16　公开患者个人信息属于合法行为吗？

2021年1月，杭州市某医院感染科医师林某将包含一例境外输入复阳无症状感染者个人信息的流调报告转发至微信群，致使该患者隐私在互联网上大面积扩散。林某因严重侵犯个人隐私，被给予行政拘留5日的处罚。

《民法典》第111条规定，自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。《网络安全法》第44条规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”《传染病防治法》第12条规定：“疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”第69条规定：“医疗机构故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的，依法予以处罚。”此外，《刑法》《互联网信息服务管理办法》《电信和互联网用户个人信息保护规定》和《电信条例》等都有涉及公民个人信息保护的规定。

疫情患者个人信息可否公开？疫情防控中，个人信息的处理仍然需要合法性基础。这意味着，并非任何人、组织、机构均有权以抗击新冠肺炎的名义处理个人信息，而应当考虑个人信息的处理行为是否有法律法规的规定或授权，或者是否合法地征求相应个人的同意。在学理上以及他国的实践中，对于传染病等涉及公共健康、安全的个人敏感信息，有同意的豁免制度，但仍然会强调“同意的难以获取或不切实际”“为了保障公共健康所必须进行的处理活动”。在疫情防控中，《传染病防治法》依据“特别法优于一般法”原则，优先于《民法典》《网络安全法》适用。《传染病防治法》第12条规定：“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。但该条同时规定，疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”这表明，即使是在疫情防控的特殊时期，保护个人信息的法律规定也并未宣告失效，突破法律对于个人信息保护的规定，仍然会被追究法律责任。

在疫情防控背景下，出于维护社会公共利益的需要，法律对个人信息的收集、处理作出例外规定，已经是对个人信息保护的一种折中和调和。正因为是折中和调和，更应严格把握个人信息收集、处理的限度，实现疫情信息处理与个人信息保护的平衡。