張 露

（皖南醫(yī)學(xué)院 人文與管理學(xué)院，安徽 蕪湖 241000）

一、引言

21世紀(jì)以來，隨著網(wǎng)絡(luò)技術(shù)突飛猛進(jìn)的發(fā)展，大數(shù)據(jù)正在被海量地存儲、收集、復(fù)制、使用，逐步轉(zhuǎn)化為企業(yè)的核心競爭力，隨之而來的是個(gè)人信息的商業(yè)價(jià)值不斷被挖掘，個(gè)人信息被視為商品經(jīng)濟(jì)下的“新石油”。一方面，個(gè)人信息蘊(yùn)藏著巨大的戰(zhàn)略價(jià)值，尤其在重大疫情防控中，個(gè)人信息的收集與利用能夠有效地實(shí)現(xiàn)疫情的預(yù)防與控制，有助于健全國家公共衛(wèi)生應(yīng)急管理體系，維護(hù)社會安定。另一方面，社會中對個(gè)人信息的收集與使用已形成非法商業(yè)鏈條，這些風(fēng)險(xiǎn)的存在使得個(gè)人隨時(shí)可能成為熱搜的焦點(diǎn)，對個(gè)人信息安全帶來嚴(yán)重挑戰(zhàn)，如若缺乏法律的有效保護(hù)，則極易導(dǎo)致個(gè)人信息的濫用，給個(gè)人的生活及社會的穩(wěn)定帶來危害。重大疫情防控中的個(gè)人信息保護(hù)司法實(shí)踐為完善個(gè)人信息保護(hù)機(jī)制提供了新的視野，對重大疫情防控中個(gè)人信息保護(hù)進(jìn)行系統(tǒng)研究，直視研究中存在的困境，尋找個(gè)人信息保護(hù)與公共衛(wèi)生體系的平衡點(diǎn)，是貫徹執(zhí)行疫情防治法治化道路的具體舉措。

二、個(gè)人信息權(quán)益基本保護(hù)的現(xiàn)狀分析

個(gè)人信息權(quán)益具有憲法價(jià)值[1]，應(yīng)涵蓋在《憲法》第38條規(guī)定的人格尊嚴(yán)之中?！睹穹ǖ洹返?034條規(guī)定：“自然人的個(gè)人信息受法律保護(hù)”，其明確個(gè)人信息屬于一項(xiàng)人格權(quán)益，通過人格權(quán)制度來保護(hù)個(gè)人信息權(quán)益。作為保護(hù)公民個(gè)人信息領(lǐng)域的系統(tǒng)性、綜合性、專門性法之《個(gè)人信息保護(hù)法》第2條規(guī)定：“自然人的個(gè)人信息受法律保護(hù)，任何組織、個(gè)人不得侵害自然人的個(gè)人權(quán)益”①《民法典》與《個(gè)人信息保護(hù)法》關(guān)于個(gè)人信息保護(hù)之間的關(guān)系，詳見參考文獻(xiàn)[1]。，除此以外，《中華人民共和國刑法》《網(wǎng)絡(luò)安全法》《傳染病防治法》《突發(fā)事件應(yīng)對法》等法律法規(guī)及司法解釋皆充分肯定對個(gè)人信息的法律保護(hù)。

2020年新冠肺炎疫情暴發(fā)，基于疫情防控需要進(jìn)行個(gè)人信息收集。但是，部分個(gè)人信息卻在新媒體渠道被廣泛傳播，導(dǎo)致個(gè)人信息泄露，茲舉兩例：2020年7月，重慶市沙坪壩區(qū)西部物流園一冷凍倉庫部分厄瓜多爾進(jìn)口凍南美白蝦外包裝新冠病毒核酸呈陽性，重慶一公司通過其微信公眾號發(fā)布文章《重慶已購進(jìn)口白蝦顧客名單》，將10 979名消費(fèi)者的住址、電話、身份證號等個(gè)人信息公布于眾，被大量轉(zhuǎn)載傳播①詳見重慶法院網(wǎng)https://cqfy.chinacourt.gov.cn/article/detail/2021/09/id/6297873.shtml《重慶日報(bào)：重慶首例消費(fèi)者個(gè)人信息保護(hù)民事公益訴訟案開庭》。；2021年10月有通告稱，有上海游客二人在甘肅嘉峪關(guān)市中醫(yī)院進(jìn)行混檢結(jié)果異常，當(dāng)?shù)赝ㄖ湓氐群?，但二人仍自行離開，后經(jīng)官方回應(yīng)，二人未違反防疫規(guī)定②詳見央視網(wǎng)新聞頻道http://news.cctv.com/2021/10/18/ARTIXTDL1Datpy8mp4Vyi9ri211018.shtml《上海夫妻檢測陽性后“自行離開”？當(dāng)事人否認(rèn)，官方回應(yīng)》。，但在澄清之前二人的生活仍遭受很大的影響。隨著法律體系的不斷完善，個(gè)人信息保護(hù)的深度和廣度亦在不斷拓展，各級政府要堅(jiān)持運(yùn)用法治原則開展疫情防控工作。政府收集和公布個(gè)人信息的界限在何處，如何具體運(yùn)用法治原則處理個(gè)人信息保護(hù)與利用之間的關(guān)系，仍考驗(yàn)我們的治理能力和水平。

三、重大疫情防護(hù)中個(gè)人信息保護(hù)與利用之間的價(jià)值沖突

《個(gè)人信息保護(hù)法》的頒布與實(shí)施構(gòu)筑了全方位的個(gè)人信息保護(hù)網(wǎng)，其以人民群眾的個(gè)人信息權(quán)益為一切問題的出發(fā)點(diǎn)，體現(xiàn)了“我的權(quán)利我做主”，最大限度保護(hù)公民的個(gè)人信息權(quán)益。然而值得注意的是，給予個(gè)人信息全面的法律保護(hù)并非全盤否定對個(gè)人信息的處理,保護(hù)個(gè)人信息權(quán)益、規(guī)范個(gè)人信息處理活動、促進(jìn)個(gè)人信息的合理利用，是《個(gè)人信息保護(hù)法》的三大立法目的③詳見《個(gè)人信息保護(hù)法》第1條。。個(gè)人信息的處理包括收集、使用、存儲、加工、提供、公開、傳輸、刪除等，而設(shè)計(jì)個(gè)人信息處理這一制度的宗旨在于協(xié)調(diào)個(gè)人利益與公共利益之間的關(guān)系，其理論基礎(chǔ)在于權(quán)益限制理論中基于公共利益的權(quán)益限制[2]。在涉及公共利益尤其是在重大疫情防控中，個(gè)人信息的利用與處理能夠追蹤疫情的傳播路徑、預(yù)判疫情形勢、有效阻斷疫情蔓延、維護(hù)公共安全以及為政府相關(guān)部門決策提供依據(jù)。在此背景下，個(gè)人信息權(quán)益的保護(hù)面臨以下挑戰(zhàn)：

（一）“告知—同意”原則的例外

《個(gè)人信息保護(hù)法》始終以“告知—同意”作為處理個(gè)人信息的基本原則貫穿始終[3]，旨在維護(hù)權(quán)益主體意思之自治自決。然而，個(gè)人信息權(quán)牽涉信息權(quán)人、信息使用者和社會公眾三方利益，若僅堅(jiān)守信息權(quán)人的個(gè)人單方利益，不利于實(shí)現(xiàn)信息的有效流通，使得對信息權(quán)人的利益保護(hù)流于形式，更不利于實(shí)現(xiàn)個(gè)人信息的有效利用，甚至?xí)p害社會公眾利益。在重大疫情防控中，從對象上看，新冠肺炎患者具有不確定性，如若堅(jiān)守“告知—同意”作為疫情排查、追蹤以及醫(yī)治的前提，會極大增加疫情聯(lián)防聯(lián)控的成本，徒增信息使用者的負(fù)擔(dān)，無法實(shí)現(xiàn)對個(gè)人權(quán)益真正意義上的保護(hù)，也會危及不特定的社會公眾安全，延緩疫情防控進(jìn)程，甚至成為疫情防控的障礙。因此，《個(gè)人信息保護(hù)法》以非限定性列舉“個(gè)人信息處理的合法事由”的形式在第13條第1款明確規(guī)定了“告知—同意”原則的例外，作為信息處理者“為應(yīng)對突發(fā)公共衛(wèi)生事件”處理個(gè)人信息的一項(xiàng)合法性基礎(chǔ)。

（二）個(gè)人信息權(quán)益與公共衛(wèi)生安全的利益沖突

個(gè)人信息保護(hù)與公共衛(wèi)生安全之間存在天然張力，個(gè)人信息權(quán)益承載著自然人的人格尊嚴(yán)、人身財(cái)產(chǎn)安全及通信自由、通信秘密等諸多利益[4]。然而由于個(gè)人信息所承載的并非絕對的私權(quán)，個(gè)人信息本質(zhì)上具有公眾性，在與其他主體的利益尤其是不特定社會公眾利益相沖突時(shí)，“應(yīng)讓渡自身非核心利益而讓他方的核心利益得以實(shí)現(xiàn)”，尤其是為了公共衛(wèi)生體系建設(shè)及公共衛(wèi)生安全利益，個(gè)人信息權(quán)人應(yīng)當(dāng)讓渡乃至犧牲部分個(gè)人利益。允許披露部分個(gè)人信息，以消弭個(gè)人信息權(quán)益與公共衛(wèi)生安全的利益沖突，如允許信息使用者通過收集個(gè)人的身份信息、行程變動軌跡以及消費(fèi)信息來篩查新冠肺炎疫情確診病例、疑似病例以及密切接觸者，乃至次級密切接觸者病例，通過治療、隔離等措施來實(shí)現(xiàn)公共衛(wèi)生安全，此時(shí)相關(guān)主體使用個(gè)人信息也不以權(quán)益人同意為必要條件。

（三）個(gè)人信息權(quán)益與公眾知情權(quán)的沖突

信息在數(shù)字經(jīng)濟(jì)體系中交流價(jià)值才得以彰顯，同時(shí)個(gè)人信息的合理利用乃是發(fā)展當(dāng)下經(jīng)濟(jì)的重要推力，個(gè)人信息不僅關(guān)乎信息主體的個(gè)人利益，也關(guān)乎不特定主體的利益，社會公眾有權(quán)利知道影響自身生命、健康、財(cái)產(chǎn)等利益的信息。因此在涉及公眾知情權(quán)時(shí)，個(gè)人信息權(quán)益中的隱私保護(hù)也應(yīng)受到部分限制，公開疫情相關(guān)個(gè)人信息是公眾知情權(quán)的應(yīng)有之義。然而公眾知情權(quán)與信息主體的個(gè)人信息權(quán)益之間難免發(fā)生沖突：一方面為了保障公眾知情權(quán)，公開新冠確診病例、疑似病例等個(gè)人信息可能會使得他們遭受社會負(fù)面評價(jià)甚至網(wǎng)絡(luò)暴力；另一方面如若不公布相關(guān)患者的個(gè)人信息，則會損害社會公眾的知情權(quán)，不利于社會公眾采取及時(shí)有效的防護(hù)措施，從而危及社會穩(wěn)定與公共衛(wèi)生體系的建立[5]。

四、在重大疫情防控背景下實(shí)現(xiàn)個(gè)人信息權(quán)益保護(hù)與合理利用之間的平衡

《個(gè)人信息保護(hù)法》的立法目的①詳見《個(gè)人信息保護(hù)法》第1條。、基本原則②《個(gè)人信息保護(hù)法》第2條、第10條確定了保護(hù)個(gè)人信息權(quán)益以及處理個(gè)人信息必須遵循合法原則，第5條確立了處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，第6條確立了處理個(gè)人信息應(yīng)遵循目的限定原則，第7條確立了處理個(gè)人信息應(yīng)當(dāng)遵循公開透明原則，第8條確立了處理個(gè)人信息應(yīng)當(dāng)遵循個(gè)人信息完整原則，第9條確立了處理個(gè)人信息的安全保障原則。、基本制度設(shè)計(jì)無一不體現(xiàn)個(gè)人信息權(quán)益保護(hù)與合理利用之間的平衡。為了最大限度地減少不必要的個(gè)人信息泄露，需要更完善、更細(xì)化的法律法規(guī)的約束：應(yīng)明確在疫情防控背景下個(gè)人信息保護(hù)與利用應(yīng)堅(jiān)持的基本原則位序；盡快制定關(guān)于重大疫情防控中的個(gè)人信息公開標(biāo)準(zhǔn)，通過建立統(tǒng)一的信息公開標(biāo)準(zhǔn)，使個(gè)人信息的使用更為規(guī)范；應(yīng)在具體標(biāo)準(zhǔn)中明確什么信息必須公布、什么信息不應(yīng)當(dāng)或盡可能避免公布，既保障公眾的知情權(quán)，又最大限度地降低相關(guān)人員的隱私泄露風(fēng)險(xiǎn)。統(tǒng)一的規(guī)范標(biāo)準(zhǔn)和原則既有利于防疫工作的有序開展，又能切實(shí)提高防疫工作的實(shí)效。此外，除了完善關(guān)于疫情中個(gè)人信息使用的法律法規(guī)外，也應(yīng)嚴(yán)厲打擊泄露個(gè)人信息的行為，加大對違法竊取個(gè)人信息行為的打擊力度，全面保護(hù)公民的個(gè)人隱私。

（一）明確重大疫情防控背景下個(gè)人信息權(quán)益處理與保護(hù)之間的基本原則位序

《個(gè)人信息保護(hù)法》第5條確立了處理個(gè)人信息應(yīng)遵循合法、正當(dāng)、必要和誠信原則。在“告知—同意”原則的基礎(chǔ)上，處理個(gè)人信息必須符合法律規(guī)定的情形③參見《個(gè)人信息保護(hù)法》第13條。。然而，在重大疫情防控背景下，個(gè)人信息權(quán)益保護(hù)與處理產(chǎn)生沖突時(shí)應(yīng)優(yōu)先適用何種原則尚無明確規(guī)定，值得注意的是，合法性原則是協(xié)調(diào)二者沖突的首要要義。首先，在重大疫情防控背景下，處理個(gè)人一般信息必須符合法律的相關(guān)規(guī)定，如“為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”方可處理，在處理敏感個(gè)人信息時(shí)，應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意，國家機(jī)關(guān)在處理個(gè)人信息時(shí)，應(yīng)當(dāng)按照法定的權(quán)限和程序，還要履行告知義務(wù)等。其次，在重大疫情防控中處理個(gè)人信息時(shí)應(yīng)堅(jiān)持目的手段正當(dāng)，采取對個(gè)人權(quán)益影響最小的方式處理。再次，提倡公開透明處理個(gè)人信息，充分尊重個(gè)人信息自我決定權(quán)。之所以如此嚴(yán)格地規(guī)定處理個(gè)人信息應(yīng)遵循的原則，恰是因?yàn)樵趪?yán)格保護(hù)的基石上方能促進(jìn)個(gè)人信息健康長久地利用[6]。通過明確重大疫情防控背景下個(gè)人信息權(quán)益處理與保護(hù)之間基本原則的位序，以便于在法律無明確規(guī)定的情形下確定處理個(gè)人信息權(quán)益應(yīng)遵循的基本準(zhǔn)則。

（二）制定重大疫情防控中的個(gè)人信息公開標(biāo)準(zhǔn)

在重大疫情防控中，基于聯(lián)防聯(lián)控的需要，會收集新冠肺炎確診患者、密切接觸者乃至次密切接觸者的個(gè)人信息。為實(shí)現(xiàn)個(gè)人信息保護(hù)與利用之間的平衡，應(yīng)當(dāng)明確什么樣的信息公開標(biāo)準(zhǔn)可以緩和個(gè)人信息權(quán)益保護(hù)與利用之間的沖突。此時(shí)可將此時(shí)收集到的個(gè)人信息進(jìn)行匿名化處理，通過相應(yīng)的技術(shù)手段處理的個(gè)人信息無法識別特定的個(gè)人，實(shí)現(xiàn)對個(gè)人信息的有效保護(hù)。而在匿名化處理過程中應(yīng)達(dá)到什么樣的統(tǒng)一標(biāo)準(zhǔn)，有學(xué)者提出借鑒香港地區(qū)政府衛(wèi)生署的做法[7]，公布確診或疑似病歷的類別、報(bào)告日期、發(fā)病日期、性別、年齡、入住醫(yī)院、個(gè)案分類等情形，以實(shí)現(xiàn)公眾知情權(quán)、公共健康與個(gè)人信息保護(hù)的有效平衡。具體而言，第一，限制個(gè)人信息公開的范圍，建立對特定個(gè)人信息公開的制度。如在新冠等重大疫情防控中，為了建立聯(lián)防聯(lián)控機(jī)制，可公布確診病例的某段行程軌跡作為一般性的公開內(nèi)容，以便于排查。如果能通過行程碼、支付信息等獲取到可能接觸病歷的人員信息，可以直接與其個(gè)人聯(lián)系，從而降低不必要的信息公開所產(chǎn)生的潛在風(fēng)險(xiǎn)。第二，對個(gè)人信息進(jìn)行去標(biāo)識化處理，綜合考慮個(gè)人信息的類別、敏感化程度、可識別程度等進(jìn)行風(fēng)險(xiǎn)評估[8]，越是容易識別到的具體的個(gè)人的信息，越要采用嚴(yán)格的去標(biāo)識化處理。2021年4月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《〈信息安全技術(shù) 個(gè)人信息去標(biāo)識化效果分級評估規(guī)范〉征求意見稿》①詳見全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會網(wǎng)頁https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20210412183118392628&norm_id=202011042000 26&recode_id=41659《關(guān)于國家標(biāo)準(zhǔn)〈信息安全技術(shù) 個(gè)人信息去標(biāo)識化效果分級評估規(guī)范〉征求意見稿征求意見的通知》。，基于重標(biāo)識風(fēng)險(xiǎn)從高到低，個(gè)人信息標(biāo)識度分級劃分為4級，級別越高，重標(biāo)識風(fēng)險(xiǎn)越低，即1級數(shù)據(jù)的重標(biāo)識風(fēng)險(xiǎn)最高，相反4級數(shù)據(jù)的重標(biāo)識風(fēng)險(xiǎn)最低?？梢园凑諊覙?biāo)準(zhǔn)來區(qū)分個(gè)人信息的去標(biāo)識化效果，平衡個(gè)人信息保護(hù)與利用之間也更具有可操作性。若個(gè)人信息用于科研或其他公務(wù)使用，可適用較為寬泛地去標(biāo)識化要求，但須符合國家機(jī)關(guān)處理個(gè)人信息的特別性規(guī)定，不得超出法定的職權(quán)范圍和限度。第三，采用選擇性公開個(gè)人信息的方式，通過對不同利益相關(guān)者采取不同的公開方式來實(shí)現(xiàn)保護(hù)與利用之間的平衡。如可在需密切觀察者的門外設(shè)置一定的告示（公布隔離期、解除隔離期等），以保障同住一棟樓的居民的知情權(quán)，同時(shí)避免個(gè)人信息被廣而告之，增加泄露的風(fēng)險(xiǎn)；而對其他相距較遠(yuǎn)的普通民眾僅公示去標(biāo)識化的一般信息。

（三）構(gòu)建重大疫情防控背景下個(gè)人信息保護(hù)與利用的風(fēng)險(xiǎn)管理機(jī)制

在信息社會構(gòu)建風(fēng)險(xiǎn)管理機(jī)制，有利于通過風(fēng)險(xiǎn)預(yù)測、交流、評估、控制等一系列措施科學(xué)管控風(fēng)險(xiǎn)，以實(shí)現(xiàn)個(gè)人信息利用與保護(hù)之間的平衡[9]。第一，對個(gè)人信息進(jìn)行分級分類處理?！秱€(gè)人信息保護(hù)法》根據(jù)信息客體的不同將個(gè)人信息分為一般信息和敏感信息，敏感個(gè)人信息的處理須經(jīng)過個(gè)人的單獨(dú)同意，處理信息者須單獨(dú)履行告知義務(wù)，同時(shí)將不滿十四周歲未成年的個(gè)人信息歸為敏感個(gè)人信息。而處理一般個(gè)人信息除法律規(guī)定的特殊情形外，以“告知—同意”為基本原則。第二，建立風(fēng)險(xiǎn)評估與審計(jì)等制度，確立信息處理者的義務(wù)。區(qū)分個(gè)人信息處理的義務(wù)主體，提供重要網(wǎng)絡(luò)服務(wù)、服務(wù)對象數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的平臺界定為重要平臺企業(yè)，擔(dān)負(fù)比一般平臺更為重要的責(zé)任，成為處理個(gè)人信息行為的“守門人”，通過建立事前—事中—事后規(guī)范的信息處理規(guī)范機(jī)制，尤其是完善事后風(fēng)險(xiǎn)管理機(jī)制，加強(qiáng)對個(gè)人信息利用的監(jiān)督，如確立國家機(jī)關(guān)—社會團(tuán)體—個(gè)人自治組織等多位一體的監(jiān)督機(jī)構(gòu)，完善重大疫情防控中的信息交流機(jī)制，拓寬社會參與自治、監(jiān)督的渠道與路徑。第三，完善個(gè)人信息泄露或被濫用后的行政、司法救濟(jì)路徑。如新冠肺炎疫情患者因信息泄露導(dǎo)致就業(yè)歧視、個(gè)人謾罵等，可以要求消除對其不利影響，賠禮道歉并進(jìn)行一定的經(jīng)濟(jì)賠償。此外，隨著疫情形勢逐漸得到控制，可引入“被遺忘權(quán)”制度，前期收集到的可識別的個(gè)人信息應(yīng)當(dāng)依法定的程序與原則統(tǒng)一進(jìn)行刪除或銷毀，以避免被不當(dāng)利用，而因醫(yī)療需要收集的個(gè)人相關(guān)信息須明確存儲主體并加以嚴(yán)格保護(hù)，履行嚴(yán)格的使用流程，以避免權(quán)利被濫用的可能性。

重大疫情防控中，公眾能夠明顯感受到個(gè)人信息采集的常態(tài)化，隨處可見的健康碼、行程碼、信息登記等。公眾在配合做好疫情相關(guān)信息登記的同時(shí)也提出加強(qiáng)個(gè)人信息權(quán)益保護(hù)的主張。如何實(shí)現(xiàn)在個(gè)人信息權(quán)益保護(hù)與合理利用之間的平衡，首先，應(yīng)明確處理二者關(guān)系基本原則的位序，以合法性原則為基石，遵循正當(dāng)、必要、公開透明的原則依次調(diào)和保護(hù)與利用二者之間的沖突。其次，應(yīng)明確個(gè)人信息公開的標(biāo)準(zhǔn)與界限，建立對特定人信息公開制度，對個(gè)人信息進(jìn)行去標(biāo)識化處理，選擇性公開個(gè)人信息。再次，應(yīng)建立個(gè)人信息保護(hù)與利用的風(fēng)險(xiǎn)管理機(jī)制，對個(gè)人信息進(jìn)行分級分類處理，建立風(fēng)險(xiǎn)評估與審計(jì)制度，完善權(quán)利被濫用的救濟(jì)路徑。構(gòu)建疫情防控中個(gè)人信息保護(hù)與利用的合理平衡機(jī)制，確保正常開展重大疫情防工作的同時(shí)充分保護(hù)信息權(quán)益人的合法權(quán)益，真正實(shí)現(xiàn)堅(jiān)持依法防控，在法治軌道上統(tǒng)籌推進(jìn)各項(xiàng)防控工作，保障疫情防控工作順利開展，促進(jìn)信息社會的健康發(fā)展。