王志杰

一、問題緣起

自新型冠狀病毒疫情暴發(fā)以來，大數(shù)據(jù)技術(shù)利用海量的個人信息在疫情態(tài)勢預(yù)測、人員流動管理、疫苗研發(fā)、診斷方案改善、復(fù)工復(fù)產(chǎn)等多方面都發(fā)揮了積極作用（詳見表1）。

由表1可知，大數(shù)據(jù)在助力疫情防控的過程中，個人的身份證號、聯(lián)系方式、家庭人員、財產(chǎn)賬戶、就診記錄、出行信息、健康狀況等大量個人信息被收集、使用和公開。這些個人信息可分為六類：由地方教育部門掌握的武漢高校學(xué)生名單；由公安部門掌握的交通數(shù)據(jù)；由基層工作人員和物業(yè)逐戶登記的手機(jī)號、身份證號、近期行程等數(shù)據(jù)；由電信運(yùn)營商通過手機(jī)信令掌握的客戶24小時定位信息；由互聯(lián)網(wǎng)公司掌握的人口流動數(shù)據(jù)、住址等信息；由醫(yī)療機(jī)構(gòu)、疾病防控部門掌握的患者的健康信息和醫(yī)療就診信息。[1]

然而，由于法治意識淡薄、缺乏信息分享監(jiān)督機(jī)制、缺乏統(tǒng)一的收集數(shù)據(jù)標(biāo)準(zhǔn)、安全技術(shù)有漏洞、缺乏公開信息的規(guī)范、公民的恐慌情緒等等，這些數(shù)據(jù)控制方在收集、使用、公布個人信息的過程中存在很大的個人信息安全隱患。例如，2020年1月24日，山西臨汾姚某因擅自在微信群散發(fā)密切傳播者名單被拘留；1月27日，江西宜豐兩名干部因泄露湖北返鄉(xiāng)人員名單被政務(wù)立案；1月30日，湖南一區(qū)衛(wèi)生局局長涉嫌泄露患者隱私被立案調(diào)查；2月8日，江西漣水警方抓獲利用疫情收集個人信息來犯罪的嫌疑人薛某某等等，個人信息安全被侵害的程度可見一斑。

被泄露的個人信息在疫情發(fā)酵下宛如一張張“通緝令”，給信息主體的人身與財產(chǎn)安全、心理健康等都帶來了很大危害，也影響著疫情防控后續(xù)采集信息的效率和準(zhǔn)確度，不利于早日戰(zhàn)勝疫情。那么這些數(shù)據(jù)控制方是否有權(quán)收集、使用、公布這些個人信息呢？個人信息面臨著些什么具體風(fēng)險及如何防控之？被侵權(quán)后有什么救濟(jì)途徑?本文擬予探討,期能為疫情防控背景下個人信息的保護(hù)提供一個合理的路徑。

表1 大數(shù)據(jù)在疫情防控中發(fā)揮的積極作用

二、疫情防控下個人信息的法益及其界定

（一）個人信息的法益

個人信息所涉的法益復(fù)雜：既有財產(chǎn)法益，也有人格法益；既有積極權(quán)能，也有消極權(quán)能。[2]

1.人格權(quán)。

第一，隱私權(quán)。個人信息的保護(hù)對隱私權(quán)至關(guān)重要：首先，私密信息一般與信息主體有著很強(qiáng)的特定聯(lián)系，具有很高的可識別性，被包括在個人信息之中；其次，大數(shù)據(jù)時代，數(shù)據(jù)挖掘、用戶畫像等技術(shù)的發(fā)展，使不具有私密性的個人信息也存在泄露隱私的風(fēng)險。

第二，人格尊嚴(yán)權(quán)、名譽(yù)權(quán)、平等權(quán)。個人信息的泄露會導(dǎo)致信息主體的性別、地址、生理健康信息等被他人掌握。疫情下恐慌情緒和焦慮情緒的蔓延，使信息主體可能被等同視為“病毒”，遭受旁人或社會的排擠、歧視、人身攻擊、侮辱等，其人格尊嚴(yán)權(quán)、名譽(yù)權(quán)、平等權(quán)會遭到嚴(yán)重侵犯。

第三，人格的自由發(fā)展權(quán)。一方面，公民自主使用個人信息本就是其人格自由發(fā)展的一個體現(xiàn)。[3]信息主體有權(quán)決定個人信息使用的方式、范圍、內(nèi)容；另一方面，如何使用個人信息的自我判斷，是實現(xiàn)人格自由發(fā)展的關(guān)鍵。個人信息過度暴露，在與外部環(huán)境的互動過程中必然會受到更多影響，嚴(yán)重者甚至?xí)豢刂?，人格自由自然會被限制?/p>

2.人身和財產(chǎn)權(quán)。

個人信息的可識別性和社交關(guān)聯(lián)性為某些不法之徒制造了違法犯罪的機(jī)會：通過信息主體的聯(lián)系方式，可以很方便地實施電信詐騙、敲詐、恐嚇；利用信息主體的身份證號和賬戶信息可以實施盜竊銀行卡、銀行卡；利用信息主體的地址可以實施綁架、搶劫、盜竊、殺人等。可見，個人信息的不當(dāng)暴露使信息主體的人身和財產(chǎn)都危機(jī)四伏。

（二）個人信息的界定

由國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布的《個人信息安全規(guī)范（2020年）》這一國家標(biāo)準(zhǔn)中，將“個人信息”界定指為可以識別信息主體身份或者反映信息主體活動狀況的信息。①據(jù)此，個人信息的關(guān)鍵特征為“可識別性”，包括直接可識別和間接可識別（即與其他信息結(jié)合后可識別）的信息。故，在疫情防控中泄露的個人信息，諸如個人身份證號、家庭住址、手機(jī)號碼、活動范圍等無可爭議地屬于法律保護(hù)的“個人信息”。

個人信息又分為敏感信息和非敏感信息。敏感信息和非敏感信息的區(qū)別在于“場景的不同”：信息所泄露的場景是否會給個人的人身、財產(chǎn)、心理帶來負(fù)面影響。如上文所述，疫情蔓延的背景下，個人信息主體的人格權(quán)、人身安全、財產(chǎn)安全等法益都面臨著嚴(yán)峻的威脅，因此應(yīng)該界定涉疫情人員的相關(guān)個人信息為“敏感信息”而予以特殊保護(hù)。

三、疫情防控下處理個人信息的法理分析

由前文可知，個人信息涉及隱私、尊嚴(yán)、安全等法益，具有人格權(quán)和財產(chǎn)權(quán)雙重屬性，保護(hù)個人信息安全是法治的應(yīng)有之義。大數(shù)據(jù)時代，個人信息被侵害的風(fēng)險空前加劇，各國在法律上紛紛完善個人數(shù)據(jù)保護(hù)法規(guī)。那么，我國法律在處理個人信息時應(yīng)遵循什么的基本原則？在疫情防控期間，個人信息保護(hù)是否存在例外條款？相關(guān)機(jī)構(gòu)、人員在疫情防控期間對個人信息的收集、利用、公開是否有法律依據(jù)？這是本文需要討論的重要內(nèi)容。

（一）個人信息處理的基本原則——“知情同意”

現(xiàn)行法中處理個人信息的主要合法性基礎(chǔ)是——“同意原則”（詳見表2）。

由此可見，知情同意原則，是我國個人信息保護(hù)的核心條款和基本原則。其具體有三個要素：一是事先同意，即任何主體要收集、利用、披露個人信息都應(yīng)該先取得信息主體的同意；二是明示同意為原則，默示同意為例外，其中敏感信息必須取得明示同意；三是充分告知，即只有信息主體充分了解信息所收集、處理、披露的內(nèi)容、范圍、方式和可能的后果之后而允諾的同意，才是有效的。

但是，知情同意原則是不是處理個人信息的唯一一個合法性基礎(chǔ)？特別是在疫情防控中，是否有知情同意原則的例外呢？

（二）疫情防控下“知情同意”原則的例外

1.目的正當(dāng)性。

如前述表1所示，大數(shù)據(jù)技術(shù)利用個人信息在疫情防控的各領(lǐng)域發(fā)揮了至關(guān)重要的作用。疫情防控具有著極高的急迫性，而疫情所涉人員眾多，逐一獲取信息主體的同意顯然是不現(xiàn)實的。對信息主體而言，生命健康權(quán)較個人信息權(quán)有優(yōu)先性；對公共利益而言，在矛盾的情況下較個人利益有優(yōu)先性。因此，疫情防控應(yīng)構(gòu)成“知情同意”原則的例外情形，因其具有目的正當(dāng)性。

2.法律合法性。

目的正當(dāng)性并不構(gòu)成個人信息處理“知情同意原則”例外情形的充分理由，同時有法律上的依據(jù)（詳見表3）。

綜上，法律層面上，《傳染病防治法》《突發(fā)事件應(yīng)對法》和《突發(fā)事件應(yīng)急條例》授予縣級以上政府、醫(yī)療單位、疾病預(yù)防控制機(jī)構(gòu)等在疫情防控時使用個人信息的權(quán)利，并要求個人配合；行業(yè)標(biāo)準(zhǔn)層面上，《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》和《個人信息安全規(guī)范》（以下簡稱“相關(guān)行業(yè)標(biāo)準(zhǔn)”）也將涉及公共安全、公共衛(wèi)生、重大公共利益列為“同意原則”的例外場景。疫情防控構(gòu)成處理個人信息“同意原則”的例外情形，具有合法性基礎(chǔ)。

四、疫情防控不同階段個人信息的風(fēng)險問題

疫情防控雖然在法律上構(gòu)成“同意原則”的例外情形，為抗擊疫情提供了支持，但是一些配套規(guī)范的缺失卻給信息安全保護(hù)帶來了很大風(fēng)險。

（一）在信息采集階段的風(fēng)險

第一，采集主體不適格。由前述表2可知，我國《傳染病防治法》《突發(fā)事件應(yīng)對法》《突發(fā)公共事件應(yīng)急條例》（以下簡稱“相關(guān)法律”）未授予縣級以下政府及有關(guān)部門收集個人信息的權(quán)力。疫情防控實踐中，村/居委會、物業(yè)、街道辦等組織卻都享有個人信息的采集權(quán)，且未明確這些組織對所采集個人信息的法律責(zé)任。同時，互聯(lián)網(wǎng)公司、電信運(yùn)營商也是個人信息的采集者，它們不僅沒有法律授權(quán)，而且作為盈利機(jī)構(gòu)，極有可能存在借疫情為由過度收集用戶信息以備日后商業(yè)利用。

表2 個人信息處理的“同意原則”

表3 疫情防控構(gòu)成“知情同意”原則例外情形的法律依據(jù)

第二，采集范圍不統(tǒng)一。相關(guān)法律規(guī)定個人應(yīng)配合疾病預(yù)防機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)、衛(wèi)生部門等收集信息，但未明確收集的范圍，導(dǎo)致各地標(biāo)準(zhǔn)參差不齊，多地有收集財產(chǎn)賬戶、戶籍信息、超過醫(yī)學(xué)觀察期的出行信息甚至性取向等明顯與疫情無關(guān)信息的情形。

第三，未明確告知原則，加重過度采集風(fēng)險。逐一獲取信息主體的同意自然不現(xiàn)實，但是告知信息主體采集信息的目的和范圍顯而易見是可行的。否則極易為過度采集蒙上遮羞布，相關(guān)法律卻未明確這一原則。

第四，違法分子“釣魚收集”的風(fēng)險。違法分子可能會將病毒偽裝成“填寫表單搶購口罩”“當(dāng)?shù)匾咔閱柧碚{(diào)查”等對普通民眾有吸引力的程序，客戶打開填寫后便可侵入其電腦，收集、竊取相關(guān)個人信息。

（二）在信息傳輸、存儲階段的風(fēng)險

第一，數(shù)據(jù)控制方可能因為法治意識薄弱、隱私意識不強(qiáng)，難以保障個人信息的安全。疫情期間的個人信息泄露案件多為基層工作人員個人信息保護(hù)意識薄弱，擅自轉(zhuǎn)發(fā)擴(kuò)散等所致。

第二，大數(shù)據(jù)時代，個人信息多存儲在云空間，一些黑客會趁機(jī)竊取個人信息犯罪，一旦保密技術(shù)有技術(shù)性漏洞，海量信息將落入犯罪分子之手，后果不堪設(shè)想。我國《民法總則》《網(wǎng)絡(luò)安全法》明文規(guī)定了信息傳輸、存儲階段的安全義務(wù)，但作為宣示性條款，缺乏具體的制度與技術(shù)安排。

（三）在信息使用、披露階段的風(fēng)險

第一，使用、披露主體不合格?！鞍俣冗w徙”地圖的人口遷徙數(shù)據(jù)大公開、各大電信運(yùn)營商的“武漢手機(jī)用戶遷返報告”、部分媒體對武漢人員個人信息的直接披露等都缺乏法律/有關(guān)部門的授權(quán)?！秱€人信息安全規(guī)范》和《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》對數(shù)據(jù)控制者提出了要求，但作為推薦性標(biāo)準(zhǔn)，約束力太弱，缺乏強(qiáng)制力和執(zhí)行力更好的保護(hù)條令。

第二，缺少統(tǒng)一的操作規(guī)范。相關(guān)法律未對使用、披露個人信息的方式、范圍進(jìn)行規(guī)定，導(dǎo)致基層在實際執(zhí)行時存在疏于對披露數(shù)據(jù)進(jìn)行脫敏處理、公開年齡、戶籍、家庭人員等無關(guān)信息等情形。

第三，缺乏對告知原則的規(guī)定。這和采集階段類似。

第四，缺乏監(jiān)督機(jī)制。我國《民法總則》《網(wǎng)絡(luò)安全法》等未規(guī)定具體侵權(quán)責(zé)任；《刑法修正案九》及相關(guān)司法解釋雖然規(guī)定了保護(hù)個人信息的刑事責(zé)任，但也僅為事后懲戒，缺乏事中的監(jiān)督機(jī)制。

（四）在信息交換、共享階段的風(fēng)險

第一，責(zé)權(quán)劃分不明確，數(shù)據(jù)交換、共享過程中不可避免存在數(shù)據(jù)擁有者和管理者分離、數(shù)據(jù)所有權(quán)和使用權(quán)分離的情況。但相關(guān)法律及標(biāo)準(zhǔn)未規(guī)定交換、共享個人信息雙方的權(quán)利與義務(wù)，安全監(jiān)管責(zé)任不清晰，不僅隱含著濫用數(shù)據(jù)的風(fēng)險，也可能導(dǎo)致交換效率低，無法打破“數(shù)據(jù)孤島”，影響抗擊疫情。

第二，交換、共享范圍不明確，過程不公開。防控實踐中多為“一刀切”打包交換共享，但個人信息不應(yīng)該全部被允許交換、共享，應(yīng)按敏感程度分級，加以不同等級的保護(hù)，應(yīng)用不同的共享規(guī)則。同時為了防止暗箱操作，過程也應(yīng)對公眾公開。

第三，信息共享涉及大量數(shù)據(jù)的集中，一方面極易成為黑客的攻擊目標(biāo)，如果技術(shù)安保不到位，大量個人信息將泄露；另一方面也面臨著內(nèi)部的安全風(fēng)險，例如員工過量下載等問題。

（五）疫情結(jié)束后的風(fēng)險

目前對于疫情疫情結(jié)束之后個人信息的后續(xù)處理沒有相關(guān)政策或規(guī)定。防控實踐中涉及海量復(fù)雜的個人信息，很多部門或組織是受疫情影響經(jīng)上級授權(quán)充當(dāng)臨時信息控制者。這些臨時控制者一方面數(shù)據(jù)管理制度不完善，管理能力有限，對長期處理海量的個人信息力不從心；另一方面，疫情之后大部分機(jī)構(gòu)持有個人信息的行為都喪失了合法性基礎(chǔ)，易給信息主體帶來后續(xù)的隱私困擾等。

五、疫情防控下個人信息的保護(hù)路徑及權(quán)利救濟(jì)

疫情下對個人信息權(quán)的限制和縮減雖有其合理性和合法性，但是這種限制并不是沒有邊界，必須遵循基本的原則，符合合理的限度，予以基本的保護(hù)。[4]

（一）疫情防控下個人信息保護(hù)的基本原則

梳理域外法制經(jīng)驗和我國《關(guān)于做好個人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》（以下簡稱“聯(lián)防聯(lián)控通知”）要求，可以發(fā)現(xiàn)保護(hù)個人信息需要遵守一些基本原則：比例原則、合法原則、公開原則、目的限制原則、信息安全原則和保護(hù)“數(shù)據(jù)被遺忘權(quán)”原則。根據(jù)這些原則，提出具體的保護(hù)建議：

1.比例原則。

收集、使用、公開個人信息對于抗擊疫情目的而言應(yīng)是適當(dāng)?shù)?、必要的，但不能對信息主體造成過度負(fù)擔(dān)。參考?xì)W盟的一般數(shù)據(jù)保護(hù)條例（General Data Protection Regulation，以下簡稱“GDPR”）規(guī)定，為了控制傳染病收集個人信息必須滿足數(shù)據(jù)最小化原則（最少夠用原則）[5]；亞太經(jīng)合組織的《APEC隱私框架》，其第十三條要求在“使用隱私保護(hù)的例外原則時需要限縮于與例外條款相關(guān)之目的并符合比例原則”[6]；我國“聯(lián)防聯(lián)控通知”有最小范圍原則要求②。

具體而言，首先，明確收集數(shù)據(jù)的范圍：對確診患者、疑診患者、醫(yī)學(xué)觀察期內(nèi)的接觸者的信息收集，限于姓名、年齡、行蹤軌跡、健康信息、家庭住址、共同生活人員等和疫情相關(guān)的關(guān)系，對其財產(chǎn)狀況、籍貫等無關(guān)信息禁止收集；對正常健康人員的信息收集，限于健康信息、年齡、性別、住址這些檢測健康狀況必須的基本信息，其他信息都禁止收集。[7]其次，明確數(shù)據(jù)使用、公布、共享的范圍：應(yīng)該將所收集的個人信息進(jìn)行分類，非必要情況不公布敏感度較高的個人信息，也要先進(jìn)行脫敏或匿名化處理。

2.合法原則。

合法原則的基本要求是主體適格、權(quán)責(zé)分明，即對個人信息的采集、使用、共享、公布都應(yīng)該嚴(yán)格依照相關(guān)法律的規(guī)定。根據(jù)“聯(lián)防聯(lián)控通知”的第一條規(guī)定，縣級以下政府及部門，互聯(lián)網(wǎng)企業(yè)、電信運(yùn)營商等不適格主體，必須得到有權(quán)部門的授權(quán)，并且明確其應(yīng)該承擔(dān)的數(shù)據(jù)安全責(zé)任，才能參與收集、處理個人信息。參考?xì)W盟“GDPR”規(guī)定，只允許特定成員國的有權(quán)機(jī)構(gòu)才能相互交換收集的個人信息，同時成員國要對信息后續(xù)流轉(zhuǎn)承擔(dān)全部法律責(zé)任的規(guī)定。[8]因此，完善我國的數(shù)據(jù)共享規(guī)則，建議共享雙方簽訂共享協(xié)議，明確各自的安全監(jiān)管責(zé)任等。

3.公開原則。

其一，公開原則要求告知個人信息主體收集、使用、公開信息的目的、方式、范圍、內(nèi)容。相關(guān)法律賦予了醫(yī)療機(jī)構(gòu)、疾病防控部門等在疫情背景下不經(jīng)個人同意收集使用信息的權(quán)力，但并沒有賦予其更多的特權(quán)。告知是個人信息主體知情權(quán)不可剝離的一部分，也是對數(shù)據(jù)控制者的一種約束。

其二，要以明確、簡單、易懂的方式向公眾公開收集到的疫情信息，避免因為公眾的恐慌、猜忌情緒給信息主體帶來次生傷害。

4.目的限制原則。

對個人信息的收集、使用、公開、共享限于防控疫情這一目的，不可濫用于他途。尤其是需要加強(qiáng)對互聯(lián)網(wǎng)企業(yè)、電信運(yùn)營商等盈利機(jī)構(gòu)的監(jiān)管，明確與政府合作的過程中收集、使用個人信息的目的和應(yīng)承擔(dān)的責(zé)任，督促其加強(qiáng)內(nèi)部的員工管理等，以防止日后海量信息用作商用。同時，政府管理部門也應(yīng)警惕，不可將個人信息用作一般的公安偵查等，否則都是違反了目的限制原則，突破了對個人信息權(quán)的合理限制程度。

5.信息安全原則。

一方面，要加強(qiáng)對不同信息處理行為中數(shù)據(jù)控制者的法治素養(yǎng)和信息保護(hù)意識，明確不同控制者的信息安全責(zé)任，加大執(zhí)法力度，嚴(yán)禁泄露或違規(guī)使用個人信息，否則，可以使用《網(wǎng)絡(luò)安全法》《刑法修正案（九）》等予以懲戒，同時還需要進(jìn)一步完善我國侵犯公民個人信息罪的定罪量刑標(biāo)準(zhǔn)；另一方面，要加強(qiáng)和研發(fā)更完善的數(shù)據(jù)安全技術(shù)，充分調(diào)動產(chǎn)學(xué)研各界的積極性，加強(qiáng)數(shù)據(jù)安全監(jiān)管技術(shù)，筑牢防火墻，減少技術(shù)漏洞、抵御黑客攻擊的潛在風(fēng)險。

6.保護(hù)數(shù)據(jù)“被遺忘權(quán)”原則。

在疫情防控結(jié)束后，為了信息主體的生活安寧，個人信息主體有權(quán)要求數(shù)據(jù)控制者刪除其個人信息?？梢詤⒖肌癎DPR”的“為了控制傳染病而收集的個人信息存儲時間不得超過12個月”限期存儲的規(guī)定，[9]在疫情結(jié)束后限期刪除收集的原始個人信息，并采取技術(shù)措施防止私人恢復(fù)。一些不具有可識別性的聚合信息若有日后研究的必要可由疾病控制部門封存，確保以保密性和安全性；若信息主體同意，也可以保留一些可識別個人信息以供日后的智慧醫(yī)療建設(shè)等合理目的使用，但要注意假名化等技術(shù)脫敏處理。

綜上所述，在疫情防控各個階段的個人信息保護(hù)途徑如下圖所示：

圖 疫情防控各階段個人信息的保護(hù)路徑

（二）個人信息自我保護(hù)措施及權(quán)利救濟(jì)

1.自我保護(hù)措施。

第一，謹(jǐn)慎提交、填寫個人信息。手機(jī)下載app或掃碼時關(guān)注是否存在個人信息收集行為，如填報手機(jī)號、要求打開權(quán)限等；確認(rèn)存在個人信息收集行為后，關(guān)注信息收集者是否是具備疫情防控相關(guān)授權(quán)的機(jī)構(gòu)；填寫信息時只填寫與疫情防控相關(guān)的必填項信息；對于存在疑問的填寫項，與相關(guān)人員進(jìn)行溝通，了解原因及目的后再進(jìn)行填寫。

第二，監(jiān)督后續(xù)保護(hù)措施。對于已經(jīng)提交的個人信息，主動了解、詢問收集方將如何存儲、處理、公開，并進(jìn)行監(jiān)督。

2.權(quán)利救濟(jì)。

第一，申訴舉報。若遇到個人、互聯(lián)網(wǎng)機(jī)構(gòu)、企業(yè)等泄露、傳播個人信息或者有其他侵權(quán)行為時可以參考表4進(jìn)行申訴維權(quán)。

表4 個人申訴舉報的正規(guī)渠道

第二，司法救濟(jì)。（1）刑事訴訟。根據(jù)我國《刑法修正案（九）》以及《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》相關(guān)規(guī)定，如果侵害個人信息的情節(jié)嚴(yán)重，信息主體可以提起刑事自訴，信息控制者可能因為侵犯公民個人信息罪、拒不履行信息網(wǎng)絡(luò)安全義務(wù)罪受到刑事制裁。（2）民事訴訟。信息主體發(fā)現(xiàn)個人信息在疫情防控中被違規(guī)收集、泄露的可以以“人格權(quán)糾紛”項下的“隱私權(quán)糾紛”為案由提起民事訴訟；若信息主體與違法行為者系商家與消費(fèi)者的關(guān)系，或存在服務(wù)合同等協(xié)議，也可以“消費(fèi)者權(quán)益保護(hù)糾紛”或“合同糾紛”為案由提起民事訴訟。（3）行政復(fù)議或行政訴訟。信息主體認(rèn)為政府機(jī)構(gòu)等公權(quán)力組織存在違法違規(guī)收集使用個人信息行為的，可以向上級行政機(jī)關(guān)復(fù)議舉報，或提起行政訴訟。

舉證責(zé)任方面，基于合法原則和信息控制者較個人而言的支配地位，信息控制者承擔(dān)“過錯推定責(zé)任”，舉證自己已經(jīng)遵守法律，履行了信息安全保護(hù)義務(wù)，否則，就要承擔(dān)舉證不力的法律后果。

六、結(jié)語

疫情防控之下，公民個人的信息權(quán)有所縮減和限制具有一定合法和正當(dāng)性基礎(chǔ)，但是，這種限制舉措并非沒有邊界，應(yīng)遵循比例原則、合法原則、公開原則、目的限制原則、信息安全原則和保護(hù)“數(shù)據(jù)被遺忘權(quán)”等原則開展個人信息的收集與后續(xù)處理活動，同時，需要修訂和完善《突發(fā)事件應(yīng)對法》《傳染病防治法》等相關(guān)法律中有關(guān)主體的權(quán)利與義務(wù)、具體的信息保護(hù)措施和法律責(zé)任等規(guī)定，出臺規(guī)范的公民《個人信息保護(hù)法》，完善個人信息主體安全的保護(hù)路徑，明確權(quán)利救濟(jì)渠道。唯有如此，才能實現(xiàn)疫情防控的公共衛(wèi)生安全和個人信息保護(hù)的平衡，在法治下早日迎來疫情防控攻堅戰(zhàn)的勝利。

注釋

①《個人信息安全規(guī)范》第三條第一款：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動狀況的各種信息”。

②《關(guān)于做好個人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》第二條：“收集聯(lián)防聯(lián)控所必需的個人信息應(yīng)參照國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》，堅持最小范圍原則”。