王曉牛

（華東政法大學(xué) 法律學(xué)院，上海 長寧區(qū)200050）

根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的第44 次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》，截至2019 年6 月，我國網(wǎng)民總?cè)藬?shù)為8.54 億，互聯(lián)網(wǎng)總體普及率為61.2%。①然而，伴隨高普及率的卻是低安全感，人們一面享受著網(wǎng)絡(luò)帶來的極大便利，一面也在承受著巨大的安全風(fēng)險。個人信息被譽為二十一世紀(jì)最富有價值的競爭資源，其對于個人具有社會交往價值，對企業(yè)等私主體具有商業(yè)價值，是預(yù)測未來經(jīng)濟發(fā)展的風(fēng)向標(biāo)。近年來個人信息安全問題屢見不鮮，在2020 年初新型冠狀肺炎病毒疫情爆發(fā)之后，全國上下盡舉國之力開展聯(lián)防聯(lián)控工作，個人信息在這場疫情防控戰(zhàn)中發(fā)揮著舉足輕重的作用。但是，隨著各項工作的展開，個人信息泄露事件卻頻繁發(fā)生，被泄露的個人信息在網(wǎng)絡(luò)公開傳播，對被泄露者的個人生活、安全引發(fā)極大安全隱患。因此，2020 年2 月9 日中央網(wǎng)絡(luò)安全和信息化委員會辦公室公開發(fā)布《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》②提出了疫情防控工作中對于個人信息保護的明確要求。在此之前，我國已于2017 年正式施行《中華人民共和國網(wǎng)絡(luò)安全法》（下稱《網(wǎng)絡(luò)安全法》），2019 年《中華人民共和國民法典（草案）》（下稱《民法典（草案）》）將個人信息保護納入“人格權(quán)編”進行具體規(guī)定，全國人大法工委亦表示我國將于2020 年制定《個人信息保護法》與《數(shù)據(jù)安全法》，我國個人信息保護進程正在不斷向前推進。因此在突發(fā)公共安全衛(wèi)生事件時，討論個人信息保護面臨的困境和解決路徑，平衡個人信息保護與價值利用間的關(guān)系具有一定的理論基礎(chǔ)與重要的現(xiàn)實意義。

一、突發(fā)公共衛(wèi)生事件中個人信息保護面臨的困境

《網(wǎng)絡(luò)安全法》第七十六條對個人信息的含義進行了明確規(guī)定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！备鶕?jù)其是否具有標(biāo)識化特征可以將其分為一般信息與敏感信息。

（一）個人信息保護面臨的技術(shù)威脅

1.外部惡意攻擊

黑客攻擊和各類病毒是目前個人信息泄露的主要源頭。黑客攻擊的常用手段有偽裝攻擊，探測攻擊，嗅探攻擊，欺騙攻擊，Web 腳本攻擊等。不法分子通過發(fā)送電子郵件，網(wǎng)絡(luò)鏈接等手段搜尋用戶手機、電腦等通訊設(shè)備上存在的漏洞，并經(jīng)由該漏洞侵入用戶的網(wǎng)絡(luò)系統(tǒng)，竊取用戶的個人信息。除此之外，互聯(lián)網(wǎng)平臺目前存儲個人信息的主要方式是建立用戶數(shù)據(jù)庫，但數(shù)據(jù)庫很容易因黑客利用第三方平臺的安全漏洞侵入而被竊取，或者因黑客的撞庫攻擊而被破壞。除了黑客攻擊，無處不在的網(wǎng)絡(luò)病毒也是個人信息的一大安全隱患。這些病毒可能來自軟件本身，也可能通過掃描二維碼等外部方式感染，一旦病毒入侵，用戶使用手機、電腦等進行購物、社交等活動時，其個人身份信息，銀行卡支付信息等重要信息都極有可能被竊取。

2.網(wǎng)絡(luò)搜索失范

網(wǎng)絡(luò)搜索這項技術(shù)內(nèi)嵌于幾乎所有的網(wǎng)絡(luò)應(yīng)用當(dāng)中，它除了能幫助我們答疑解惑，也隱藏著巨大的商機，一旦被濫用將會給個人信息帶來巨大的安全風(fēng)險。無論是日常生活中用戶在百度、淘寶等軟件首頁被推薦的類似的信息，還是突發(fā)公共安全事件中用戶通過一些平臺搜索具有病毒感染者的小區(qū)、交通工具等信息，這些既是網(wǎng)絡(luò)搜索帶來的便利，亦是其埋下的隱患。公民的虛擬行為甚至是現(xiàn)實行為通過網(wǎng)絡(luò)搜索技術(shù)都能被時刻“監(jiān)視”。大數(shù)據(jù)時代下，這種“監(jiān)視”更加隱蔽且更容易實現(xiàn)。有關(guān)部門利用第三方平臺將搜集到的個人信息進行專項整合，從而在現(xiàn)實生活中鎖定特定個體，對其現(xiàn)實行為進行披露追蹤，這對于鎖定感染者的行動路線具有重要作用，但在不法分子眼中，這也是“人肉搜索”的實現(xiàn)途徑。在疫情面前人人對自身安全的擔(dān)憂日甚，網(wǎng)絡(luò)搜索失范將會給不法分子可乘之機，有關(guān)個人信息權(quán)利的歸屬、個人信息所有權(quán)、對個人信息開發(fā)利用的限度等問題將引起熱烈的討論，這對保護個人信息的主體、個人信息的范圍以及保護的方式等問題的解決產(chǎn)生了深刻影響。［1］

（二）個人信息交易存在的市場風(fēng)險

隨著信息技術(shù)的飛速發(fā)展，商業(yè)重心由實體逐漸過渡為網(wǎng)絡(luò)，電子商務(wù)的崛起對于多元數(shù)據(jù)的渴求以及社會各行業(yè)對個人信息的關(guān)注空前高漲。在這種復(fù)雜多元的市場環(huán)境下，個人信息的價值得到極大程度的肯定，信息成為市場競爭洪流中的“定海神針”。在公共衛(wèi)生安全事件突發(fā)之時，雖然僅賦予特定主體采集個人信息的權(quán)利，但大多數(shù)網(wǎng)絡(luò)平臺具有采集個人信息的能力，在信息安全壁壘出現(xiàn)缺口，信息交易市場迎來嚴峻挑戰(zhàn)的背景下，個人信息的采集、使用、交易各階段面臨著諸多問題，嚴重影響個人信息的正常合法交易。

1.信息非法收集

2018 年中國消費者協(xié)會對100 款A(yù)PP 開展了隱私政策測評工作，結(jié)果顯示，多達91 款A(yù)pp存在涉嫌過度收集或使用用戶信息的問題。③對于任何網(wǎng)絡(luò)平臺，用戶無論是登錄其網(wǎng)站還是下載APP，在使用之前必須要填寫相關(guān)個人信息注冊登錄，這是面向用戶最原始的要求。以APP 為例，絕大多數(shù)平臺所采用的都是傳統(tǒng)的“知情-同意”架構(gòu)，即在用戶打開APP 后會跳出冗長的用戶協(xié)議，其上規(guī)范了該平臺所享有的權(quán)限和用戶使用須知等內(nèi)容。然而，這種協(xié)議表面上賦予用戶知情權(quán)，實則并無實際意義，原因有三：其一協(xié)議內(nèi)容冗長，外觀設(shè)計迷惑，絕大多數(shù)用戶不會真正研讀協(xié)議內(nèi)容；其二協(xié)議內(nèi)容多涉及專業(yè)知識，如特定權(quán)限的種類，用戶不解其意；其三多數(shù)協(xié)議采取“是或否”的方式供用戶進行選擇，這種方式雖然對平臺來說效率最高、成本最低、風(fēng)險最小，但實質(zhì)為用戶虛設(shè)了選擇權(quán)。除此之外，用戶在注冊時亦有諸多限制，部分平臺為用戶設(shè)置強制填寫選項，其中包括敏感信息，獲取該信息的目的是否與經(jīng)營有關(guān)缺乏現(xiàn)實的考察依據(jù)與標(biāo)準(zhǔn)。

2.信息濫用

我國法律尚未從正面規(guī)定個人信息作為一項權(quán)利的歸屬，但從普世價值觀和相關(guān)制度設(shè)計的角度來看，個人信息從始至終由其個人所有。個人信息雖然在某些時候與公共利益、集體利益有關(guān)，但只有為個人信息提供充分的私權(quán)保護，才有利于從根本上保護公共利益，調(diào)動個人對其個人信息進行主動保護的積極性。［2］雖然相關(guān)部門規(guī)章和國家/行業(yè)標(biāo)準(zhǔn)對于網(wǎng)絡(luò)平臺在獲取用戶提供的個人信息后使用的規(guī)范進行了規(guī)定，但在突發(fā)公共衛(wèi)生安全事件時如何妥善利用個人信息仍存在制度上的缺漏。一旦發(fā)生信息泄露事件，電商為維護企業(yè)聲譽，可能會采取措施大事化小小事化了，而未從根本上解決癥結(jié)所在。且部分企業(yè)因其內(nèi)部管理機制不完善，平臺管理易出現(xiàn)不規(guī)范和混亂，用戶在生命健康面臨威脅的同時，亦無法有效保障自身的個人信息權(quán)利。

3.信息非法交易

個人信息的商業(yè)價值中蘊含著巨大的商機，這種商機不僅體現(xiàn)在電商平臺自身對信息的使用，還包括對信息的二次開發(fā)。在大數(shù)據(jù)的時代背景下，各類企業(yè)的商業(yè)模式紛紛轉(zhuǎn)向以海量社會數(shù)據(jù)為核心。所謂“社會數(shù)據(jù)”，是指“關(guān)于公民活動、行為方式、興趣愛好、與他人的關(guān)系等能夠識別公民個體社會屬性的數(shù)據(jù)”。［3］為了二次利用個人信息的價值，企業(yè)對社會數(shù)據(jù)進行分析研究，從而分析預(yù)測用戶的行為規(guī)律、需求內(nèi)容等。而獲得多大的利益就意味著要承擔(dān)多大的風(fēng)險，用戶的信息安全同時可能受到網(wǎng)絡(luò)惡意程序的威脅，進而對用戶的財產(chǎn)、人身甚至是整個網(wǎng)絡(luò)環(huán)境造成破壞。2018年6 月“暗網(wǎng)”某用戶兜售圓通快遞10 億條快遞數(shù)據(jù)，其中包括寄收件人的姓名、電話、地址等信息；華住酒店集團旗下酒店5 億條用戶信息于2018 年8 月在“暗網(wǎng)”售賣。上述事件表明，個人信息在被竊取之后，經(jīng)過信息交易黑色產(chǎn)業(yè)鏈多次倒賣，會使信息所有者的權(quán)利受到持續(xù)的損害，且這種損害是難以完全彌補的。

（三）個人信息關(guān)聯(lián)的法律問題

1.個人信息權(quán)法律屬性不明

王澤鑒在《民法總則》中提到，“當(dāng)某種法益在現(xiàn)實生活中具有相當(dāng)程度的重要性時，或直接經(jīng)由立法，或間接經(jīng)由判例學(xué)說被賦予法律效力，使其成為權(quán)利”。［4］大數(shù)據(jù)時代個人信息的人身價值和財產(chǎn)價值都得到了充分肯定。我國在2017 年10 月1 日起施行的《民法總則》第一百一十一條中首次從民事基本法層面提出了“個人信息權(quán)”，并確立其法律地位及性質(zhì)。但遺憾的是，該條文并未明確界定個人信息的法律內(nèi)涵。而后《網(wǎng)絡(luò)安全法》以列舉式的方法規(guī)定了個人信息的完整法律內(nèi)涵，但關(guān)于個人信息權(quán)的法律屬性仍有爭議。2019 年《民法典（草案）》亦未進行進一步的明確，雖然其將個人信息保護納入到民事權(quán)利中的人格權(quán)編中，但不可否認的是，個人信息仍具有明顯的財產(chǎn)權(quán)特性，它通常固定于特定形式的信息載體形成信息資料，這些信息資料可以反復(fù)運用于商業(yè)活動中，具有豐富的經(jīng)濟價值。學(xué)界有一種混合學(xué)說，認為個人信息權(quán)天然具有人身與財產(chǎn)的混合屬性，不能單純地將個人信息權(quán)歸為人格權(quán)或財產(chǎn)權(quán)。

個人信息的財產(chǎn)屬性是基于人身屬性產(chǎn)生的，個人信息附屬于個人而存在，個人對其信息所享有的權(quán)利應(yīng)當(dāng)包括所有權(quán)和使用權(quán)，且有權(quán)從合法的個人信息交易中獲取利益，并著力打擊非法信息交易。此時，針對海量個人信息，他人是否有權(quán)對其進行處理加工并利用加工后的成果獲取利益陷入個人信息保護的價值困境。一方面為了維護個人人格尊嚴，符合其人身權(quán)屬性，他人理應(yīng)無權(quán)利用個人信息，但個人僅憑個體的信息很難獲利；另一方面為了實現(xiàn)信息自由，最大化發(fā)揮個人信息的財產(chǎn)價值，需要專門的信息利用者進行開發(fā)，他們在信息處理過程中付出了自己的勞動，理應(yīng)獲得相應(yīng)的報酬，但這樣勢必會在一定程度上損害個人對其信息享有的財產(chǎn)權(quán)。為了明確認定并制止侵害個人信息的行為，應(yīng)在立法過程中將行為內(nèi)容以法律條文的形式明確規(guī)定下來。［5］因此在今后個人信息專門立法活動中，立法者應(yīng)明確個人信息權(quán)的法律屬性，堅持實現(xiàn)信息自由以維護人格尊嚴為前提，從而實現(xiàn)信息主體與利用者之間的利益共贏，充分發(fā)揮個人信息的法益價值。

2.現(xiàn)有相關(guān)法律體系不完善

在我國，個人信息保護在法律法規(guī)、部門規(guī)章、司法解釋以及國家/行業(yè)標(biāo)準(zhǔn)當(dāng)中都有所體現(xiàn)，包括《民法典（草案）》《民法總則》《刑法修正案（九）》《網(wǎng)絡(luò)安全法》《APP 違法違規(guī)收集使用個人信息行為認定辦法》《信息安全技術(shù)個人信息安全規(guī)范》（下稱《個人信息安全規(guī)范》）等等。但是這些規(guī)定覆蓋面較窄，效力層級不高、處罰不具體，闡述不清晰，范圍受局限，內(nèi)容不集中，適用不明確，尚未形成統(tǒng)一的關(guān)于個人信息保護的基本法律體系，尤其是在公共安全衛(wèi)生事件突發(fā)的情況下可操作性較差。

從立法內(nèi)容上來看，許多法律條文規(guī)定的內(nèi)容過于抽象，如《網(wǎng)絡(luò)安全法》中涉及個人信息保護的大多為原則性的條款，數(shù)量較少，主要集中在第四章“網(wǎng)絡(luò)信息安全”。部分法律規(guī)定之間且存在交叉重復(fù)，比如關(guān)于“個人信息必須依法取得”在《民法總則》《網(wǎng)絡(luò)安全法》中都有提到，但是依據(jù)什么法律，違法取得后的處罰措施等都無具體規(guī)定，這樣使得在實踐中相關(guān)案件難以找到審判、執(zhí)行的依據(jù)；再比如我國法律針對非法信息交易處罰的對象僅為信息出售者，但實際上，在這條交易產(chǎn)業(yè)鏈上，信息的購買者、加工者也負有一定的責(zé)任，需要相關(guān)法律進行約束。總體來看，我國法律對個人信息的保護控制大于自由，主要體現(xiàn)為以下四點：一是個人有權(quán)要求制止侵害其個人信息合法權(quán)益的行為。二是收集、使用個人信息的目的、方式和范圍應(yīng)當(dāng)公開并獲得信息所有者的同意。三是個人信息安全由信息收集者和處理者負責(zé)。四是信息收集者不得泄露、篡改、毀損他人信息，不得非法與他人交易，嚴格保密已經(jīng)收集到的個人信息。

二、國外個人信息保護的相關(guān)經(jīng)驗

（一）美國——行業(yè)自律為主

關(guān)于個人信息保護問題，美國采用法律保護與行業(yè)自律相結(jié)合的模式，其中以行業(yè)自律為主，法律保護為輔。行業(yè)自律模式規(guī)范個人信息侵權(quán)行為的手段主要包括：行業(yè)自身網(wǎng)絡(luò)隱私保護、行業(yè)指導(dǎo)、自律規(guī)范、實施網(wǎng)絡(luò)隱私認證計劃等。［6］在大數(shù)據(jù)的網(wǎng)絡(luò)環(huán)境下，行業(yè)自律相較于法律保護有其特殊的優(yōu)勢。首先信息行業(yè)的專業(yè)人士相較于普通人更加了解該行業(yè)的具體情況，通過他們自發(fā)商討所確定的規(guī)則比法律人士制定的法律規(guī)范更具有針對性。通過行業(yè)自律能夠調(diào)和行業(yè)發(fā)展與信息保護之間的矛盾，有利于實現(xiàn)共贏，且“自律”意味著在問題發(fā)生前就進行防范，這種模式比事后懲罰補救要有效的多。在當(dāng)今網(wǎng)絡(luò)環(huán)境下，美國的個人信息保護的自律措施主要有以下兩種：隱私保護認證標(biāo)志和制定行業(yè)自律規(guī)范。［7］美國的行業(yè)自律組織通過對個人信息保護進行認證以實現(xiàn)行業(yè)自律，并利用行業(yè)間的良性競爭發(fā)揮自律規(guī)范的約束作用，典型代表有美國聯(lián)邦貿(mào)易委員會和美國直銷協(xié)會制定的行業(yè)自律規(guī)范。

（二）歐盟——統(tǒng)一立法與“數(shù)字遺忘權(quán)”

歐盟的個人信息保護模式相較于美國的“雙管齊下”，更有“一枝獨秀”之勢，即統(tǒng)一立法模式。隨著各種新型個人信息問題的出現(xiàn)，歐盟保護個人信息的立法活動也在與時俱進。2018 年歐盟出臺《 通用數(shù)據(jù)保護條例》（GDPR），明確將個人數(shù)據(jù)保護列為公民基本權(quán)利，對個人數(shù)據(jù)的主體及其權(quán)利，包括知情權(quán)、訪問權(quán)、更正權(quán)、可攜權(quán)、刪除權(quán)、限制處理權(quán)、反對權(quán)和自動化個人決策相關(guān)權(quán)利做出了明確的規(guī)定。除此之外，歐盟專門設(shè)置了監(jiān)管個人信息保護工作的部門，用于及時應(yīng)訴有關(guān)個人信息侵害案件，第一時間維護個人相關(guān)權(quán)益，防止因時間流逝造成難以彌補的損害。

除此之外，在歐盟的法律體系中還有一個重要的法律概念“數(shù)字遺忘權(quán)”。2012 年1 月歐盟公布《歐盟議會和歐盟理事會關(guān)于個人數(shù)據(jù)處理和自由流動的保護規(guī)則》的建議書，其中第十七條明確規(guī)定了“數(shù)字遺忘權(quán)”。數(shù)字遺忘權(quán)這一概念最早由維克托·邁耶—肖恩伯格于其著作《刪除—數(shù)字時代里遺忘的美德》中提出。［8］關(guān)于數(shù)字遺忘權(quán)的含義各方學(xué)者各有所見，歐盟經(jīng)過長時間的斟酌最終提出了關(guān)于數(shù)字遺忘權(quán)的工作定義，包括兩個方面：“單個人在不違反自由表達情況下享有的要求他人從網(wǎng)站上刪除其個人信息的權(quán)利；網(wǎng)站經(jīng)營者必須從自己的服務(wù)器上立即刪除侵權(quán)信息，同時盡最大努力刪除第三方服務(wù)器上的侵權(quán)信息”。［9］歐盟致力于將數(shù)字遺忘權(quán)納入其個人信息保護法當(dāng)中，《GDPR》中明確規(guī)定了消費者有權(quán)獲得自己數(shù)據(jù)的副本，要求企業(yè)刪除其數(shù)據(jù)，知悉其數(shù)據(jù)被收集、處理、分析的過程。這充分體現(xiàn)出數(shù)字遺忘權(quán)的概念已經(jīng)滲透到歐盟的法律體系當(dāng)中并落入實踐。我國法律中雖然沒有明確“數(shù)字遺忘權(quán)”的概念，但《網(wǎng)絡(luò)安全法》第四十三條在一定程度上體現(xiàn)出“數(shù)字遺忘權(quán)”的含義。雖然我國尚未出臺《個人信息保護法》對個人信息進行專門保護，但在今后的立法活動中必將會把數(shù)字遺忘權(quán)作為一項獨立的權(quán)利加以規(guī)定，這既是我國面對信息技術(shù)飛速發(fā)展帶給個人信息保護的挑戰(zhàn)的必然選擇，也是大數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下保護個人信息安全準(zhǔn)確的必然要求。

（三）日本——《個人信息保護法》

從“個人信息保護關(guān)聯(lián)五法”到2017 年大幅修正后再次施行的《個人信息保護法》，近些年來日本在保護個人信息的立法道路上迎頭前進，對于我國的專門立法工作具有很強的指導(dǎo)意義。該法為了同時滿足信息有效利用與信息保護，規(guī)定了個人信息的基本理念、政府制定的基本方針以及其他保護措施等基本事項，并明確了信息處理業(yè)者的義務(wù)。與我國《網(wǎng)絡(luò)安全法》不同，該法并未具體列舉個人信息的具體內(nèi)容，僅賦予其特定識別的特性。伴隨著信息技術(shù)的發(fā)展，消費者和企業(yè)所面臨的網(wǎng)絡(luò)環(huán)境快速變化，《個人信息保護法》的出現(xiàn)在保護日本消費者的個人信息的同時，對于日本創(chuàng)新產(chǎn)業(yè)服務(wù)有十分積極的意義。

三、突發(fā)公共衛(wèi)生事件中個人信息的保護路徑

（一）個人信息保護的技術(shù)路徑

身份認證作為防止個人信息泄露的技術(shù)關(guān)鍵，必須確保在身份認證環(huán)路中信息存儲與運輸?shù)陌踩?，保證環(huán)路間各個節(jié)點的安全性和合法性。近年來，區(qū)塊鏈技術(shù)受到廣泛關(guān)注，其在數(shù)字貨幣領(lǐng)域風(fēng)頭正勁?！皡^(qū)塊鏈”這一概念最早出現(xiàn)于2008 年“比特幣之父”中本聰所著論文《比特幣：一種點對點電子現(xiàn)金系統(tǒng)》中。2016 年我國工信部發(fā)布了《中國區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展白皮書（2016）》，從狹義和廣義兩個角度對區(qū)塊鏈進行了解釋。從狹義來講，區(qū)塊鏈?zhǔn)且环N鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，每個數(shù)據(jù)塊都包含數(shù)據(jù)、時間戳、關(guān)聯(lián)到上一個數(shù)據(jù)塊的信息以及相應(yīng)的可執(zhí)行代碼，各個數(shù)據(jù)塊按照時間順序進行連接。從廣義來講，區(qū)塊鏈?zhǔn)褂脡K鏈數(shù)據(jù)結(jié)構(gòu)對數(shù)據(jù)進行驗證和存儲，通過分布式節(jié)點一致性算法對數(shù)據(jù)進行生成和更新，使用加密方法來保護數(shù)據(jù)傳輸和訪問，并使用自動腳本代碼組件。［10］總之，區(qū)塊鏈本質(zhì)上是一種去中心化的分布式數(shù)據(jù)庫，允許各方就共享數(shù)據(jù)達成共識。將區(qū)塊鏈應(yīng)用于網(wǎng)絡(luò)身份認證，是當(dāng)今網(wǎng)絡(luò)環(huán)境下保護個人信息的一種新思路。

區(qū)塊鏈技術(shù)應(yīng)用于網(wǎng)絡(luò)身份認證主要有兩個研究方向：一種是利用其去中心化的特性來處理已有的身份認證信息，另一種是基于區(qū)塊鏈創(chuàng)建新的身份證書。

去中心化就是不需要傳統(tǒng)的中心化的第三方服務(wù)器代理，通過點對點的直接交互來構(gòu)建分布式節(jié)點之間的信任關(guān)系，所有節(jié)點是平等且獨立的，即使其中某一節(jié)點損壞或信息丟失，也不會影響整個系統(tǒng)的正常運行，從而降低用戶個人信息被竊聽或泄露的風(fēng)險。區(qū)塊鏈的數(shù)據(jù)塊取代了傳統(tǒng)的第三方服務(wù)器，用戶首先驗證已經(jīng)存在的身份證書，然后將該信息與區(qū)塊鏈上的合法所有者一對一綁定，從而創(chuàng)建一個去中心化的數(shù)據(jù)庫，實現(xiàn)網(wǎng)絡(luò)身份與現(xiàn)實世界主體之間的對應(yīng)關(guān)系。且基于區(qū)塊鏈不可篡改的特性，一旦個人信息數(shù)據(jù)進入到區(qū)塊鏈中便不可篡改，在某種程度上保證了個人信息的安全性。在使用區(qū)塊鏈技術(shù)創(chuàng)建新的身份證書之后，用戶掌握了個人信息的數(shù)據(jù)的所有權(quán)，用戶個人可自由控制自己的數(shù)據(jù)信息，并能基于不同情況授予或廢除對其信息的訪問權(quán)，這在某種程度上保證了個人信息的個人性和私密性。

（二）個人信息保護的市場路徑

1.建立專門的數(shù)據(jù)交易中心

個人信息巨大的商業(yè)價值毋庸置疑，我們在保護個人信息安全的同時，也應(yīng)著手充分發(fā)揮其價值。面對信息交易黑色產(chǎn)業(yè)，國家在嚴厲打擊的同時，也應(yīng)反思其存在發(fā)展的內(nèi)在原因。信息交易有利可圖，與其將其置于“地下”，不如由國家出面，建立專門的信息交易中心，著力將其打造成合法信息交易中的“樞紐”，并在相關(guān)法律中明確其法律地位，使其受到保護和監(jiān)管。這樣有利于營造健康的信息交易市場環(huán)境，完善信息交易網(wǎng)絡(luò)平臺，推動互聯(lián)網(wǎng)信息交易市場的健康發(fā)展，促進新興產(chǎn)業(yè)升級從而推動整個大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。2014 年我國首個大數(shù)據(jù)交易平臺“中關(guān)村數(shù)海大數(shù)據(jù)交易平臺”宣布啟動，主要服務(wù)為合法買賣數(shù)據(jù)，而后各地紛紛出現(xiàn)了信息交易機構(gòu)，整體形勢一片大好。接下來我國需要進一步推進各地的信息交易機構(gòu)聯(lián)結(jié)成線，通過專門的信息交易中心匯集成網(wǎng)，形成一個合理、安全、高效的信息交易管理系統(tǒng)。

2.構(gòu)建個人信息風(fēng)險管理機制

大數(shù)據(jù)時代我國相關(guān)法律雖賦予信息主體控制其個人信息的權(quán)利，但這種控制很難產(chǎn)生實際效果。個人與企業(yè)雖然是平等的民事主體，但無論從財力、人力還是對信息的掌控力，企業(yè)遠勝于個人。因此應(yīng)賦予企業(yè)強制性的義務(wù)，利用其實力對個人信息進行動態(tài)監(jiān)管，構(gòu)建以個人信息處理風(fēng)險評估、安全保障措施為核心的風(fēng)險管理機制。歐盟《GDPR》第三十五條規(guī)定，數(shù)據(jù)控制者面對可能發(fā)生的風(fēng)險，在對數(shù)據(jù)進行處理之前應(yīng)當(dāng)進行風(fēng)險評估。因此，國家或有關(guān)機構(gòu)應(yīng)首先制定出一套與風(fēng)險等級對應(yīng)的處理策略。在企業(yè)在對信息進行加工處理之前，先進行個人信息處理風(fēng)險評估，根據(jù)評估的結(jié)果確定風(fēng)險等級，并采取相應(yīng)措施防范消除風(fēng)險。除此之外，企業(yè)還應(yīng)定期向社會公布個人信息處理風(fēng)險評估報告，使社會公眾充分了解個人信息處理過程中所涉及的相關(guān)風(fēng)險，將選擇權(quán)交給個人。作為該風(fēng)險管理機制的另一大核心，企業(yè)有義務(wù)構(gòu)建完善的個人信息安全保障措施。網(wǎng)絡(luò)運營者為了保障信息安全，應(yīng)采取與風(fēng)險程度相對應(yīng)的安全處理措施，包括定期測試、評估管理措施的有效性，個人信息加密與假名化，發(fā)生事故時及時修復(fù)數(shù)據(jù)可用性、可訪問性等。

（三）個人信息保護的法律路徑

1.制定個人信息保護法

我國目前對于個人信息的法律治理采用的是分散立法的模式，從根本法到各個部門法再到法律規(guī)范、規(guī)章制度，這種模式難以對個人信息保護的全局性、基礎(chǔ)性問題作出規(guī)定，也不利于統(tǒng)籌監(jiān)管和協(xié)作監(jiān)管。因此立法部門應(yīng)學(xué)習(xí)借鑒其他國家先進的立法保護經(jīng)驗，盡快出臺個人信息保護專門法，形成統(tǒng)一規(guī)定的立法模式，以全面應(yīng)對突發(fā)公共衛(wèi)生事件中的個人信息安全問題。在制定個人信息保護專門法時，我們雖然要吸取國外先進的經(jīng)驗，但也不能照搬照抄，而應(yīng)立足于促進對個人信息的利用的同時防止對個人信息的濫用，實現(xiàn)信息產(chǎn)業(yè)發(fā)展與個人信息保護的雙贏。

個人信息保護專門法應(yīng)在現(xiàn)有的法律規(guī)范的基礎(chǔ)上進行整合、修改和補充，消除不同規(guī)范之間的矛盾和混亂，建立起統(tǒng)一規(guī)范的法律體系。根據(jù)我國其他法律在今后制定個人信息保護專門法律時，應(yīng)彌補現(xiàn)行法中的不足，注意以下幾點：首先，應(yīng)該保證個人信息處理全過程公開透明，而不僅局限于事前收集信息這一步，這樣可以讓個人及時了解其在信息處理過程中的權(quán)利、即將面臨的風(fēng)險以及處理者將采用的安全保護措施。在信息交易的產(chǎn)業(yè)鏈中，不僅要保證信息主體與企業(yè)之間的聯(lián)系，其中的協(xié)助者也應(yīng)向信息主體披露信息處理狀況，以便其能隨時行使權(quán)利。其次，我國應(yīng)區(qū)別普通信息與敏感信息，進行差異化保護。對于普通信息可以適當(dāng)降低對信息處理者的要求，擴大無須信息主體明示同意的例外情形。對于嚴重影響信息主體人格尊嚴的敏感信息，則要嚴令禁止收集，即便符合法律規(guī)定的特殊情形，也要由信息主體自主選擇愿意透漏的敏感信息。除此之外，敏感信息的處理過程要嚴格符合法律規(guī)范，處理之后進行利用時必須保證不能給信息主體造成困擾。最后，我國應(yīng)明確規(guī)定個人信息被侵犯前的監(jiān)督管理機制和被侵犯后的救濟機制，明確規(guī)定違法者應(yīng)該承擔(dān)的具體法律責(zé)任。例如賦予諸如國家網(wǎng)信部門、行業(yè)組織相關(guān)監(jiān)督管理職責(zé)，并聯(lián)合新聞媒體、社會公益組織進行宣傳，鼓勵公民個人積極參與；公民因被侵犯個人信息遭受人身或其他嚴重精神損害的，確保投訴有門、協(xié)商有道，有權(quán)就損害事實提起民事訴訟、公益訴訟、行政訴訟，以維護其合法權(quán)益；對于侵害信息主體合法權(quán)益的，通過警告、沒收違法所得、罰款、責(zé)令停業(yè)、吊銷營業(yè)執(zhí)照等行政處罰措施，以及承擔(dān)有關(guān)民事、刑事責(zé)任等多種方式進行處罰。

2.綜合運用部門法相關(guān)條文追究責(zé)任

我國部門法中對于公民個人信息的保護以刑法先行，以《刑法》第二百五十三條之一規(guī)定的“侵犯公民個人信息罪”追究責(zé)任，該罪的認定依據(jù)包括法律、行政法規(guī)、部門規(guī)章等，但目前有關(guān)公民個人信息保護的法律、行政法規(guī)、部門規(guī)章尚不健全，且相關(guān)規(guī)定內(nèi)容偏原則化，這樣一來有關(guān)部門在認定該罪時缺少準(zhǔn)確的根據(jù)，給執(zhí)法者留下較大的自由裁量空間，難免會影響該罪的認定。在突發(fā)公共衛(wèi)生事件時處理個人信息時，應(yīng)從民事、行政、刑事三個角度綜合遵循相關(guān)法律規(guī)范，民事方面以《民法典（草案）》與《民法總則》為主，行政方面以《網(wǎng)絡(luò)安全法》與《治安管理處罰法》為主，刑事方面以最新修訂的《刑法》為主輔以相關(guān)司法解釋。除此之外，針對突發(fā)公共衛(wèi)生事件背景下的個人信息法律保護，還應(yīng)廣泛采納《突發(fā)公共衛(wèi)生事件條例》《傳染病防治法》《醫(yī)療機構(gòu)病歷管理規(guī)定》等作為法律依據(jù)追究相關(guān)責(zé)任者的責(zé)任。

結(jié) 語

公共衛(wèi)生安全事件的突發(fā)在給人們帶來生命健康威脅的同時，伴隨著的相關(guān)問題亦不容忽視。大數(shù)據(jù)時代個人信息具有巨大的人身價值和財產(chǎn)價值，牽動著整個經(jīng)濟社會的和諧穩(wěn)定發(fā)展。但安全是發(fā)展的前提，發(fā)展是安全的保障。要充分發(fā)揮個人信息的價值，就必須致力于其安全保障。面對緊急情況，個人信息保護雖然在技術(shù)、市場和法律方面面臨著一些困境，但在積極吸取國外先進經(jīng)驗的前提下，擺脫困境仍有解決之路徑。一方面將區(qū)塊鏈等新技術(shù)盡早應(yīng)用于個人信息保護領(lǐng)域，實現(xiàn)“硬保護”，另一方面更應(yīng)加快個人信息保護專門立法的進程，實現(xiàn)“軟保護”，除此之外，營造一個安全穩(wěn)定放心的信息產(chǎn)業(yè)市場也至關(guān)重要。此次疫情的發(fā)生雖然在許多方面給我國帶來了新的挑戰(zhàn)，但在國家、社會和每個公民的共同努力之下，疫情一定會盡快得以消除，個人信息也一定會得到更有效的保護。

注釋：

①人民網(wǎng)：第44 次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》發(fā)布，來源：http://media.people.com.cn/n1/2019/0831/c40606-31329137.html，2020年1月5日訪問。

②中共中央網(wǎng)絡(luò)安全和信息化委員會辦公室：《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，來源：http：//www.cac.gov.cn/2020-02/09/c_1582791585580220.htm，2020年2月10日訪問。

③中國消費者協(xié)會：《100 款A(yù)PP 個人信息收集與隱私政策測評》，來源：http：//www.legaldaily.com.cn/IT/content/2018-12/04/content_7710145.htm，2020年1月20日訪問。