这个案例告诉我们，担忧个人信息泄露并非杞人忧天，我们的个人信息此刻也许就正在被侵害！

个人信息被泄露后危害非常大，轻则垃圾短信源源不断、骚扰电话接二连三、垃圾邮件铺天盖地，卖保险的、装修的、办信用卡的等等，各种推销导致正常休息被打扰、工作节奏被打断。重则冒名办卡透支欠款、案件事故从天而降、冒充他人要求转帐、帐户钱款不翼而飞、个人名誉无端受损、人身安全难获保障。

山东考生徐玉玉被诈骗9000元学费猝死、知名演员汤唯被诈骗21万余元、“琼女郎”俞小凡被骗800余万，这些因个人信息被泄露而引发的诈骗案例犹在耳边。

疫情防控期间，除防疫部门、医疗机构、社区等职能机构外，商业机构是最常见的个人信息收集者。但商业机构是否有权以疫情防控为名收集个人信息？收集信息的范围是否有限制呢？

中央网络安全和信息化委员会办公室发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第一条规定：除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息。

按照《中华人民共和国传染病防治法》第7条、《突发公共卫生事件应急条例》第36条、第40条的规定，为防疫收集公民个人信息的主体应限于疾病预防控制机构、卫生行政主管部门、医疗机构、街道、乡镇以及居民委员会、村民委员会等基层管理组织。除上述机构外，其他任何单位和个人，特别是商业性机构，未经被收集者同意均不能收集、使用个人信息。

即使确因疫情防控要求需要登记个人信息，也应坚持最小范围原则，收集对象原则上应限于确诊者、疑似者、密切接触者等重点人群。对普通民众而言，即便为了配合流行病学调查、口岸防控等目的，需要提供的信息也应限于与“疫情相关的”联系方式、14天内旅行史、14天内接触史、当前疾病症状之类的信息，不应包含姓名、身份证号、家庭住址等与疫情无关的信息。

对于已经以疫情防控、疾病防治为由收集或掌握个人信息的商业机构，应严格遵守《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第3条规定和第4条的规定，不得将收集和掌握的个人信息用于其他用途，同时应对收集或掌握的个人信息负安全保护责任，采取严格的管理和技术防护措施，防止被窃取、被泄露。

任何机构泄露其掌握的个人信息，都需要承担相应的法律责任。

1、民事责任

我国民法总则第111条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。如故意泄露、公开他人的个人信息侵害他人民事权益，应当按照我国《侵权责任法》的规定承担侵权责任。

2、行政责任

《中华人民共和国治安管理处罚法》第42条第6款规定，散布他人隐私的，处五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款。

《中华人民共和国传染病防治法》第68条第5款规定，疾病预防控制机构故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的，由县级以上人民政府卫生行政部门责令限期改正，通报批评，给予警告；对负有责任的主管人员和其他直接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书；构成犯罪的，依法追究刑事责任。   

3、刑事责任

《中华人民共和国刑法》第253条之一规定了侵犯公民个人信息罪

违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条对刑法第253条之一中的“情节严重”、“情节特别严重”量刑标准进行了具体规定.

“情节严重”指：

（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；

（二） 知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；

（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；

（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；

（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；

（七）违法所得五千元以上的；

（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；

（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；

（十）其他情节严重的情形。

“情节特别严重”指：

（一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；

（二）造成重大经济损失或者恶劣社会影响的；

（三）数量或者数额达到前款第三项至第八项规定标准十倍以上的；

（四）其他情节特别严重的情形。

疫情防控期间采取适当的防控措施无可厚非，但这并不意味着我们要以放弃个人信息安全为代价。在这个特殊时期，无论是个人信息收集机构，还是作为普通民众的我们，都更应该提高保护个人信息安全的意识，开展和配合个人信息收集工作均应合情合理合法，不能无节制地收集本不必要的收集的个人信息，任何机构对收集和掌握的个人信息也应严格保密，否则将有可能触碰法律底线，轻者承担民事、行政责任，重者承担刑事责任！