鄭佳豪

(山東大學(xué)，山東 青島 266237)

出于防控疫情的目的，各級政府部門針對武漢返鄉(xiāng)人員和境外回國人員開展了信息收集工作。統(tǒng)計信息主要包括個人身份信息、家庭成員信息、行蹤信息等，這些信息符合《民法典》人格權(quán)編對于個人信息的定義，均屬于個人信息。然而政府部門收集的個人信息卻在微信、微博等信息媒介上被無序轉(zhuǎn)發(fā)，致使武漢返鄉(xiāng)人員和境外回國人員的個人信息沒有得到應(yīng)有的保護(hù)。疫情期間為了公共利益需要，讓渡個人權(quán)利是特殊情景下的無奈之舉，但是在疫情防控中也暴露出一些侵犯個人信息權(quán)利的問題，譬如超出疫情防控需求要過度收集個人信息、信息收集監(jiān)管不足、缺少個人信息清理處置措施以及對泄露個人信息行為問責(zé)追責(zé)不力，等等。對這些問題如何進(jìn)行法律規(guī)制，特別是對個人信息涉及個人健康、生活隱私及生物特征數(shù)據(jù)方面的敏感信息如何做脫敏處理。哪些權(quán)利可以限縮，限縮的邊界在哪里，哪些權(quán)利不容限縮需要加以明確。同時，收集和共享個人信息的法哲學(xué)邏輯和法律形式依據(jù)是什么？有必要共享的個人信息誰有權(quán)發(fā)布？共享的限度在哪里？這些都是需要思考的問題。

一、傳染病疫情防控中個人信息的性質(zhì)

(一)個人信息兼具人格與財產(chǎn)雙重屬性

個人信息是具有可識別性的符號系統(tǒng)，能夠體現(xiàn)個體特征，直接或間接地指向特定個人。判斷某信息是否是個人信息的重要標(biāo)準(zhǔn)是與身份特征相關(guān)聯(lián)的“可識別性”。判斷信息是否具有可識別性時，不能單以某一信息為準(zhǔn)。[1]若多條體現(xiàn)不同個體特征的信息結(jié)合起來能夠識別出某個特定的個人，則也是個人信息。比如，出于疫情防控目的公布的列車車次信息不是個人信息，但一旦列車車次信息與武漢返鄉(xiāng)人員信息等結(jié)合起來，指向了特定個人，便成為了個人信息。

個人信息在形式上是獨(dú)立的，并不是必須借助人體這一載體呈現(xiàn)。其可以通過人本體以外的載體反映出所包含的人格要素。因此，可以通過收集和使用獨(dú)立的個人信息來對人的本體進(jìn)行識別和分析。個人信息與人格利益聯(lián)系緊密，身份等方面的信息關(guān)涉人格利益體現(xiàn)最為突出。

此外，僅有自然人才是個人信息的權(quán)利主體，且其能夠自主決定自己的私人生活。個人信息權(quán)在大陸法系中被學(xué)者稱為“信息自決權(quán)”，這體現(xiàn)了學(xué)界對個人自決等人格利益的重視。我國臺灣地區(qū)《個人資料保護(hù)法》規(guī)定其保護(hù)目的為“避免人格權(quán)受侵害”也證明了這一點(diǎn)。[2]同時，個人信息具有財產(chǎn)價值，這一點(diǎn)主要表現(xiàn)在其在日常生活或生產(chǎn)中所具備的使用價值和交換價值。在傳染病疫情期間，對特定種類物品的集中需求背景之下，出于營銷目的對個人信息進(jìn)行收集與分析，是個人信息在商業(yè)價值方面的表現(xiàn)和效用。

通常來講，個人信息的人格利益遠(yuǎn)大于財產(chǎn)利益。個人信息與人格尊嚴(yán)、精神利益緊密結(jié)合在一起，個人信息被歸在《民法典》人格權(quán)編也說明了這一點(diǎn)。一方面，一些個人信息的人格性是信息自身固有的，如血型、基因等；另一方面，個人活動附隨產(chǎn)生的必然信息，如物理軌跡、上網(wǎng)痕跡等又能指向個人人格。一般說來，這些信息中的財產(chǎn)性是因其能夠識別到個人才產(chǎn)生的，只是人格屬性伴生的副產(chǎn)品，居次要地位。人格權(quán)商品化理論足以保護(hù)信息財產(chǎn)利益，但在傳染病疫情防控中，這些個人活動附隨產(chǎn)生的信息卻十分重要。

享有個人信息權(quán)并不需要通過現(xiàn)實(shí)占有個人信息，而且其原有主體也并未失去享有。信息主體對個人信息具有確定性和可支配性的控制權(quán)，其控制性很強(qiáng)。對于必須公開的個人信息，如疫情防控中需要公開的相關(guān)個人信息，也存在信息主體的控制，只不過是受到了不同程度的限制。個人信息權(quán)當(dāng)然可以發(fā)揮排除他人不法行為(大多數(shù)情況為許可收集、使用和處理個人信息)的作用，但是其權(quán)能并不僅限于此。除了被動防御，權(quán)利主體亦可主動控制或共享個人信息，從而實(shí)現(xiàn)權(quán)利上的支配。

(二)傳染病疫情防控中的個人私密信息

《民法典》人格權(quán)編對與隱私權(quán)交叉部分的個人信息的表述是“私密信息”，而《個人信息安全規(guī)范》中使用的是“個人敏感信息”的表述。這兩個概念本質(zhì)上并無區(qū)別，本文使用“私密信息”行文。

個人信息的定義，重點(diǎn)是識別和關(guān)聯(lián)。對于個人私密信息的定義則側(cè)重于信息與個人名譽(yù)和身心健康之間的聯(lián)系。個人健康生理信息、行蹤軌跡、住宿信息、精準(zhǔn)定位信息被明文規(guī)定為個人私密信息。除明文規(guī)定之外，可以從后果的角度判斷個人私密信息。一旦出現(xiàn)上述諸如“泄露”“非法提供”“濫用”個人私密信息的情況，其后果更容易損害個人名譽(yù)、身心健康或使得主體更容易受到歧視性待遇。值得注意的是，有些信息在一般語境下屬于一般的個人信息，但在特殊的語境下則與個人的名譽(yù)、身心健康產(chǎn)生密切聯(lián)系，此時個人信息則應(yīng)視為個人私密信息來加以保護(hù)。歐盟的《一般數(shù)據(jù)保護(hù)條例》(下文稱GDPR)中對于特殊類型個人信息的定義不僅包括幾類具體的信息本身，還包括能夠借以推斷出上述幾類信息的其他信息。

定義個人私密信息與歐盟GDPR定義特殊類型個人信息相同，都依賴于場景。如果與特定場景結(jié)合致使個人信息“泄露、非法提供或濫用”的結(jié)果與個人私密信息“泄露、非法提供或濫用”的結(jié)果相同，那么個人信息在此場景下視為個人私密信息。姓名在平日是普通數(shù)據(jù)，但在疫情場景中，譬如武漢返鄉(xiāng)人員的姓名與個人名譽(yù)和身心健康之間存在緊密聯(lián)系。一旦這些人員的姓名信息被泄露，則其有可能被恐慌的群眾采取不當(dāng)行為。這在GDPR中就會被視為與健康相關(guān)的信息，而成為特殊類型數(shù)據(jù)。因而，此場景中的姓名信息應(yīng)被視為個人私密信息加以保護(hù)。

個人私密信息需要加以特別保護(hù)，其原因除了上文提到的與個人名譽(yù)和身心健康聯(lián)系密切外，還因為信息性質(zhì)不同，其受法律保護(hù)程度也不同。個人私密信息人格權(quán)屬性極強(qiáng)，與一般個人信息相比具有更高的法益。繼而，較之一般個人信息，判斷信息主體對個人私密信息進(jìn)行授權(quán)是否有效的條件應(yīng)該更為謹(jǐn)慎嚴(yán)格。

二、傳染病疫情防控中個人信息權(quán)限縮根據(jù)

(一)《憲法》公益目的條款

通常情形下，公民的基本權(quán)利神圣不可侵犯。但我國《憲法》第51條規(guī)定在特殊情形下其也會受到一定限制。特殊情形也被規(guī)定在51條中，即國家利益、公共利益和他人權(quán)利的需要。再進(jìn)一步說，《憲法》第51條授權(quán)了國家機(jī)關(guān)可因保護(hù)上述三項利益之需而限制公民行使基本權(quán)的自由。這是憲法領(lǐng)域基本權(quán)利濫用禁止原則的體現(xiàn)。

憲法之基本權(quán)利濫用禁止條款首見于日本憲法典，其后四十余個國家的憲法或憲法性文件均規(guī)定了類似條款，和產(chǎn)生的憲法判例一起共同形成了頗為系統(tǒng)的基本權(quán)利濫用禁止理論和制度。[3]基本權(quán)利濫用禁止原則的內(nèi)核是正當(dāng)規(guī)制公民個人行為，這是維護(hù)憲政與法治秩序和諧穩(wěn)定的必要之舉?；緳?quán)利的保障需要把權(quán)力關(guān)進(jìn)籠子里，但制度設(shè)計中的單軌規(guī)制往往會流于部分人的狂歡。因而，“權(quán)力”和“權(quán)利”的規(guī)制應(yīng)該雙管齊下，公民在行使基本權(quán)利時不得濫用，應(yīng)當(dāng)維護(hù)國家利益、公共利益和他人權(quán)利，約束個人行為。

基本權(quán)利保障必須讓渡部分自由給公共利益，公共利益反哺基本權(quán)利保障，這是公共哲學(xué)的內(nèi)在邏輯。但是，作為《憲法》中規(guī)定的公民基本權(quán)的概括性限制條款，適用其進(jìn)行基本權(quán)限制必須接受正當(dāng)性檢驗。首先要判斷其是否是出于公益目的，且須得為保護(hù)公益目的之必要舉措。具體到公共衛(wèi)生防疫之下，疫情防控的目的在于對公眾健康和公共安全的防護(hù)，這當(dāng)然屬于公共利益的保護(hù)范疇，而且在傳染病肆虐時，這種公益又面臨迫切的保護(hù)需要。此情形下的公民基本權(quán)受到削減和限縮完全滿足實(shí)質(zhì)層面的公益目的的檢驗。

因為疫情防控等應(yīng)急措施而受到限縮的公民基本權(quán)利當(dāng)然也包括“人格尊嚴(yán)不受侵犯”，以及“通信自由和通信秘密受法律的保護(hù)”。上文提到個人信息兼具人格與財產(chǎn)屬性，個人信息權(quán)與“人格尊嚴(yán)” “通信自由和通信秘密”等基本權(quán)利密不可分。個人信息在很多情景下都和人格尊嚴(yán)是一體兩面的關(guān)系。通信記錄、通信內(nèi)容、通信對象本身也都是個人信息。個人信息權(quán)的行使也受到基本權(quán)利濫用禁止原則約束，信息主體在疫情期間為了公共利益的需要，應(yīng)當(dāng)規(guī)制權(quán)利的行使。

(二)特別法法律依據(jù)

除公益目的條款外，對公民權(quán)利的限制一般還需要法律的形式依據(jù)。如果說《憲法》51條強(qiáng)調(diào)的是國家對基本權(quán)限制的“目的許可性”，形式標(biāo)準(zhǔn)則要求國家限制基本權(quán)的“工具許可性”。[4]

《傳染病防治法》和《突發(fā)公共衛(wèi)生事件應(yīng)急條例》給了人民政府、衛(wèi)生行政部門、醫(yī)療機(jī)構(gòu)、疾病防控機(jī)構(gòu)非常強(qiáng)的信息收集與發(fā)現(xiàn)的授權(quán)，并且要求其他單位和個人均應(yīng)配合，其中自然包括相關(guān)信息的提供。

《傳染病防治法》申明了其目的為預(yù)防、控制和消除傳染病，保障人體健康和公共衛(wèi)生，并且此法中還有在傳染病防治期間，為上述公益目的的實(shí)現(xiàn)而對個人權(quán)利采取一般性限制措施的規(guī)定。這條規(guī)定，配合“疫情報告、通報和公布”章節(jié)和第四章“疫情控制”中要求醫(yī)療機(jī)構(gòu)和疾病預(yù)防控制機(jī)構(gòu)采取的措施，可以總結(jié)為:疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)為了疫情管控，具備改變個人信息使用目的的法定授權(quán)。[4]我國傳染病疫情防控的特別法依據(jù)除了《傳染病防治法》，還有其他一些法律規(guī)范?！锻话l(fā)事件應(yīng)對法》和《突發(fā)公共衛(wèi)生事件應(yīng)急條例》是其中影響力最為廣泛的法律法規(guī)，它們基于上述邏輯，同樣提供了個人在疫情防控下權(quán)利受限的主要法律依據(jù)。其中包含授權(quán)有權(quán)機(jī)關(guān)為防控傳染病疫情而采取必要的應(yīng)急手段。根據(jù)憲法的一般原理，國家公權(quán)機(jī)關(guān)采取常規(guī)手段之外的應(yīng)急機(jī)制，涉及公民的基本權(quán)的，屬法律保留事項，應(yīng)有法律的授權(quán)依據(jù)。

(三)權(quán)利主體同意權(quán)之行使

權(quán)利主體同意權(quán)之行使主要是指《網(wǎng)絡(luò)安全法》第41條第1款規(guī)定的告知同意原則。嚴(yán)格來說此原則應(yīng)在上文特別法法律依據(jù)部分進(jìn)行討論，但鑒于告知同意原則自身頗具研究價值，故在此單獨(dú)討論。

告知同意原則源于個人信息自決權(quán)。數(shù)據(jù)時代信息自決權(quán)是法治的應(yīng)有之義，其本質(zhì)在于個人有自行決定在何種限度內(nèi)披露其個人生活的權(quán)利，從而免受個人信息被無限收集、使用和處理的困擾。這種困擾不僅包括私法領(lǐng)域的他人不當(dāng)侵犯，而且也包括國家對信息的不當(dāng)收集和使用。顧名思義，告知同意原則需要由“告知”和“同意”兩部分內(nèi)容組成。具體而言，告知意味著可以合理有效地讓信息主體了解他們的個人信息將被如何收集和處理，以便利權(quán)利主體行使同意權(quán)。信息主體能對個人信息進(jìn)行自主處分，同意是個人意思自治的體現(xiàn)。GDPR限定“同意”為數(shù)據(jù)主體通過聲明或者清晰的確信行動而表達(dá)的充分知悉對其個人數(shù)據(jù)進(jìn)行處理的情況且表示同意的自由意愿。有效的“同意”須信息主體自由及充分知悉其意思表示，并且進(jìn)行清晰明確的意思表示。GDPR中的聲明和確信行動均構(gòu)成我國民法上規(guī)定的明示的意思表示。

實(shí)際上，國際社會的個人信息保護(hù)立法普遍適用告知同意原則。歐洲第一部個人信息保護(hù)立法《德國黑森州信息法》和美國“關(guān)于個人數(shù)據(jù)自動系統(tǒng)的建議小組”發(fā)布的“公平信息實(shí)踐準(zhǔn)則”報告都包含告知同意原則的內(nèi)容。告知同意原則在美國個人信息保護(hù)立法中具有關(guān)鍵性作用，此后《兒童網(wǎng)絡(luò)隱私保護(hù)法》《公平信用報告法》等均沿用了此原則。除此之外，瑞典、奧地利、丹麥等國在本國的個人信息保護(hù)的法律文件中也有類似規(guī)定。[5]同時，告知同意原則也為許多與個人信息保護(hù)相關(guān)的國際性文件所采用。世界經(jīng)濟(jì)合作與發(fā)展組織(OECD)頒布的《關(guān)于隱私保護(hù)和個人數(shù)據(jù)跨境流通的指南》指出收集個人數(shù)據(jù)不僅要獲得數(shù)據(jù)主體的同意，還要限于同意范圍內(nèi)實(shí)現(xiàn)目的之必要數(shù)據(jù)。歐共體理事會和歐共體委員會發(fā)布的數(shù)據(jù)保護(hù)方面的文件，均明確數(shù)據(jù)主體應(yīng)有知曉個人數(shù)據(jù)處理情況并決定是否同意的權(quán)利。[6]隨著信息社會的進(jìn)一步發(fā)展，許多國際性文件均強(qiáng)化了告知同意原則的相關(guān)內(nèi)容，強(qiáng)調(diào)信息主體對個人信息享有自治、自決的權(quán)利。

三、 傳染病疫情防控中個人信息權(quán)限縮邊界

(一)公益目的條款的適用應(yīng)做嚴(yán)格限制

《憲法》第51條規(guī)定了禁止基本權(quán)利濫用原則的規(guī)范依據(jù)，因為立法者深知此原則是把雙刃劍。一方面，合理應(yīng)用該原則將更充分地保障基本權(quán)利；另一方面，若此原則被濫用，則可能導(dǎo)致基本權(quán)利遭受減損甚至消滅。公益目的條款的適用應(yīng)做嚴(yán)格限制。

1.公益目的條款的適用應(yīng)遵循法律保留原則。此原則旨在明確限制憲法權(quán)利不能隨意為之，而是被規(guī)定在有限范圍內(nèi)，只能是狹義的法律，即全國人民代表大會及其常委會制定的法律才有權(quán)限制基本權(quán)利。法律保留原則是保護(hù)憲法權(quán)利不被任意限制的基礎(chǔ)，該原則既做到了肯定公共利益可高于憲法權(quán)利，又設(shè)定了憲法權(quán)利限制的底線。德國《基本法》充分體現(xiàn)了法律保留原則，其中明確規(guī)定了限制憲法權(quán)利的法律需要滿足的兩個條件——“具有普遍適用效力”和“指明引用有關(guān)基本權(quán)利的具體條款”。[7]我國設(shè)置限制憲法權(quán)利的法律標(biāo)準(zhǔn)應(yīng)比這兩個條件更加嚴(yán)格，以避免決策者有過大的自由裁量權(quán)；此外基本權(quán)利濫用的標(biāo)準(zhǔn)也需進(jìn)一步明確，應(yīng)當(dāng)是基本權(quán)利與立法目的或權(quán)利導(dǎo)向出現(xiàn)不可否認(rèn)的脫離或相悖。

2.公益目的條款的適用應(yīng)遵循比例原則。比例原則是用來防止過度限制基本權(quán)利的技術(shù)性原則。比例原則要求在限制憲法基本權(quán)利時以較小的損害實(shí)現(xiàn)較大的公益目的。公權(quán)機(jī)關(guān)必須對收集、使用個人信息之特定目的做出明確規(guī)定，為防止對憲法權(quán)利的隨意侵害，應(yīng)充分考慮限制手段的必要性。比例原則不僅為許多國家所采用，在國際人權(quán)法中也得到了承認(rèn)和應(yīng)用?！豆駲?quán)利和政治權(quán)利國際公約》體現(xiàn)了禁止過度侵害的思想，其規(guī)定允許權(quán)利的限縮但必須不能超過緊急情勢的需要。因此，在疫情防控的社會緊急狀態(tài)情況下，我國可以限制憲法權(quán)利，但應(yīng)嚴(yán)格遵循比例原則。公權(quán)機(jī)關(guān)需要確?；谝咔榉揽匦枰占降膫€人信息在全部環(huán)節(jié)都是安全的。如果公權(quán)機(jī)關(guān)造成個人信息泄漏，其疏忽失職也構(gòu)成對個人信息權(quán)的侵犯。再回到本次新冠肺炎疫情防控中涉及公民信息權(quán)的諸多做法。很多地方政府為提高本地防控水平，無限度地公布武漢返鄉(xiāng)人員的個人信息，這種行為是對個人信息的嚴(yán)重侵犯，其雖然有防御疫情的正當(dāng)目的，但在程度上已大幅超過了必要限度。

(二)不當(dāng)聯(lián)結(jié)、概括授權(quán)之禁止

基于防控疫情等保護(hù)公共利益的需要，公權(quán)機(jī)關(guān)可收集、使用和處理必需的個人信息?！安划?dāng)聯(lián)結(jié)之禁止”要求公權(quán)機(jī)關(guān)須以實(shí)質(zhì)有效且侵害較小的方式達(dá)到目的，采取的手段是可靠、具備實(shí)效、與目的達(dá)成之間具有實(shí)質(zhì)關(guān)聯(lián)性的。[4]某些地方的小區(qū)在疫情期間無論實(shí)際情況如何都無差別地限制人員進(jìn)出，根據(jù)個人信息保護(hù)的一般原理，這些限權(quán)措施與達(dá)成疫情防控的目的并不具有實(shí)質(zhì)關(guān)聯(lián)性，屬于手段和目的之間的不當(dāng)聯(lián)結(jié)。

《突發(fā)公共衛(wèi)生事件應(yīng)急條例》結(jié)合《國家突發(fā)公共衛(wèi)生事件應(yīng)急預(yù)案》授權(quán)全國和省級突發(fā)事件應(yīng)急處理指揮部領(lǐng)導(dǎo)和部署應(yīng)急處理工作。但此授權(quán)能否理解為是對所有應(yīng)急處理工作的概括授權(quán)呢？上述兩部規(guī)范又能否成為超出規(guī)定范圍的應(yīng)急措施的授權(quán)依據(jù)呢？

舉例說明，疫情防控中武漢返鄉(xiāng)人員個人信息泄露的源頭和地方上登記武漢返鄉(xiāng)人員的途徑直接相關(guān)，目前主要有：地方教育部門統(tǒng)計的學(xué)籍在武漢的大學(xué)生名單；公安部門掌握的公共交通實(shí)名信息；基層工作人員進(jìn)行逐戶排查的信息。這些組織或部門的行為是否可視為得到了授權(quán)，具備行為的合法性呢？

從憲法的一般原理出發(fā)，如果將上述法律規(guī)范理解為應(yīng)急措施的授權(quán)依據(jù)會產(chǎn)生一系列問題。首先，法律保留原則授予立法機(jī)關(guān)限制基本權(quán)的權(quán)能，并加以“授權(quán)明確性”的要求來避免立法者怠于履行監(jiān)督職責(zé)?！笆跈?quán)明確性”是指法律的授權(quán)應(yīng)盡可能明確其內(nèi)容、界限以及期限，這一點(diǎn)同樣體現(xiàn)在我國《立法法》中。由此可見，授權(quán)明確性要求反對所謂的概括授權(quán)。其次，法律或稱立法機(jī)關(guān)的意思表示才能作為行政授權(quán)依據(jù)。但《突發(fā)公共衛(wèi)生事件應(yīng)急條例》和《國家突發(fā)公共衛(wèi)生事件應(yīng)急預(yù)案》是非立法機(jī)關(guān)的意思表示，由其作為授權(quán)依據(jù)，并認(rèn)為它們可以授權(quán)行政機(jī)關(guān)超越更上位的《傳染病防治法》和《突發(fā)事件應(yīng)對法》，這從法體系來看也欠缺邏輯上的妥當(dāng)性。最后，前一條提到的條例和預(yù)案中的條文所涉及的主要是行政機(jī)關(guān)在處理突發(fā)公共衛(wèi)生事件時的機(jī)構(gòu)設(shè)置和組織安排，屬于組織規(guī)范，因此并不能解讀為其他所有應(yīng)急手段行為的授權(quán)依據(jù)。

(三)告知同意原則受正當(dāng)目的原則和必要原則限制

告知同意原則的預(yù)設(shè)前提是信息主體是“理性人”，在被告知后有決策是否同意他人收集、使用、處理其個人信息以實(shí)現(xiàn)自身利益最大化的能力。但是在大數(shù)據(jù)時代，受信息媒介和各種無關(guān)信息干擾，信息主體的“理性人”假定本身就是不現(xiàn)實(shí)的，因而告知同意原則需要一定限制。全國人大常委會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》表明正當(dāng)目的原則、必要原則與告知同意原則是平行或指導(dǎo)關(guān)系。當(dāng)它們是平行關(guān)系的時候，互為補(bǔ)充制衡；當(dāng)正當(dāng)目的原則和必要原則處于指導(dǎo)上位時，個人信息的收集、使用、處理就需要先考慮是否符合目的正當(dāng)性和必要性，再去考慮獲取信息主體的同意。

1.告知同意原則要受到正當(dāng)目的原則的制約?！罢?dāng)目的原則”的規(guī)范表述首見于全國人大常委會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》。國家標(biāo)準(zhǔn)文件也規(guī)定了具體規(guī)范，如《信息安全技術(shù)個人信息安全規(guī)范》中有“合法、正當(dāng)、必要、明確的個人信息處理目的”的規(guī)范。為全球個人信息保護(hù)原則奠定基礎(chǔ)的《OECD指南》將正當(dāng)目的原則定義為收集個人信息應(yīng)當(dāng)與使用的目的有關(guān)。[8]

目的正當(dāng)性的要素包括: 相關(guān)、特定、明確且合法。在疫情防控的情境下，具體為：收集的信息必須與疫情防控有關(guān)；信息處理應(yīng)當(dāng)可由信息主體所預(yù)見，并且不得超出疫情防控的合理預(yù)期；信息利益相關(guān)者都能夠?qū)δ康木哂幸恢碌睦斫馇冶仨毞舷嚓P(guān)法律法規(guī)的規(guī)定。

2.告知同意原則要受到必要原則的制約。獲取的個人信息的限度在于能夠滿足使用目的需要。比如出于疫情防控目的需要使用個人信息，如果僅使用非私密個人信息就能實(shí)現(xiàn)疫情防控，就不應(yīng)該擴(kuò)大到權(quán)利主體的私密信息。國際上，《通用數(shù)據(jù)保護(hù)條例》和《OECD指南》對于必要原則的表述是: “個人數(shù)據(jù)的收集應(yīng)限于數(shù)據(jù)處理目的最小必要范圍?！蔽覈缎畔踩夹g(shù)個人信息安全規(guī)范》規(guī)定“只處理滿足授權(quán)同意的目的所需的最少個人信息類型和數(shù)量。”

必要原則包含充足、相關(guān)、不過量等要素。判斷所收集的個人信息是實(shí)現(xiàn)目的的最少信息的具體標(biāo)準(zhǔn)為：首先，收集的個人信息是充足的，可以實(shí)現(xiàn)目的。其次，個人信息只能用于被授權(quán)的目的，例如疫情防控期間的社區(qū)健康信息登記不能收集與疫情防控?zé)o關(guān)的個人消費(fèi)記錄等等。最后，確保收集的信息必須對實(shí)現(xiàn)其目的是必要且必需的。

四、 傳染病疫情防控期間不容限縮的個人信息權(quán)

疫情防控期間不容限縮的個人信息權(quán)主要是指疫情信息發(fā)布與知情權(quán)。在傳染病疫情防控背景下，知情權(quán)具體化為個人對疫情信息知悉的權(quán)利，與個人權(quán)利相對的法定義務(wù)是疫情信息公開。

《傳染病防治法》規(guī)定“不得隱瞞、謊報、緩報傳染病病情”“建立傳染病疫情信息公布制度。公布傳染病疫情信息應(yīng)當(dāng)及時、準(zhǔn)確?！薄锻话l(fā)事件應(yīng)對法》規(guī)定縣級以上地方人民政府應(yīng)“定時向社會發(fā)布與公眾有關(guān)的突發(fā)事件預(yù)測信息和分析評估結(jié)果”“及時按照有關(guān)規(guī)定向社會發(fā)布可能受到突發(fā)事件危害的警告”“及時向社會發(fā)布有關(guān)采取特定措施避免或者減輕危害的建議、勸告”。這些規(guī)定可以理解為政府在發(fā)布預(yù)警后應(yīng)該履行的信息公開義務(wù)。

履行疫情信息公開義務(wù)需要明確疫情信息公布應(yīng)以“及時”為首要原則。早在2006年《國家突發(fā)事件總體應(yīng)急預(yù)案》就已經(jīng)明確了突發(fā)公共事件向社會發(fā)布簡要信息應(yīng)當(dāng)在其發(fā)生的第一時間，疫情信息公布應(yīng)以“及時”為重。《傳染病防治法》和《突發(fā)公共衛(wèi)生事件應(yīng)急條例》分別規(guī)定疫情信息的公布原則是“及時、準(zhǔn)確”和“及時、準(zhǔn)確、全面”，“及時”在排序上都位于首位。這樣的排序也正契合疫情信息的獨(dú)特性。

疫情信息與其他信息不同，在本質(zhì)上屬于風(fēng)險信息，如果在信息發(fā)布時以準(zhǔn)確性作為第一原則，則會大大延宕信息發(fā)布，因信息不及時而造成極大的損失。風(fēng)險信息在很多方面都存在著極大的不確定性，以此次新冠病毒為例，其出現(xiàn)至今在諸多問題上仍舊存在不明確之處。因此，公權(quán)機(jī)關(guān)在履行疫情信息的公開義務(wù)時，應(yīng)首先及時公布已知的疫情信息，隨后再核實(shí)情況、考慮應(yīng)對措施和發(fā)布后續(xù)信息等。

傳染病疫情背景下，社會本質(zhì)上是風(fēng)險社會，即便是公權(quán)力，在疫情信息收集時也難以做到毫無遺漏。公眾對疫情信息的獲知如果僅僅依賴政府發(fā)布，則會造成公眾自發(fā)進(jìn)行疫情防控的不足。所以，政府不能阻斷民間的疫情信息交流，尤其是專業(yè)人士的信息交流。其實(shí)《突發(fā)事件應(yīng)對法》對此已有規(guī)定：“縣級以上人民政府及其有關(guān)部門、專業(yè)機(jī)構(gòu)應(yīng)當(dāng)通過多種途徑收集突發(fā)事件信息?！?/p>

當(dāng)然，不可否認(rèn)的是民間信息交流的過程中會有編造、散布謠言的情況。但是，“兩害相權(quán)取其輕”，為避免出現(xiàn)傳染病大范圍擴(kuò)散的情況，民間信息交流不能封鎖。而且，《治安管理處罰法》和《刑法》也對上述違法行為配置了相應(yīng)的處罰措施，能起到一定的警示預(yù)防作用。從現(xiàn)實(shí)情況來看，由于本次疫情對吹哨人傳達(dá)信息的誤判，嚴(yán)重阻礙了疫情信息的及時、準(zhǔn)確發(fā)布，造成了社會人力、財力的極大損失。總結(jié)現(xiàn)實(shí)經(jīng)驗，不可以因為民間疫情信息不夠準(zhǔn)確，忌憚其為謠言就封鎖發(fā)布，更不可以擴(kuò)張適用《治安管理處罰法》和《刑法》。這次疫情已經(jīng)證明，政府壟斷疫情信息發(fā)布不僅會加重政府壓力，更會阻礙疫情的有效防控。

結(jié)語

在“新冠肺炎”疫情的防控部署中，公開確診患者的居住地址、行動軌跡，甚至是戶籍、工作經(jīng)歷成為很多城市的通行做法。這些行為是否構(gòu)成對個人信息權(quán)的不當(dāng)干預(yù)，對患者信息的公開應(yīng)保持在何種范圍和限度內(nèi)才是適當(dāng)?shù)?，這些都是需要審慎判斷的。在判斷時需要進(jìn)行價值層面的衡量，更要進(jìn)行兩害相權(quán)取其輕的抉擇。結(jié)合此次疫情防控的現(xiàn)實(shí)情況，廣泛、及時的信息收集和排查成為疫情控制的重要一步。根據(jù)新冠病毒的傳播方式，在患者確診后，調(diào)查和追蹤患者具體的居住地址和行動軌跡，能夠較早判定可能與其密切接觸的人群，并提前對這些人群實(shí)施通知、隔離與救治。從確診患者個人信息發(fā)揮的價值來說，公布其行蹤和住址信息不應(yīng)當(dāng)認(rèn)為是對其信息權(quán)的不當(dāng)干預(yù)。此外，為疫情統(tǒng)計、病毒研究以及提示公眾的需要，公布不具有可識別性的非私密個人信息也應(yīng)被認(rèn)為不構(gòu)成對個人信息權(quán)的不當(dāng)干預(yù)。

憲法公益目的條款和特別法能夠給傳染病疫情防控情形下的個人信息收集和共享行為提供合法性基礎(chǔ)。公權(quán)機(jī)關(guān)進(jìn)行此類活動的目的正當(dāng)性無可厚非，但目的正當(dāng)性卻不能成為證成其手段合法、適宜的全部依據(jù)。禁止基本權(quán)利濫用原則是一把雙刃劍，應(yīng)遵循法律保留原則和比例原則，不可隨意濫用。與基本權(quán)限制的一般原理一致，如果對公權(quán)機(jī)關(guān)限制個人信息權(quán)的概括授權(quán)和不當(dāng)聯(lián)結(jié)行為不加禁止，個人在數(shù)據(jù)時代下就會徹底被透明化和客體化。政府對個人信息權(quán)干預(yù)的限度應(yīng)為所披露的患者信息不能是極具個體識別性的身份信息尤其是個人私密信息，他人也無法在此信息披露基礎(chǔ)上迅即整合數(shù)據(jù)，指向特定個人。又根據(jù)個人信息權(quán)保護(hù)的一般原理，內(nèi)容完整正確、目的手段正當(dāng)、限制整合利用等都是公權(quán)機(jī)關(guān)在披露患者個人信息時的基本邊界。這些邊界既確保了個人為公益目的而對信息權(quán)的部分讓渡，又不會最終使其個人圖像徹底曝光于他人和國家的監(jiān)控之下。

從信息主體的自主控制出發(fā)，告知同意原則要受目的原則與必要原則的限制。然而實(shí)踐中往往簡單地以告知同意原則作為任何情況下不當(dāng)收集、使用、處理個人信息的抗辯。疫情防控期間更應(yīng)當(dāng)尊重原則體系的平衡，以實(shí)現(xiàn)疫情防控與保護(hù)信息主體權(quán)益的平衡。此外，知情權(quán)在傳染病疫情防控背景下就具體化為個人對疫情信息的獲知和了解，而這種獲知與了解的另一面則是國家對疫情信息的公開義務(wù)。疫情信息發(fā)布與知情權(quán)在疫情防控期間不容限縮。