蔡璐祎

（鄭州大學，鄭州 455001）

2020年4月28日，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布第45次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》顯示，截至2020年3月，我國網(wǎng)民規(guī)模為9.04億，互聯(lián)網(wǎng)普及率達64.5%[1]?；ヂ?lián)網(wǎng)的快速發(fā)展，一方面為居民的生活提供了便利，拉動了經(jīng)濟增長，促生了許多新興事物，對社會的發(fā)展有明顯的促進作用；另一方面，網(wǎng)絡(luò)的快速發(fā)展，也使我們的個人信息面臨著被濫用、泄露等的安全風險。

2020年初，新冠肺炎疫情暴發(fā)之后，中央網(wǎng)絡(luò)安全和信息化委員會辦公室發(fā)布了《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，允許相關(guān)部門利用大數(shù)據(jù)，為疫情防控、疾病防治收集個人信息。在疫情防控中及時、正確地運用個人信息，極大地提高了疫情防控的工作效率。然而，在某些領(lǐng)域不規(guī)范使用個人信息的事件也頻繁發(fā)生，影響了有關(guān)公民的正常生活，侵犯了其合法權(quán)益。因此，探討在突發(fā)事件中，如何既能正確利用個人信息的同時又能充分地保護個人信息，平衡二者之間的關(guān)系，具有深遠的現(xiàn)實意義。

一、個人信息保護在突發(fā)事件中面臨的挑戰(zhàn)

雖然個人信息的收集在突發(fā)事件的處理中起到了不可估量的作用，但個人信息無論是在立法保護上、理論層面上還是在實踐的過程中，都還面臨著一些問題與挑戰(zhàn)。

（一）個人信息保護的范圍不夠明確

雖然《網(wǎng)絡(luò)安全法》對個人信息進行了定義，列舉了其屬范疇包括但不局限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。但是在大數(shù)據(jù)背景之下，個人信息經(jīng)常與其他一些相似的概念混淆不清。

一是個人信息與個人隱私。有學者認為二者是交叉的關(guān)系。也就是說，有的個人信息特別是涉及個人私生活的敏感信息屬于個人隱私，但也有一些個人信息因高度公開而不屬于隱私[2]。例如，個人不愿意公開的家庭住址、銀行賬戶等信息因與生活的私密性聯(lián)系密切而成為個人隱私的一部分。另外，在特定的信息關(guān)系中，會出現(xiàn)諸如被遺忘權(quán)和可攜帶權(quán)等新型權(quán)利。如果仍以傳統(tǒng)的隱私權(quán)的保護模式來保護個人信息，只會放縱一些侵犯個人信息的行為，不能滿足現(xiàn)實的保護需要。目前學界主流觀點是將個人信息和隱私予以區(qū)別[3]。

二是個人信息與個人數(shù)據(jù)。二者的區(qū)別，核心在于數(shù)據(jù)與信息的異同[4]。對于二者之間的關(guān)系主要有以下幾種觀點。有學者認為，信息的外延大于數(shù)據(jù)，數(shù)據(jù)只是信息的一種表達方式[5]。有學者認為，個人信息往往通過一定的數(shù)據(jù)與資料來記錄和反映，數(shù)據(jù)與資料所涉的對象從根本上講就是主體的信息內(nèi)涵，數(shù)據(jù)與資料是信息的載體，是具體化、形式化了的信息；而信息是數(shù)據(jù)和資料所要反映的內(nèi)容[6]。也有學者認為數(shù)據(jù)主要適用技術(shù)領(lǐng)域，在法律領(lǐng)域較少適用?？傮w而言，大多數(shù)學者都認為個人數(shù)據(jù)和個人信息只是形式和內(nèi)容的關(guān)系，在本質(zhì)上并無多大區(qū)別。由于互聯(lián)網(wǎng)的快速發(fā)展，致使個人信息不斷進入網(wǎng)絡(luò)領(lǐng)域，通過數(shù)據(jù)這種形式表現(xiàn)出來，對二者也越來越難以區(qū)分，這導致一些組織或個人過度使用個人信息，損害公民的合法權(quán)益。因此，厘清個人信息的保護范圍及其與相關(guān)法律概念的區(qū)別是至關(guān)重要的。

（二）法律規(guī)范保護體系不夠健全

一般而言，個人信息是指與識別或可識別的自然人相關(guān)的所有信息，包括但不限于自然人之姓名、出生年月、證件號碼、指紋、婚姻、家庭、教育、職業(yè)、醫(yī)療、基因、健康檢查、犯罪前科、聯(lián)絡(luò)方式、財務(wù)情況、社會活動、上網(wǎng)記錄、地理位置等信息[7]。個人信息關(guān)系著公民生活的方方面面，如果沒有健全的立法保護體系，個人信息被非法使用的情形會越來越多，公民的合法權(quán)益得不到有效的保障。

目前，我國對個人信息的立法保護存在一些漏洞。一方面，從整體上看，目前沒有頒布“個人信息保護法”這樣一部詳細的法律，對個人信息的相關(guān)規(guī)定大多散見于各個部門法之中，并且都是一些兜底性的條款，缺乏具體的法律規(guī)定。另一方面，從內(nèi)容上看，對個人信息的規(guī)定更傾向于控制與利用，而非保護。其規(guī)定的特點主要表現(xiàn)在以下幾個方面：一是個人有權(quán)要求制止侵害其個人信息合法權(quán)益的行為；二是收集、使用個人信息的目的、方式和范圍應(yīng)當公開并獲得信息所有者的同意；三是個人信息安全由信息收集者和處理者負責；四是信息收集者不得泄露、篡改、毀損他人信息，不得非法與他人交易,嚴格保密已經(jīng)收集到的個人信息[8]。

在突發(fā)事件中，個人信息發(fā)揮了舉足輕重的作用。及時地收集個人信息有助于追蹤、預測事態(tài)的發(fā)展方向，并且信息公開不僅可以增強政府公信力，穩(wěn)定民眾情緒，還可以運用社會監(jiān)督力量提高政府執(zhí)政能力[9]。但是，在突發(fā)事件中，經(jīng)常會出現(xiàn)過度利用、濫用等侵犯公民合法權(quán)益的情形?？偟膩碚f，法律規(guī)范的缺位，可能會導致突發(fā)事件中應(yīng)對個人信息利用的兩種極端情況并存：一方面，盡管學理上能夠為應(yīng)急狀態(tài)下政府出于公益目的對個人信息權(quán)益進行必要限制提供正當性支撐，但由于沒有法律法規(guī)明確授權(quán)，導致很多地方政府不愿用、不敢用、不善用；另一方面，由于沒有明確的價值衡量標準和權(quán)力制衡機制，有些地方政府對個人信息又過度使用、不當使用[10]。因此，完善個人信息的立法保護體系，構(gòu)建一個明確、具體的個人信息法律保護框架，既是理論上也是現(xiàn)實上的迫切需要。

（三）個人信息被不當使用

個人信息具有雙重屬性：個體屬性與公共流通屬性[11]。正是由于個人信息的公共流通性，當個人信息與公共利益聯(lián)系在一起的時候，允許對公民的個人信息進行公開。然而在征集使用過程中，尤其是在突發(fā)事件中，嚴重暴露了當前我們對個人信息的保護力度和應(yīng)對能力的不足。

就2020年初暴發(fā)的疫情來說，為了公共衛(wèi)生利益，個體并沒有拒絕信息采集的權(quán)利，相反一切單位和個人在公共衛(wèi)生事件中都有接受調(diào)查，如實提供相關(guān)信息的義務(wù)[12]。個人信息在對追蹤嚴密切接觸者、預測疫情發(fā)展勢態(tài)、人員流動、社區(qū)的管理等方面發(fā)揮了不可替代的作用。但是在收集和使用個人信息的過程中，也出現(xiàn)了一些過度使用個人信息的情況。例如對于疫情的對外披露工作，僅公開返鄉(xiāng)人員流動統(tǒng)計數(shù)據(jù)，確診患者僅公開性別、確診日期、發(fā)病癥狀等非個人信息，即可滿足社會一般公眾對疫情狀況的知情權(quán)，公布其他的如姓名、年齡、身份證號碼、電話號碼、家庭住址等都可造成公民個人信息的嚴重泄漏[13]。另外，部分新聞媒體在未經(jīng)當事人同意的情況下對武漢人員信息進行直接披露，這也對個人信息權(quán)益造成了嚴重損害[14]。因此，在突發(fā)事件中，既能做到嚴密地保護個人信息，又能合理地使用個人信息是一項艱巨的實踐任務(wù)。

二、正確處理突發(fā)事件中個人信息的保護與利用之間的關(guān)系

在突發(fā)事件中，個人信息能夠發(fā)揮最大的價值，實現(xiàn)社會的公益目的，這是由其社會屬性決定的，但個人信息的個體屬性要求不應(yīng)完全忽視公民的個人利益。

（一）公民個人信息的保護途徑

首先，完善個人信息立法保護體系。我國有關(guān)個人信息的法律規(guī)范比較籠統(tǒng)、分散，在實踐中得不到有效的實施，所以建立系統(tǒng)的法律保護體系是實踐困境所需。目前，我國《刑法》將侵犯個人信息的犯罪主體限于國家機關(guān)或者有關(guān)單位的工作人員，這種做法不利于從根本上打擊犯罪行為。在實踐中，一般主體也可能發(fā)生嚴重侵犯公民非個人信息的行為，因此可以將一般主體納入其中，對實施犯罪行為的主體進行定罪量刑。在現(xiàn)有的民法法律框架內(nèi)，有學者建議改變舉證規(guī)則，建議采取過錯推定責任，由侵權(quán)人證明自己沒有過錯，如果證明不了的，則推定其有過錯，從而減輕被侵權(quán)人的舉證責任[15]。也可以借鑒國外做法，建立專門的個人信息監(jiān)督機構(gòu)，促使個人信息的保護更加專業(yè)化、精細化。

在突發(fā)事件中，除了上述的法律之外，在《突發(fā)事件應(yīng)對法》《傳染病防治法》等相關(guān)法律中，也應(yīng)該明確細化有關(guān)內(nèi)容。在公法保護上，嚴格確定有關(guān)組織、個人應(yīng)當承擔的個人信息保護義務(wù)，嚴格管控收集、分析、調(diào)查、使用個人信息的行為。如果違反法律規(guī)定收集、使用個人信息的，應(yīng)當承擔相應(yīng)的刑事和行政責任，以發(fā)揮公法的預防震懾功能；在私法保護上，當信息收集、使用者違反法定義務(wù)侵犯公民個人信息時，信息主體有權(quán)請求行為人承擔停止侵害、排除妨礙、恢復名譽、賠償損失等民事責任[16]。

其次，明確個人信息的范圍，建立區(qū)別于隱私權(quán)的保護模式。我國《憲法》中沒有明確規(guī)定隱私權(quán)，不能對個人信息直接采取隱私權(quán)保護模式。個人信息與隱私權(quán)的含義完全不同。個人信息的范圍遠遠大于個人隱私，不是所有的個人信息均可采用隱私權(quán)的保護模式。2012年11月頒布的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》中規(guī)定將個人信息區(qū)分為一般信息與敏感信息。敏感信息與個人的私生活聯(lián)系更為緊密，對于此類信息可以歸于隱私權(quán)的范疇，采用隱私權(quán)的保護模式。

最后，提高公民個人安全保護意識。在日常生活中，公民個人要主動學習一些安全知識，加強個人信息的保護。要認真查看有關(guān)平臺是否合法，盡可能避免填寫自己的重要信息，防止信息泄露。另外，我們也應(yīng)當學會維護自己的合法權(quán)益，當個人信息遭受侵害時，要勇于拿起法律的武器。

（二）利用公民的個人信息必須遵循的原則

當社會對個人信息的收集與使用變成常態(tài)，這使得個人信息獲得了更豐富的社會經(jīng)濟價值[17]。尤其是在大數(shù)據(jù)時代，個人信息被傳遞的途徑越來越多樣化，許多商戶為了獲取更大的收益，對個人信息進行了最大限度的商業(yè)化利用，導致個人信息受到了不必要的侵害。所以在使用個人信息的過程中特別是在突發(fā)事件中使用個人信息時，應(yīng)當遵循以下原則：

合法性原則。具體而言，該原則包括三項內(nèi)容，一是主體法定，即收集、使用個人信息的主體必須是符合法律規(guī)定的適格主體，如疾病預防控制機構(gòu)、醫(yī)療機構(gòu)、衛(wèi)生行政主管部門、網(wǎng)信部門等。二是權(quán)限和內(nèi)容法定。法律、法規(guī)授權(quán)的主體在使用個人信息時，應(yīng)當嚴格遵守法律的規(guī)定，不得超出法定權(quán)限的范圍。三是依法追責。對于非法使用個人信息的行為，信息使用者應(yīng)當依法承擔法律責任[18]。

安全保護原則。大數(shù)據(jù)時代背景下，個人信息的使用者和收集者越來越多樣化，許多企業(yè)、平臺、個人都可能成為個人信息的使用者和保管者，所以有關(guān)組織或個人應(yīng)當加強安全保護意識，不得非法泄露、使用、買賣個人信息。在突發(fā)事件中，基于公共利益的維護，可以對個人信息進行采集和使用，但也應(yīng)當履行妥善保管的義務(wù)。就此次突發(fā)的疫情，在個人信息采集過程中，如果各地疾病防控機構(gòu)、街道辦等以紙質(zhì)填表方式開展調(diào)查，需要嚴格要求紙質(zhì)材料不被拍照、復印，進行統(tǒng)一回收，妥善保管；如果以電子方式記錄或匯總相關(guān)信息，需要保存在特定的終端并將數(shù)據(jù)和備份數(shù)據(jù)加密存儲[19]。

比例原則。比例原則包括三個子原則，即合目的性、適當性和損害最小原則。具體而言，一是使用個人信息要符合法律目的，使用主體、使用程序都應(yīng)當遵守法律的規(guī)定，不得違背法律的要求。二是只有在所使用的個人信息有助于實現(xiàn)目的時，才能使用，不得隨意或非法使用個人信息。三是不論是個人還是組織，使用公民的個人信息都應(yīng)當遵守最小比例原則，把適用范圍控制在目的的必要范圍之內(nèi)。在能夠?qū)崿F(xiàn)目的的所有手段中，要選擇對公民損害最小的方式，只有這樣才能防止濫用個人信息的情況發(fā)生，有效保護公民的個人信息。

（三）平衡公民個人信息與公共利益之關(guān)系

一方面，在突發(fā)事件中，應(yīng)當堅持個人信息利用優(yōu)先的原則。在利益發(fā)生沖突時，應(yīng)當以高位階利益為主。國家利益、社會公共利益高于個人利益這早已經(jīng)形成共識。在突發(fā)事件中，往往是大多數(shù)人的生命、財產(chǎn)遭受到威脅，在此情況下，政府為了維護不特定、多數(shù)人的生命、財產(chǎn)安全，有必要使用公民的個人信息來克服公共危機。在2020年疫情中，有關(guān)機構(gòu)收集有關(guān)患者的住址、行蹤等信息，并及時向社會公開，以此排查與其密切接觸者，實現(xiàn)防控的目的。對于這些患者及有關(guān)人員來說，生命、健康安全比其他任何一切都面臨著迫切的危險，公布他們的個人信息，有利于分析、預測事態(tài)發(fā)展的情況，并對一定范圍的公民予以警惕，緩解疫情的緊張態(tài)勢。

另一方面，在突發(fā)事件中，應(yīng)當同樣重視保護公民的個人利益。生命權(quán)、健康權(quán)是人類一項重要的基本權(quán)利，公民的生命、健康權(quán)應(yīng)當受到尊重和保護。在突發(fā)事件中，考慮到不特定多數(shù)人的生命健康安全，會拓寬收集和使用個人信息的渠道，以達到社會公益的目的。但是這并不意味著完全不考慮公民的個人利益，要嚴格個人信息保護標準，按照法定程序來使用個人信息。

具體而言，一是建立特定相對人信息公開制度，適當限制個人信息公開的范圍[20]。每個人對有關(guān)信息的緊密程度是不同的，所產(chǎn)生的影響也不同，所以對有關(guān)疫情的信息可以選擇性向有關(guān)人員傳遞。二是規(guī)范個人信息收集的行為。在收集信息的時候，要明確規(guī)定哪些信息可以收集，哪些信息不能收集，由誰來公開個人信息，收集信息主體的具體權(quán)限。三是重視信息被使用后的后續(xù)保護。突發(fā)事件中所收集的個人信息用于預測、分析、監(jiān)督、控制情況，具有特殊的功能。如果這些信息被他人非法使用，后果將不堪設(shè)想。所以，即便是突發(fā)事件已經(jīng)結(jié)束，也有必要采取嚴格的措施保護公民的個人信息。例如，信息收集主體應(yīng)明確自身責任，有義務(wù)對信息進行封存，一旦泄露，則將受到嚴懲；也可以利用技術(shù)手段建立個人信息保護治理平臺，全方位監(jiān)測信息泄露情況，運用人工智能、大數(shù)據(jù)分析等措施加強個人信息傳輸、利用的監(jiān)管，注意加強對重點領(lǐng)域與平臺的個人信息利用檢查，尤其是大量信息存儲的系統(tǒng)要定期進行安全維護與測評，進行及時的修補整改[21]。由此可以看出繼續(xù)加大對個人信息的使用、公開的后續(xù)管控措施是保護公民個人信息的重要一環(huán)。

三、小結(jié)

在突發(fā)事件中，為了維護社會公共利益，有關(guān)機構(gòu)和個人收集、使用了許多公民的個人信息。但基于利益衡量，對公民的個人信息保護有所限縮。可見，突發(fā)事件中如何正確處理個人信息保護與利用，平衡二者的利益關(guān)系是一直存在的問題。事實上，解決這些問題歸根到底還是要立足于當前的法律規(guī)范保護體系，結(jié)合現(xiàn)實的發(fā)展需要，在現(xiàn)有的法律框架之內(nèi)進行完善。最重要的任務(wù)之一就是制定系統(tǒng)的“個人信息保護法”，同時也可以借鑒國外的一些經(jīng)驗，比如設(shè)置專門的個人信息監(jiān)督機構(gòu)，鼓勵各行各業(yè)針對自身特點來指引規(guī)范，促進經(jīng)濟和個人信息保護的和諧發(fā)展。值得注意的是，在突發(fā)事件中使用個人信息時，要遵循比例原則和安全保護原則，不能過度使用個人信息，找到個人信息的法律保護與利用二者之間的平衡點。