吳小帥

(山東建筑大學法學院,山東 濟南 250101)

隨著全球化進程和社會現代化水平的提高，人們在享受高科技進步與經濟發(fā)展帶來的便利的同時，也面臨著前所未有的各種風險，風險社會已經到來。自我國新型冠狀病毒肺炎疫情爆發(fā)以來，大數據信息在疫情防控、疾病防治中發(fā)揮了重要作用，使這場“戰(zhàn)役”更加主動也更加精準，為科學決策、精準施治助力頗多。一級響應機制的迅速啟動，緊缺物資的及時調配，方艙醫(yī)院的緊急建立，有效藥物的臨床篩選，重點人群的流動追蹤，各種措施的采取運用等，背后可以說都有大數據信息的支撐。然而，人們在享受大數據帶來的便利的同時，也不得不承擔其快速發(fā)展和現實運用所引發(fā)的代價。在這次疫情防控中，與疫情有關的個人信息的使用范圍廣、傳播速度快，隨之發(fā)生的侵犯公民個人信息的違法犯罪現象也相當嚴重，不但給涉疫情個人及其家庭帶來了傷害，也容易引發(fā)其他人的恐慌情緒，不利于疫情防控和社會穩(wěn)定。如何在風險社會背景下更好地保護涉疫情個人信息，成為刑法理論和實踐中亟待研究解決的問題。

一、風險社會中涉疫情個人信息的特征及法益屬性

傳統(tǒng)學術界對個人信息的界定，主要有財產論(1)我國個人信息保護問題的研究最早始于1987年。鄭成思教授注意到了個人信息的跨境流動，認為“個人信息是一種重要的財產權”。、隱私論(2)該觀點將個人信息理解為與個人隱私存在關聯(lián)的，同時具備敏感性、排他性和自主性的信息。參見蔡軍.侵犯個人信息犯罪立法的理性分析——兼論對該罪立法的反思和展望[J].現代法學，2010，(4):107.、私人安寧論(3)該觀點認為，個人信息是指影響公民個人私生活安寧的信息。參見胡勝.侵犯公民個人信息罪的犯罪對象[J].人民司法，2015，(7)：40.、識別論(4)該觀點認為，個人信息是指根據一個人的個人信息，可以直接或者間接地識別出這個人?！毒W絡安全法》第76條采取了定義加列舉的模式，首次從法律層面上界定了“個人信息”的概念。該概念內涵強調“能夠單獨識別”或“與其他信息識別”的特質，即在對個人信息本質定義時也采用“可識別性標準”。2017年《最高人民法院、最高人民檢察院在關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條也明確界定了《刑法》第253條之一中的“公民個人信息”的概念。該解釋基本沿用了《網絡安全法》中“個人信息”的內涵規(guī)定。等幾種觀點，其中很多國家的個人信息保護法都認為識別論所界定的個人信息范圍較為合理，因而予以采納，我國學界也認可其是通說的觀點。識別論強調個人信息的核心要素是信息可匹配到具體的個人，不具有識別性的過于泛化的信息不是個人信息的范疇。2017 年《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)中對“個人信息”亦采用識別論的界定范式。

(一)涉疫情個人信息的“半公開性”特征

公民個人信息是獨立于主體之外、可以獨立存在的“數據”或者“個人隱私”。根據個人信息的表現形式是否公開，可分為公開的個人信息和不公開的個人信息兩類。如果公開個人信息有可能對國家利益、社會公共利益或他人的合法利益造成不利影響則不得為之，反之則可以公開。公開的個人信息中除個人主動或以不作為方式被動披露的個人信息外，更多的是國家機關在法律許可的前提和范圍內公開的個人信息，這些信息的使用和查詢不會對任何主體產生負面影響和不法侵害。不公開的個人信息主要指涉及信息主體隱私的不愿被披露的個人信息，這類信息即使不公開也不會損害到國家利益、社會公共利益和他人合法利益，而公開則可能侵害個人合法利益，因此公權力機關不得利用職權強制披露。除上述兩種個人信息之外，現代社會中越來越多的個人信息出現在公開與不公開之間的灰色地帶，即風險社會下以“半公開性”為特點的個人信息越來越多。這類信息兼具私人性與公共性，某些情況下信息既涉及個人利益，也會影響國家、社會或者他人利益。作為信息主體的個人會采取措施保護這類信息不被公開，而國家則更多考慮社會公共利益，賦予特定行政機關依法披露并使用這些信息的權力。從社會整體利益角度權衡，此類信息的公開利大于弊。

根據相關司法解釋的規(guī)定，公民個人信息包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。上述信息屬于個人公開信息還是不公開信息，在不同視域內結論可能大相徑庭。因此對于公開或不公開、敏感或一般的判斷應當置于特定的語境之下進行。在全國疫情嚴密防控的大背景下，“特殊群體”即新冠肺炎確診者、病原體攜帶者、疑似患者以及密切接觸者往往被視為“高危人群”，這些人的個人信息較之平時更容易被公眾關注，此時信息一旦被披露或傳播，將可能對其本人和家人的身心健康和正常生活造成不利影響，同時容易引發(fā)公眾恐慌和情緒危機。從這方面看，涉疫情個人信息理應作為個人不公開信息即敏感信息受到更高程度的保護。另一方面，為了疫情防控的需要，疫情最嚴重的武漢市對新冠疫情進行拉網式清底大排查，對市區(qū)各項設施、人員全面排查；全國其他地方也對個人信息進行嚴格管控。個人信息的透明有助于落實“早發(fā)現、早報告、早隔離、早治療”，對控制疫情起到重要作用。尤其是對新冠肺炎確診者、病原體攜帶者、疑似患者以及密切接觸者的信息掌握更加重要。由此可見，對于個人信息性質的理解，“疫時”與“平時”有不盡相同的評判標準和價值選擇，涉疫情個人信息具有鮮明的“半公開性”特征。

(二)涉疫情個人信息的“超個人法益”屬性

刑法中個人信息的法益屬性，主要有公共信息安全說(5)該說主張侵犯公民個人信息犯罪的法益應該被限定為“公共信息安全”，即是否會對公共信息安全法益造成侵害是判斷該罪成立的重要標準。參見王肅之.被害人教義學核心原則的發(fā)展——基于侵犯公民個人信息罪法益的反思[J].政治與法律，2017，(10)：30.、具體人格權說(6)該說認為個人信息權是一項人格權，并且是一項具體的新型人格權。參見王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J].現代法學，2013，(4)：69.、隱私權說(7)該說主張公民個人信息權應當屬于隱私權，公民個人信息受到侵犯時應當通過隱私權的途徑尋求救濟。參見張新寶.個人信息收集：告知同意原則適用的限制[J].比較法研究，2019，(6)：2.、信息專有權說(8)該說認為基于公民個人信息的權利屬性本身的復雜性，為了保證其權利屬性的周延性就不應該只側重于一方面的法律價值，因此確立一項獨立的信息專有權才是侵犯公民個人信息罪法益的應然定位。參見于沖.侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界[J].政治與法律，2018，(4)：16.四種觀點，這些觀點對公民個人信息的法益屬性的界定較為明確。除此之外，還有學者認為個人信息法益并非孤立存在，而會在一定條件下影響他人、社會的整體利益甚至國家層面的利益，這種多重性功能使得個人信息的法益超出了單純個人利益的范疇，即具有“超個人法益”的屬性。[1]在風險社會背景下，現實中侵犯公民個人信息的行為復雜多樣，公民個人信息的法益應當上升為社會和國家的層面，僅通過個人隱私權和人格權的保護范式進行規(guī)制遠不能達到全面保護個人信息的效果。其實，我國刑法中“超個人法益”的立法規(guī)定已經存在，如各類抽象危險犯的規(guī)定就是例證。與民法對于個人信息的保護不同，刑法中的個人信息犯罪具有嚴重社會危害性，多數情況下已經超出了侵犯個人利益的范疇。實踐中個人信息犯罪的對象通常具有集合性、不確定性和多元性的特征。如數據庫中涉及個人信息的主體數量是不確定的，一旦泄露其影響范圍和數量會異常龐大；又如侵犯個人信息的犯罪手段和情節(jié)也日趨多樣化、復雜化，從個人信息資料的非法泄露到中間商流轉，再到后期非法利益的謀取，整個犯罪鏈條長、涉及人員多、危害輻射面廣，不僅侵害信息主體的人身及財產利益，還會侵害到其他可能的相關法益，甚至誘發(fā)并形成社會問題。

在新冠肺炎疫情的防控過程中，侵犯公民個人信息的危險性展現得淋漓盡致。風險社會中的危機狀態(tài)往往不可預見并難以防范，侵犯公民個人信息的行為也具有不可預見性及未知性，實踐中頻發(fā)的侵犯公民個人信息行為的下游犯罪危害極大，風險和危機的破壞性也極強。同時，由于危機與犯罪行為的出現與社會財富的積累和擴張之間存在正相關聯(lián)，導致了風險社會中個人信息犯罪較之于傳統(tǒng)社會更加嚴重。在傳統(tǒng)社會中，個人信息本身引發(fā)的經濟利益很低，侵犯公民個人信息發(fā)生的概率也很低，而隨著社會經濟的高速發(fā)展，社會風險的發(fā)生條件漸趨多樣化，不同主體之間的利益沖突也更為復雜，被激化的可能性也加大。因此，因應風險社會的內涵調整傳統(tǒng)刑法觀念，并重新審視個人信息保護的刑事立法及司法現狀是現實且必要的。

二、風險社會中涉疫情個人信息刑法保護觀念定位的轉變

法律作為實現國家社會治理的主要手段，既要發(fā)揮維護社會穩(wěn)定的作用，又要促進社會經濟發(fā)展和保障公民的自由權利，刑法在面對社會風險時的介入合理性與刑罰的邊界問題是刑法學研究的重要任務。在對傳統(tǒng)刑法進行反思的基礎上，風險社會中刑法針對危及共同體生活安全風險行為的反應方式必然有別于傳統(tǒng)的刑法，需要對其作出相應的調整。

(一)涉疫情個人信息刑法保護的價值衡平——自由與安全并重

刑法作為最為嚴厲的規(guī)范反應，所具有的保護法益和保障人權的雙重機能盡管是不可偏廢的一體兩面，但經常處于矛盾之中。傳統(tǒng)刑法重視“自由”的價值追求，而風險刑法則側重“安全”的價值追求。當然，盡管風險社會對秩序的管理和社會的控制提出更高要求，但公民自由和權利的保障同樣不能忽視。尤其是在現代法治國的視域下，刑法與自由相伴而生，刑法必須以保障公民自由為己任，因此風險社會中刑法的自由與安全價值在一定程度上形成更加緊張的關系。大數據時代個人信息傳播的深度和廣度前所未有，個人信息泄露及濫用的復雜性、危險性和危害性加重，于是有關公民個人信息公開與保護的法律法規(guī)日漸豐富，《傳染病防治法》、《突發(fā)公共衛(wèi)生事件應急條例》、《國家公共衛(wèi)生事件總體應急預案》等均規(guī)定了政府部門有義務公布疫情信息的條款，與此同時也規(guī)定了公布個人信息的必要條件和限制。由于疫情期間收集、使用個人信息的機構相比平時大幅增加，違法違規(guī)現象也可能相應增加，所以有必要采取比以往更為嚴格的措施，防范以疫情防控之名違規(guī)收集使用個人信息的行為。從個人信息的收集者、使用者到監(jiān)管者，都要依法履行各自責任。2020年2月4日，中央網絡安全和信息化委員會辦公室發(fā)布的《關于做好個人信息保護利用大數據支撐聯(lián)防聯(lián)控工作的通知》中指出，收集聯(lián)防聯(lián)控所必需的個人信息應堅持最小范圍原則并不得用于其他用途，收集或掌握個人信息的機構要對個人信息的安全保護負責，采取嚴格的管理和技術防護措施，防止被竊取和被泄露。

(二)涉疫情個人信息刑法保護的衡量規(guī)則——優(yōu)越利益規(guī)則

實踐中，利益之前的矛盾和沖突經常出現且不可避免，在刑法只能選擇其一的狀態(tài)下權衡利益的大小通常被認為是正當的。[2]在傳染病疫情的監(jiān)測和防控中，大數據技術發(fā)揮了強大的威力，涉疫情個人信息的采集利用難免出現與其他利益相沖突的情形。大數據時代下對個人信息的利用著眼于龐大的群體信息，采集利用往往出現在公共管理、緊急狀態(tài)或其他涉及公共利益的活動中。風險社會中個人信息體現的利益與國家利益、社會公共利益以及他人個人利益四者之間往往會出現交叉沖突，此時優(yōu)越利益原則是化解沖突的主要理論工具。首先，國家利益是國家主權與安全、政治和司法制度等方面的利益。有關行政機關和社會組織有義務為了維護國家利益而提供個人的信息數據，如公安機關為了盡快偵辦涉疫情的各類案件，需要了解犯罪嫌疑人、被害人甚至關聯(lián)人員的個人信息，再通過對信息的篩查、比對和定位最終偵破案件，這就不可避免地出現個人信息利益與國家權力的沖突，而此時國家利益具有優(yōu)越性的觀點是被普遍認同的。這次新冠肺炎疫情防控是新中國成立以來最嚴重的重大突發(fā)公共衛(wèi)生事件，在疫情防控的特殊時期，“依法懲治涉疫情個人信息犯罪，防控疫情安全風險，保障公共衛(wèi)生安全成為刑事立法和司法的價值選擇”[3]。因此，在某些情況下，國家安全利益應當優(yōu)于個人信息利益。如在排查感染患者和密切接觸者的過程中合法收集和利用個人信息數據的行為應當被認為是妥當的，這在我國《職業(yè)醫(yī)師法》和《傳染病防治法》中均有明確規(guī)定。(9)《職業(yè)醫(yī)師法》第29 條規(guī)定：“醫(yī)生發(fā)現傳染病疫情時，應當按照有關規(guī)定及時向所在機構或者衛(wèi)生行政部門報告?！薄秱魅静》乐畏ā返?0 條規(guī)定：“疾病預防控制機構、醫(yī)療機構和采供血機構及其執(zhí)行職務的人員發(fā)現本法規(guī)定的傳染病疫情或者發(fā)現其他傳染病爆發(fā)、流行以及突發(fā)原因不明的傳染病時，應當及時向衛(wèi)生行政部門報告?！逼浯?，社會公共利益通常被稱作“社會整體利益”，著眼于社會整體的發(fā)展和需求，是人們進行公共生活、發(fā)展科技和提升精神文明程度的條件。在疫情防控中，一般認為瘟疫的防控與治療事關全體公民的生命健康，具有顯著的社會公益性。疫情爆發(fā)之后的防控工作具有緊迫性和全局性，疫情流行期間和消散之后的防疫醫(yī)學研究具有長周期性。疫情流行期間醫(yī)療大數據的利用往往需要較長時間見效，難以對社會公眾個體產生快速直接的影響。因此，此類個人信息一般不與公共利益發(fā)生沖突，更何況醫(yī)療研究數據一般都會對患者進行匿名化處理。需要注意的是，由于大數據的開發(fā)和利用技術發(fā)展日新月異，制度跟進和法律保護的腳步有時顯得滯后無力，因此在優(yōu)越利益的衡量標準上可能會出現沖突，這需要司法人員在個案中結合利益沖突的具體情形加以判斷。

(三)涉疫情個人信息刑罰目的的轉換——重視一般預防

刑罰目的觀是整個刑法理論體系的根基，對解決社會現實問題也具有重要意義。根據目的主義刑罰觀，刑罰目的可分為一般預防(根據預防方式的不同又分為消極的一般預防和積極的一般預防)和特殊預防，前者強調通過刑罰適用對公眾產生的心理威懾作用從而預防犯罪，后者側重對于個別犯罪人威懾效果的實現從而預防再犯。在一般預防層面中，消極的一般預防更偏重于“威嚇”，而積極的一般預防側重于“維護”。前者側重刑罰對象的客體性而后者更強調主體意識。德國刑法學家羅克辛認為，積極的一般預防論反映在一般性地維護和加強對法律秩序的存在能力和貫徹能力的忠誠上。由此，刑罰就具有了這樣的任務，在法律共同體中證明法律秩序的牢不可破，并且為此加強人民的法律忠誠感。羅克辛指出，積極的一般預防不是國家高舉著刑罰棍棒相威脅，而是使能夠作出清醒決定的人，在自由意志支配下自主地選擇服從或是違反規(guī)范。它不想對任何人進行威懾，無論是公眾還是受刑者。它的目的是在總體上強化民眾的“一般的法律意識”。參見[德]克勞斯·羅克辛.德國犯罪原理的發(fā)展與現代趨勢[J].王世洲,譯.法學家，2007，(1)：158.刑法的民生導向、安全導向已經成為風險社會中刑法所直面的問題，[4]動用刑法來預防威脅共同體安全的風險是刑法在風險社會中的主要職責。刑罰的事后報應性和阻止危險的前瞻預防性恰好是截然不同的兩個方向，前者針對過去、后者著眼未來。依照傳統(tǒng)的刑罰觀，一個具有危險性的人可能并不具有可責性，反之亦然。因此，如果行為人僅具有人身危險性而無社會危害性，那么就應當凸顯出刑罰的預防功能而非懲罰功能。在風險社會中，追求民眾的安全和社會秩序的穩(wěn)定是最重要的現實需求，刑法此時也應當充分發(fā)揮控制社會風險的作用。

風險社會中，伴隨著新型犯罪類型的出現，一些傳統(tǒng)法益不能涵蓋的新法益也相繼出現。如前所述，涉疫情個人信息事實上已經超出了具體的個人化和物質化的范疇，已然涉及到與社會秩序、公共安全、信用秩序等密切相關的超個人法益的內容，導致風險社會犯罪的規(guī)則與刑罰問題更加復雜?！帮L險社會下的刑罰的目的不僅要預防犯罪對實在法規(guī)范的破壞，而且還要保障即使是在實在法規(guī)范已經受到破壞時人們仍然信任其是有效的，并且要保障信賴實在法規(guī)范的人們自覺地把破壞實在法規(guī)范的行動從自己的日常生活中剔除出去?！盵5]此次新冠肺炎疫情從個別病例出現迅速發(fā)展為全國范圍內重大疫情，又快速蔓延至全球疫情。疫情中確診患者、疑似患者、病原體攜帶者、密切接觸者甚至去過疫區(qū)的人的個人信息被有關部門實時監(jiān)控、密切掌握，甚至出現武漢返鄉(xiāng)人員的名單等個人隱私信息在家人群、同學群中轉發(fā)的情況。在疫情防控的特殊時期和背景下，基于人們追求公共安全的普遍心理需求，刑罰應當更側重于一般預防目的的發(fā)揮，以降低整個社會的潛在風險。當然，為了防止一般積極預防可能誘發(fā)的刑罰恣意性和過度化情況，以及限制刑罰權的發(fā)動，刑罰的積極一般預防目的要恪守罪責原則，避免將刑罰淪為國家公權力的犧牲品。

三、風險社會中涉疫情個人信息保護的刑法邊界

(一)合理劃定涉疫情個人信息和采集主體的范圍

涉疫情個人信息范圍的厘定是刑法保護此類法益的前提。隨著社會的進步，公民個人信息會發(fā)展出更加復雜多樣的外在表現形式，為提高法律保護的針對性和有效性，立法必須劃定個人信息的合理范圍?！督忉尅分袑€人信息的定義采用了概括式和列舉式并用的方法，在《網絡安全法》原有定義的基礎上，引入了與公民人身、財產法益之間存在密切聯(lián)系的個人信息。然而《解釋》中對于個人信息的列舉僅限于一般性規(guī)定，對于疫情時期的個人信息應當進行更加細化的界定。因此應當順應社會發(fā)展水平和需求，對具體法律中個人信息范圍的內容進行適時的增刪。

對于個人疫情信息的采集主體，實踐中公民個人信息亂采亂用的問題較為突出。例如，某地公安機關為更好地掌握居民個人動態(tài)、有力控制疫情傳播而推出了“疫情防控調查登記APP”后，有的社區(qū)不用該APP采集信息，而是用他們自己的系統(tǒng)進行數據采集。有的社區(qū)上門用自己的PAD登記，甚至有的使用保險公司提供的小程序進行采集。社區(qū)可以將采集到的公民個人信息導入給公安機關一份，但是社區(qū)自己保存的數據如何使用則無人監(jiān)管。那么，誰有權基于疫情防控目的來收集與疫情有關的個人信息？又如，疫情防控期間，不少互聯(lián)網公司通過自己的數據和技術能力，給有關部門提供了大量的數據支撐，為傳染源以及人員的篩查、追蹤、控制和隔離作出了很大貢獻。然而，數據收集和共享行為的合法性依據是什么、能否抵御將來可能的法律糾紛、廣泛的強制性權力的邊界和規(guī)范如何等問題也困擾著相關企業(yè)。個人疫情信息的使用首要關注的應是合法性，即是否具備明確的法律授權。事實上，不論是《突發(fā)事件應對法》還是《傳染病防治法》，都將收集主體嚴格限定在有權機關。如《傳染病防治法》第7條第1款規(guī)定：“各級疾病預防控制機構承擔傳染病監(jiān)測、預測、流行病學調查、疫情報告以及其他預防、控制工作?！蹦敲?，村委會、居委會是否有權采集個人信息呢？《傳染病防治法》第7條第2款規(guī)定：“城市社區(qū)和農村基層醫(yī)療機構在疾病預防控制機構的指導下，承擔城市社區(qū)、農村基層相應的傳染病防治工作。”此外，《突發(fā)公共衛(wèi)生事件應急條例》第40條規(guī)定：“傳染病暴發(fā)、流行時，街道、鄉(xiāng)鎮(zhèn)以及居民委員會、村民委員會應當組織力量，團結協(xié)作，群防群治，協(xié)助衛(wèi)生行政主管部門和其他有關部門、醫(yī)療衛(wèi)生機構做好疫情信息的收集和報告、人員的分散隔離、公共衛(wèi)生措施的落實工作?！币虼?，筆者認為，村委會、居委會基于疫情控制的目的，可以收集個人信息，但信息收集應當嚴格遵守《網絡安全法》及其配套規(guī)則的有關要求。除上述機構外，行業(yè)組織、工作單位、公益組織、商業(yè)機構等，收集疫情有關人員的個人信息則缺乏有效的法律依據。如部分商業(yè)機構以疫情防控為由，收集網絡用戶的位置信息、旅行及交通信息，如查詢周邊疫情時收集位置信息、查詢疑似通行航班時收集旅行信息等，是不符合法律規(guī)定的。

(二)侵犯涉疫情個人信息行為的入罪邊界

第一，法益保護前置化。學界對于法益保護前置化有不同的理解(10)如趙秉志教授認為，法益保護前置體現在重大法益保護的需要提前以及法益保護的現實需要提前。參見趙秉志，袁彬.中國刑法立法改革的新思維——以《刑法修正案(九)》為中心[J].法學，2015 ，(10)：21.姜敏教授認為，法益保護前置是指刑法為了保護法益的需要而把還未出現嚴重社會危害后果的行為當作犯罪的實行行為來進行處罰，以避免危害結果的出現。參見姜敏.法益保護前置：刑法對食品安全保護的路徑選擇——以幫助行為正犯化為研究視角[J].北京師范大學學報(社會科學版)，2013 ，(5)：87-88.劉明祥教授認為，“風險刑法”在刑事立法上的突出表現是將刑法的防衛(wèi)線向前推移，實行所謂的法益保護的提前化。參見劉明祥.“風險刑法”的風險及其控制[J].法商研究，2011 ，(4)：18.姜濤教授認為，法益保護前置化已成為刑法發(fā)展的基本趨勢。參見姜濤.風險刑法的理論邏輯——兼及轉型中國的路徑選擇[J].當代法學，2014 ，(1)：89.廖斌教授認為，所謂法益保護的早期化，是指為了適應刑法規(guī)定當中所保護的法益，而將該法益侵害的結果發(fā)生以前的危險行為或者實行行為以前的預備行為當作一個獨立的犯罪來進行處罰的一種傾向。參見廖斌，張亞軍.風險社會下刑法之危機與擴張[J].學習論壇，2012 ，(11)：64.，筆者認為無論從規(guī)范意識層面還是責任承擔角度，通過刑法來確證行為規(guī)范的妥當以適應現代社會新的秩序是必要的，它不僅彰顯了刑法積極的一般預防功能，而且能在一定程度和范圍內糾偏刑法謙抑的被動性。法益保護的前置包括對既有犯罪刑罰處罰的前置和新型危害行為犯罪化兩個層面。[6]對于個人信息，現行刑法僅僅處罰出賣、傳播、竊取或者用其他方式獲取公民個人信息的犯罪行為，這已經同當前的現狀不相適應。因此為了打擊、遏制這種違法犯罪行為，維護公民個人信息不被任意侵犯，立法部門和司法部門要使用單行立法或司法解釋的手段擴大和延伸對新出現的侵犯公民個人信息犯罪的規(guī)制。

需要注意的是，刑法對風險的提前介入與貫徹刑法謙抑精神不是截然對立的，也并不必然導致犯罪圈的無限擴大和刑法的濫用。任何事物都有一體兩面，刑法不僅要保障社會穩(wěn)定和發(fā)展，也要保護公民個人的自由，因此刑法提前介入的立法態(tài)度應是十分審慎和確有必要。刑法并非規(guī)制所有的社會風險，只應對那些具有嚴重社會危害性的風險進行規(guī)制，如果是社會發(fā)展必須要付出的風險代價或者社會公眾能承受和容忍的風險，則應被排除在刑法大門之外。

第二，由實害犯轉向危險犯。從現行法律規(guī)定看，侵犯公民個人信息罪屬于實害犯，但侵害公民個人信息行為入罪的原因，更大程度上是對于公民人身權和財產權的提前保護。事實上，個人信息在被泄露的時刻，公民的人身權、財產權等權利并未受到實際的侵害，只是處于因被泄露而可能被侵犯、被濫用的危險狀態(tài)。這種危險往往是直接而緊迫的，轉化成現實的可能性很高。從這個意義上看，侵犯公民個人信息犯罪具有很強的危險犯性質。按照風險刑法的理論，傳統(tǒng)的罪責刑法在風險面前無能為力，如果等到具體的人身權、財產權被損害的實害后果出現才予以規(guī)制，則對公民合法權益的保護將過于遲滯。這樣的立法例在域外刑法中也并不罕見，如《德國刑法典》第203條規(guī)定了因各種身份而被告知或知悉他人的秘密，未被授權而加以泄露的，處1年以下自由刑或罰金刑；行為人為了獲得報酬或意圖使自己或他人獲利，或意圖損害他人的利益而公開此等秘密的，處2年以下自由刑或罰金刑。[7]《日本刑法典》第 134 條規(guī)定，從事醫(yī)師、律師、辯護人、公證人或者宗教祭祀等職業(yè)的人，沒有正當理由，而泄露由于處理業(yè)務而知悉的他人秘密，應處6個月以下懲役或者10萬元以下的罰金。[8]上述立法規(guī)定提醒特定人員(通常為法律授權的職務人員)恪守職業(yè)道德，消除了他們利用知悉他人秘密的優(yōu)勢實施相關犯罪活動的情況，更好地保障了公民的個人信息和隱私權。同時，為了應對信息現代化和國際化的潛在風險，《日本刑法典》增設了“關于支付用磁卡的電磁記錄的犯罪”作為第163條之二，將非法獲取磁卡信息的保管、提供、獲得、非法制造等行為都予以犯罪化。[9]以上這些侵犯個人信息的犯罪行為均不要求實害結果已然發(fā)生。在涉疫情個人信息的保護中，只要出現侵害公民人身、財產等權益的危險，就應當對其進行犯罪化處理，從而防止危險轉化為實害。尤其是重大疫情的出現不僅僅帶來因疾病蔓延所導致的人們生命和健康損害及經濟損失，同時會引發(fā)大眾的恐慌甚至社會動蕩。

第三，行為對象分類。涉疫情個人信息犯罪化的重要依據之一是行為對象，針對不同行為對象，“收集”與“侵害”的范圍不盡相同，犯罪的入罪化標準也不盡一致。實踐中，針對不同主體的涉疫情個人信息也采取了不同的使用和保護方法。如對于確診患者和疑似患者，根據流行病學調查的需要，會向患者詢問發(fā)病經過、密切接觸人員、近期生活軌跡、出行信息、可能傳染源和被傳染者等信息，主要用于密切接觸者的隔離觀察、公眾預警、調查隨訪、追查傳染源等工作；對于密切接觸者，根據流行病學調查的需要，會向其詢問近期生活軌跡、出行信息、家庭成員及社會關系、接觸確診或疑似病例的時間和方式等信息，主要用于其隔離觀察、公眾預警、調查隨訪等工作。而對于疫情中一般公民個人信息的收集與使用，則主要用于疾病預防、健康狀況調查等，同時完善戶籍登記信息的“一標三實”(11)“一標三實”是指標準地址，實有人口、實有房屋、實有單位。“一標三實”是由公安部門主導，規(guī)范標準地址、將人口、房屋、單位的詳細情況錄入信息系統(tǒng)，實現信息共享互通，為施政提供信息支撐。工作，為可能開展的疫情調查隨訪工作夯實基礎。

(三)侵犯涉疫情個人信息行為的出罪條件

第一，“被收集者個人同意”的限定使用。對于侵犯涉疫情個人信息的出罪標準，《解釋》第3條規(guī)定了“未經收集者同意”是法定的入罪條件，《個人信息安全規(guī)范》也規(guī)定“個人信息原則上不得公開披露，經法律授權或具備合理事由確需公開披露時，應當匿名化處理或者向個人信息主體告知公開披露個人信息的目的、類型，并事先征得個人信息主體明示同意”。因此經信息所有人個人同意是出罪的理由之一。以全球“最嚴格”個人信息保護法著稱的歐盟《通用數據保護條例》(GDPR)為例，一般的個人信息披露就以“個人同意”作為出罪事由。然而對于像新型冠狀病毒肺炎疫情這樣的突發(fā)公共衛(wèi)生事件，除個人同意之外，GDPR還有另外三個合法性事由可供使用，分別是個人數據處理“為履行數據控制者承擔法定義務所必須”、“為保護數據主體重大利益或其他自然人重大利益所必須”，“為執(zhí)行公共利益之目的任務或數據控制者行使法定職能所必須”。這三個合法性事由，能有力地支撐起疾病預防控制機構、醫(yī)療機構，以及相關組織利用個人信息開展疫情防控工作。因此，被害人(被收集人)同意并非是收集利用個人信息的充足合法性依據，經信息主體同意的行為并不當然阻卻刑事違法性，行為不得與國家利益、社會公共利益相沖突。

第二，“去標識化行為”的合法性情形?！叭プR別化”技術手段是通過對具有可識別性的個人數據信息進行刪改，對個人信息進行“脫敏”，進行去識別化或匿名化處理，以降低運用該信息可能對信息主體的隱私造成的威脅或損害的風險。風險社會中個人信息的社會價值更多地體現在合理使用上，因此法律的導向不是單一地對個人信息進行保護，而是充分地發(fā)揮個人信息的潛在價值為社會所用。[10]在我國現行法律中，沒有明確的將某些類型的個人信息賦予更高等級的保護。在《個人信息安全規(guī)范》中，提出了個人敏感信息這個概念，以此區(qū)別于個人信息。換言之，國家標準采取的是場景式的定義，有些信息，如姓名、電話號碼，在平日僅僅是個人信息，但是在特殊情形中應當被認為是個人敏感信息，如此次疫情中的武漢人民及從武漢返鄉(xiāng)人員的信息、境外回國人員信息等。特殊時期，這些信息的泄露或濫用極易引發(fā)各種歧視性待遇和侵權行為，導致權利人名譽和隱私的損害，甚至危害到權利人的健康和財產安全，應當“升格”為個人敏感信息來保護。因此，個人敏感信息這個定義是依賴于場景的——即何種信息在何時落入個人敏感信息這個類別，是和場景密切相關的?！懊撁簟被颉澳涿钡募夹g手段若要達到出罪的標準，必須以實際上降低信息泄露的損害為條件。

第三，公權機關合法使用的限制。在大數據背景下，公民個人信息應用于公共領域的種類和數量越來越多，行政機關也在個人數據信息的支撐下開發(fā)了各種各樣的管理工具，在疫情的防控中亦發(fā)揮著關鍵性作用。然而我國既有的個人信息保護體系中的限制性規(guī)定主要針對的是商業(yè)機構而非行政機關，即針對行政機關的侵權或犯罪行為的立法規(guī)制不完善。如行政機關在使用App采集個人信息過程中可能會造成對確診病例的可能密切接觸人員或者重點疫區(qū)流入人員的排查擴大范圍的可能，會導致部分不存在上述問題的人員遭到隔離核查的措施。由于涉疫情信息大數據只是被行政機關所掌握，公民個人無從知曉大數據中的他人信息和自己的個人信息，這種信息不對稱導致了當行政機關依據大數據檢測結果對個人采取醫(yī)學隔離措施時，被隔離的公民個人尚不知道原因，現實中引發(fā)了一些不滿和投訴。因此，行政機關并非是純粹的個人信息的保護者和監(jiān)管者，也可能是信息的獲取者和非法使用者。[11]政府出于對行政效率的追求和風險治理的需要而對個人信息進行充分的挖掘和利用，這些都為公權機關侵犯個人信息提供了空間。因此，“政府不能無節(jié)制地肆意收集和利用個人信息，個人信息法律保護制度的發(fā)展始終伴隨著對政府權力的限制”[12]，對于政府使用公民個人信息行為的規(guī)制應當嚴于其他組織。

(四)侵犯涉疫情個人信息行為的刑罰結構

在對侵犯涉疫情個人信息行為犯罪化的過程中，應當十分注意刑罰的適用方式。首先，刑罰結構應當體現寬嚴相濟的刑事政策。我國刑罰結構整體上呈現“厲而不嚴”的特點，刑事法網不夠全面且重刑化傾向明顯，而“嚴而不厲”的刑罰結構要求，一是建立嚴密的刑事法網，在此基礎上刑罰的嚴厲或輕緩要與犯罪態(tài)勢和刑事政策變動相適應。有些較重的刑罰在司法中是“備而少用”或者“備而不用”的，這樣既能夠體現出寬嚴相濟的刑事政策，又能適應風險社會刑事立法的需要。風險社會并非強調單極化、重刑主義的刑事政策，涉疫情信息風險的調控也并非只有刑法調控一種路徑，在此立法思想的指導下，對于侵犯涉疫情個人信息的行為應當根據犯罪情節(jié)設定輕重不同的法定刑，體現“輕輕重重”。二是刑罰結構應遵循罪刑均衡和區(qū)別對待原則。刑罰結構應當對侵犯涉疫情個人信息所適用的刑罰處罰種類進行階梯式的遞進設置，以適應不同社會危害性程度的犯罪。隨著個人信息犯罪數量與種類的增加，傳統(tǒng)簡單化的刑罰標準已經無法滿足犯罪評價的需要，應當根據公民個人信息的法益屬性和權利邊界進行細化規(guī)定，根據個人信息數量、個人信息內容、危害后果、行為手段等作為評價指標，設定“一般情節(jié)”與“嚴重情節(jié)”輕重不同的刑罰內容，應當區(qū)別對待。三是刑罰設置應當充分反映行為的社會危害性。侵害涉疫情個人信息的社會危害性可能包含了多種因素，不僅包含物質的損害后果，也有精神性的、心理上的損害后果，更有社會性的損害后果，因此刑罰的輕重幅度應當與不同程度的社會危害性相適應。例如，由于疫情防控中全國各地對新型冠狀病毒的防控措施逐步升級，不少武漢返鄉(xiāng)人員的個人信息被泄露。有調研顯示，重點疫區(qū)武漢的返鄉(xiāng)人員與非返鄉(xiāng)人員對于信息泄露帶來的影響呈現出兩種不同的態(tài)度： 54.6%的返鄉(xiāng)人員對于個人隱私信息“被公開”十分憤怒，而非返鄉(xiāng)人員認為信息泄露會帶來部分正面影響。(12)中國法學會法治研究基地、最高人民檢察院檢察基礎理論研究基地、教育部社會治理法治建設創(chuàng)新團隊、中南財經政法大學法治司法改革研究中心、湖北法治發(fā)展戰(zhàn)略研究院聯(lián)合對武漢返鄉(xiāng)人員信息泄露現狀及公眾態(tài)度進行了調研。對于同樣行為的社會危害性的有無及其大小存在較大爭議甚至截然相反的判斷，因此，必須綜合各種因素全面衡量把握該侵犯涉疫情行為對社會造成的危害性的大小。

四、結論

在風險社會背景下，科技高度發(fā)展在推動經濟社會進步的同時，也孕育了侵犯個人信息犯罪的土壤，傳統(tǒng)的安全手段對在大數據中“裸奔”的人們的保護已經捉襟見肘，“個人信息量的膨脹掀翻了自身安全的蓋頭”[13]。在重大疫情面前，國家的需求與民眾的訴求本質上具有高度的重合性，社會秩序的安定有序需要刑法的積極作為，民眾在疫情中的恐慌不安情感需要刑法的安撫回應，立法者和民眾對于侵害涉疫情個人信息的社會危害性容易達成共識。刑法只有適時地回應社會變化、彰顯時代精神才能具有強大的生命力和不竭的發(fā)展源泉。當然，需要不斷審視和思考刑法的轉型，公共安全的價值選擇無可厚非，更重要的是在疫情防控中實現個人權利自由、社會公共利益、國家信息安全之間的價值平衡?？挂哌^程中堅持法治中國建設的底線是保障和尊重基本人權，基本人權保障水平是衡量法治實行成效的最終標尺。在司法實踐中應當嚴格遵守罪刑法定原則，除了明確被刑事立法禁止的濫用行為，對于個人信息的控制和利用行為也應保持一定的開放和謙抑態(tài)度，既保障個人信息權利，又要為大數據產業(yè)發(fā)展預留空間。