面對來勢洶洶的新型冠狀病毒疫情，本著配合相關調查，團結一致對抗病毒。很多從武漢返鄉的工作者、大學生，都自愿填寫了一些與個人信息有關的調查表，并且主動在家隔離。這本是非常值得鼓勵和贊善的行為。

但是，近幾天，疑似包含武漢返鄉人員的身份證號碼、家庭住址、電話號碼等個人信息的EXCEL表格，卻堂而皇之地在微博、微信朋友圈、微信群當中泄露及流傳。

那么問題來了，武漢返鄉人員及新冠患者的個人信息到底是否值得保護？應當設置怎樣的例外？法律理由又是什么呢？

一、保護武漢返鄉人員及新冠患者的個人信息刻不容緩

1.這些個人信息是法律保護的合法權益。

“公民的個人信息”，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。顯而易見的是，武漢返鄉人員及新冠患者的姓名、身份證件號碼、通信通訊聯系方式、住址、行蹤軌跡等都是“公民的個人信息”，屬于《民法總則》、《傳染病防治法》及《刑法》保護的合法權益，具體保護的法益是公民的人格尊嚴。

比如《民法總則》第111條規定：自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

又如《傳染病防治法》第68條第5項的規定：故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息、資料的，對負有責任的主管人員和其他直接責任人員，依法給予降級、撤職、開除的處分，并可以依法吊銷有關責任人員的執業證書；構成犯罪的，依法追究刑事責任。

再如《刑法修正案（九）》規定的“侵犯公民個人信息罪”：違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

2.這些個人信息不僅是容易導致歧視性待遇的敏感信息，而且也可能是影響公共健康、安全及穩定的重要信息。

首先，武漢返鄉人員及新冠患者的個人信息屬于“敏感信息”。因為一旦泄露、非法提供或濫用，可能危害武漢返鄉人員及新冠患者的人身和財產安全，數據極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。具體而言，敏感數據包括“身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等”。

其次，武漢返鄉人員及新冠患者的個人信息還屬于“重要數據”。因為這些重要數據一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全。

二、武漢返鄉人員及新冠患者的個人信息保護的法定例外

武漢返鄉人員及新冠患者的個人信息固然值得法律保護，但這并不能絕對化，具體有以下的例外：

1.個人的同意授權。《網絡安全法》第41條提供了“同意授權機制”，即“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意”。這同樣也適用于線下的武漢返鄉人員及新冠患者的個人信息的保護。

但以下行為可被認定為“未經同意收集使用個人信息”：

（1）征得武漢返鄉人員及新冠患者同意前就開始收集個人信息或打開可收集個人信息的權限；

（2）武漢返鄉人員及新冠患者明確表示不同意后，仍收集個人信息或打開可收集個人信息的權限，或頻繁征求用戶同意；

（3）實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍；

（4）以欺詐、誘騙等不正當方式誤導武漢返鄉人員及新冠患者同意收集個人信息或打開可收集個人信息的權限，如故意欺瞞、掩飾收集使用個人信息的真實目的；

（5）未向武漢返鄉人員及新冠患者提供撤回同意收集個人信息的途徑、方式等。

2.匿名化和脫敏機制。《網絡安全法》第42條提供了“匿名或脫敏機制”，這同樣也適用于線下的武漢返鄉人員及新冠患者的個人信息的保護。特別值得注意的是，政府、醫院、科研機構等信息控制者對于“經過處理無法識別特定個人且不能復原的”個人信息，即使沒有得到未經被收集者“武漢返鄉人員及新冠患者”的同意，也可以向第三方提供這些個人信息。

3.其他情形。政府、醫院、科研機構等信息控制者在沒有獲得武漢返鄉人員及新冠患者的個人授權時，在以下情況可以使用或披露相應個人信息：

（1）向上述人員提供其本人健康醫療信息；

（2）治療、支付或保健護理時；

（3）涉及公共利益或法律法規要求時；

（4）用于科學研究、公共衛生或醫療保健操作目的的受限制數據集。在上述情況下，信息控制者可依靠法律法規要求、職業道德和專業判斷來確定哪些個人信息允許被使用或披露，但不得披露給無權使用個人信息的其他主體。

三、武漢返鄉人員及新冠患者的個人信息匿名化或脫敏的程度

《網絡安全法》第42條提供了“匿名或脫敏機制”，即“網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外”。特別需要注意的是，“匿名或脫敏機制”需要達到“經過處理無法識別特定個人且不能復原的”程度。

事實上，香港特別行政區政府衛生署提供了很好的范例：一方面，政府充分保障了公民的“知情權”。表格上詳細列舉了每一位疑似病人的急診日期、性別、年齡、報告來源、醫院名稱、化驗結果、患者狀況；同時，另一方面，政府又充分保護了每位確認患者及疑似患者的個人信息。表格刪除了患者的姓名等可識別特定個人的數據。這些經驗非常值得我們借鑒。

總之，在我看來，針對武漢返鄉人員及新冠患者的個人信息保護問題，法律特別強調的是公共利益和個人權利的平衡。

一方面，保護武漢返鄉人員及新冠患者的個人信息等合法權益刻不容緩。尤其在全國人大常委會在2020年即將制定《個人信息保護法》和《數據安全法》的背景下，政府、醫院、科研機構及我們社會中的每個自然人在危難之際特別要注重保護他人的個人信息等合法權益。畢竟大家都是受害者，我們絕對不能相互傷害！

但另一方面，基于同意授權機制及公共健康、安全、穩定等公共利益的理由，武漢返鄉人員及新冠患者的個人信息又應當允許被相關信息控制者和處理者合法收集、使用。但在沒有對個人信息進行匿名化或脫敏的前提下，政府、醫院、科研機構及工作人員都不能非法泄露和惡意傳播。

（作者何淵為上海交大數據法律研究中心執行主任，著有《大數據戰爭》三部曲）