※《电信和互联网用户个人信息保护规定》第四条规定：“用户个人信息，指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”

※《中华人民共和国网络安全法》第七十六条第五款规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

二疫情防控背景下，哪些部门有权收集个人信息

2020年2月4日，中央网络安全和信息化委员会办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，通知规定只有国务院卫生健康部门依据《中华人民共和国网络安全法》、《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》授权的机构有权收集个人信息。

因此，在疫情防控期间有权收集相关个人信息的部门为卫生健康部门、疫病预防控制机构、医疗卫生机构，以及县级以上人民政府、突发事件应急指挥部通过突发事件应急预案、传染病防控方案、应急决定等授权街道、乡镇、居民委员会、村民委员会等，协助收集并报告相关信息，相关企业、学校、园区管理机构、公共服务组织等如经前述主管、授权机构要求配合收集、提供相应个人信息的,也应当予以配合。为尽快取得抗疫胜利，有权收集个人信息的部门非常广泛，但并非任何单位均有权向我们收集信息，除上述规定的部门外，在被收集个人信息时，可以要求其提供相应授权后再行配合提供个人信息，避免个人信息被非法采集。

法律依据：

※《突发公共卫生事件应急条例》第四十条规定：“传染病暴发、流行时，街道、乡镇一级居民委员会、村民委员会应当组织力量、团结协作、群防群治、协助卫生行政主管部门和其他部门做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作，向居民、村民宣传传染病防治相关知识。”

※《中华人民共和国传染病防治法》第二十条第一条第二款规定：“县级以上地方人民政府应当制定传染病预防、控制预案，报上一级人民政府备案。传染病预防、控制预案应当包括以下主要内容：……（二）传染病的监测、信息收集、分析、报告、通报制度；……。”

※《中华人民共和国突发事件应对法》第三十七条的规定：“县级以上地方人民政府应当制定传染病预防、控制预案，报上一级人民政府备案。传染病预防、控制预案应当包括以下主要内容：……（二）传染病的监测、信息收集、分析、报告、通报制度；……。”国家各级卫生健康部门、医疗卫生机构、疫病预防控制机构具有对突发公共卫生事件相关信息的收集的职责与义务；第三十八条第一款规定：“县级以上人民政府及其有关部门应当通过多种途径收集突发事件信息。”

三为疫情防控目的收集个人信息是否需征得个人同意

在我国非常重视对个人信息的保护问题，因此一般情形下，对个人信息的收集、使用等行为均需要个人信息主体的授权同意方可进行。但在疫情背景下，因涉及公共利益，收集、使用个人信息无需征得个人信息主体的授权同意，在收到疾病预防控制机构、医疗机构等权力部门的调查要求后，个人必须如实上报个人信息，不能因个人信息保护拒绝上报。

若企业收到权力部门要求进行与疫情相关的个人信息的收集、排查和报送，属于履行法定义务，符合上述征得授权同意的例外情形，系个人信息保护的一些基本要求在疫情背景下让位于公共安全的情况，可以不经个人同意收集个人信息。但具体操作过程中要慎重，尤其采集个人敏感信息时尽可能做到说明和告知义务，能获得授权的还是尽量取得，一方面为维护企业的公众信誉，另一方面也是最大限度避免企业遭受不必要风险。

法律依据：

※《中华人民共和国传染病防治法》第十二条规定：“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。”

※《突发公共卫生事件应急条例》第四十条规定：“传染病暴发、流行时，街道、乡镇以及居民委员会、村民委员会应当组织力量，团结协作，群防群治，协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作，向居民、村民宣传传染病防治的相关知识。”

※《信息安全技术个人信息安全规范》“5.4征得授权同意的例外：以下情形中，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意，（b）与公共安全、公共卫生、重大公共利益直接相关的。”

四信息收集部门能否向公众披露为疫情防控而采集的个人信息

公开披露指的是向社会或不特定人群发布信息的行为。个人信息原则上不得公开披露。尤其是不得公开披露个人生物识别信息。权力部门疾病预防控制机构、医疗机构公布疫情的目的是为了让公众了解疫情发展情况，不等于公布患者个人信息，披露时可将所涉及人员的名字、具体门牌号等个人专属信息隐去，仅公开能反映疫情路径和态势的信息即可。

对企业而言，披露不是其向个人采集相关信息的目的。企业不是披露任何疫情信息的法定主体，也不存在为公共安全、公共卫生、重大公共利益而由其披露个人信息的必要。因此企业不能披露其为疫情防控目的采集的个人信息。疾病预防控制机构、医疗机构依法掌握的涉及传染病病人、病原携带者、疑似传染病病人、密切接触者，包括集中医学观察人员、居家医学观察人员等有关信息、资料中涉及个人隐私（信息）部分，公开时应当按信息安全规范脱敏处理，否则依法不能对外公开。

法律规定：

※《中华人民共和国传染病防治法》第十二条规定：“在中华人民共和国领域内的一切单位与个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”

※《中华人民共和国传染病防治法》第六十八条规定：“疾病预防控制机构违反本法规定，有下列情形之一的，由县级以上人民政府卫生行政部门责令限期改正，通报批评，给予警告；对负有责任的主管人员和其他直接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书；构成犯罪的，依法追究刑事责任：（五）故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的。”

五披露为疫情防控而采集的个人信息，应承担何种法律责任

法律对于非法获取、使用、泄露公民个人信息的行为是零容忍的态度，一旦发生泄露个人信息的情形，则会根据泄露情况受到民事、行政、刑事不同程度的法律惩罚措施。

首先是民事责任，根据《中华人民共和国民法总则》第一百一十一条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”，违反信息保护相关法律规定侵犯他人合法权利的，应承担相应民事责任。

其次是行政责任。如《中华人民共和国网络安全法》中，多处强调违反规定会受到行政处罚，并在法律责任一节中也设立了相应的行政处罚决定。

最后是刑事责任。违法出售公民个人信息触犯《中华人民共和国刑法》的规定，故意泄露个人隐私信息触犯《传染病防治法》的相关规定，构成刑事犯罪的，依法承担刑事责任。

法律依据：

※《中华人民共和国刑法》第二百五十三条规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

※《中华人民共和国传染病防治法》第十二条规定：“疾病预防控制机构和医疗机构故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的，对负有责任的主管人员和其他直接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书；构成犯罪的，依法追究刑事责任。”

信息化时代，完整、及时的疫情信息公开，使人们对新型冠状病毒肺炎疫情更好的了解，促进大家积极配合相关部门的疫情排查工作，做好信息登记，避免疫情再度扩散，若因此造成个人信息泄露则得不偿失。因此希望信息收集部门严控信息安全，防止信息泄露，做好公民个人信息的保密工作，对个人隐私采取去标识化处理，避免因信息泄露给公民造成二次伤害。

安危与共，众志成城，战胜病毒，春暖花开。

END

天津律师

王欣宇，天津行通律师事务所党总支第二支部书记、团总支书记、民商法务部执业律师。执业期间主要从事民商领域法律工作，承办大量婚姻家事、民间借贷、建设工程、公司合同等诉讼案件，为多家政府、企事业单位提供优质的常年法律顾问服务，并配合政府、企业开展多场法律知识讲座。

王欣宇律师的服务宗旨是最大限度维护当事人的合法权益，恪守律师职业道德，以当事人的信赖为本则，以良好的律师形象、高度的敬业精神、求实的理论功底、丰富的办案经验，为客户提供优质的法律服务。

疫情防控面临的个人信息保护问题

行通原创

联系我们

关注我们 Contact Us

了解我们 About Us