王曉牛

（華東政法大學(xué) 法律學(xué)院，上海 長(zhǎng)寧區(qū)200050）

根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的第44 次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，截至2019 年6 月，我國(guó)網(wǎng)民總?cè)藬?shù)為8.54 億，互聯(lián)網(wǎng)總體普及率為61.2%。①然而，伴隨高普及率的卻是低安全感，人們一面享受著網(wǎng)絡(luò)帶來(lái)的極大便利，一面也在承受著巨大的安全風(fēng)險(xiǎn)。個(gè)人信息被譽(yù)為二十一世紀(jì)最富有價(jià)值的競(jìng)爭(zhēng)資源，其對(duì)于個(gè)人具有社會(huì)交往價(jià)值，對(duì)企業(yè)等私主體具有商業(yè)價(jià)值，是預(yù)測(cè)未來(lái)經(jīng)濟(jì)發(fā)展的風(fēng)向標(biāo)。近年來(lái)個(gè)人信息安全問(wèn)題屢見(jiàn)不鮮，在2020 年初新型冠狀肺炎病毒疫情爆發(fā)之后，全國(guó)上下盡舉國(guó)之力開(kāi)展聯(lián)防聯(lián)控工作，個(gè)人信息在這場(chǎng)疫情防控戰(zhàn)中發(fā)揮著舉足輕重的作用。但是，隨著各項(xiàng)工作的展開(kāi)，個(gè)人信息泄露事件卻頻繁發(fā)生，被泄露的個(gè)人信息在網(wǎng)絡(luò)公開(kāi)傳播，對(duì)被泄露者的個(gè)人生活、安全引發(fā)極大安全隱患。因此，2020 年2 月9 日中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室公開(kāi)發(fā)布《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》②提出了疫情防控工作中對(duì)于個(gè)人信息保護(hù)的明確要求。在此之前，我國(guó)已于2017 年正式施行《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（下稱《網(wǎng)絡(luò)安全法》），2019 年《中華人民共和國(guó)民法典（草案）》（下稱《民法典（草案）》）將個(gè)人信息保護(hù)納入“人格權(quán)編”進(jìn)行具體規(guī)定，全國(guó)人大法工委亦表示我國(guó)將于2020 年制定《個(gè)人信息保護(hù)法》與《數(shù)據(jù)安全法》，我國(guó)個(gè)人信息保護(hù)進(jìn)程正在不斷向前推進(jìn)。因此在突發(fā)公共安全衛(wèi)生事件時(shí)，討論個(gè)人信息保護(hù)面臨的困境和解決路徑，平衡個(gè)人信息保護(hù)與價(jià)值利用間的關(guān)系具有一定的理論基礎(chǔ)與重要的現(xiàn)實(shí)意義。

一、突發(fā)公共衛(wèi)生事件中個(gè)人信息保護(hù)面臨的困境

《網(wǎng)絡(luò)安全法》第七十六條對(duì)個(gè)人信息的含義進(jìn)行了明確規(guī)定：“個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。”根據(jù)其是否具有標(biāo)識(shí)化特征可以將其分為一般信息與敏感信息。

（一）個(gè)人信息保護(hù)面臨的技術(shù)威脅

1.外部惡意攻擊

黑客攻擊和各類(lèi)病毒是目前個(gè)人信息泄露的主要源頭。黑客攻擊的常用手段有偽裝攻擊，探測(cè)攻擊，嗅探攻擊，欺騙攻擊，Web 腳本攻擊等。不法分子通過(guò)發(fā)送電子郵件，網(wǎng)絡(luò)鏈接等手段搜尋用戶手機(jī)、電腦等通訊設(shè)備上存在的漏洞，并經(jīng)由該漏洞侵入用戶的網(wǎng)絡(luò)系統(tǒng)，竊取用戶的個(gè)人信息。除此之外，互聯(lián)網(wǎng)平臺(tái)目前存儲(chǔ)個(gè)人信息的主要方式是建立用戶數(shù)據(jù)庫(kù)，但數(shù)據(jù)庫(kù)很容易因黑客利用第三方平臺(tái)的安全漏洞侵入而被竊取，或者因黑客的撞庫(kù)攻擊而被破壞。除了黑客攻擊，無(wú)處不在的網(wǎng)絡(luò)病毒也是個(gè)人信息的一大安全隱患。這些病毒可能來(lái)自軟件本身，也可能通過(guò)掃描二維碼等外部方式感染，一旦病毒入侵，用戶使用手機(jī)、電腦等進(jìn)行購(gòu)物、社交等活動(dòng)時(shí)，其個(gè)人身份信息，銀行卡支付信息等重要信息都極有可能被竊取。

2.網(wǎng)絡(luò)搜索失范

網(wǎng)絡(luò)搜索這項(xiàng)技術(shù)內(nèi)嵌于幾乎所有的網(wǎng)絡(luò)應(yīng)用當(dāng)中，它除了能幫助我們答疑解惑，也隱藏著巨大的商機(jī)，一旦被濫用將會(huì)給個(gè)人信息帶來(lái)巨大的安全風(fēng)險(xiǎn)。無(wú)論是日常生活中用戶在百度、淘寶等軟件首頁(yè)被推薦的類(lèi)似的信息，還是突發(fā)公共安全事件中用戶通過(guò)一些平臺(tái)搜索具有病毒感染者的小區(qū)、交通工具等信息，這些既是網(wǎng)絡(luò)搜索帶來(lái)的便利，亦是其埋下的隱患。公民的虛擬行為甚至是現(xiàn)實(shí)行為通過(guò)網(wǎng)絡(luò)搜索技術(shù)都能被時(shí)刻“監(jiān)視”。大數(shù)據(jù)時(shí)代下，這種“監(jiān)視”更加隱蔽且更容易實(shí)現(xiàn)。有關(guān)部門(mén)利用第三方平臺(tái)將搜集到的個(gè)人信息進(jìn)行專項(xiàng)整合，從而在現(xiàn)實(shí)生活中鎖定特定個(gè)體，對(duì)其現(xiàn)實(shí)行為進(jìn)行披露追蹤，這對(duì)于鎖定感染者的行動(dòng)路線具有重要作用，但在不法分子眼中，這也是“人肉搜索”的實(shí)現(xiàn)途徑。在疫情面前人人對(duì)自身安全的擔(dān)憂日甚，網(wǎng)絡(luò)搜索失范將會(huì)給不法分子可乘之機(jī)，有關(guān)個(gè)人信息權(quán)利的歸屬、個(gè)人信息所有權(quán)、對(duì)個(gè)人信息開(kāi)發(fā)利用的限度等問(wèn)題將引起熱烈的討論，這對(duì)保護(hù)個(gè)人信息的主體、個(gè)人信息的范圍以及保護(hù)的方式等問(wèn)題的解決產(chǎn)生了深刻影響。［1］

（二）個(gè)人信息交易存在的市場(chǎng)風(fēng)險(xiǎn)

隨著信息技術(shù)的飛速發(fā)展，商業(yè)重心由實(shí)體逐漸過(guò)渡為網(wǎng)絡(luò)，電子商務(wù)的崛起對(duì)于多元數(shù)據(jù)的渴求以及社會(huì)各行業(yè)對(duì)個(gè)人信息的關(guān)注空前高漲。在這種復(fù)雜多元的市場(chǎng)環(huán)境下，個(gè)人信息的價(jià)值得到極大程度的肯定，信息成為市場(chǎng)競(jìng)爭(zhēng)洪流中的“定海神針”。在公共衛(wèi)生安全事件突發(fā)之時(shí)，雖然僅賦予特定主體采集個(gè)人信息的權(quán)利，但大多數(shù)網(wǎng)絡(luò)平臺(tái)具有采集個(gè)人信息的能力，在信息安全壁壘出現(xiàn)缺口，信息交易市場(chǎng)迎來(lái)嚴(yán)峻挑戰(zhàn)的背景下，個(gè)人信息的采集、使用、交易各階段面臨著諸多問(wèn)題，嚴(yán)重影響個(gè)人信息的正常合法交易。

1.信息非法收集

2018 年中國(guó)消費(fèi)者協(xié)會(huì)對(duì)100 款A(yù)PP 開(kāi)展了隱私政策測(cè)評(píng)工作，結(jié)果顯示，多達(dá)91 款A(yù)pp存在涉嫌過(guò)度收集或使用用戶信息的問(wèn)題。③對(duì)于任何網(wǎng)絡(luò)平臺(tái)，用戶無(wú)論是登錄其網(wǎng)站還是下載APP，在使用之前必須要填寫(xiě)相關(guān)個(gè)人信息注冊(cè)登錄，這是面向用戶最原始的要求。以APP 為例，絕大多數(shù)平臺(tái)所采用的都是傳統(tǒng)的“知情-同意”架構(gòu)，即在用戶打開(kāi)APP 后會(huì)跳出冗長(zhǎng)的用戶協(xié)議，其上規(guī)范了該平臺(tái)所享有的權(quán)限和用戶使用須知等內(nèi)容。然而，這種協(xié)議表面上賦予用戶知情權(quán)，實(shí)則并無(wú)實(shí)際意義，原因有三：其一協(xié)議內(nèi)容冗長(zhǎng)，外觀設(shè)計(jì)迷惑，絕大多數(shù)用戶不會(huì)真正研讀協(xié)議內(nèi)容；其二協(xié)議內(nèi)容多涉及專業(yè)知識(shí)，如特定權(quán)限的種類(lèi)，用戶不解其意；其三多數(shù)協(xié)議采取“是或否”的方式供用戶進(jìn)行選擇，這種方式雖然對(duì)平臺(tái)來(lái)說(shuō)效率最高、成本最低、風(fēng)險(xiǎn)最小，但實(shí)質(zhì)為用戶虛設(shè)了選擇權(quán)。除此之外，用戶在注冊(cè)時(shí)亦有諸多限制，部分平臺(tái)為用戶設(shè)置強(qiáng)制填寫(xiě)選項(xiàng)，其中包括敏感信息，獲取該信息的目的是否與經(jīng)營(yíng)有關(guān)缺乏現(xiàn)實(shí)的考察依據(jù)與標(biāo)準(zhǔn)。

2.信息濫用

我國(guó)法律尚未從正面規(guī)定個(gè)人信息作為一項(xiàng)權(quán)利的歸屬，但從普世價(jià)值觀和相關(guān)制度設(shè)計(jì)的角度來(lái)看，個(gè)人信息從始至終由其個(gè)人所有。個(gè)人信息雖然在某些時(shí)候與公共利益、集體利益有關(guān)，但只有為個(gè)人信息提供充分的私權(quán)保護(hù)，才有利于從根本上保護(hù)公共利益，調(diào)動(dòng)個(gè)人對(duì)其個(gè)人信息進(jìn)行主動(dòng)保護(hù)的積極性。［2］雖然相關(guān)部門(mén)規(guī)章和國(guó)家/行業(yè)標(biāo)準(zhǔn)對(duì)于網(wǎng)絡(luò)平臺(tái)在獲取用戶提供的個(gè)人信息后使用的規(guī)范進(jìn)行了規(guī)定，但在突發(fā)公共衛(wèi)生安全事件時(shí)如何妥善利用個(gè)人信息仍存在制度上的缺漏。一旦發(fā)生信息泄露事件，電商為維護(hù)企業(yè)聲譽(yù)，可能會(huì)采取措施大事化小小事化了，而未從根本上解決癥結(jié)所在。且部分企業(yè)因其內(nèi)部管理機(jī)制不完善，平臺(tái)管理易出現(xiàn)不規(guī)范和混亂，用戶在生命健康面臨威脅的同時(shí)，亦無(wú)法有效保障自身的個(gè)人信息權(quán)利。

3.信息非法交易

個(gè)人信息的商業(yè)價(jià)值中蘊(yùn)含著巨大的商機(jī)，這種商機(jī)不僅體現(xiàn)在電商平臺(tái)自身對(duì)信息的使用，還包括對(duì)信息的二次開(kāi)發(fā)。在大數(shù)據(jù)的時(shí)代背景下，各類(lèi)企業(yè)的商業(yè)模式紛紛轉(zhuǎn)向以海量社會(huì)數(shù)據(jù)為核心。所謂“社會(huì)數(shù)據(jù)”，是指“關(guān)于公民活動(dòng)、行為方式、興趣愛(ài)好、與他人的關(guān)系等能夠識(shí)別公民個(gè)體社會(huì)屬性的數(shù)據(jù)”。［3］為了二次利用個(gè)人信息的價(jià)值，企業(yè)對(duì)社會(huì)數(shù)據(jù)進(jìn)行分析研究，從而分析預(yù)測(cè)用戶的行為規(guī)律、需求內(nèi)容等。而獲得多大的利益就意味著要承擔(dān)多大的風(fēng)險(xiǎn)，用戶的信息安全同時(shí)可能受到網(wǎng)絡(luò)惡意程序的威脅，進(jìn)而對(duì)用戶的財(cái)產(chǎn)、人身甚至是整個(gè)網(wǎng)絡(luò)環(huán)境造成破壞。2018年6 月“暗網(wǎng)”某用戶兜售圓通快遞10 億條快遞數(shù)據(jù)，其中包括寄收件人的姓名、電話、地址等信息；華住酒店集團(tuán)旗下酒店5 億條用戶信息于2018 年8 月在“暗網(wǎng)”售賣(mài)。上述事件表明，個(gè)人信息在被竊取之后，經(jīng)過(guò)信息交易黑色產(chǎn)業(yè)鏈多次倒賣(mài)，會(huì)使信息所有者的權(quán)利受到持續(xù)的損害，且這種損害是難以完全彌補(bǔ)的。

（三）個(gè)人信息關(guān)聯(lián)的法律問(wèn)題

1.個(gè)人信息權(quán)法律屬性不明

王澤鑒在《民法總則》中提到，“當(dāng)某種法益在現(xiàn)實(shí)生活中具有相當(dāng)程度的重要性時(shí)，或直接經(jīng)由立法，或間接經(jīng)由判例學(xué)說(shuō)被賦予法律效力，使其成為權(quán)利”。［4］大數(shù)據(jù)時(shí)代個(gè)人信息的人身價(jià)值和財(cái)產(chǎn)價(jià)值都得到了充分肯定。我國(guó)在2017 年10 月1 日起施行的《民法總則》第一百一十一條中首次從民事基本法層面提出了“個(gè)人信息權(quán)”，并確立其法律地位及性質(zhì)。但遺憾的是，該條文并未明確界定個(gè)人信息的法律內(nèi)涵。而后《網(wǎng)絡(luò)安全法》以列舉式的方法規(guī)定了個(gè)人信息的完整法律內(nèi)涵，但關(guān)于個(gè)人信息權(quán)的法律屬性仍有爭(zhēng)議。2019 年《民法典（草案）》亦未進(jìn)行進(jìn)一步的明確，雖然其將個(gè)人信息保護(hù)納入到民事權(quán)利中的人格權(quán)編中，但不可否認(rèn)的是，個(gè)人信息仍具有明顯的財(cái)產(chǎn)權(quán)特性，它通常固定于特定形式的信息載體形成信息資料，這些信息資料可以反復(fù)運(yùn)用于商業(yè)活動(dòng)中，具有豐富的經(jīng)濟(jì)價(jià)值。學(xué)界有一種混合學(xué)說(shuō)，認(rèn)為個(gè)人信息權(quán)天然具有人身與財(cái)產(chǎn)的混合屬性，不能單純地將個(gè)人信息權(quán)歸為人格權(quán)或財(cái)產(chǎn)權(quán)。

個(gè)人信息的財(cái)產(chǎn)屬性是基于人身屬性產(chǎn)生的，個(gè)人信息附屬于個(gè)人而存在，個(gè)人對(duì)其信息所享有的權(quán)利應(yīng)當(dāng)包括所有權(quán)和使用權(quán)，且有權(quán)從合法的個(gè)人信息交易中獲取利益，并著力打擊非法信息交易。此時(shí)，針對(duì)海量個(gè)人信息，他人是否有權(quán)對(duì)其進(jìn)行處理加工并利用加工后的成果獲取利益陷入個(gè)人信息保護(hù)的價(jià)值困境。一方面為了維護(hù)個(gè)人人格尊嚴(yán)，符合其人身權(quán)屬性，他人理應(yīng)無(wú)權(quán)利用個(gè)人信息，但個(gè)人僅憑個(gè)體的信息很難獲利；另一方面為了實(shí)現(xiàn)信息自由，最大化發(fā)揮個(gè)人信息的財(cái)產(chǎn)價(jià)值，需要專門(mén)的信息利用者進(jìn)行開(kāi)發(fā)，他們?cè)谛畔⑻幚磉^(guò)程中付出了自己的勞動(dòng)，理應(yīng)獲得相應(yīng)的報(bào)酬，但這樣勢(shì)必會(huì)在一定程度上損害個(gè)人對(duì)其信息享有的財(cái)產(chǎn)權(quán)。為了明確認(rèn)定并制止侵害個(gè)人信息的行為，應(yīng)在立法過(guò)程中將行為內(nèi)容以法律條文的形式明確規(guī)定下來(lái)。［5］因此在今后個(gè)人信息專門(mén)立法活動(dòng)中，立法者應(yīng)明確個(gè)人信息權(quán)的法律屬性，堅(jiān)持實(shí)現(xiàn)信息自由以維護(hù)人格尊嚴(yán)為前提，從而實(shí)現(xiàn)信息主體與利用者之間的利益共贏，充分發(fā)揮個(gè)人信息的法益價(jià)值。

2.現(xiàn)有相關(guān)法律體系不完善

在我國(guó)，個(gè)人信息保護(hù)在法律法規(guī)、部門(mén)規(guī)章、司法解釋以及國(guó)家/行業(yè)標(biāo)準(zhǔn)當(dāng)中都有所體現(xiàn)，包括《民法典（草案）》《民法總則》《刑法修正案（九）》《網(wǎng)絡(luò)安全法》《APP 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定辦法》《信息安全技術(shù)個(gè)人信息安全規(guī)范》（下稱《個(gè)人信息安全規(guī)范》）等等。但是這些規(guī)定覆蓋面較窄，效力層級(jí)不高、處罰不具體，闡述不清晰，范圍受局限，內(nèi)容不集中，適用不明確，尚未形成統(tǒng)一的關(guān)于個(gè)人信息保護(hù)的基本法律體系，尤其是在公共安全衛(wèi)生事件突發(fā)的情況下可操作性較差。

從立法內(nèi)容上來(lái)看，許多法律條文規(guī)定的內(nèi)容過(guò)于抽象，如《網(wǎng)絡(luò)安全法》中涉及個(gè)人信息保護(hù)的大多為原則性的條款，數(shù)量較少，主要集中在第四章“網(wǎng)絡(luò)信息安全”。部分法律規(guī)定之間且存在交叉重復(fù)，比如關(guān)于“個(gè)人信息必須依法取得”在《民法總則》《網(wǎng)絡(luò)安全法》中都有提到，但是依據(jù)什么法律，違法取得后的處罰措施等都無(wú)具體規(guī)定，這樣使得在實(shí)踐中相關(guān)案件難以找到審判、執(zhí)行的依據(jù)；再比如我國(guó)法律針對(duì)非法信息交易處罰的對(duì)象僅為信息出售者，但實(shí)際上，在這條交易產(chǎn)業(yè)鏈上，信息的購(gòu)買(mǎi)者、加工者也負(fù)有一定的責(zé)任，需要相關(guān)法律進(jìn)行約束?？傮w來(lái)看，我國(guó)法律對(duì)個(gè)人信息的保護(hù)控制大于自由，主要體現(xiàn)為以下四點(diǎn)：一是個(gè)人有權(quán)要求制止侵害其個(gè)人信息合法權(quán)益的行為。二是收集、使用個(gè)人信息的目的、方式和范圍應(yīng)當(dāng)公開(kāi)并獲得信息所有者的同意。三是個(gè)人信息安全由信息收集者和處理者負(fù)責(zé)。四是信息收集者不得泄露、篡改、毀損他人信息，不得非法與他人交易，嚴(yán)格保密已經(jīng)收集到的個(gè)人信息。

二、國(guó)外個(gè)人信息保護(hù)的相關(guān)經(jīng)驗(yàn)

（一）美國(guó)——行業(yè)自律為主

關(guān)于個(gè)人信息保護(hù)問(wèn)題，美國(guó)采用法律保護(hù)與行業(yè)自律相結(jié)合的模式，其中以行業(yè)自律為主，法律保護(hù)為輔。行業(yè)自律模式規(guī)范個(gè)人信息侵權(quán)行為的手段主要包括：行業(yè)自身網(wǎng)絡(luò)隱私保護(hù)、行業(yè)指導(dǎo)、自律規(guī)范、實(shí)施網(wǎng)絡(luò)隱私認(rèn)證計(jì)劃等。［6］在大數(shù)據(jù)的網(wǎng)絡(luò)環(huán)境下，行業(yè)自律相較于法律保護(hù)有其特殊的優(yōu)勢(shì)。首先信息行業(yè)的專業(yè)人士相較于普通人更加了解該行業(yè)的具體情況，通過(guò)他們自發(fā)商討所確定的規(guī)則比法律人士制定的法律規(guī)范更具有針對(duì)性。通過(guò)行業(yè)自律能夠調(diào)和行業(yè)發(fā)展與信息保護(hù)之間的矛盾，有利于實(shí)現(xiàn)共贏，且“自律”意味著在問(wèn)題發(fā)生前就進(jìn)行防范，這種模式比事后懲罰補(bǔ)救要有效的多。在當(dāng)今網(wǎng)絡(luò)環(huán)境下，美國(guó)的個(gè)人信息保護(hù)的自律措施主要有以下兩種：隱私保護(hù)認(rèn)證標(biāo)志和制定行業(yè)自律規(guī)范。［7］美國(guó)的行業(yè)自律組織通過(guò)對(duì)個(gè)人信息保護(hù)進(jìn)行認(rèn)證以實(shí)現(xiàn)行業(yè)自律，并利用行業(yè)間的良性競(jìng)爭(zhēng)發(fā)揮自律規(guī)范的約束作用，典型代表有美國(guó)聯(lián)邦貿(mào)易委員會(huì)和美國(guó)直銷(xiāo)協(xié)會(huì)制定的行業(yè)自律規(guī)范。

（二）歐盟——統(tǒng)一立法與“數(shù)字遺忘權(quán)”

歐盟的個(gè)人信息保護(hù)模式相較于美國(guó)的“雙管齊下”，更有“一枝獨(dú)秀”之勢(shì)，即統(tǒng)一立法模式。隨著各種新型個(gè)人信息問(wèn)題的出現(xiàn)，歐盟保護(hù)個(gè)人信息的立法活動(dòng)也在與時(shí)俱進(jìn)。2018 年歐盟出臺(tái)《 通用數(shù)據(jù)保護(hù)條例》（GDPR），明確將個(gè)人數(shù)據(jù)保護(hù)列為公民基本權(quán)利，對(duì)個(gè)人數(shù)據(jù)的主體及其權(quán)利，包括知情權(quán)、訪問(wèn)權(quán)、更正權(quán)、可攜權(quán)、刪除權(quán)、限制處理權(quán)、反對(duì)權(quán)和自動(dòng)化個(gè)人決策相關(guān)權(quán)利做出了明確的規(guī)定。除此之外，歐盟專門(mén)設(shè)置了監(jiān)管個(gè)人信息保護(hù)工作的部門(mén)，用于及時(shí)應(yīng)訴有關(guān)個(gè)人信息侵害案件，第一時(shí)間維護(hù)個(gè)人相關(guān)權(quán)益，防止因時(shí)間流逝造成難以彌補(bǔ)的損害。

除此之外，在歐盟的法律體系中還有一個(gè)重要的法律概念“數(shù)字遺忘權(quán)”。2012 年1 月歐盟公布《歐盟議會(huì)和歐盟理事會(huì)關(guān)于個(gè)人數(shù)據(jù)處理和自由流動(dòng)的保護(hù)規(guī)則》的建議書(shū)，其中第十七條明確規(guī)定了“數(shù)字遺忘權(quán)”。數(shù)字遺忘權(quán)這一概念最早由維克托·邁耶—肖恩伯格于其著作《刪除—數(shù)字時(shí)代里遺忘的美德》中提出。［8］關(guān)于數(shù)字遺忘權(quán)的含義各方學(xué)者各有所見(jiàn)，歐盟經(jīng)過(guò)長(zhǎng)時(shí)間的斟酌最終提出了關(guān)于數(shù)字遺忘權(quán)的工作定義，包括兩個(gè)方面：“單個(gè)人在不違反自由表達(dá)情況下享有的要求他人從網(wǎng)站上刪除其個(gè)人信息的權(quán)利；網(wǎng)站經(jīng)營(yíng)者必須從自己的服務(wù)器上立即刪除侵權(quán)信息，同時(shí)盡最大努力刪除第三方服務(wù)器上的侵權(quán)信息”。［9］歐盟致力于將數(shù)字遺忘權(quán)納入其個(gè)人信息保護(hù)法當(dāng)中，《GDPR》中明確規(guī)定了消費(fèi)者有權(quán)獲得自己數(shù)據(jù)的副本，要求企業(yè)刪除其數(shù)據(jù)，知悉其數(shù)據(jù)被收集、處理、分析的過(guò)程。這充分體現(xiàn)出數(shù)字遺忘權(quán)的概念已經(jīng)滲透到歐盟的法律體系當(dāng)中并落入實(shí)踐。我國(guó)法律中雖然沒(méi)有明確“數(shù)字遺忘權(quán)”的概念，但《網(wǎng)絡(luò)安全法》第四十三條在一定程度上體現(xiàn)出“數(shù)字遺忘權(quán)”的含義。雖然我國(guó)尚未出臺(tái)《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息進(jìn)行專門(mén)保護(hù)，但在今后的立法活動(dòng)中必將會(huì)把數(shù)字遺忘權(quán)作為一項(xiàng)獨(dú)立的權(quán)利加以規(guī)定，這既是我國(guó)面對(duì)信息技術(shù)飛速發(fā)展帶給個(gè)人信息保護(hù)的挑戰(zhàn)的必然選擇，也是大數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下保護(hù)個(gè)人信息安全準(zhǔn)確的必然要求。

（三）日本——《個(gè)人信息保護(hù)法》

從“個(gè)人信息保護(hù)關(guān)聯(lián)五法”到2017 年大幅修正后再次施行的《個(gè)人信息保護(hù)法》，近些年來(lái)日本在保護(hù)個(gè)人信息的立法道路上迎頭前進(jìn)，對(duì)于我國(guó)的專門(mén)立法工作具有很強(qiáng)的指導(dǎo)意義。該法為了同時(shí)滿足信息有效利用與信息保護(hù)，規(guī)定了個(gè)人信息的基本理念、政府制定的基本方針以及其他保護(hù)措施等基本事項(xiàng)，并明確了信息處理業(yè)者的義務(wù)。與我國(guó)《網(wǎng)絡(luò)安全法》不同，該法并未具體列舉個(gè)人信息的具體內(nèi)容，僅賦予其特定識(shí)別的特性。伴隨著信息技術(shù)的發(fā)展，消費(fèi)者和企業(yè)所面臨的網(wǎng)絡(luò)環(huán)境快速變化，《個(gè)人信息保護(hù)法》的出現(xiàn)在保護(hù)日本消費(fèi)者的個(gè)人信息的同時(shí)，對(duì)于日本創(chuàng)新產(chǎn)業(yè)服務(wù)有十分積極的意義。

三、突發(fā)公共衛(wèi)生事件中個(gè)人信息的保護(hù)路徑

（一）個(gè)人信息保護(hù)的技術(shù)路徑

身份認(rèn)證作為防止個(gè)人信息泄露的技術(shù)關(guān)鍵，必須確保在身份認(rèn)證環(huán)路中信息存儲(chǔ)與運(yùn)輸?shù)陌踩裕ＷC環(huán)路間各個(gè)節(jié)點(diǎn)的安全性和合法性。近年來(lái)，區(qū)塊鏈技術(shù)受到廣泛關(guān)注，其在數(shù)字貨幣領(lǐng)域風(fēng)頭正勁?！皡^(qū)塊鏈”這一概念最早出現(xiàn)于2008 年“比特幣之父”中本聰所著論文《比特幣：一種點(diǎn)對(duì)點(diǎn)電子現(xiàn)金系統(tǒng)》中。2016 年我國(guó)工信部發(fā)布了《中國(guó)區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展白皮書(shū)（2016）》，從狹義和廣義兩個(gè)角度對(duì)區(qū)塊鏈進(jìn)行了解釋。從狹義來(lái)講，區(qū)塊鏈?zhǔn)且环N鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，每個(gè)數(shù)據(jù)塊都包含數(shù)據(jù)、時(shí)間戳、關(guān)聯(lián)到上一個(gè)數(shù)據(jù)塊的信息以及相應(yīng)的可執(zhí)行代碼，各個(gè)數(shù)據(jù)塊按照時(shí)間順序進(jìn)行連接。從廣義來(lái)講，區(qū)塊鏈?zhǔn)褂脡K鏈數(shù)據(jù)結(jié)構(gòu)對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證和存儲(chǔ)，通過(guò)分布式節(jié)點(diǎn)一致性算法對(duì)數(shù)據(jù)進(jìn)行生成和更新，使用加密方法來(lái)保護(hù)數(shù)據(jù)傳輸和訪問(wèn)，并使用自動(dòng)腳本代碼組件。［10］總之，區(qū)塊鏈本質(zhì)上是一種去中心化的分布式數(shù)據(jù)庫(kù)，允許各方就共享數(shù)據(jù)達(dá)成共識(shí)。將區(qū)塊鏈應(yīng)用于網(wǎng)絡(luò)身份認(rèn)證，是當(dāng)今網(wǎng)絡(luò)環(huán)境下保護(hù)個(gè)人信息的一種新思路。

區(qū)塊鏈技術(shù)應(yīng)用于網(wǎng)絡(luò)身份認(rèn)證主要有兩個(gè)研究方向：一種是利用其去中心化的特性來(lái)處理已有的身份認(rèn)證信息，另一種是基于區(qū)塊鏈創(chuàng)建新的身份證書(shū)。

去中心化就是不需要傳統(tǒng)的中心化的第三方服務(wù)器代理，通過(guò)點(diǎn)對(duì)點(diǎn)的直接交互來(lái)構(gòu)建分布式節(jié)點(diǎn)之間的信任關(guān)系，所有節(jié)點(diǎn)是平等且獨(dú)立的，即使其中某一節(jié)點(diǎn)損壞或信息丟失，也不會(huì)影響整個(gè)系統(tǒng)的正常運(yùn)行，從而降低用戶個(gè)人信息被竊聽(tīng)或泄露的風(fēng)險(xiǎn)。區(qū)塊鏈的數(shù)據(jù)塊取代了傳統(tǒng)的第三方服務(wù)器，用戶首先驗(yàn)證已經(jīng)存在的身份證書(shū)，然后將該信息與區(qū)塊鏈上的合法所有者一對(duì)一綁定，從而創(chuàng)建一個(gè)去中心化的數(shù)據(jù)庫(kù)，實(shí)現(xiàn)網(wǎng)絡(luò)身份與現(xiàn)實(shí)世界主體之間的對(duì)應(yīng)關(guān)系。且基于區(qū)塊鏈不可篡改的特性，一旦個(gè)人信息數(shù)據(jù)進(jìn)入到區(qū)塊鏈中便不可篡改，在某種程度上保證了個(gè)人信息的安全性。在使用區(qū)塊鏈技術(shù)創(chuàng)建新的身份證書(shū)之后，用戶掌握了個(gè)人信息的數(shù)據(jù)的所有權(quán)，用戶個(gè)人可自由控制自己的數(shù)據(jù)信息，并能基于不同情況授予或廢除對(duì)其信息的訪問(wèn)權(quán)，這在某種程度上保證了個(gè)人信息的個(gè)人性和私密性。

（二）個(gè)人信息保護(hù)的市場(chǎng)路徑

1.建立專門(mén)的數(shù)據(jù)交易中心

個(gè)人信息巨大的商業(yè)價(jià)值毋庸置疑，我們?cè)诒Ｗo(hù)個(gè)人信息安全的同時(shí)，也應(yīng)著手充分發(fā)揮其價(jià)值。面對(duì)信息交易黑色產(chǎn)業(yè)，國(guó)家在嚴(yán)厲打擊的同時(shí)，也應(yīng)反思其存在發(fā)展的內(nèi)在原因。信息交易有利可圖，與其將其置于“地下”，不如由國(guó)家出面，建立專門(mén)的信息交易中心，著力將其打造成合法信息交易中的“樞紐”，并在相關(guān)法律中明確其法律地位，使其受到保護(hù)和監(jiān)管。這樣有利于營(yíng)造健康的信息交易市場(chǎng)環(huán)境，完善信息交易網(wǎng)絡(luò)平臺(tái)，推動(dòng)互聯(lián)網(wǎng)信息交易市場(chǎng)的健康發(fā)展，促進(jìn)新興產(chǎn)業(yè)升級(jí)從而推動(dòng)整個(gè)大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。2014 年我國(guó)首個(gè)大數(shù)據(jù)交易平臺(tái)“中關(guān)村數(shù)海大數(shù)據(jù)交易平臺(tái)”宣布啟動(dòng)，主要服務(wù)為合法買(mǎi)賣(mài)數(shù)據(jù)，而后各地紛紛出現(xiàn)了信息交易機(jī)構(gòu)，整體形勢(shì)一片大好。接下來(lái)我國(guó)需要進(jìn)一步推進(jìn)各地的信息交易機(jī)構(gòu)聯(lián)結(jié)成線，通過(guò)專門(mén)的信息交易中心匯集成網(wǎng)，形成一個(gè)合理、安全、高效的信息交易管理系統(tǒng)。

2.構(gòu)建個(gè)人信息風(fēng)險(xiǎn)管理機(jī)制

大數(shù)據(jù)時(shí)代我國(guó)相關(guān)法律雖賦予信息主體控制其個(gè)人信息的權(quán)利，但這種控制很難產(chǎn)生實(shí)際效果。個(gè)人與企業(yè)雖然是平等的民事主體，但無(wú)論從財(cái)力、人力還是對(duì)信息的掌控力，企業(yè)遠(yuǎn)勝于個(gè)人。因此應(yīng)賦予企業(yè)強(qiáng)制性的義務(wù)，利用其實(shí)力對(duì)個(gè)人信息進(jìn)行動(dòng)態(tài)監(jiān)管，構(gòu)建以個(gè)人信息處理風(fēng)險(xiǎn)評(píng)估、安全保障措施為核心的風(fēng)險(xiǎn)管理機(jī)制。歐盟《GDPR》第三十五條規(guī)定，數(shù)據(jù)控制者面對(duì)可能發(fā)生的風(fēng)險(xiǎn)，在對(duì)數(shù)據(jù)進(jìn)行處理之前應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。因此，國(guó)家或有關(guān)機(jī)構(gòu)應(yīng)首先制定出一套與風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)的處理策略。在企業(yè)在對(duì)信息進(jìn)行加工處理之前，先進(jìn)行個(gè)人信息處理風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估的結(jié)果確定風(fēng)險(xiǎn)等級(jí)，并采取相應(yīng)措施防范消除風(fēng)險(xiǎn)。除此之外，企業(yè)還應(yīng)定期向社會(huì)公布個(gè)人信息處理風(fēng)險(xiǎn)評(píng)估報(bào)告，使社會(huì)公眾充分了解個(gè)人信息處理過(guò)程中所涉及的相關(guān)風(fēng)險(xiǎn)，將選擇權(quán)交給個(gè)人。作為該風(fēng)險(xiǎn)管理機(jī)制的另一大核心，企業(yè)有義務(wù)構(gòu)建完善的個(gè)人信息安全保障措施。網(wǎng)絡(luò)運(yùn)營(yíng)者為了保障信息安全，應(yīng)采取與風(fēng)險(xiǎn)程度相對(duì)應(yīng)的安全處理措施，包括定期測(cè)試、評(píng)估管理措施的有效性，個(gè)人信息加密與假名化，發(fā)生事故時(shí)及時(shí)修復(fù)數(shù)據(jù)可用性、可訪問(wèn)性等。

（三）個(gè)人信息保護(hù)的法律路徑

1.制定個(gè)人信息保護(hù)法

我國(guó)目前對(duì)于個(gè)人信息的法律治理采用的是分散立法的模式，從根本法到各個(gè)部門(mén)法再到法律規(guī)范、規(guī)章制度，這種模式難以對(duì)個(gè)人信息保護(hù)的全局性、基礎(chǔ)性問(wèn)題作出規(guī)定，也不利于統(tǒng)籌監(jiān)管和協(xié)作監(jiān)管。因此立法部門(mén)應(yīng)學(xué)習(xí)借鑒其他國(guó)家先進(jìn)的立法保護(hù)經(jīng)驗(yàn)，盡快出臺(tái)個(gè)人信息保護(hù)專門(mén)法，形成統(tǒng)一規(guī)定的立法模式，以全面應(yīng)對(duì)突發(fā)公共衛(wèi)生事件中的個(gè)人信息安全問(wèn)題。在制定個(gè)人信息保護(hù)專門(mén)法時(shí)，我們雖然要吸取國(guó)外先進(jìn)的經(jīng)驗(yàn)，但也不能照搬照抄，而應(yīng)立足于促進(jìn)對(duì)個(gè)人信息的利用的同時(shí)防止對(duì)個(gè)人信息的濫用，實(shí)現(xiàn)信息產(chǎn)業(yè)發(fā)展與個(gè)人信息保護(hù)的雙贏。

個(gè)人信息保護(hù)專門(mén)法應(yīng)在現(xiàn)有的法律規(guī)范的基礎(chǔ)上進(jìn)行整合、修改和補(bǔ)充，消除不同規(guī)范之間的矛盾和混亂，建立起統(tǒng)一規(guī)范的法律體系。根據(jù)我國(guó)其他法律在今后制定個(gè)人信息保護(hù)專門(mén)法律時(shí)，應(yīng)彌補(bǔ)現(xiàn)行法中的不足，注意以下幾點(diǎn)：首先，應(yīng)該保證個(gè)人信息處理全過(guò)程公開(kāi)透明，而不僅局限于事前收集信息這一步，這樣可以讓個(gè)人及時(shí)了解其在信息處理過(guò)程中的權(quán)利、即將面臨的風(fēng)險(xiǎn)以及處理者將采用的安全保護(hù)措施。在信息交易的產(chǎn)業(yè)鏈中，不僅要保證信息主體與企業(yè)之間的聯(lián)系，其中的協(xié)助者也應(yīng)向信息主體披露信息處理狀況，以便其能隨時(shí)行使權(quán)利。其次，我國(guó)應(yīng)區(qū)別普通信息與敏感信息，進(jìn)行差異化保護(hù)。對(duì)于普通信息可以適當(dāng)降低對(duì)信息處理者的要求，擴(kuò)大無(wú)須信息主體明示同意的例外情形。對(duì)于嚴(yán)重影響信息主體人格尊嚴(yán)的敏感信息，則要嚴(yán)令禁止收集，即便符合法律規(guī)定的特殊情形，也要由信息主體自主選擇愿意透漏的敏感信息。除此之外，敏感信息的處理過(guò)程要嚴(yán)格符合法律規(guī)范，處理之后進(jìn)行利用時(shí)必須保證不能給信息主體造成困擾。最后，我國(guó)應(yīng)明確規(guī)定個(gè)人信息被侵犯前的監(jiān)督管理機(jī)制和被侵犯后的救濟(jì)機(jī)制，明確規(guī)定違法者應(yīng)該承擔(dān)的具體法律責(zé)任。例如賦予諸如國(guó)家網(wǎng)信部門(mén)、行業(yè)組織相關(guān)監(jiān)督管理職責(zé)，并聯(lián)合新聞媒體、社會(huì)公益組織進(jìn)行宣傳，鼓勵(lì)公民個(gè)人積極參與；公民因被侵犯?jìng)€(gè)人信息遭受人身或其他嚴(yán)重精神損害的，確保投訴有門(mén)、協(xié)商有道，有權(quán)就損害事實(shí)提起民事訴訟、公益訴訟、行政訴訟，以維護(hù)其合法權(quán)益；對(duì)于侵害信息主體合法權(quán)益的，通過(guò)警告、沒(méi)收違法所得、罰款、責(zé)令停業(yè)、吊銷(xiāo)營(yíng)業(yè)執(zhí)照等行政處罰措施，以及承擔(dān)有關(guān)民事、刑事責(zé)任等多種方式進(jìn)行處罰。

2.綜合運(yùn)用部門(mén)法相關(guān)條文追究責(zé)任

我國(guó)部門(mén)法中對(duì)于公民個(gè)人信息的保護(hù)以刑法先行，以《刑法》第二百五十三條之一規(guī)定的“侵犯公民個(gè)人信息罪”追究責(zé)任，該罪的認(rèn)定依據(jù)包括法律、行政法規(guī)、部門(mén)規(guī)章等，但目前有關(guān)公民個(gè)人信息保護(hù)的法律、行政法規(guī)、部門(mén)規(guī)章尚不健全，且相關(guān)規(guī)定內(nèi)容偏原則化，這樣一來(lái)有關(guān)部門(mén)在認(rèn)定該罪時(shí)缺少準(zhǔn)確的根據(jù)，給執(zhí)法者留下較大的自由裁量空間，難免會(huì)影響該罪的認(rèn)定。在突發(fā)公共衛(wèi)生事件時(shí)處理個(gè)人信息時(shí)，應(yīng)從民事、行政、刑事三個(gè)角度綜合遵循相關(guān)法律規(guī)范，民事方面以《民法典（草案）》與《民法總則》為主，行政方面以《網(wǎng)絡(luò)安全法》與《治安管理處罰法》為主，刑事方面以最新修訂的《刑法》為主輔以相關(guān)司法解釋。除此之外，針對(duì)突發(fā)公共衛(wèi)生事件背景下的個(gè)人信息法律保護(hù)，還應(yīng)廣泛采納《突發(fā)公共衛(wèi)生事件條例》《傳染病防治法》《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》等作為法律依據(jù)追究相關(guān)責(zé)任者的責(zé)任。

結(jié) 語(yǔ)

公共衛(wèi)生安全事件的突發(fā)在給人們帶來(lái)生命健康威脅的同時(shí)，伴隨著的相關(guān)問(wèn)題亦不容忽視。大數(shù)據(jù)時(shí)代個(gè)人信息具有巨大的人身價(jià)值和財(cái)產(chǎn)價(jià)值，牽動(dòng)著整個(gè)經(jīng)濟(jì)社會(huì)的和諧穩(wěn)定發(fā)展。但安全是發(fā)展的前提，發(fā)展是安全的保障。要充分發(fā)揮個(gè)人信息的價(jià)值，就必須致力于其安全保障。面對(duì)緊急情況，個(gè)人信息保護(hù)雖然在技術(shù)、市場(chǎng)和法律方面面臨著一些困境，但在積極吸取國(guó)外先進(jìn)經(jīng)驗(yàn)的前提下，擺脫困境仍有解決之路徑。一方面將區(qū)塊鏈等新技術(shù)盡早應(yīng)用于個(gè)人信息保護(hù)領(lǐng)域，實(shí)現(xiàn)“硬保護(hù)”，另一方面更應(yīng)加快個(gè)人信息保護(hù)專門(mén)立法的進(jìn)程，實(shí)現(xiàn)“軟保護(hù)”，除此之外，營(yíng)造一個(gè)安全穩(wěn)定放心的信息產(chǎn)業(yè)市場(chǎng)也至關(guān)重要。此次疫情的發(fā)生雖然在許多方面給我國(guó)帶來(lái)了新的挑戰(zhàn)，但在國(guó)家、社會(huì)和每個(gè)公民的共同努力之下，疫情一定會(huì)盡快得以消除，個(gè)人信息也一定會(huì)得到更有效的保護(hù)。

注釋：

①人民網(wǎng)：第44 次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》發(fā)布，來(lái)源：http://media.people.com.cn/n1/2019/0831/c40606-31329137.html，2020年1月5日訪問(wèn)。

②中共中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室：《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，來(lái)源：http：//www.cac.gov.cn/2020-02/09/c_1582791585580220.htm，2020年2月10日訪問(wèn)。

③中國(guó)消費(fèi)者協(xié)會(huì)：《100 款A(yù)PP 個(gè)人信息收集與隱私政策測(cè)評(píng)》，來(lái)源：http：//www.legaldaily.com.cn/IT/content/2018-12/04/content_7710145.htm，2020年1月20日訪問(wèn)。