劉 國

(中國政法大學(xué) 法學(xué)院，北京 100088)

提要： 行政管理的有效實施，特別是突發(fā)公共衛(wèi)生事件的應(yīng)對，離不開對個人信息的收集和使用。國家以公共利益為目的收集和使用個人信息，無論是在理論基礎(chǔ)方面，還是在實證法律規(guī)定方面，均可以證成其合法性和正當(dāng)性。不過，鑒于個人信息權(quán)的基本權(quán)利屬性，以及現(xiàn)代行政法對于權(quán)力控制的價值追求，行政機(jī)關(guān)在收集和使用個人信息的同時，應(yīng)當(dāng)嚴(yán)格遵循法律保留原則、比例原則、正當(dāng)程序原則等行政法原則，并圍繞這些重要原則構(gòu)建相應(yīng)的規(guī)制框架，以加強(qiáng)對個人信息的公法保護(hù)。具體而言，在個人信息收集方面，收集主體的權(quán)限應(yīng)當(dāng)來源于法律、行政法規(guī)的明確授權(quán)；收集范圍在滿足“目的明確”的基礎(chǔ)上，實現(xiàn)“最少夠用”的目標(biāo)；收集行為、方式、過程等應(yīng)符合正當(dāng)法律程序要求。在個人信息使用方面，應(yīng)當(dāng)恪守“目的限制原則”，在確保信息安全、信賴與穩(wěn)妥的基礎(chǔ)上，以符合“初始目的”的使用為原則，以“目的外使用”為例外。此外，在個人信息的公開與共享等方面，尚需滿足“去識別化”的要求，有效切斷信息與信息主體之間的連接，維護(hù)個人信息的基本權(quán)利屬性。

當(dāng)今社會，信息被譽(yù)為“新一代的石油”，個人信息①更是最有價值的資源之一。在我國，行政機(jī)關(guān)雖已基于個人信息，建立了龐大的基礎(chǔ)數(shù)據(jù)庫，但也習(xí)慣在突發(fā)公共衛(wèi)生事件(以下簡稱突發(fā)事件)應(yīng)對中，以信息不對稱和情況緊急之名，擴(kuò)大收集、使用個人信息的強(qiáng)度和范圍。例如，與2003年“非典”(SARS)疫情的應(yīng)對相比，2020年“新冠肺炎”(COVID-19)疫情發(fā)生時，公民需要報告的個人信息在體溫數(shù)據(jù)的基礎(chǔ)上，增加了所在地點、身體狀況、是否接觸過特定人員、是否到過特定地區(qū)等。同樣是對個人信息的收集和使用，當(dāng)發(fā)生在私法領(lǐng)域時，公民似乎會本能的報以警覺和防御，并對侵權(quán)行為一追到底；而當(dāng)行政機(jī)關(guān)出面時，公民更多表現(xiàn)出無條件的理解、支持和配合。我們當(dāng)然欣喜于公民在突發(fā)事件應(yīng)對中表現(xiàn)出的社會責(zé)任感，但也惶恐于因權(quán)利讓渡可能導(dǎo)致的對個人信息無邊界的收集和使用。

在公法領(lǐng)域，保護(hù)公民個人信息理應(yīng)受到與滿足其知情權(quán)同等的重視，然而，立法與執(zhí)法實踐均非如此。這一畸形景象在突發(fā)事件的應(yīng)對中表現(xiàn)的比較明顯，一方面是行政機(jī)關(guān)持續(xù)召開新聞發(fā)布會，另一方面是無序、無度的收集與使用個人信息。公民在沉浸于知情權(quán)被滿足的快感時，好像忘卻了自己才是個人信息的權(quán)利人：有權(quán)決定個人信息何時、何地、以何種方式被行政機(jī)關(guān)收集、儲存、處理以及使用。準(zhǔn)此以言，個人信息保護(hù)實為公法領(lǐng)域，特別是突發(fā)事件應(yīng)對中一個相當(dāng)重要的內(nèi)容，以“事前”“事中”“事后”的時間階段觀之，主要涉及收集、使用、保護(hù)等方面的問題。本文以此為基礎(chǔ)展開關(guān)于個人信息公法保護(hù)框架的研究，并將指導(dǎo)和協(xié)調(diào)著其中全部社會關(guān)系的法律原則作為核心內(nèi)容加以闡釋。

一、收集、使用與保護(hù)個人信息的統(tǒng)一

無論是學(xué)理研究，還是法律規(guī)范，均可以推導(dǎo)出行政機(jī)關(guān)收集、使用個人信息的正當(dāng)性。然而，目的的正當(dāng)性不等于手段的任意性。通過限定主體、厘清范圍、規(guī)范使用等對個人信息進(jìn)行積極周到的保護(hù)，可以強(qiáng)化收集與使用的正當(dāng)性。

(一)收集、使用個人信息的正當(dāng)性

權(quán)利與義務(wù)是相互依存和貫通的，和諧社會可以為公民權(quán)利的實現(xiàn)提供保障，但也要求公民承擔(dān)起為維護(hù)和發(fā)展集體生活而應(yīng)盡的義務(wù)。

1.法律原則的支撐

一是行政應(yīng)急性原則。在緊急情況下，行政機(jī)關(guān)為維護(hù)經(jīng)濟(jì)與社會秩序，保障公共利益和公民根本利益，可以采取行政應(yīng)急措施，其中既包括具有行政制定法上依據(jù)的行為，也包括一些沒有具體法律依據(jù)甚至中斷部分法律規(guī)范實施的行為[1]。按照行政應(yīng)急性原則的指引，為及時控制和消除突發(fā)事件的危害，公權(quán)力應(yīng)合理擴(kuò)張，私權(quán)利當(dāng)相應(yīng)克減，具體表現(xiàn)為行政機(jī)關(guān)積極主動采取一切必要的措施，包括收集并使用個人信息，而公民負(fù)有較高的容忍和服從義務(wù)，唯有如此，方符合突發(fā)事件應(yīng)對的基本要求。

二是行政效能原則?，F(xiàn)代行政法不僅要防止權(quán)力濫用、遏制專制行為，而且還要“促使行政機(jī)關(guān)更誠實、迅捷和更有效地行動”[2]。由此，行政法上的制度設(shè)計，在著眼于保護(hù)私權(quán)利的同時，應(yīng)當(dāng)為行政權(quán)的高效行使提供必要的空間?；谕话l(fā)事件的突發(fā)性、公共性、危害性、連鎖反應(yīng)性等特點，當(dāng)突發(fā)事件發(fā)生時，行政機(jī)關(guān)應(yīng)當(dāng)及時啟動應(yīng)急處置程序，包括信息報告、先期處置、應(yīng)急響應(yīng)、指揮與協(xié)調(diào)等環(huán)節(jié)，這些環(huán)節(jié)的高效、順利進(jìn)行，離不開對個人信息的收集與使用。

三是公共利益原則。公共行政的目的是維護(hù)和促進(jìn)公共利益或者大眾福祉，這是一個不成文的基本原則[3]。申言之，公共利益應(yīng)當(dāng)成為行政法適用和解釋的普遍原則，一切行政行為的目的、動機(jī)和旨趣皆應(yīng)著眼于維護(hù)和促進(jìn)公共利益。雖然關(guān)于公共利益的內(nèi)涵與外延尚有不同的觀點和認(rèn)識，但和平社會秩序的維護(hù)與人類生命健康的保護(hù)無疑屬于“客觀的公共大眾利益”。突發(fā)事件不僅破壞了既存社會秩序的穩(wěn)定，而且嚴(yán)重威脅著社會公眾的生命健康。行政機(jī)關(guān)為實現(xiàn)對公民的“生存照顧”而收集與使用個人信息，符合公共利益原則。

2.法律規(guī)范的要求

我國《憲法》第二條規(guī)定，人民依照法律規(guī)定，通過各種途徑和形式，管理國家事務(wù)，管理經(jīng)濟(jì)和文化事業(yè)，管理社會事務(wù)。這一蘊(yùn)含公眾參與原則的憲法條款，在一定意義上可被視為突發(fā)事件應(yīng)對中，行政機(jī)關(guān)收集與使用個人信息的最高法律依據(jù)。事實上，《突發(fā)事件應(yīng)對法》《傳染病防治法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》等法律規(guī)范，均或直接或間接的作出了關(guān)于收集與使用個人信息的規(guī)定。

其一，直接規(guī)定公民有配合突發(fā)事件應(yīng)對工作的義務(wù)?！锻话l(fā)事件應(yīng)對法》第十一條第二款規(guī)定，公民、法人和其他組織有義務(wù)參與突發(fā)事件應(yīng)對工作。在突發(fā)事件的處置過程中，公民依法負(fù)有較平常時期更多、更嚴(yán)格的法律義務(wù)，以配合應(yīng)急權(quán)力的行使。這些法律義務(wù)包括四個層次：一是對突發(fā)事件應(yīng)急狀態(tài)保持高度關(guān)注的義務(wù)；二是在應(yīng)急狀態(tài)時期主動接受行政機(jī)關(guān)各項應(yīng)急措施，特別是各項管制的義務(wù)；三是接受法定權(quán)利被行政機(jī)關(guān)限制的義務(wù)；四是主動參與突發(fā)事件應(yīng)急處置各項工作的義務(wù)[4]。這其中，信息報告義務(wù)必不可少。

其二，建立應(yīng)對突發(fā)事件的社會動員機(jī)制，明確“依靠群眾”原則?！锻话l(fā)事件應(yīng)對法》第六條規(guī)定，國家建立有效的社會動員機(jī)制；《傳染病防治法》第二條確立了依靠群眾原則，這都是對公民在突發(fā)事件應(yīng)對中可以發(fā)揮重要作用的直接體現(xiàn)。相應(yīng)的，《傳染病防治法》第十二條規(guī)定，公民必須接受有關(guān)傳染病的調(diào)查、檢驗、采集樣本等預(yù)防、控制措施，如實提供有關(guān)情況。

其三，設(shè)置應(yīng)對突發(fā)事件的報告與信息發(fā)布制度，間接要求公民提供個人信息。為吸取2003年“非典”暴發(fā)初期信息通報不及時、不準(zhǔn)確、不公開的教訓(xùn)，《傳染病防治法》的修改，以及《突發(fā)公共衛(wèi)生事件應(yīng)急條例》和《突發(fā)事件應(yīng)對法》的出臺，均以專條甚至專章的形式建立了突發(fā)事件的報告與信息發(fā)布制度。這一制度有效運(yùn)轉(zhuǎn)的關(guān)鍵是行政機(jī)關(guān)必須及時、充分、準(zhǔn)確的掌握突發(fā)事件的所有相關(guān)情況。故而，法律規(guī)范相應(yīng)的賦予了行政機(jī)關(guān)及相關(guān)機(jī)構(gòu)的信息收集、使用權(quán)。例如，《突發(fā)事件應(yīng)對法》第三十八條規(guī)定，縣級以上人民政府及其有關(guān)部門、專業(yè)機(jī)構(gòu)應(yīng)當(dāng)通過多種途徑收集突發(fā)事件信息。與信息收集、使用權(quán)相對應(yīng)的是公民的提供與授權(quán)義務(wù)，否則，突發(fā)事件報告與信息發(fā)布制度將成為無源之水。

此外，突發(fā)事件應(yīng)對中對個人信息的收集與使用，亦符合國務(wù)院《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》(國發(fā)〔2015〕50 號)關(guān)于運(yùn)用大數(shù)據(jù)提升政府治理能力的要求。借助海量個人信息，實現(xiàn)基于數(shù)據(jù)的科學(xué)決策，推動突發(fā)事件應(yīng)對理念和處理模式的革新。

(二)公法保護(hù)個人信息的必要性

現(xiàn)代法治不允許法律不加限制地交給政府一張空白支票，讓政府在緊急狀態(tài)下自己去任意確定自己行使何種權(quán)力[5]。為收集與使用個人信息的“工具理性”注入“價值理性”的基因，既是突發(fā)事件應(yīng)對的現(xiàn)實需求，又是法治政府建設(shè)的理想圖景。

1.基本權(quán)利的生成

之所以說公法應(yīng)當(dāng)關(guān)注個人信息的保護(hù)，是因為其理論基礎(chǔ)中蘊(yùn)含著基本權(quán)利的要素。在美國，“憲法隱私權(quán)”的確立源于“格瑞斯沃爾德訴康涅狄格州案”[381 U.S.479(1965)]。主審法官道格拉斯運(yùn)用“權(quán)利伴影”(Penumbra)理論，首次在憲法判決中確認(rèn)了隱私權(quán)的法律地位。其后“惠倫訴羅伊案”[429 U.S.589(1977)]的判決加強(qiáng)了對“憲法隱私權(quán)”的保護(hù)，認(rèn)為憲法上的隱私權(quán)不僅包括信息隱私，而且包括自決隱私[6]。經(jīng)由判例的推動，美國出臺了《隱私法》(Privacy Act，1974)、《隱私權(quán)保護(hù)法》(The Right to Privacy Protection，1980)等諸多法律，開創(chuàng)了用制定法保護(hù)隱私權(quán)的新時代。在德國，1977年生效的《聯(lián)邦個人信息保護(hù)法》(BDSG)開始專門關(guān)注個人隱私的保護(hù)。公民“信息自決權(quán)”的創(chuàng)設(shè)，源于1983年的“人口調(diào)查第二案”(BverfGE 65，1)。聯(lián)邦憲法法院的判決認(rèn)為，個人信息屬于基本法中“一般人格權(quán)”與“人性尊嚴(yán)”條款的保護(hù)范圍，該基本人權(quán)原則上保障每個人有權(quán)自行決定其個人信息的交付與使用。受該判決影響，再次修訂的《聯(lián)邦個人信息保護(hù)法》，引入“信息自決權(quán)”的法律內(nèi)核，以普遍的信息保護(hù)替代了單純的隱私保護(hù)。

我國《憲法》沒有關(guān)于隱私權(quán)或“信息自決權(quán)”的直接規(guī)定，但這并不意味著對個人信息的公法保護(hù)純屬空中樓閣。事實上，公法領(lǐng)域涉及個人信息保護(hù)的法律規(guī)范并非沒有，只是這些條款多數(shù)偏于宣示性，尚需精細(xì)化的內(nèi)容加以填充。例如，《傳染病防治法》第十二條規(guī)定，疾病預(yù)防控制機(jī)構(gòu)不得泄露涉及個人隱私的有關(guān)信息、資料。當(dāng)前，在個人信息保護(hù)統(tǒng)一立法仍不明朗的情況下，不論采用“憲法隱私權(quán)說”，還是“信息自決權(quán)說”，《憲法》第三十八條的人格尊嚴(yán)條款，都有足夠的張力去解釋該項基本權(quán)利，且第三十三條的人權(quán)條款亦有廣闊的空間將其容納[7]。

2.控制權(quán)力的要義

個人信息基本權(quán)利的生成，意味著行政權(quán)的尊讓與克制。雖然在突發(fā)事件應(yīng)對中，行政機(jī)關(guān)可以基于公共利益對這一基本權(quán)利進(jìn)行限制，但是這種限制本身也應(yīng)有其限制，否則將導(dǎo)致基本權(quán)利有名無實。

我國的行政法治實踐始終貫穿著兩條主線，一是以約束公權(quán)力、保障私權(quán)利為核心的合法性考量，二是以提高政府效能為核心的最佳性考量[8]。如若兩條主線有所齟齬，首先需要進(jìn)行合法性考量，重視控制行政權(quán)的價值理性，然后才能著手最佳性考量，兼顧行政效能的工具理性。當(dāng)然，現(xiàn)代行政法對行政權(quán)的控制，已不再是消極的限制，而是強(qiáng)調(diào)積極的駕馭和支配，既在價值取向上倡導(dǎo)控權(quán)功能，又在客觀實證上承認(rèn)管理功能。

突發(fā)事件應(yīng)對中的個人信息公法保護(hù)，最終還是要回歸到行政法上的經(jīng)典話題，即怎么樣合理的配置公權(quán)力與保護(hù)私權(quán)利，在確保公共利益和秩序優(yōu)先的前提下，兼顧個人利益和自由。申言之，一方面需要認(rèn)可行政機(jī)關(guān)收集、使用個人信息的正當(dāng)性，另一方面又應(yīng)當(dāng)為這種權(quán)力的行使施以必要限制，確?！爸贫鹊幕\子”牢不可破。我們以為，我國個人信息公法保護(hù)規(guī)則的缺失，恰好為相關(guān)法律原則的適用提供了空間。在這方面，既有的理論研究成果和域外已有的制定法體現(xiàn)出的相關(guān)法律原則可供我們參考和借鑒。

二、收集個人信息的強(qiáng)度

行政機(jī)關(guān)可在多大范圍內(nèi)收集多少個人信息？對此，比例原則要求的妥當(dāng)性、必要性與均衡性[9]已經(jīng)給出了回答。同時，與收集范圍相關(guān)聯(lián)的誰來收集、如何收集等問題，涉及法律保留中的職權(quán)分工與正當(dāng)程序下的制度安排。

(一)法律保留原則限定收集主體

現(xiàn)代法治國家無論法律保留原則在憲法上有無明文規(guī)定，幾無例外的加以遵循[10]。法律保留原則的關(guān)鍵問題是其范圍，即涉及領(lǐng)域和事務(wù)。對此，德國實務(wù)中通常根據(jù)“某個規(guī)則對共同體和公民個人的意義、份量、基礎(chǔ)性、深遠(yuǎn)性及其強(qiáng)度等”，采取重要性理論加以確定[11]。于是，鑒于收集個人信息的行為直接涉及到對具有憲法位階的基本權(quán)利的限制，故而當(dāng)有法律保留原則的適用余地。結(jié)合我國《立法法》第八條與第九條的規(guī)定可知，僅“有關(guān)犯罪和刑罰、對公民政治權(quán)利的剝奪和限制人身自由的強(qiáng)制措施和處罰、司法制度等事項”必須由全國人大或其常委會制定法律，其他的應(yīng)當(dāng)制定法律的事項，尚未制定的，可以授權(quán)國務(wù)院制定行政法規(guī)。申言之，突發(fā)事件中行政機(jī)關(guān)收集個人信息的行為，原則上應(yīng)當(dāng)有法律的明確授權(quán)，退一步講，至少得有行政法規(guī)的具體規(guī)定。也就是說，地方性法規(guī)、規(guī)章以及其他規(guī)范性文件沒有權(quán)力作出此類授權(quán)。

綜觀與突發(fā)事件相關(guān)的法律規(guī)范可知，在我國有權(quán)收集個人信息的主體(以下簡稱行政機(jī)關(guān))有三類：一是縣級以上政府及其有關(guān)部門(如衛(wèi)生行政部門)，例如，根據(jù)《突發(fā)事件應(yīng)對法》第三十八條第一款的規(guī)定，縣級以上政府及其有關(guān)部門應(yīng)當(dāng)通過多種途徑收集突發(fā)事件信息。二是疾病預(yù)防控制機(jī)構(gòu)，例如，根據(jù)《傳染病防治法》第十八條第一款的規(guī)定，各級疾病預(yù)防控制機(jī)構(gòu)在傳染病預(yù)防控制中履行“收集、分析和報告?zhèn)魅静”O(jiān)測信息”等職責(zé)。三是各類醫(yī)療機(jī)構(gòu)，例如，根據(jù)《傳染病防治法》第十二條的規(guī)定，公民必須接受醫(yī)療機(jī)構(gòu)有關(guān)傳染病的調(diào)查、檢驗、采集樣本等預(yù)防、控制措施。

此外，以下三類主體無權(quán)以自己的名義收集個人信息：一是突發(fā)事件應(yīng)急處理指揮機(jī)構(gòu)，相應(yīng)的工作當(dāng)由前述三類主體依法實施②；二是采供血機(jī)構(gòu)，雖然《突發(fā)公共衛(wèi)生事件與傳染病疫情監(jiān)測信息報告管理辦法》(原衛(wèi)生部令第37號)第十六條將采供血機(jī)構(gòu)規(guī)定為“責(zé)任報告單位”，但該規(guī)定的合法性值得商榷；三是街道、鄉(xiāng)鎮(zhèn)以及居民委員會、村民委員會，根據(jù)《突發(fā)公共衛(wèi)生事件應(yīng)急條例》第四十條的規(guī)定，它們的職責(zé)僅限于“協(xié)助”有權(quán)機(jī)關(guān)收集和報告。

(二)最少夠用原則明確收集范圍

個人信息收集范圍的確定，是一個關(guān)于信息所涉領(lǐng)域的重要性、收集信息時的緊迫性，以及收集信息與其目的之間的關(guān)聯(lián)性等因素的綜合考量。突發(fā)事件中收集個人信息的范圍應(yīng)當(dāng)受到比例原則的限制，表現(xiàn)為目的明確原則基礎(chǔ)上的“最少夠用”[12]。

目的明確原則是指收集個人信息的目的，應(yīng)當(dāng)在收集之前加以確定，并通過一定的方式明確化；若收集目的發(fā)生變更，則在變更后及時予以明確。我國的立法在一定程度上認(rèn)可了目的明確原則，但相關(guān)的規(guī)定比較籠統(tǒng)且主要適用于私法領(lǐng)域。例如，全國人大常委會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第二條明確規(guī)定，收集公民個人電子信息，應(yīng)當(dāng)明示收集、使用信息的目的、方式和范圍。其后出臺的《網(wǎng)絡(luò)安全法》在第四十一條作了類似的規(guī)定。

目的明確原則包括四個要素，分別是：相關(guān)，即收集的個人信息應(yīng)當(dāng)與具體職能的履行有關(guān)；特定，即收集目的應(yīng)當(dāng)在不遲于收集時確定下來，且需提供足夠的細(xì)節(jié)描述，以使之具有辨識度；明確，即目的特定化后，應(yīng)當(dāng)明白無誤地展現(xiàn)出來，確保各方對于目的具有一致的理解；合法，即收集個人信息應(yīng)當(dāng)符合立法規(guī)定，不得違反禁止性條款[13]。因此，行政機(jī)關(guān)在突發(fā)事件應(yīng)對中收集個人信息，應(yīng)當(dāng)是為了滿足“預(yù)防、監(jiān)測、預(yù)警、處置、救援”等特殊目的的需要。同時有必要將收集的每項個人信息所對應(yīng)的具體目的，詳細(xì)且明確的列舉出來，向公民作出清晰說明。

以目的明確原則為基礎(chǔ)，突發(fā)事件應(yīng)對中個人信息的收集應(yīng)當(dāng)基于目的與信息間“正當(dāng)合理之關(guān)聯(lián)”，不得逾越“最少夠用”的邊界。對此，可以參考我國《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2020，以下簡稱《安全規(guī)范》)5.2(a)的規(guī)定，將“最少夠用”反向描述為：收集的個人信息的類型應(yīng)與突發(fā)事件應(yīng)對有直接關(guān)聯(lián)；直接關(guān)聯(lián)是指沒有這些個人信息的參與，突發(fā)事件的應(yīng)對即無法實現(xiàn)?；耍湟?，收集的對象應(yīng)當(dāng)有所限定。例如，“新冠肺炎”疫情期間，中央網(wǎng)信辦《關(guān)于做好個人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》(2020年2月4日，以下簡稱《通知》)在第二條專門將收集對象限定為確診者、疑似者、密切接觸者等重點人群。實踐中要求所有公民上報個人信息的做法，雖然有助于疫情防控，但與信息權(quán)利保護(hù)尚有不合。其二，即使不得不收集特定群體的個人信息，也應(yīng)當(dāng)限定信息的范圍。例如，“新冠肺炎”疫情期間收集的個人信息，應(yīng)當(dāng)與疫情防控存在關(guān)聯(lián)性，包括個人基本信息，如姓名、身份證號碼、聯(lián)系方式、住址等；以及日常監(jiān)測信息，如體溫、癥狀、旅居史、乘坐交通工具記錄、接觸史等；除此之外，其他諸如個人生物識別信息、財產(chǎn)信息、職業(yè)信息、民族、宗教信仰等不應(yīng)被納入收集范圍。同時，需要明確“最少夠用”的底線是“信息品質(zhì)”[14]，即收集的個人信息應(yīng)當(dāng)在既已明確的目的范圍內(nèi)做到完整、準(zhǔn)確和時新，以確保實現(xiàn)收集目的。

(三)正當(dāng)程序原則約束收集手續(xù)

“隨著政府權(quán)力持續(xù)地劇烈增長，只有借助于程序公正，權(quán)力才有可能獲得容忍。”[15]突發(fā)事件中行政機(jī)關(guān)以維護(hù)公共利益之名收集個人信息，本無可厚非，不過，公益的實現(xiàn)需要“看得見的方式”背書，即遵循最低限度的正當(dāng)程序要求。

首先，公開并說明理由。假如無法要求行政機(jī)關(guān)履行公開義務(wù)，則目的明確原則將失去意義。這里的公開有兩層含義：一是面向社會的公開，即行政機(jī)關(guān)有義務(wù)將與突發(fā)事件應(yīng)對中收集個人信息相關(guān)的法律規(guī)范向社會公開，滿足公眾知情權(quán)，并接受社會監(jiān)督；二是面向收集對象的說明理由，即行政機(jī)關(guān)在實施具體的收集行為時，應(yīng)當(dāng)向收集對象說明收集主體、法律依據(jù)、信息類別、收集與使用目的、個人權(quán)利及救濟(jì)方式等事項，以免信息主體陷入不可預(yù)知的恐懼中③。同時，說明理由義務(wù)的履行，實際上暗含著要求行政機(jī)關(guān)直接向公民本人收集信息，即“直接收集”原則的要求。該要求源于公民的“信息自決權(quán)”，目的在于強(qiáng)化公民在信息收集中的主體性[16]。不過，當(dāng)直接收集會付出不合理的成本，且間接收集不會侵害公民重大合法權(quán)益時，行政機(jī)關(guān)或許可以采用其他方式(如向其他行政機(jī)關(guān)或第三方)收集個人信息。例如，歐盟《通用數(shù)據(jù)保護(hù)條例》(以下簡稱GDPR)在第14條對非從信息主體處獲得個人信息時的告知義務(wù)作出了規(guī)定。

其次，重視公眾參與。與普通行政程序中公眾參與的形式主要是陳述、申辯類似，信息收集環(huán)節(jié)中的公眾參與表現(xiàn)為查詢、異議與更正。公民的查詢是為了知悉行政機(jī)關(guān)對其個人信息的處理、使用情況。多數(shù)國家或地區(qū)的個人信息保護(hù)法都規(guī)定了公民的查詢權(quán)，只是在具體問題的規(guī)定上存在差異。若查詢被拒絕，公民有權(quán)提出異議；若查詢后發(fā)現(xiàn)個人信息錯誤或過時，公民有權(quán)進(jìn)行刪除、修改、完善或補(bǔ)正[17]。個人信息收集中的公眾參與在突發(fā)事件應(yīng)對中占據(jù)相當(dāng)重要的位置，是確?！靶畔⑵焚|(zhì)”的關(guān)鍵。

最后，作為同意原則的例外?；趥€人信息的權(quán)利屬性，同意原則儼然成了信息收集行為合法性與正當(dāng)性的首要基礎(chǔ)。例如，經(jīng)合組織(OECD)的《隱私保護(hù)和個人數(shù)據(jù)跨境流通指南》“附件”(以下簡稱《指南》)第7條規(guī)定，個人信息的收集，在適當(dāng)情況下，要經(jīng)過信息主體的默示或明示同意。我國《網(wǎng)絡(luò)安全法》在第二十二條第三款與第四十一條第一款作了類似的規(guī)定。盡管同意原則的實現(xiàn)分化出擇入機(jī)制(opt-in)與擇出機(jī)制(opt-out)兩條路徑，且各有優(yōu)劣[18]，但應(yīng)當(dāng)明白，同意原則不該是唯一的解決方案。尤其是對以突發(fā)事件應(yīng)對為代表的公共行政而言，行政機(jī)關(guān)對個人信息的收集，在履行公開與告知義務(wù)后，基于公益維護(hù)的現(xiàn)實性，沒有必要也不允許嚴(yán)格恪守“同意”原則，否則將嚴(yán)重阻滯個人信息的收集與使用，影響整體的“信息品質(zhì)”。因此，雖然歐盟GDPR大幅修改了之前“數(shù)據(jù)保護(hù)指令”的內(nèi)容，但依然保留并擴(kuò)充了信息處理的合法性原則，允許行政機(jī)關(guān)在信息主體“同意”外，以“履行公共利益領(lǐng)域的任務(wù)或行使既定的行政職權(quán)”[Art.6(1)(e)]為由收集個人信息④。質(zhì)言之，突發(fā)事件應(yīng)對中行政機(jī)關(guān)對個人信息的收集不以公民同意為前提。

三、使用個人信息的限度

作為規(guī)范個人信息收集行為的目的明確原則，屬于目的拘束原則的子原則，后者還包括適用于個人信息使用行為的目的限制原則[19]。依其要求，行政機(jī)關(guān)應(yīng)當(dāng)在確保個人信息安全的基礎(chǔ)上，遵循收集時已經(jīng)明確的使用目的，依法使用與共享個人信息。

(一)信賴穩(wěn)妥原則保證信息安全

突發(fā)事件應(yīng)對中收集的個人信息，有相當(dāng)數(shù)量屬于“敏感信息”⑤，安全方面稍有不慎，就可能導(dǎo)致災(zāi)難性后果。因此，既有個人信息保護(hù)立法幾無例外地承認(rèn)安全原則，規(guī)定應(yīng)當(dāng)采取一切合理必要的措施，防止個人信息被未經(jīng)授權(quán)的訪問、使用及竊取、泄漏等。對此，我國的《網(wǎng)絡(luò)安全法》《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等作了專門規(guī)定，中央網(wǎng)信辦《通知》第四條更是強(qiáng)調(diào)，“收集或掌握個人信息的機(jī)構(gòu)要對個人信息的安全保護(hù)負(fù)責(zé)，采取嚴(yán)格的管理和技術(shù)防護(hù)措施，防止被竊取、被泄露”。

根據(jù)安全原則的要求，行政機(jī)關(guān)應(yīng)當(dāng)采取的措施包括但不限于物理措施(如鎖門)、組織措施(如設(shè)置訪問權(quán)限)和技術(shù)措施(如加密)[20]。目前美國、英國、日本及國際標(biāo)準(zhǔn)化組織等，均已建立了個人信息安全的評估準(zhǔn)則或認(rèn)證框架，我國也在《安全規(guī)范》第11條提出了“組織的個人信息安全管理要求”，包括“開展個人信息安全影響評估”“數(shù)據(jù)安全能力”“人員管理與培訓(xùn)”等?？傮w而言，這些措施可以歸結(jié)為兩點，即管理人員的足夠“信賴”與安全措施的足夠“穩(wěn)妥”。在此，對以下四點作出闡釋。

一是培訓(xùn)與考核的重要性。須知，信息安全中的內(nèi)部(人員)威脅問題實際上比其他威脅都更加難以捉摸和令人困惑，是以如何通過知識宣導(dǎo)及教育訓(xùn)練，從根本上提高公務(wù)人員的安全管理意識，實為建立安全管理措施之前提[21]。雖然突發(fā)事件的緊急性決定了應(yīng)對措施的非常規(guī)性，但于個人信息保護(hù)而言，安全這根弦絕不能松懈。屢禁不止的公務(wù)人員在“微信群”“朋友圈”等社交平臺上散布公民個人信息的行為，實與事前安全教育培訓(xùn)的缺失密不可分。此外，鑒于突發(fā)事件中行政機(jī)關(guān)收集個人信息的數(shù)量級可能覆蓋數(shù)十億人，故有必要認(rèn)真對待《安全規(guī)范》11.1(c)關(guān)于“設(shè)立專職的個人信息保護(hù)負(fù)責(zé)人和個人信息保護(hù)工作機(jī)構(gòu)”的建議。

二是安全措施的適當(dāng)與必要?？v然個人信息安全如此重要，且突發(fā)事件應(yīng)對中的個人信息多屬“敏感信息”，但也不能證成我們在安全方面的投入可以不計成本。此時，比例原則又一次發(fā)揮了它的作用，行政機(jī)關(guān)需要做的是，根據(jù)有關(guān)國家標(biāo)準(zhǔn)的要求，建立“適當(dāng)”的數(shù)據(jù)安全能力，落實“必要”的管理和技術(shù)措施。申言之，個人信息保護(hù)法不會直接規(guī)定行政機(jī)關(guān)應(yīng)當(dāng)采取的具體安全措施，而是要求其設(shè)定與處理信息導(dǎo)致的風(fēng)險相稱的安全級別。為此，行政機(jī)關(guān)需要考慮現(xiàn)有技術(shù)水平和實施成本，以及處理的性質(zhì)、范圍、背景和目的等。

三是遵守儲存時限的要求。為特定目的收集與使用的個人信息，均不得超過該目的所需要的最短時間予以保存，否則本為合法的行為將“質(zhì)變”為非法?！栋踩?guī)范》6.1將此界定為“個人信息存儲時間最小化”，并規(guī)定超出存儲期限后，應(yīng)對個人信息作出刪除或“去識別化”等技術(shù)處理。突發(fā)事件應(yīng)對中對個人信息的使用當(dāng)有其時間界限，原則上，事件的經(jīng)過應(yīng)同時觸發(fā)個人信息的“消逝”，而若有其他使用目的，如用于公益維護(hù)、科學(xué)研究、社會統(tǒng)計等，需恪守“目的限制原則”。當(dāng)然，這其中涉及的“被遺忘權(quán)”問題也值得深思。

四是信息泄漏時的通知義務(wù)。個人信息的泄露不僅會對公民權(quán)利產(chǎn)生直接或潛在的傷害或威脅，而且將嚴(yán)重影響行政機(jī)關(guān)的聲譽(yù)，進(jìn)而導(dǎo)致突發(fā)事件的應(yīng)對雪上加霜。故而，立法通常要求行政機(jī)關(guān)在發(fā)生信息泄露后，履行上報義務(wù)的同時，毫不遲延地[Art.34(1)，GDPR]通知或警示相關(guān)信息主體，具體內(nèi)容包括但不限于安全事件的內(nèi)容和影響；已采取或?qū)⒁扇〉奶幹么胧还褡灾鞣婪逗徒档惋L(fēng)險的建議等。

(二)目的限制原則約束信息使用

既然行政機(jī)關(guān)在收集個人信息時，已將相應(yīng)的使用目的予以明確并告知了公民，那么其后的使用行為自然應(yīng)當(dāng)在該目的框定的范圍內(nèi)進(jìn)行。融合“目的明確”與“目的限制”的目的拘束原則，之所以成為個人信息保護(hù)法的“帝王條款”[22]49，是因為契合了法的明確性要求，有助于公民在面對收集行為時得預(yù)見未來的使用場景，避免因“人格畫像”⑥的描繪使得本來界定明晰的“自我”分裂、顛倒與消散[23]。然而，在大數(shù)據(jù)時代，個人信息的價值不再單純來源于它的基本用途，而更多源于它的二次利用，很多信息在收集的時候并無意用作其他用途，但最終卻產(chǎn)生了很多創(chuàng)新性的用途[24]。于是，立法在以“特定目的”限制信息使用的同時，應(yīng)當(dāng)考慮到“進(jìn)一步使用”的實際需要而賦予一定的靈活性。

首先，為了科學(xué)、歷史研究或統(tǒng)計目的而進(jìn)一步使用的，符合初始目的⑦。

其次，基于法律規(guī)定、信息主體同意、維護(hù)公共利益、避免公民生命或財產(chǎn)上的危險等情形，而進(jìn)一步使用個人信息的，亦不應(yīng)在目的限制之列。

最后，在上述情形外進(jìn)一步使用的，需滿足針對靈活性的評價標(biāo)準(zhǔn)?！栋踩?guī)范》7.3(a)對此的界定是，與初始目的“具有直接或合理關(guān)聯(lián)的范圍”，而歐盟GDPR(Art.9)及經(jīng)合組織《指南》(第9條)則采用了“非不相容”的表述，其裁量空間比我國更大。鑒于這些不確定性法律概念自身仍不足以框定靈活性的邊界，歐盟GDPR[Art.6(4)]列舉了“相容性評估”的關(guān)鍵要素，包括：(1)初始目的與進(jìn)一步使用目的之間的關(guān)系；(2)收集信息時的環(huán)境，特別是信息主體與行政機(jī)關(guān)之間的關(guān)系；(3)個人信息的性質(zhì)；(4)意向的進(jìn)一步使用可能帶給信息主體的不利后果；(5)包括加密或匿名化在內(nèi)的適當(dāng)安全措施的存在。經(jīng)評估，進(jìn)一步使用的目的可能與初始目的緊密匹配，也可能有所不同，但是不同不代表即與初始目的“自動不相容”，是否相容需要根據(jù)案件情況具體判斷[25]。一般說來，如果新的目的與初始目的有很大不同，出乎意料或?qū)€人造成不合理影響，則可能與初始目的不符，應(yīng)該受到限制。

于是，突發(fā)事件應(yīng)對中行政機(jī)關(guān)使用已收集的個人信息，原則上僅限于突發(fā)事件的預(yù)防、監(jiān)測、預(yù)警、處置、救援等目的需要，但若將這些個人信息用于學(xué)術(shù)研究，或得出對自然、科學(xué)、社會、經(jīng)濟(jì)等現(xiàn)象總體狀態(tài)的描述，亦未嘗不可。同時，行政機(jī)關(guān)也可基于公共利益的考量或信息主體的同意等，將這些個人信息用于其他目的。不過，因為個人信息的泄露通常發(fā)生在“目的外使用”，所以，域內(nèi)外立法對此賦予的相當(dāng)大的自由裁量空間恐怕過于浮濫，有違反法的明確性原則之虞，基于“例外規(guī)定，從嚴(yán)解釋”的考量，應(yīng)對“目的限制”的靈活性作限縮理解[22]53-54。

此外，對目的限制原則的遵循，還需要相應(yīng)配套制度的落實。其一，“目的外使用”前，行政機(jī)關(guān)應(yīng)當(dāng)履行告知義務(wù)，必要時征得公民的同意。行政機(jī)關(guān)于初始目的外使用個人信息時，應(yīng)當(dāng)將目的、依據(jù)、權(quán)利及救濟(jì)方式等內(nèi)容告知公民，且當(dāng)目的屬于上述第三類時，還應(yīng)當(dāng)征得公民的同意，因為應(yīng)急狀態(tài)下的公私利益平衡與常態(tài)不同，只不過這里的同意可以默示同意為已足，即只要公民未明確表示拒絕，則視為同意。其二，基于不同目的收集的個人信息應(yīng)當(dāng)分別儲存，相應(yīng)系統(tǒng)間保持獨立與封閉。縱然是同樣的個人信息，也可能因為使用目的的不同，而在安全性、保密性等方面產(chǎn)生差異。突發(fā)事件應(yīng)對中收集的個人信息多半涉及“敏感信息”，若將此類信息與為了其他目的而收集的個人信息儲存在同一系統(tǒng)，則無論這些信息具備直接識別性，還是帶有間接識別性，都將極大增加個人信息被融合的可能性，惡化“人格被目錄化”的風(fēng)險[26]。是以，原則上禁止各類個人信息系統(tǒng)的互聯(lián)互通，除非有重大公共利益的需要。其三，在個人信息的使用過程中，亦有公眾參與原則的適用空間，其目的在于確保“信息品質(zhì)”。

(三)去識別化原則控制信息共享

對突發(fā)事件應(yīng)對中個人信息的使用，目的內(nèi)也好，目的外也罷，抑或是根據(jù)《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》的要求，向社會開放，均需要借助“去識別化”的技術(shù)手段，有效切斷信息與信息主體之間的連接，維護(hù)個人信息的基本權(quán)利屬性。

“去識別化”包括“匿名化”(anonymization)與“去標(biāo)識化”(de-identification)兩類，二者之間的區(qū)別主要體現(xiàn)在能否被“復(fù)原”。其中，經(jīng)前者處理后，個人信息主體已經(jīng)無法被識別或關(guān)聯(lián)，處理后的信息不能被復(fù)原；經(jīng)后者處理后的信息，若不借助額外信息的幫助，亦無法識別或者關(guān)聯(lián)個人信息主體?；凇皬?fù)原”的可能性不同，個人信息經(jīng)“匿名化”處理后不再屬于個人信息，即不再受到個人信息保護(hù)法的調(diào)整[27]，可以“自由流通”。但“去標(biāo)識化”是建立在個體基礎(chǔ)之上，保留了個體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對個人信息的標(biāo)識，故仍屬于個人信息，受到個人信息保護(hù)法的嚴(yán)格規(guī)范⑧。

不過，即便是經(jīng)“匿名化”后的信息也不可能完全做到“永遠(yuǎn)不被復(fù)原”，尤其是隨著技術(shù)的進(jìn)步、信息大小和多樣性的增加，去“匿名化”的可能性已大幅增長。申言之，“匿名化”的判斷標(biāo)準(zhǔn)應(yīng)當(dāng)是相對的，所謂的絕對安全只是臆想。因此，歐盟法上將個人信息的“匿名化”定義為，信息控制者及其他任何人均無法以任何可能的合理方式予以識別的過程，而方式是否屬于“合理可能”需要考量所有客觀因素，如進(jìn)行再識別所耗費(fèi)的時間、費(fèi)用，以及進(jìn)行信息處理時科技的發(fā)展?fàn)顩r與可得技術(shù)等[28]。我國既有的法律規(guī)范中雖然有關(guān)于“匿名化”的闡釋，但相應(yīng)的判斷標(biāo)準(zhǔn)仍需在未來予以細(xì)化。同時，對“去標(biāo)識化”的個人信息而言，由于“復(fù)原”需要的關(guān)鍵信息、算法等內(nèi)容仍掌握在行政機(jī)關(guān)手中，故要求其在共享或開放此類個人信息時，務(wù)必單獨安全儲存與“復(fù)原”相關(guān)的所有資料。此外，就個人信息的開放而言，應(yīng)當(dāng)注意對其他使用者施予“禁止再識別”的義務(wù)。

當(dāng)前，在突發(fā)事件應(yīng)對中，我們對于個人信息的模糊化或脫敏處理已經(jīng)十分常見，如在公布突發(fā)事件相關(guān)信息，滿足公眾知情權(quán)時，已經(jīng)開始注意回避相關(guān)人員的身份信息、聯(lián)系方式、家庭具體住址等，而僅涉及經(jīng)“假名化”⑨處理后的姓名、人員活動大體范圍等要素。這是一種進(jìn)步，也有利于保持個人信息保護(hù)與公眾知情權(quán)間的平衡，但對完整、細(xì)致的個人信息保護(hù)技術(shù)適用來說，尚有較大的發(fā)展空間。

四、結(jié)語：尋求個人信息保護(hù)中公私利益的平衡

在提升國家治理體系與治理能力現(xiàn)代化的征程中，突發(fā)事件的依法應(yīng)對正受到來自各方的廣泛關(guān)注，并引發(fā)熱烈討論。然而，其中對于個人信息的公法保護(hù)研究明顯不足。應(yīng)當(dāng)明確，公民的自愿主動與積極配合，不能成為其個人信息被隨意收集與任意使用的充分理由。一方面是以秩序、穩(wěn)定、安全為內(nèi)核的重大公共利益維護(hù)，另一方面是涵蓋知情同意、公眾參與、目的限制等內(nèi)容的基本權(quán)利保護(hù)，二者在突發(fā)事件中的“交鋒”與互動頗有意味，由此體現(xiàn)出的私益與公益的平衡，實為行政法治建設(shè)中亙古不變的經(jīng)典話題。

某種意義上講，個人信息保護(hù)并非新興話題，但因為大數(shù)據(jù)時代的到來而有了新的發(fā)展和內(nèi)涵，并成為域外立法在近年來相繼修改的動因之一。在中國特色社會主義法律體系中，個人信息保護(hù)立法不應(yīng)缺位。就個人信息保護(hù)而言，“今天”理應(yīng)成為最好的時代，但稍有不慎，也可能淪為最差的時代。幸好，個人信息保護(hù)法在全國人大常委會立法規(guī)劃中的“跳躍式前進(jìn)”⑩，讓我們對未來充滿了期待。

注 釋：

①《民法典》第一千零三十四條第二款規(guī)定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

②行政機(jī)關(guān)收集個人信息的權(quán)限應(yīng)當(dāng)來源于“行為法”的明確授權(quán)，而不得以“組織法”之名直接為之。參見邱文聰：《被淘空的法律保留與變質(zhì)的資訊隱私憲法保障》，載臺灣地區(qū)《月旦法學(xué)雜志》第272期(2018年)，第35-38頁。

③域外立法多只規(guī)定面向社會的公開。此外，臺灣地區(qū)的立法中有關(guān)于免于“告知”的規(guī)定，相關(guān)情形如“告知將妨害公共利益”等。不過，我們并不建議大陸地區(qū)借鑒這一規(guī)定。因為，此規(guī)定與法治建設(shè)中的“控權(quán)保民”思想不合，行政機(jī)關(guān)極有可能借此徹底排除個人信息的權(quán)利屬性。

④對此，《個人信息保護(hù)法(專家建議稿)》也在第十一條第一款與第十五條作了類似的規(guī)定。參見周漢華：《中華人民共和國個人信息保護(hù)法(專家建議稿)及立法研究報告》，法律出版社2006年版，第5-6頁。

⑤“敏感信息”是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的個人信息，如身份證件號碼、通信記錄和內(nèi)容、行蹤軌跡、住宿信息等?！懊舾行畔ⅰ钡呐卸ǚ椒ê皖愋鸵娪凇栋踩?guī)范》附錄B。不過，域外通常使用的是一般信息與特殊信息的分類，例如Art.9，GDPR.

⑥根據(jù)《安全規(guī)范》3.8的定義，“人格畫像”是指通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如職業(yè)、經(jīng)濟(jì)、健康、教育、個人喜好、信用、行為等方面作出分析或預(yù)測，形成其個人特征模型的過程。

⑦這是國內(nèi)外立法普遍認(rèn)可的合法的“目的外使用”情形，例如，Art.89(1)(2)，GDPR.

⑧例如，《安全規(guī)范》6.4(c)規(guī)定，個人信息控制者停止運(yùn)營時，對其所持有的個人信息進(jìn)行刪除或匿名化處理；7.3(a)規(guī)定，對外提供使用個人信息形成的學(xué)術(shù)研究或描述的結(jié)果時，需要對其中所包含的個人信息進(jìn)行“去標(biāo)識化”處理。

⑨“假名化”屬于“去標(biāo)識化”的技術(shù)方式之一，例如，將“張三”經(jīng)算法整合后表述為“石五”。關(guān)于個人信息“去標(biāo)識化”的方式，可參見《信息安全技術(shù) 個人信息去標(biāo)識化指南》(GB/T37964-2019)。不過，請注意，域內(nèi)外在具體技術(shù)方式的歸類上可能有所差別。

⑩在全國人大常委會的立法規(guī)劃中，個人信息保護(hù)法從第11屆的“三類項目”，到第12屆的“缺席”，再到第13屆的“一類項目”，已經(jīng)曙光在前。