宋丁博男

1 問題的提出

自疫情爆發(fā)以來，我國借助數(shù)字技術對個人信息的處理有效推動了聯(lián)防聯(lián)控、群防群治的實現(xiàn)。例如，利用云計算、大數(shù)據(jù)分析技術開發(fā)了“疫情數(shù)據(jù)實時更新系統(tǒng)”“確診患者交通工具同乘查詢系統(tǒng)”“健康狀況申報系統(tǒng)”，以及“健康碼”等APP工具，而且還通過建立疫情防控專題數(shù)據(jù)庫，加強疫情防控數(shù)據(jù)的匯聚和共享應用。然而在此過程中，大量個人信息被收集。這其中既包括公共部門為履行法定職能或執(zhí)行應急方案依職權(quán)的收集，也包括私營部門根據(jù)法律法規(guī)、行政命令或出于自我防護需要收集個人信息，并匯聚至政府大數(shù)據(jù)分析平臺，輔助政府部門應急決策。

從個人信息保護的角度來說，“不論是公共部門還是私營部門，只要掌握大量的個人信息，均存在濫用或侵犯個人權(quán)利的可能”（周漢華，2006[1]）。實踐中，由于大數(shù)據(jù)的風靡和云計算部署的不成熟，加之我國個人信息保護制度與公共衛(wèi)生法治體系的不健全，導致疫情防控時期出現(xiàn)了大量個人信息泄露、濫用等情形。例如，云南文山州5名醫(yī)務人員利用工作便利，私自偷拍、散布疫情防控信息，造成惡劣影響；青島膠州6000多名涉疫人員名單信息被泄露，嚴重侵害公民的生活安寧和信息安全。

在突發(fā)公共衛(wèi)生事件發(fā)生時，基于聯(lián)防聯(lián)控的目的，相關權(quán)力主體可以突破個人信息的常規(guī)保護范圍對其加以處理，但這種處理應當受到一定限制。習近平總書記在中央全面依法治國委員會第三次會議上強調(diào)，要“堅持依法防控，在法治軌道上統(tǒng)籌推進各項防控工作”。國家衛(wèi)健委、交通運輸部、中央網(wǎng)信辦、工信部也先后發(fā)文，強調(diào)疫情期間個人信息的合理依法使用。然而研究發(fā)現(xiàn)，盡管國內(nèi)外針對個人信息法律保護的研究成果頗豐，但對于重大傳染病疫情等突發(fā)公共衛(wèi)生事件中個人信息保護的探討較少，法律層面的建議也多從某一特定角度展開。例如，國外部分學者針對COVID-19疫情引發(fā)的信息管理實踐困境進行了梳理與剖析（Barnes，2020[2]；Beaunoyer，2020[3]）；同時，還有學者基于平衡公共安全與個人信息自由的目的，從限制收集信息、禁止虛假信息、杜絕信息流壟斷三個角度提出對策建議（Richter，2021[4]）。國內(nèi)部分學者基于利益衡量的理念，對非法收集和使用涉疫個人信息的行為進行了司法層面的認定（高志宏，2022[5]；唐林垚，2021[6]；張勇，2020[7]）；同時，部分學者基于個人信息權(quán)益的限制與保障，提出了公共衛(wèi)生事件中個人信息的利用規(guī)則（許中緣和何舒岑，2022[8]；周璽萱和徐亞文，2020[9]），以及相關政策的完善方案（趙宏，2020[10]；金松和張立彬，2020[11]），但是總體來看仍缺少對突發(fā)公共衛(wèi)生事件中個人信息核心理論及具體處理規(guī)則的分析。

對此，本文全面剖析了突發(fā)公共衛(wèi)生事件中個人信息處理工作面臨的現(xiàn)實困境，并基于個人信息公共利益屬性的凸顯，結(jié)合域外先進立法經(jīng)驗，從個人信息保護和數(shù)據(jù)利用規(guī)制兩個面向，探索突發(fā)公共衛(wèi)生事件中個人信息處理的規(guī)范化路徑。

2 突發(fā)公共衛(wèi)生事件中個人信息處理的現(xiàn)實困境

《個人信息保護法》將個人信息定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”，同時結(jié)合《民法典》《網(wǎng)絡安全法》等規(guī)定，“可識別性”是個人信息的重要特征，同時也是某種信息能否聚焦特定自然人的“相對可能性（relevant possibility）”（Elvy，2017[12]）。鑒于不同類型信息的性質(zhì)及重要性存在差異，同時結(jié)合突發(fā)公共衛(wèi)生事件的緊迫性、隱蔽性和群體性特征，確診者、疑似者及密切接觸者等人群的個人信息一旦泄露或傳播，很有可能會招致惡意騷擾、恐嚇、威脅、誹謗等行為，使信息被泄露人員的身心健康受損或遭受歧視性待遇，而且還有可能會影響個人信息的正常收集，給聯(lián)防聯(lián)控工作帶來困難。因此，該類信息具有一定的“敏感性”特征，應當給予更高程度的保護。結(jié)合《個人信息保護法》第28條和《信息安全技術個人信息安全規(guī)范》（以下簡稱為《個人信息安全規(guī)范》）3.2的規(guī)定，突發(fā)公共衛(wèi)生事件中的敏感個人信息主要包括身份證件號碼、生物識別信息、通信記錄和內(nèi)容、行蹤軌跡、住宿信息、交易信息、健康生理信息，以及不滿十四周歲未成年人（即兒童）信息等內(nèi)容。

2.1 個人信息處理規(guī)則的分散立法困境

總的來看，我國目前已基本建立起突發(fā)公共衛(wèi)生事件中個人信息處理規(guī)則框架，通過一系列法律文件（見表1），從信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等角度，分別對政府部門、企事業(yè)組織及公民個人在突發(fā)公共衛(wèi)生事件中的責任義務進行了規(guī)定，同時也為個人信息的合理合法處理提供了基本準則。其中，《民法典》和《個人信息保護法》的出臺更是為行政法和刑法對個人信息的處理提供了“民事權(quán)益上的正當性基礎與民事基本法的依據(jù)”（程嘯，2019[13]）。

表1 我國有關突發(fā)公共衛(wèi)生事件中個人信息處理的主要規(guī)定

續(xù)表

但是，我國個人信息法律保護的制度構(gòu)建仍處于初步階段，立法層面尚未明確“個人信息權(quán)”的正式法律地位，因而很難避免“因個人信息的動態(tài)性所導致的人格利益危險”（齊愛民和張哲，2019[14]）。此外，有關突發(fā)公共衛(wèi)生事件中公民個人信息處理的法律規(guī)范較為分散。例如，《傳染病防治法》《突發(fā)事件應對法》和《突發(fā)公共衛(wèi)生事件應急條例》更多是針對信息收集、報告、發(fā)布主體的宏觀規(guī)定，缺少信息使用、公開、刪除等數(shù)據(jù)生命周期全流程的具體操作規(guī)范；《網(wǎng)絡安全法》《兒童個人信息網(wǎng)絡保護規(guī)定》主要是規(guī)范網(wǎng)絡運營者的行為，規(guī)制對象有限，難以輻射突發(fā)公共衛(wèi)生事件中多個主體的個人信息處理行為；《個人信息安全規(guī)范》雖然具有較強操作性和實踐性，但法律位階較低，不具備法律強制力，無法成為行政機關作出行政處罰、法院作出判決的直接依據(jù)，導致實踐中的個人信息處理工作仍面臨諸多困境。

2.2 個人信息處理者的身份認定困境

突發(fā)公共衛(wèi)生事件中個人信息的處理主要是由國務院衛(wèi)生健康部門依據(jù)《傳染病防治法》《突發(fā)事件應對法》《突發(fā)公共衛(wèi)生事件應急條例》等規(guī)定授權(quán)的機構(gòu)進行。例如，衛(wèi)生行政主管部門和其他有關部門、醫(yī)療衛(wèi)生機構(gòu)、街道、鄉(xiāng)鎮(zhèn)以及居民委員會、村民委員會等。由此可見，突發(fā)公共衛(wèi)生事件中有權(quán)收集、使用個人信息的基本都是衛(wèi)生行政部門及其他授權(quán)或委托機構(gòu)。然而實際情況是，突發(fā)公共衛(wèi)生事件中公民個人信息的收集數(shù)量龐大，而且往往收集時限較短，使得個人信息處理者從政府部門、醫(yī)療機構(gòu)擴展到了數(shù)量眾多的社區(qū)、街道、物業(yè)，甚至連鎖超市、購物商場等。這些部門和單位基于聯(lián)防聯(lián)控目的，可以協(xié)助國家機關臨時收集并保管公民個人信息，信息收集效率也因此獲得明顯提升，但其中存在的問題也不容小覷。由于不同信息處理者之間存在專業(yè)性上的差異，而且對個人信息保護的意識程度也有所不同，導致個人信息泄露、濫用事件頻發(fā)。例如，2020年1月26日，廣西南丹縣疾控中心辦公室主任熊某某在未經(jīng)審批的情況下，擅自將該縣疫情防控材料發(fā)送到單位QQ工作群，工作人員區(qū)某某隨即將原文轉(zhuǎn)至其個人微信群，并被群內(nèi)成員轉(zhuǎn)發(fā)擴散，在社會上造成不良影響。此外，在突發(fā)公共衛(wèi)生事件發(fā)生時，對個人信息的收集程序往往不如一般情形下那般嚴格，因此也就更需要對個人信息處理者的身份和職責進行明確的界定。

2.3 個人信息處理活動的范圍界定困境

在突發(fā)公共衛(wèi)生事件中，個人信息處理的正當性源自其蘊含的公共利益屬性，因此“鼓勵利用盡可能多的信息進行分析識別，然后用于實現(xiàn)各種社會發(fā)展目的”（高富平，2018[15]）。但是，實踐中個人信息的收集、使用和公開均出現(xiàn)了“過度”現(xiàn)象，超過了為維護公共利益所必須的標準與限度。

第一，從主體角度來看，《關于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》（以下簡稱《聯(lián)防聯(lián)控通知》）明確要求“收集對象原則上限于確診者、疑似者、密切接觸者等重點人群，一般不針對特定地區(qū)的所有人群”。但實踐中，為提高本地區(qū)疫情防控水平，某些政府部門對重點疫情地區(qū)但非本地區(qū)人員的相關信息進行了曝光，而不問這些人員對于本地疫情防控來講是否具有相當?shù)木o迫性與必要性。例如，疫情初期，無論是湖北籍人士還是疫情期間的流動人口都受到了嚴密監(jiān)控，最終形成了“對特定地域人群的事實上歧視”；再如，介于乘客的分散性，在全國范圍內(nèi)公開乘坐公共交通工具的感染患者的相關軌跡信息是合法合理的，但是對居家隔離的感染患者信息進行大范圍公開則是違法之舉。對此，應當根據(jù)不同風險地區(qū)的人群，采取區(qū)別保護路徑。

第二，從內(nèi)容角度來看，雖然《個人信息安全規(guī)范》要求信息處理活動應遵循“最小必要原則”，但在本次疫情防控實踐中，仍有不少單位對個人信息開展了“地毯式”收集，其中就包括家庭關系、通信記錄、消費記錄等非必要的防控信息；還有的則是將家庭住址、身份證號、生活軌跡等敏感個人信息未經(jīng)匿名化處理直接公之于眾。針對敏感個人信息的法律保護，《個人信息保護法》在很大程度上解決了傳統(tǒng)“法律位階較低”、“范圍界定不明”等問題（胡文濤，2018[16]），并明確指出處理敏感個人信息應當“取得個人的單獨同意”（第29條），“向個人告知處理敏感個人信息的必要性以及對個人的影響”（第30條），并在“事前進行個人信息保護影響評估”（第55條）。但是，該法依舊缺失對敏感個人信息具體收集規(guī)則及保護措施的規(guī)定。雖然《個人信息安全規(guī)范》對敏感個人信息的處理規(guī)則進行了詳細規(guī)定，但是該規(guī)范沒有法律拘束力，而且根據(jù)其標準編號“GB/T 35273-2020”中的“GB/T”所示，它屬于“推薦性國家標準”，所以在實踐中更多是起到了行為導向的作用。

2.4 個人信息處理程序的知情同意困境

個人信息立法所遵循的共識性原則之一，即“知情同意原則”突出的是法律對信息主體自主控制其信息資料的尊重，是人格自由的一種表現(xiàn)形式。但是，我國法律并未賦予信息主體對其個人信息的專有權(quán)，而是允許個人信息處理者在收集、使用與國家和社會利益相關的信息時，無需征得信息主體的授權(quán)同意?！秱€人信息保護法》第13條第4款明確指出，“為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需”的情形時，無需征得個人同意；《個人信息安全規(guī)范》第5條第6款也明確了11項須征得授權(quán)同意的例外情形，其中就包括“與公共安全、公共衛(wèi)生、重大公共利益直接相關的”（第3項）、“出于維護個人信息主體或其他個人的生命、財產(chǎn)等重大合法權(quán)益但又很難得到本人授權(quán)同意的”（第5項）等情形。例如，黨政機關、醫(yī)療機構(gòu)、公共應急、教育教學等聯(lián)防聯(lián)控單位對防控信息的收集使用，從而“為數(shù)據(jù)利用的公共政策考量留出了一定的空間”（陸青，2019[17]）。但是，上述例外規(guī)定一方面并未嚴格區(qū)分一般個人信息和敏感個人信息，而敏感個人信息具有高度的人格屬性，與個人隱私、個人行動自由等利益關系密切，因此有必要在立法層面豐富其規(guī)范層次；另一方面，其內(nèi)容仍存在一定模糊性，例如，“相關”與“直接相關”的界定標準、“重大公共利益”與“重大合法權(quán)益”的基本內(nèi)涵等，都有待進一步厘清和細化，以增強實踐中的可操作性。

3 突發(fā)公共衛(wèi)生事件中個人信息處理的法律邏輯

“法律的主要作用之一就是調(diào)整及調(diào)和各種相互沖突的利益，無論是個人的利益還是社會的利益”（博登海默，1999[18]）”個人信息兼具的人格、財產(chǎn)和公共利益屬性決定了個人信息保護與利用之間的較量與平衡。因此，通過剖析個人信息的復合法益屬性，明確突發(fā)公共衛(wèi)生事件中個人信息公共利益屬性的凸顯，并在此基礎上詮釋個人信息保護與公共衛(wèi)生安全、公眾知情權(quán)的沖突與博弈，有助于為突發(fā)公共衛(wèi)生事件中個人信息處理規(guī)則的完善提供理論參考。

3.1 個人信息的復合法益屬性

個人信息具有人格利益和財產(chǎn)利益雙重屬性已是學界公認的觀點，其中人格利益屬性決定了個人信息的立法宗旨便是保護信息主體的精神人格利益即人格尊嚴、人格獨立、人格自由和人格平等不受侵犯；財產(chǎn)利益屬性決定了立法應為“合法的個人信息交易和有關的糾紛提供相應的法律規(guī)范”（劉德良，2007[19]）。但與此同時，個人信息作為人際交流和社會交往的必要工具，具有流通性和共享性，“一經(jīng)產(chǎn)生和流傳其傳播過程就很難被控制”，而且往往涉及廣泛的社會公共利益（關儒和吳曉祺，2020[20]）。突發(fā)公共衛(wèi)生事件中對公民個人信息的處理正是基于對公共安全的保障，此時個人信息對國家和社會來說具有明顯的共享屬性和社會價值。公民的基本權(quán)利神圣不可侵犯，但我國《憲法》第51條對公民權(quán)利進行了概括性的限制，即不得損害國家、社會、集體利益和他人的合法權(quán)利?！睹穹ǖ洹返?036條第3款也指出，“為維護公共利益”處理個人信息屬于免責事由。如今，信息技術的發(fā)展“使政府利用海量數(shù)據(jù)進行公共決策成為可能”（李曉楠，2020[21]）。個人信息除隱私利益外，還具有公共價值，是“可供組織或個人使用的公共資源”（Stiglitz，2000[22]）。而突發(fā)公共衛(wèi)生事件關系到公眾的生命健康、國家的政治穩(wěn)定，以及社會的長治久安，此時個人信息的公共利益屬性體現(xiàn)出最大價值，“滿足實質(zhì)層面的公益目的的檢驗”（趙宏，2020[10]）。因此，突發(fā)公共衛(wèi)生事件作為克減個人信息權(quán)益的事由具有法理上的正當性。但是，需要說明的一點是，不論是個人信息的財產(chǎn)屬性，還是公共利益屬性，均源自其具有可識別自然人主體這一最基本的性質(zhì)，而且對財產(chǎn)和公共利益的保護也正是出于對主體人格利益的間接維護，因此突發(fā)公共衛(wèi)生事件中個人信息的人格利益屬性仍居于主導地位。

3.2 公共衛(wèi)生安全與個人信息保護的博弈

“挖掘巨量與健康相關的數(shù)據(jù)能提升研究、監(jiān)測及傳染病預防，有利于早期發(fā)現(xiàn)全球公共衛(wèi)生威脅”（Petersen，2017[23]）。例如，衛(wèi)生主管部門及疫情相關監(jiān)測主體可以通過醫(yī)療機構(gòu)的診療記錄和疾病預防控制中心的監(jiān)測信息，在第一時間對公民健康信息進行分析并作出判斷，以盡可能快速準確地預測疫情的發(fā)生，并提前出臺應急預案，采取相應的防護措施，“阻止?jié)撛趥魅驹崔D(zhuǎn)化為大規(guī)模疫情的可能”（陳琬珠，2021[24]）。如今，隨著國內(nèi)疫情逐步得以控制，人員跨地區(qū)流動性增加，通過公布確診、疑似病例的活動軌跡有助于篩查工作的順利開展，從而實現(xiàn)精準防控。此外，個人的病理信息、基因信息等醫(yī)療健康信息也具有重大醫(yī)學研究價值，有助于疫苗和治療藥物的研發(fā)，從而促進我國醫(yī)療技術能力和醫(yī)療質(zhì)量水平的提高，同時這也是個人信息保護中的公共屬性和社會價值的具體體現(xiàn)。由此可見，當突發(fā)公共衛(wèi)生事件發(fā)生時，信息主體的知情同意已不再是個人信息處理活動的首要原則。當公共衛(wèi)生安全與個人信息權(quán)益發(fā)生沖突時，作為社會的基本組成單元，信息主體必須為了公共安全利益，讓渡部分個人信息權(quán)益。

3.3 公眾知情權(quán)與個人信息保護的博弈

在突發(fā)公共衛(wèi)生事件中，基于自身生命健康的考慮，公眾往往對防控信息的需求更加強烈，希望能夠在第一時間準確、全面地了解自身所處環(huán)境的危險程度。例如，周圍有無確診、疑似患者或無癥狀感染者等信息，以便采取針對性防范措施，避免自身被感染的情況發(fā)生。而政府作為公眾的委托代理人，應當在合理范圍內(nèi)，以合理方式公開涉疫人員的有關信息。這一方面是滿足公眾“知情”的訴求，提升他們對政府戰(zhàn)勝疫情的信心，并引導其加強自我防范，避免出現(xiàn)公眾因不了解真實信息而輕信謠言，甚至在各類社交平臺轉(zhuǎn)發(fā)而造成社會恐慌等情況；另一方面，也可以讓公眾理解、支持和配合國家基于聯(lián)防聯(lián)控需要而采取的一系列措施，例如，出行限制、強制隔離等，以減少不必要的矛盾與沖突，切實保障公民的生命健康安全與社會秩序的和諧穩(wěn)定。由此可見，突發(fā)公共衛(wèi)生事件中對個人信息的處理不僅是滿足公眾知情權(quán)的需要，同時也是保障公民生命健康權(quán)的必要途徑。從這個角度來看，知情權(quán)作為公民一項重要的“程序性權(quán)利”，本身就是一種公共利益（王敬波，2014[25]）。由此可見，大數(shù)據(jù)時代的個人信息保護，不是以單向的維護個人信息權(quán)益為唯一追求，而是要將相關主體的復雜利益納入綜合考量，從而在這些“異質(zhì)利益之間的博弈中達到平衡”（高志宏，2022[5]）。

4 突發(fā)公共衛(wèi)生事件中個人信息處理的規(guī)范化路徑探索

突發(fā)公共衛(wèi)生事件中的個人信息不僅關系著公民的個人利益，同時也關涉國家和社會的整體利益。上文提到，突發(fā)公共衛(wèi)生事件中個人信息的公共利益屬性可以作為豁免信息處理者部分義務、克減信息主體部分權(quán)利的合法事由。對此，基于“大數(shù)據(jù)時代平衡信息保護與利用關系之考量”（田野和張晨輝，2019[26]），我國應采取激勵相容的個人信息處理模式，使“可識別個人的數(shù)據(jù)既要能夠為社會所利用，又必須確保該利用行為不侵犯個人權(quán)益”（高富平，2019[27]）。盡管《民法典》《個人信息保護法》《網(wǎng)絡安全法》等統(tǒng)一立法可以為個人信息權(quán)益保護提供完整的規(guī)制模式，但由于體量限制，其很難對突發(fā)公共衛(wèi)生事件中各類信息的處理規(guī)則予以周全規(guī)定，仍須通過具體可操作的規(guī)章細則或行業(yè)自治組織的指南性文件等分散立法加以補充。

國際上信息保護與利用規(guī)則較為完善的國家和地區(qū)，如歐盟、美國等均在立法或判例中確立了個人信息的處理規(guī)則。例如，歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）第二章明確指出，個人數(shù)據(jù)處理原則包括“合法公平透明原則”“目的限制原則”“最少收集原則”“準確性原則”“存儲限制原則”“完整性和保密性原則”“知情同意原則”等?；谖覈鴤€人信息處理面臨的現(xiàn)實困境，可借鑒GDPR的相關規(guī)定，按照《聯(lián)防聯(lián)控通知》要求，并參考《個人信息安全規(guī)范》標準，①《信息安全技術個人信息安全規(guī)范》第4條規(guī)定：“個人信息控制者開展個人信息處理活動應遵循合法、正當、必要的原則”，具體包括權(quán)責一致原則、目的明確原則、選擇同意原則、最小必要原則、公開透明原則、確保安全原則和主體參與原則等。以“比例原則”為指導，從數(shù)據(jù)利用規(guī)制和私權(quán)救濟兩個面向，明確并細化突發(fā)公共衛(wèi)生事件中公民個人信息的處理規(guī)則，為數(shù)據(jù)利用和個人信息保護的平衡提供清晰指引與合理預期。

4.1 堅持限制收集原則，規(guī)范信息收集主體和收集手段

“開放政府數(shù)據(jù)運動”在全球范圍內(nèi)興起，許多國家的公共部門不僅成為本國最大的數(shù)據(jù)資源產(chǎn)出者和持有人，同時也是大規(guī)模數(shù)據(jù)的原始采集者，其收集個人信息的領域和范圍日益廣泛，而該原則要求對個人信息的收集予以限制。

第一，限制信息收集主體。突發(fā)公共衛(wèi)生事件中，個人信息處理者的身份呈現(xiàn)出非常復雜的情況，像醫(yī)療機構(gòu)、派出所、用人單位、學校、物業(yè)公司、電信運營商以及志愿者等主體都參與了個人信息的收集和使用工作。然而除法定個人信息收集主體外，其他任何單位和個人不得以聯(lián)防聯(lián)控為由，未經(jīng)被收集者同意便對其個人信息進行處理，其中尤其是要防止一些商業(yè)機構(gòu)假借防控之名隨意收集使用公民個人信息。此外，像用人單位、學校、物業(yè)公司等法條中并未直接提及的主體如果未經(jīng)授權(quán)，那么其信息處理行為便存在一定的違法性。鑒于此，有必要在《傳染病防治法》等相關法律文件中明確省、自治區(qū)、直轄市衛(wèi)健委在突發(fā)公共衛(wèi)生事件發(fā)生時，可以委托下級衛(wèi)健委、街道辦事處、社區(qū)居委會等組織對處理公民個人信息的主體予以明確，從源頭上規(guī)避個人信息處理者的身份認定困境。

第二，限制信息收集手段。根據(jù)《個人信息安全規(guī)范》，信息收集者不得以“欺詐、誘騙、誤導的方式收集個人信息”或者“從非法渠道獲取個人信息”。具體而言，收集手段應符合依法行政和高效便民的原則。例如，在信息收集前至少應向被收集者闡明信息收集者的身份、信息收集的法律依據(jù)和授權(quán)來源、信息收集的目的與方式，以及所收集信息將來的處理方式和使用范圍等內(nèi)容。其中若還涉及敏感個人信息的處理，則應當向信息主體明確告知處理敏感個人信息的必要性以及對個人權(quán)益的影響，以促進突發(fā)公共衛(wèi)生事件中個人信息的收集實現(xiàn)形式法治與實質(zhì)法治的統(tǒng)一。

4.2 堅持目的明確原則，嚴格限定信息處理的防控目的

該原則要求個人信息處理須受到“明確、清晰、具體的個人信息處理目的”的限制。②《信息安全技術個人信息安全規(guī)范》4b。突發(fā)公共衛(wèi)生事件中，個人信息處理應嚴格限于聯(lián)防聯(lián)控目的或與該目的具有直接、合理的關聯(lián)，即所收集和使用的信息內(nèi)容、類型、數(shù)量與使用方式對于目的實現(xiàn)而言是“充足”的，一旦缺少將導致該目的無法實現(xiàn)或無法完全實現(xiàn)（張新寶，2019[28]）。同時，還要做到專采專用，不能超出信息主體的合理預期，像對防控信息的商業(yè)化利用就是應當嚴明禁止的行為。而這就要求個人信息處理者在履行告知義務時，應盡可能明確、清晰、具體地說明信息處理的細節(jié)，使“雙方能對約定目的產(chǎn)生一致的認識和個人信息可能使用范圍的預期”，避免因不確定性而產(chǎn)生“風險敞口”（梁澤宇，2018[29]）。如果確需超出聯(lián)防聯(lián)控目的處理個人信息，應當再次履行告知義務。需要說明的是，如果防控信息是用于醫(yī)學、法學、社會學等科學研究工作，屬于“與收集目的具有合理關聯(lián)的范圍之內(nèi)”，但是在對外提供學術研究結(jié)果時，“需對結(jié)果中所包含的個人信息進行去標識化處理”。③《信息安全技術個人信息安全規(guī)范》7.3a。

4.3 堅持最小必要原則，完善個人信息梯度保護體系

該原則要求“只處理滿足個人信息主體授權(quán)同意的目的所需的最少個人信息類型和數(shù)量”。④《信息安全技術個人信息安全規(guī)范》4d。

第一，從信息主體的梯度保護來看，收集對象原則上僅限于確診者、疑似者、密切接觸者等重點人群，一般不針對特定地區(qū)的所有人群，而且對重點人群也可按“不同風險等級”進行劃分，并在此基礎上合理確定個人信息的收集范圍與使用方式，避免超范圍、違規(guī)收集（寧立成和崔志敏，2021[30]）。

其中，針對高風險人群個人信息的處理無需經(jīng)過本人同意，而且對其信息的識別應盡可能具體。這一方面是提醒公民注意防范，阻止疫情的進一步蔓延；另一方面也是基于醫(yī)學研究的需要，即通過病因分析尋找病毒攻破的關鍵。但是，在公開范圍和方式上仍應有所區(qū)別。例如，行動軌跡、經(jīng)常居住地等有可能會與公眾產(chǎn)生聯(lián)系的信息應當根據(jù)實際情況在一定范圍內(nèi)予以公開通報，以便公眾及時作出自身健康安全是否存在威脅的判斷，并采取相應的防護措施；但是像姓名、聯(lián)系方式、身份證號等信息原則上應只供衛(wèi)生部門等聯(lián)防聯(lián)控單位內(nèi)部使用。

對于其他類型人群個人信息處理的主要目的是在于排查和限制重點疫情地區(qū)的人員流動，因此對其信息的識別不應過于具體，而是主要集中于健康信息、軌跡信息等方面的內(nèi)容。需要指出的是，為及時有效地判斷危險源，對該類人群的信息收集具有目的合法性。但是，收集行為不能為公開行為提供正當性理由，因此對該類人群信息的公開應征得權(quán)利人同意，否則不屬于公開范圍。

此外，需要注意的是，《個人信息保護法》第31條規(guī)定了處理兒童個人信息須征得其監(jiān)護人同意的特殊要求，但是本條的適用與第13條可能存在沖突。例如，“為應對突發(fā)公共衛(wèi)生事件”而處理兒童個人信息是否也需要獲得兒童監(jiān)護人的同意？如果是，那表明條文之間已存在沖突。因此，有必要參考GDPR第8條第1款的規(guī)定，在第15條中增加“在適用本法第13條第1款第1項的情況下”的適用限制。

第二，從信息內(nèi)容的梯度保護來看，及時、準確、全面的信息公開固然有利于增強公民對于突發(fā)公共衛(wèi)生事件風險的認知，但個人信息的“可識別性”決定了信息公開時應對個人信息尤其是敏感個人信息予以去標識化管理和脫敏處理，使“其人格權(quán)屬性減弱，不再歸初始信息主體個人擁有”，降低泄露風險（張勇，2020[7]）。因此，我國立法有必要加強個人信息的類型化分析，并對敏感個人信息作出明確界定和特殊保護。日本2017年實施的《個人信息保護法》正式引入“個人敏感信息”的概念，并明確其包括疾病史、犯罪記錄、種族、宗教等可能引起不合理的歧視或偏見的信息；歐盟GDPR第9條則對個人敏感數(shù)據(jù)規(guī)定了更為嚴格的保護標準。①GDPR第9條對個人敏感信息的保護予以專門規(guī)定，其原則上禁止該類信息的處理，除非獲得信息主體的明確同意、為履行義務及行使信息主體特定權(quán)利之目的、為保護信息主體或他人重大利益的必要、基于公共衛(wèi)生健康領域的公共利益等9項例外規(guī)定，但同時也對不同情形下個人敏感信息的使用規(guī)定了相應的限制措施。鑒于公共利益對個人信息權(quán)益的克減，尤其是公共利益本身在概念上的抽象性特質(zhì)，因此在突發(fā)公共衛(wèi)生事件中不可避免會涉及敏感個人信息的處理，一旦處理不當很容易造成公共利益與個人信息權(quán)益的失衡。

上文提到，身份證件號碼、生物識別信息、通信記錄和內(nèi)容、行蹤軌跡、住宿信息、交易信息、健康生理信息、兒童信息等均屬敏感個人信息的范疇，一旦泄露很有可能損害信息主體的個人尊嚴和生活安寧，并引發(fā)歧視與社會的不公正對待。例如，疫情期間由于信息泄露而引發(fā)了多起“人肉搜索”“網(wǎng)絡暴力”等違法行為，而且這種損害難以通過有效的救濟手段恢復至未受侵害的狀態(tài)。相較而言，個人行程信息如乘坐交通工具信息、出發(fā)地和目的地信息等，即便泄露對個人的人身權(quán)益也影響較小，可以被認定為個人一般信息。但是，大數(shù)據(jù)時代的信息本身就存在一定的復雜性，前述的生物特征、健康信息等內(nèi)容單獨就可構(gòu)成敏感個人信息，而像位置信息、網(wǎng)頁瀏覽記錄等一般來說還需要一定的時間跨度才可能構(gòu)成敏感個人信息。因此，對敏感個人信息的準確界定，不僅是對立法技術的考驗，同時也需要在個人信息保護的法律實踐中不斷予以總結(jié)完善。

4.4 堅持確保安全原則，構(gòu)建個人信息全程監(jiān)管機制

該原則要求個人信息處理者“具備與所面臨的安全風險相匹配的安全能力，并采取足夠的管理措施和技術手段”，從信息傳輸、共享、存儲、銷毀等環(huán)節(jié)確?！皞€人信息的保密性、完整性、可用性”。②《信息安全技術個人信息安全規(guī)范》4f。

第一，完善個人信息傳輸規(guī)則。突發(fā)公共衛(wèi)生事件的有效遏制往往需要多個機關單位之間的配合，以及其防控信息系統(tǒng)的互聯(lián)互通。然而實踐中，傳輸過程中的不規(guī)范操作極易造成個人信息的泄露。因此有必要盡快完善個人信息的傳輸規(guī)則，確立更加細致的傳輸流程，并注意針對不同類型信息采取相應的安全保障措施。例如，針對敏感個人信息的傳輸，應進行加密處理；針對健康生理信息、電子醫(yī)療保健信息的跨境傳輸，應嚴格遵照國家相關規(guī)定執(zhí)行，如《個人信息出境安全評估辦法》等。

第二，規(guī)范個人信息共享行為。2020年12月，國家衛(wèi)健委、國家醫(yī)保局、國家中醫(yī)藥管理局聯(lián)合發(fā)布《關于深入推進“互聯(lián)網(wǎng)+醫(yī)療健康”“五個一”服務行動的通知》，要求“各地要依托全國一體化政務服務平臺，落實‘健康碼’信息互認機制和規(guī)則”。實現(xiàn)“健康碼”全國互認、一碼通行是完善我國突發(fā)公共衛(wèi)生事件中個人信息數(shù)據(jù)共享的重要舉措，有助于避免個人信息“多頭采集、多方保存、多層管理”等問題。

首先，規(guī)范個人信息共享中的交易規(guī)則，原則上禁止交易，除非書面征求權(quán)利人的同意，但仍須根據(jù)交易金額對個人予以補償，并且在共享中盡量采取去標識化的處理。其次，強化個人信息共享中的保密義務，并適用“比例原則”，通過去標識化、匿名化等措施降低信息泄露風險（張建文和高悅，2020[31]）。美國《健康保險攜帶和責任法案》（Health Insurance Portability and Accountability Act，簡稱HIPAA）就明確規(guī)定了個人信息脫敏等技術的具體操作流程，并詳細列舉了18項需要去除的身份識別信息，從而一方面為相關機構(gòu)處理個人信息提供明確指引，統(tǒng)一個人信息的處理標準；另一方面也是對權(quán)力的有效制約，防止對個人信息的濫用。具體而言，突發(fā)公共衛(wèi)生事件中的個人信息匿名化可以參照家事裁判文書網(wǎng)上公開的處理方式，即不僅模糊當事人姓名，還應當修改或處理可能識別出當事人的具體信息，以降低被認出后人肉搜索的可能性；對于確診或疑似患者個人信息的共享，僅需公開其姓氏，如果基于公共利益需求，確有必要公開其家庭住址、行蹤軌跡等敏感個人信息的，應當作模糊化處理。最后，構(gòu)建個人信息共享中的協(xié)同機制。針對不同類型信息規(guī)定不同的共享規(guī)則，將政府數(shù)據(jù)分為無條件共享、有條件共享、不予共享等三類，其中與健康保障、應急維穩(wěn)相關的信息資源，應當在行政機關之間有條件共享。此外，出于優(yōu)先保護公共利益的目的，歐盟GDPR與美國HIPPA“第三方準則”均允許電信運營商、保險公司等第三方機構(gòu)或私人機構(gòu)依法向政府部門共享其掌握的個人信息。大數(shù)據(jù)時代背景下，電信運營商、汽車零售商、電商平臺、社交媒體等主體所控制的個人信息具有高度的公共利用性，該類信息的共享與使用能夠協(xié)助政府更有針對性地應對突發(fā)公共衛(wèi)生事件。對此，建議企業(yè)等商業(yè)機構(gòu)積極參與防控工作，并加快個人信息共享體系的完善，實現(xiàn)國家機關和企業(yè)之間在個人信息處理活動中的互聯(lián)互通與共享協(xié)作。

第三，健全個人信息存儲規(guī)范。信息存儲期限“應為實現(xiàn)個人信息主體授權(quán)使用的目的所必需的最短時間”，①“《信息安全技術個人信息安全規(guī)范》6.1a。”而且在聯(lián)防聯(lián)控目的達成后應進行妥善處理。但是，此處的“妥善處理”并不意味著要刪除所有的個人信息，對于那些具有醫(yī)學研究、社會研究等價值的信息，可以在脫敏后進行流通與分享，以推動醫(yī)學教育質(zhì)量、藥品疫苗研制能力的提升，以及公共管理與服務水平的增強。此外，建立云端互聯(lián)互通的國家中心數(shù)據(jù)庫，系統(tǒng)存儲海量公民個人信息，并將其交由政府設立的專業(yè)機構(gòu)監(jiān)管，從而在促進個人信息整合收集和開放共享的同時，也有助于提升監(jiān)管機構(gòu)的行政管理效率，推動個人信息保護行政監(jiān)管新秩序的構(gòu)建。

第四，細化個人信息銷毀標準。首先，以“誰收集，誰銷毀”為標準明確信息銷毀主體，經(jīng)行政授權(quán)或行政委托的機關、組織在收集個人信息并完成上報后，應及時銷毀，以便責任承擔主體的確認。在此過程中，還可以組織專家對已經(jīng)收集到的個人信息展開評估，并按照信息敏感程度分門別類處理。其次，以“防控周期”為標準合理劃定信息銷毀期限，確定“個人信息銷毀時間表”。信息銷毀是一個動態(tài)操作過程，其可根據(jù)突發(fā)公共衛(wèi)生事件的實際情況具體設定。以本次疫情防控為例，信息一般追溯14天或者21天，超出該期限的個人信息沒有繼續(xù)留存的必要。因此，可以14天或者21天為周期定期銷毀已收集信息，如有需要可再行收集。最后，以“信息收集路徑”為標準細化信息銷毀程序。對于通過現(xiàn)場紙簿登記等線下方式收集的個人信息，應當由主管行政機關負責銷毀；對于社交平臺或“健康碼”等應用程序線上收集的個人信息，應當由《網(wǎng)絡安全法》等規(guī)定的責任主體進行銷毀，并由行政機關做好監(jiān)督評估工作，以確保個人信息完全銷毀。

第五，建立個人信息全程監(jiān)管機制。當前網(wǎng)絡黑灰產(chǎn)交易的重要標的就是個人信息，而部分聯(lián)防聯(lián)控單位將個人信息存儲在無加密技術的一般系統(tǒng)中，導致個人信息很容易被黑客竊取而流入信息交易市場甚至黑灰產(chǎn)鏈條。因此，有必要建立事前、事中、事后三重監(jiān)管機制（見圖1）。其中，事前監(jiān)管重在防范，通過專業(yè)評估，確定有關部門或單位是否具備處理個人信息的資質(zhì)與能力，并事先對防控信息的收集范圍、使用期限、處理辦法、安全保障措施等內(nèi)容予以明確。事中監(jiān)管重在監(jiān)控，通過實時監(jiān)測掌握信息安全狀況，并通過信息屏蔽、臨時管制、攔截過濾等技術手段消除安全風險隱患。同時，建立網(wǎng)絡信用評級系統(tǒng)，并采取分級管理模式，設定綠色、藍色、橙色、紅色四個等級，信用等級依次遞減。事后監(jiān)管重在問責，加大對突發(fā)公共衛(wèi)生事件中個人信息侵權(quán)行為的處罰力度，對侵犯敏感個人信息的行為采用懲罰性賠償機制，并遵循“過罰相當”原則，對在履職過程中侵犯公民個人信息的行為予以加重處罰，并追究直接責任人員的法律責任，提高其違法成本，從而增強個人信息處理者的風險意識，實現(xiàn)對個人信息的全方位、全過程保護。

圖1 個人信息全程監(jiān)管機制示意圖

5 結(jié) 語

利益平衡是社會科學的基本主張，也是法學的邏輯起點和最高理念。因而當突發(fā)公共衛(wèi)生事件發(fā)生時，在積極利用大數(shù)據(jù)等信息技術助力防控工作開展的同時，也要規(guī)范個人信息處理活動，保障個人信息不受侵犯，以達到“平衡法理論”所追求的公共利益和個人權(quán)益的最優(yōu)權(quán)衡。但是當然，對于公民個人信息的保護，除了立法層面的完善外，還需要戰(zhàn)略、規(guī)劃、計劃、司法救濟一體化的制度體系構(gòu)建。例如，突發(fā)公共衛(wèi)生事件中個人信息保護方案的制定，以及個人信息安全規(guī)范、個人信息安全影響評估指南的完善等，都亟待進一步研究，以形成系統(tǒng)完整的突發(fā)公共衛(wèi)生事件中個人信息處理規(guī)范，以確保數(shù)據(jù)防控工作有效進行的同時，筑牢公民個人信息安全的防護墻，加快推進我國突發(fā)公共衛(wèi)生事件治理體系和治理能力現(xiàn)代化。