曾踏足4间酒吧，成都一名20岁的确诊女生成为近日焦点，而后因个人信息泄露更被卷入一场始料未及的舆论风波。

至此，已有男子因散布及泄露隐私已警方行政处罚，但关于信息最初泄露的源头仍是待解的谜。

面对突发公共卫生事件，人们需要依法配合相关防疫调查，个人信息成为多部门手中流转的数据。防疫过程中，哪些人在哪些环节可能会获得公民的个人信息，又是如何泄露隐私以致全网传播？

伴随信息泄露的，除了当事人被侵犯隐私、遭受网络暴力，还有无辜人员因“移花接木”的信息受到波及，各种次生风险频发。

在这场没有硝烟的抗疫战争中，政府与民众对于防疫及个人信息保护的行为，正深刻影响甚至改变着民众生产生活格局与国家公共治理方式。

一问：信息泄露源头何在？

据“成都发布”12月8日消息，当天成都新增3例新冠肺炎确诊病例，均系7日郫都区确诊病例的关联病例。

相关情况通报提到：赵某，女，20岁，无固定职业，居住于成华区崔家店华都云景台小区，系郫都区昨日确诊病例卢某、赵某的孙女。12月8日在对卢某密切接触者的隔离检测中检出核酸阳性，后诊断为确诊病例（普通型）进行隔离治疗。近14天内，患者主要停留的场所包括：中冶中央公园、嗨蓝调美甲店、小巷巷麻辣烫、海雾里小酒吧、playhouse酒吧、赫本酒吧等。

因曾踏足4间酒吧，赵某被网友称为“夜店转场皇后”，同时也被谴责亲人确诊后还肆意出行。

超出事情控制范围的是，包含赵某姓名、住址、身份证等个人信息的内容也被广泛传播。

12月9日，赵某在今日头条平台发声，回应外界质疑称，当时并不知道奶奶已确诊。她澄清，自己的工作是在酒吧负责气氛和营销，确诊后第一时间配合调查。

至于被谁暴露了个人信息，包括手机号，赵某无从知晓。她能感受到的，是从8日起接连不断的来电及短信。多的时候，甚至1分钟就有6个电话，导致疫情防控工作人员打过来都占线，也有人一直发短信进行人身攻击。

“我只是不小心感染了新冠，我也是一个受害者。”这位20岁的女生忍不住说。

声明的最后，她道歉：“我在这里给成都的市民道歉，给大家带来的麻烦，打破了大家原本平静的生活。”

赵某发声不久，同日午间，警方对一名泄露其隐私的男性进行了处罚。

成都市公安局成华区分局通报显示，12月7日23时许，王某（男，24岁）将一张内容涉及“成都疫情及赵某身份信息、活动轨迹”的图片在自己的微博转发，严重侵犯他人隐私，造成不良社会影响。

因违反《中华人民共和国治安管理处罚法》相关规定，王某被依法予以行政处罚。

但上述通报并未公布王某获悉信息的渠道，关于信息最初泄露的源头仍是一个谜。

“此次事件中，公众对泄露信息的源头更关注，但转发信息的王某是否为泄露信息的源头未披露，并且王某具体受到的行政处罚也未披露。”北京安理律师事务所高级合伙人王新锐认为，从泄露事件的调查结果和处罚力度两个方面来看，可能不太符合公众的期待，应对源头彻查。

二问：防疫信息如何被泄露？

12月8日，成都市疾控中心工作人员曾向21世纪经济报道记者介绍在流行病调查时的信息收集情况。

例如，在采样和流调时会收集确诊者的行踪，在调查过程中会核实涉及确诊者的姓名等私人信息。上述人员承诺，这些信息不会对外公开。

那么，在防疫过程中，哪些人在哪些环节可能会获得公民的个人信息，又是如何造成了全网传播？

今年疫情暴发以来发生的相关案例或许可以解答。据21世纪经济报道记者不完全统计，从1月至6月已发生17起与疫情相关的个人信息泄露事件。

从泄露信息方来看，有7例为村委、街道或社区工作人员，医疗系统人员泄露信息的情况有5例。

涉及7例基层防疫人员的泄露信息事件中，有1月疫情初期，贵州安顺市某街道社区人员杨某泄露在工作中获取社区疫情防控人员信息，也有6月疫情得到控制时，燕郊一街道办工作人员贾某泄露《紧急突发事件快速报告表》传真件照片。

5例被医疗系统人员泄露信息的事件，包含内蒙古鄂尔多斯市东胜区天骄社区卫生服务中心主任王占武泄露疫情排查相关人员信息，广西富川县人民医院检验员宋某某泄露该院感染性疾病科收治的疑似病例患者住院病历。

除次之外，还有一些其它部门的人员因工作接触到疫情防控相关信息，并私下传播。其中不乏一些职位较高的公务人员。

2月6日，广西纪检监察网通报，广西钟山县民政局党组书记、局长杜某某擅自将一份包含湖北返贺（三县两区）人员、过贺人员信息的文件向其家庭和同学等4个微信群转发，造成疫情排查信息泄露。

从泄露的信息内容来看，除了感染者的信息，还涉及到了疑似感染者、湖北籍或来自疫区的人员、甚至防控人员的相关情况。除了相关人员的姓名，家庭住址、身份证号等信息也被一并泄露。

例如，广西富川瑶族自治县柳家乡卫生院院长杨某某将“与麦某某同班车（桂J61032）人员”的文档（内含40人姓名、联系方式、身份证号、住址等内容），在未经授权情况下，擅自将该文档发到微信群，后被群里其他人员转发扩散。

从泄露信息的方式来看，上述人员在获得相关信息后，有的发送给单个家人或亲友被进一步转发，也有人员直接将信息传播至人员较多的微信群中，从而被扩散。

例如，浙江定海某社区工作人员1月将内部资料通过微信发给其丈夫，后者又将该资料发至其单位微信群。湖南永州市中心医院医保事务部工作人员廖华妹将从医院系统内收治的疫情感染者相关信息截图，发送到某小区交流群。

无论哪一种传播方式，都涉及到了对公民隐私的泄露，给疫情防控工作造成了不良的影响。

三问：隐私遭泄露影响有多大？

防疫过程中，因信息泄露事件带来的影响及风险，不可小觑。

武汉大学新闻与传播学院副教授王敏向21世纪经济报道记者分析，随着疫情防控工作的常态化，个人信息泄露会引发诸如“社会恐慌”“歧视患者”“地域污名”“骚扰恐吓”“网络暴力”“社会不公”甚至“危及公共健康、安全和稳定”等次生风险。

此次事件中，伴随赵某个人信息泄露遭遇网络暴力，拥有12万微博粉丝的女生张樱（化名）也莫名被卷入这场风波。

12月8日，一张坐在轿车后座，身穿白裙的张樱个人照片在微信群、抖音等多个平台流传，被指为赵某。

“照片已经严重影响我工作的名誉。”张樱向21世纪经济报道记者回应，她不是赵某，也不是成都人，网上流传的照片由她此前发布于快手平台。对于谣言来源，张樱也毫无头绪，通过粉丝私信才知道照片被误传的情况，这时，微博上已经有许多人传播其照片，并进行讽刺辱骂。

8日下午，张樱去往当地公安局报警，但警方未受理。

“不知道发布人的目的和主观想法是什么，至少客观上最初的发布者有侵犯他人隐私（照片也是隐私）并造成他人名誉受损，正常生活受到干扰的结果，至少应承担民事侵权责任，视情况不同，也不排除治安处罚甚至刑事犯罪的可能。”北京市中盾律师事务所合伙人杨文战表示，若在评论或转发过程中编造谣言、骚扰他人，视其行为还可能涉及其他侵权或法律责任。

中国政法大学传播法研究中心副主任朱巍分析，上传虚假的照片对与事件无关的女生进行诋毁，这种‘移花接木’的行为，涉及侵害他人的名誉权。即便拥有当事人赵某照片，未经授权也不应该传到互联网上，这涉及到隐私权的问题。

当地公安已作出响应。12月9日，成都市公安局向市民发出倡议，不信谣，不传谣，警方将始终坚持”零容忍”的态度，依法惩处造谣、传谣和侵犯公民合法权益的行为。

王敏认为，信息泄露本身及引发的次生问题也将有损政府部门的公信力和法治形象，给民众造成依法防控、依法治理能力低下的印象，也会给未来的疫情防控、合法信息采集工作带来阻碍。

“这类信息的传播对于传染病防治工作会带来负面影响，也会降低公众对相关部门的信任。一线的工作人员非常辛苦，但因为这样的事件导致不信任，很得不偿失。”王新锐说。

四问：反映出什么问题？

除了信息泄露之外，这次事件中，防疫部门对赵某采取隔离措施的问题也遭受到质疑。

有网友提问，为何赵某的奶奶卢某某6日在医院已发现“双肺散在分布磨玻璃影”，但6日晚赵某没被隔离检测，仍在酒吧。

对此，成都市卫健委疾病预防控制处相关工作人员12月8日曾回应媒体称，卢某某6日只是发现双肺异常，并没确诊，赵某当时还不能算是密接者。按照疫情防控规定，确诊后才会对其密接者进行隔离检测。

“在家人被高度怀疑疑似病例，正在病期和检测阶段，是不是从法律上对其身边生活的人要有一定限制？不然的话，一旦确诊，可能出现‘一个人毁一座城’的情况。从这个角度而言，赵某在身边至亲疑似病例监测阶段，仍然出入多个酒吧，从道德角度和防疫角度看都存在问题。”朱巍说，如果能提前隔离，或许不会出现此后的各种乱象。

对于相关的隔离管理，成都市崇州市疫情防控指挥部方面12月10日向21世纪经济报道记者表示，如果对方被定为疑似和确诊病例之后才需要集中隔离，此前身边人需要居家隔离，但非强制性。

早在今年2月23日，“要在法治轨道上统筹推进疫情防控工作，全面提高依法防控、依法治理能力”的等要求，已在统筹推进新冠肺炎疫情防控和经济社会发展工作部署会议上被提出。

“疫情防控过程中屡次发生个人信息泄露事件，说明我们当前依法防控、依法治理的能力有待提升。”王敏说，一线防疫人员容易忽略对个人信息的保护，保密工作不够充分，可能会给隐私信息泄露留下隐患。

“防疫相关政府部门在进行防疫调查过程中，对其收集的大量个人信息的保护力度不够，可能未对能访问确诊病例个人信息的权限进行严格限制。其次，从数次泄露出来的信息来看，在病例个人信息的收集方面可能存在过度收集的问题，有时已超过了防治传染病的需要，当然这也有一个逐渐深化对传染病认识的过程。”王新锐建议，传染病防治部门应发布统一的信息披露标准，不要一个地方一个样。

对于受疫情影响的民众，王敏分析，人们普遍缺乏尊重他人个人信息的意识，倾向于认为隐私保护是他人的责任和自己的权利。

“一方面在好奇心、窥私欲的驱使下刺探、传播他人的隐私信息，另一方面又会因为自己的隐私泄露而感到愤怒和无助。”王敏说，人们往往忽略，承担的责任和享有的权利是对等的一体两面。

五问：如何依法防控？

在《传染病防治法》《突发公共卫生事件应急条例》中，获得明确授权的有疾病预防控制机构、医疗机构，以及直接参与到国务院和省、自治区、直辖市人民政府制定、实施的“突发事件应急预案”中的单位和个人。非上述单位和个人，不应在未征得个人同意的情况下将个人信息用于疫情管控、重点人群追踪等目的。

《传染病防治法》也明确规定，不得故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息。

“因此，没有明确法律授权的组织和机构，或未依法参与政府组织开展的疫情防控工作的人员，不得未经被收集者同意而收集使用确诊者、疑似者及密切接触者的个人信息，更不能在微信群、朋友圈等私自传播上述信息，否则属于侵害公民个人信息行为，甚至构成侵害公民个人信息罪。”王敏提到，如果是疾病预防控制机构、医疗机构、基层工作人员等泄露上述信息，还会构成加重情节。

针对此类事件的处理，21世纪经济报道记者在上述统计中发现，17例在防疫过程中的信息泄露，以行政拘留、罚款、立案审查、通报批评等为主。

其中，有7人被行政拘留7至15日，5人被立案审查，3人被罚款500元至5000元不等。例如上述事件中，贵州安顺某街道社区工作人员杨某被行政拘留15 日、罚款5000元，广西富川瑶族自治县柳家乡卫生院院长杨某某被立案审查。

今年2月，中央网信办发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，规定在收集、汇总、存储环节，应尽可能相对集中管理和处理个人信息，采用严密的访问控制、审计、加密等安全措施；而在个人信息使用、加工、披露过程中，需要做到专采专用。

对于已经泄露的确诊者、疑似者及密切接触者个人信息，王敏认为，各地网信部门、公安机关也应及时制止或阻断，以减少不利影响，避免对合法信息采集工作造成阻碍。

王新锐建议，疫情期间，收集个人信息的主体应当按照个人信息保护的相关法律尽到其合规义务，收集的信息仅能用于防疫目的，且采取数据安全保护措施，例如，对个人信息加密存储、严格限制访问权限、相关工作人员应签署保密协议等。疫情防控结束后，应当彻底删除或匿名化以防疫为目的收集的个人信息。

在遭受新冠疫情侵袭的其他国家地区同样也对个人信息保护予以关注，美国和欧盟在疫情期间已采取相关措施。

2020年2月，美国卫生和公共服务部民权办公室针对新冠疫情，发布了有关确保《健康保险流通与责任法案》（HIPAA）隐私规则适用主体在疫情中遵循HIPAA隐私规则有关信息使用与披露的公告，明确规定在未经患者或其指定人员书面授权的情况下，适用主体不得向媒体或公众报告可识别患者个人身份的信息或与患者治疗相关的信息。

欧盟委员会则于3月通过了《新冠疫情暴发期间处理个人数据的正式声明》，明确了如《通用数据保护条例》（GDPR）等数据保护规则的灵活适用性。根据GDPR，允许各国政府出于公共利益处理个人信息，但必须有一定的限制。4月，《支持抗击新冠疫情应用程序的数据保护指引》出台，旨在提供必要的框架，保证公民在使用此类应用时，其个人数据得到充分的保护，并限制侵犯行为。