新冠病毒肺炎疫情之下，感染该病毒的个人本已是非常不幸运，奈何一些个体在感染病毒后，其个人信息、隐私被挖掘、经由互联网快速、广泛传播，酝酿发酵成为人们茶余饭后的谈资，有关个体甚至被恶意骚扰，演变成另外一种不幸运，何其哀哉！

一、 疫情防控下，有关病例或密切接触者等个体的个人信息经由互联网应用流传的现象，屡见不鲜

自2019年12月新冠肺炎疫情肇始到现在，新闻媒体已经爆出多起确诊病例的个人信息通过互联网应用（如微信）肆意传播的情形。

新冠肺炎疫情爆发的初期阶段，出现一些微信群组、网络发布/转发特定地区/住宅小区有关武汉返乡过年的学生等人员信息（含身份证号、手机号等）统计资料信息的情形。

2020年11月，上海出现新冠疫情新增感染者，一份名为《关于浦东一例新冠疑似病例密切接触者xxx调查情况简介》的文档，将涉事新冠病例的密切接触者的信息传遍了网络。[i]该文件中含有大量个人信息及隐私，包括姓名、身份证号、电话、工作单位、住址，每日行程，身高、体重、BMI，以及其他相关人员的个人信息。[ii] 密切接触者个人信息被曝光后，据称其手机差点被打爆，接到的电话中不乏各种恶意骚扰电话，其精神差点崩溃。

近日，成都一确诊病例赵女士疑遭“人肉”搜索，其姓名、身份证号码、家庭住址等个人信息及行程轨迹在互联网上流传，据报道成都警方已经介入调查[iii]。据2020年12月9日的报道，近24小时内，成都确诊病例赵女士相关信息讨论量达4697条。其中，网页是主要传播渠道，占比31.2%。赵女士已于12月9日在今日头条发布声明，其中提及隔离期间看到网上对其以及家人的诽谤和谩骂，对其今后的工作和生活多多少少会有影响，也对其家人造成了伤害。[iv]

实际上，成都市卫生健康委员会于2020年12月8日发布的官方消息，对赵女士的个人信息作了一定程度的脱敏，仅提及其姓氏、性别、年龄、居住小区、14天内的部分行踪（曾前往成都数个酒吧）等信息。那，网上传播的赵女士的详细个人信息、隐私，包括身份证号、家庭详细地址，从何而来？不排除“人肉搜索”的可能性。

难以想象，如果我们如同赵女士，不幸感染新冠病毒后，自己的个人信息（可能还包括隐私）在网络上肆意传播，在各个微信群组“流连忘返”，被人们在网上评头论足，其中不乏谩骂，会遭受什么样的心理压力？或许，不愿为他人所知的个人信息、隐私被公布在网上、遭致妄议甚至接到骚扰信息、骚扰电话，合在一起就构成了所谓的网络暴力，轻则可能导致心理上的不适，重则可能产生更严重的后果。

抗击新冠病毒肺炎疫情的过程中，个人信息权益、隐私权被侵犯的情形引起了广泛关注。违法违规传播有关人员个人信息、隐私的少部分人员中，既有个别医务人员、个别来自有关行政部门的工作人员，也有普通群众，有的受到了内部纪律处分，有的受到了治安管理行政处罚。但是，还有很多为非法传播个人信息、个人“推波助澜”的人，只要动动手指转发信息，都可能助长信息更进一步、更大范围地传播。

新冠肺炎疫情在国内爆发至今已有一年了，感染病例或密切接触人员的个人信息被他人发布在网上传播的情形，仍然在陆续爆出。这说明，国内保护个人信息权益、保护隐私权的法律观念，尚未深入人心，关于保护个人信息、隐私方面的法律宣传仍需加强。不仅仅企业运营需要符合数据、个人信息保护方面的合规要求，普通民众也需要知晓个人信息、隐私属于应当得到尊重和保护的权利（权益），侵犯他人个人信息权益、侵犯他人隐私权可能导致承担相应的法律后果，如此，全社会才能逐渐形成保护个人信息权益、保护个人隐私权的法律意识。

二、成都新冠病例被“人肉”事件涉及哪些法律问题

1. 疫情防控部门的个人信息保护职责

我国疫情防控相关法律法规，比如《传染病防治法》《突发公共卫生事件应急条例》，赋予了有关机关、单位收集、报告、发布、通告信息的职责、义务。《传染病防治法》还规定，疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。这些规定确立了疫情下有关机关、单位有权收集、发布个人信息，确立了信息收集的合法基础、原则和底线。但是，由于这些规定早在《网络安全法》实施前就已制定，尚未对如何保护隐私确定更详细的规则，也未提及个人信息保护问题。

2020年2月初，《中央网络安全和信息化委员会办公室关于做好个人信息保护利用大数据支撑联防联控工作的通知》发布，该通知明确收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》坚持最小范围原则，且为疫情防控、疾病防治收集的个人信息，不得用于其他用途。任何单位和个人未经被收集者同意，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息，因联防联控工作需要，且经过脱敏处理的除外。

以上通知的效力级别为党内法规，但作为疫情防控期间针对联防联控中个人信息的收集和处理的明确规定，很好地为各地疫情防控有关负责机构起到了指导作用。其实，在2017年施行的《网络安全法》中，早已确立了网络运营者（网络的所有者、管理者、网络服务提供者）收集、使用个人信息不得违反与个人的约定、不得违反法律行政法规的规定，收集、使用个人信息应当遵循合法、正当、必要原则。因此，即便是负责疫情防控的部门，收集有关个人信息应当秉承必要原则，使用有关感染病例的个人信息（如披露、公布个人信息）也应秉承最小必要原则，无需发布的信息则不予发布，以最大程度地平衡公共利益的保护（疫情防控）与保护个体的个人信息、保护个体的隐私。

2020年10月发布征求意见的《个人信息保护法（草案）》在现有个人信息保护法律体系下新增处理个人信息的合法基础，其中包括为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需。如果该法本条按草案文本通过，有关主体可按本条处理个人信息，无须取得个人同意，但需要衡量评估哪些信息对疫情防控而言属于必要、必需的，哪些信息为疫情防控必需予以披露，不能超越必要限度。

2. “人肉搜索”可能导致哪些法律后果

根据百度百科，“人肉搜索”是一种类比的称呼，区别于传统搜索引擎，它主要是指通过集中许多网民的力量去搜索信息和资源的一种方式。比如，要了解一个人，那么可以通过在论坛发贴的形式发起搜索，也许正好有个网友他认识你所要了解的那个人，那么他就可以利用在网上发贴的形式把该个体的信息公布于网上。[v]

成都新冠病例赵女士的个人信息，是否通过人肉搜索而来呢？根据有关政府部门公布的信息，姓氏、性别、年龄、家住小区、家庭内人员信息、14天内大体的行踪轨迹，不排除可通过人肉搜索了解、披露该女其更具体信息的可能性。如果该女士的信息在互联网“满天飞”是人肉搜索导致，有关个人涉及到什么样的法律后果？

(1)  成都新冠病例赵女士的隐私权受到了侵犯。

目前尚在效力中的《侵权责任法》规定了隐私权，将隐私权纳入了该法的保护范围。将于2021年1月1日起实施并取代《侵权责任法》的《民法典》，规定自然人享有隐私权，且除非法律另有规定或者权利人明确同意外，任何组织或个人不得实施一系列行为，其中包括：以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁，拍摄、偷窥、窃听、公开他人的私密活动，处理他人的私密信息，以其他方式侵害他人的隐私权，等等。

隐私，根据《民法典》是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。私人生活安宁，是指自然人的生活安定和宁静的权利，自然人有权排斥他人对其正常生活的骚扰；私密活动是一切个人的、与公共利益无关的活动，私密信息，指的是任何私人不愿意公开的信息，只要这种隐匿不违反法律和社会公共道德，私密信息具体可包含如下类型：个人的生理信息、身体隐私、财产信息、家庭隐私、通讯秘密、谈话隐私、个人经历隐私、其他有关个人生活的隐私。[vi]

据网上的消息，成都赵女士发布的网上声明中提及，其手机号被人泄漏，从12月8日起一直有人给她打电话、发短信。笔者从声明的字里行间能看出，赵女士因其个人信息被泄漏、接到电话、短信，其私人生活安宁受到了打扰。人肉搜索者以及打骚扰电话的人都构成侵犯个人隐私权。如果成都这位女士不希望别人知晓其敏感个人信息（如果运用理性人测试方法，通常大家不会主动把自己的身份证号、家庭住址、年龄挂到网上任由传播散布，赵女士的声明也透露出不愿意为他人所知这些信息的意愿），这些信息构成其隐私，非法公布这些信息构成对其隐私权的侵犯。

(2)  有关肇事者侵犯了个人信息受到保护的权益

个人信息指的是以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人的信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息。[vii]个人信息既包括可识别自然人的信息，也包括与已知自然人相关的或反映其活动的相关信息。

我国关个人信息保护的现行法律体系下，《民法总则》《网络安全法》等均确立了保护个人信息的法律原则，即个人信息受到法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。《网络安全法》规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

成都感染病例赵女士的个人信息在网络上流传，有关肇事者构成了对其个人信息的侵犯。现行个人信息保护法律体制下，收集、提供、披露个人信息的行为即信息处理行为的合法基础只有两个：要么取得个人信息主体的同意，要么法律法规明确规定可予以处理。有关主体披露、公开的赵女士个人信息超出了成都疫情防控部门公布的信息范围，未取得个人信息主体的同意，也无法律、行政法规明确规定可以公布、披露其详细个人信息（包括隐私信息），侵犯了个人信息权益。

即将生效的《民法典》在第四编人格权编中，就隐私权和个人信息保护专设一章，虽未将个人信息明确确立为一项权利，但毋庸置疑，个人信息至少是法律所保护的一项权益。《民法典》“承继”了《网络安全法》确立的个人信息保护原则：处理个人信息，应遵循合法、正当、必要原则。《民法典》还规定处理个人信息须符合下列条件：（a）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（b）公开处理信息的规则；（c）明示处理信息的目的、方式和范围；（d）不违反法律、行政法规的规定和双方的约定。

《民法典》还规定：为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等；使用不合理侵害民事主体人格权的，应当依法承担民事责任。当然，《民法典》对于部分个人信息处理行为是予以免责的，如：（a）在自然人或者其监护人同意的范围内合理实施的行为;（b）合理处理自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;（c）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

成都的案例中，有关人员散布、传播其大量个人信息，即便是套用即将生效的《民法典》中关于为维护公共利益目的予以披露，也显然超出了合理的限度，更何况擅自发布赵女士个人信息的一些主体并非法律法规设定履行相应职责、有权披露、公开信息职权的主体。如果套用《民法典》第999条，即为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等，赵女士的过量个人信息被传播散布也不符合合理限度。根据该第999条，使用不合理侵害民事主体人格权的，应当依法承担民事责任。

还需注意，《民法典》对个人信息与隐私存在交叉的情形作出了处理，即个人信息中的秘密信息，适用有关隐私权的规定，没有规定的，适用有关个人信息保护的规定。成都案例中当事人隐私权、个人信息权益均受到了侵害。

(3) 有关肇事者可能承担哪些法律责任

根据以上，可知有关肇事者很可能构成侵犯隐私权以及侵犯个人信息受到法律保护的权益。初步分析，有关肇事者至少可能需要承担治安管理行政处罚方面的责任以及民事法律责任。

（a）行政法律责任

非法传播散布他人个人信息，个人信息中包含隐私的（如上所述，自然人不愿意公开的信息，只要此种隐匿不违反法律和社会公共道德，即可构成私密信息即隐私），此种行为构成《治安管理处罚法》第42条规定的散布他人隐私的情形，公安机关有权根据第42条处以五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款。

如果有关人员多次发送侮辱性、恐吓或其他信息，或多次拨打骚扰电话给被曝光个人信息的个人，干扰了其正常生活的，也构成对第42条的违反，应受到相应行政处罚。

新冠肺炎疫情期间，已经出现了一些案例，如某自然人将多名乘坐涉疫情邮轮的游客名单（含个人信息）发送给其朋友，其朋友其后将这些信息转发至其所在小区的业主微信群，导致个人信息传播，该自然人及其朋友构成违反治安管理的行为，受到治安管理行政处罚。[viii] 所以，转发他人提供的个人信息，也可能受到治安管理行政处罚。

而本文提及的成都的案例，据澎湃新闻2020年12月10日的报道，根据警方消息，王某（男，24岁）2020年12月7日23时许将一张内容涉及“成都疫情及赵女士身份信息、活动轨迹”的图片在自己的微博转发，严重侵犯他人隐私，造成不良社会影响。经公安机关调查，王某对散布泄露赵女士个人隐私的行为供认不讳，并深刻认识到自己的错误。目前，王某因违反《治安管理处罚法》相关规定已被依法予以行政处罚。[ix]

（b）民事法律责任

《民法典》第179条规定了承担民事责任的主要方式，其中包括停止侵害、排除妨碍、消除危险、返还财产、修理、重作、更换、继续履行、恢复原状、赔偿损失、支付违约金、消除影响、恢复名誉、赔礼道歉。

根据个人信息、隐私的特点以及具体的场景，笔者认为，通常而言，停止侵人、排除妨碍、消除影响、赔礼道歉、赔偿损失为侵权人承担责任的主要方式（这些责任承担方式在现行有效的《侵权责任法》等法律中有规定）。侵犯自然人隐私权或个人信息权益，将导致承担前述相应民事法律责任。

同时，需要注意的是，对于网络用户发布他人个人信息的网站，如果不及时采取相关合理措施，也可能承担相应民事法律责任。《侵权责任法》第36条规定，网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。即将取代《侵权责任法》的《民法典》也承继了大体相同的规定，并明确规定：网络服务提供者知道或应当知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。

因此，如果受害人主张合法权益被侵犯，要求有关互联网应用采取措施的，网络服务提供者核实后需要采取相应措施，否则可能承担相应法律责任。近期的“校友录”被爬案件法院判决中，法院就校友录头像证件照认定构成个人信息，且网络服务提供者应当在收到个人通知后及时采取措施，因怠于采取措施行为造成损失的，构成侵权。[x]

结语

互联网给我们带来了生活和工作方面的多种便利，但鉴于互联网传播信息的快速性、广泛性，任由侵害他人合法权益的信息在互联网传播散布，它可能成为伤害权利人的利器。除了明白处理个人信息的合法界限，不去做那个搜集/收集、散布他人个人信息、隐私信息的“始作俑者”，我们还应在日常生活中做到不随意转发他人的个人信息、隐私信息，抵制、制止该等传播行为，如此我们的网络世界才能变得更加清朗。只有大家一起努力，我们自己受到人肉搜索、网络攻击、私人生活受到打扰的可能性才会降低。个人信息与隐私保护，路漫漫其修远兮，吾辈自当上下而求索！

注释：

[i] https://www.sohu.com/a/434373402_359980?_trans_=000014_bdss_dkwhfy

[ii] https://www.sohu.com/a/431326344_118622

[iii] https://baijiahao.baidu.com/s?id=1685510650932626567&wfr=spider&for=pc

[iv] https://baijiahao.baidu.com/s?id=1685563521449393802&wfr=spider&for=pc

[v]https://baike.baidu.com/item/%E4%BA%BA%E8%82%89%E6%90%9C%E7%B4%A2/9698961?fromtitle=%E4%BA%BA%E8%82%89&fromid=8189629&fr=aladdin

[vi] 《中华人民共和国民法典人格权编理解与适用》第337-342页，人民法院出版社，2020年7月第1版。

[vii] 《民法典》第1034条。

[viii] 《个人信息法律保护与案例分析》第177-178页，东北师范大学出版社，2020年7月第1版。

[ix] https://www.thepaper.cn/newsDetail_forward_10344574

[x] https://m.thepaper.cn/newsDetail_forward_9403445