肖衛(wèi)華，戴 蕾

(南華大學 經(jīng)濟管理與法學學院，湖南 衡陽 421000)

一 問題的提出

為了應急處理CoviD-19引起的特別重大突發(fā)公共衛(wèi)生事件①，有效預防、及時控制和消除其所引起的危害，保障人民的合法權益和維護社會秩序，各級人民政府、醫(yī)療衛(wèi)生機構等采取聯(lián)防聯(lián)控、群防群控的措施，對確診者、疑似者、密切接觸者等重點人群的個人信息，對流動人口、居家人口的個人信息，對復工復產(chǎn)企業(yè)員工的個人信息，積極利用包括個人信息在內(nèi)的大數(shù)據(jù)分析，進行采集收集，報告發(fā)布疫情。為此，中央網(wǎng)絡安全和信息化委員會辦公室于2020年2月4日發(fā)出《關于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》。個人信息是指以電子或其他的方式記錄的能識別自然人身份的各種信息，其包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、行蹤信息等②。我國《民法總則》第111條和《民法典》(草案)第四編人格權編第六章隱私權和個人信息保護也規(guī)定了個人信息保護的具體私法規(guī)范。但是，在CoviD-19突發(fā)公共衛(wèi)生事件應急處理措施中，對于個人信息的保護仍然存在欠缺。根據(jù)《傳染病防治法》《突發(fā)事件應對法》《突發(fā)公共衛(wèi)生事件應急條例》《國家突發(fā)公共衛(wèi)生事件應急預案》有關規(guī)定，在開展防治突發(fā)事件相關科學研究、傳染源隔離、醫(yī)療救護、監(jiān)測檢驗、衛(wèi)生防護過程中，國家有關機關和社會組織有權對相關人員的身份信息、健康狀況、流行病史和活動軌跡等個人信息進行收集和處理。但是，由于沒有一個完整、系統(tǒng)、條理清晰的個人信息保護法律體系，相關法律法規(guī)條文規(guī)定的內(nèi)容過于抽象，導致其在突發(fā)事件應急處理中的操作性差，以及部分單位和工作人員對個人信息保護和管理的法律意識不強、重視程度不夠，造成一些個人信息泄露、行程曝光，而發(fā)生手機短信轟炸、電話辱罵、歧視、攻擊當事人的偶發(fā)事件。對此，本文結合疫情防控中個人信息保護在法律上作些探討和研究，以推動我國個人信息保護的統(tǒng)一立法。

二 疫情防控中個人信息的收集

疫情防控的前提條件是有效掌握疫情信息，只有獲取足夠的信息，才能針對疫情防控作出精準的決策和實施正確的措施?？紤]到CoviD-19疫情之嚴重性、危害性、區(qū)域性，其應屬于特別重大突發(fā)公共衛(wèi)生事件。針對疫情信息的收集以及處理使用，《突發(fā)事件應對法》《傳染病防治法》等法律法規(guī)對其進行了相應的規(guī)定。

對個人信息進行收集的時候，首先應當明確個人信息和個人數(shù)據(jù)之間的不同。個人信息一般是能夠反映個人情況的特定相關信息?！秱€人資料保護綱領》是保護個人信息最早的國際規(guī)范，該規(guī)范中對個人信息的概念進行了明確，認為個人信息和其他信息的區(qū)別就在于個人信息能夠識別主體作為唯一主體[1]。王利明教授所認為的個人信息是指與特定個人相關聯(lián)，反映個體特征的具有可識別性的復合系統(tǒng)，包括個人身份、工作、家庭、財產(chǎn)、健康等各方面的信息[2]。個人信息與個人數(shù)據(jù)之間的關系隨著計算機技術的發(fā)展呈現(xiàn)“模糊發(fā)展”的趨勢，在法國、德國、英國、芬蘭等國家，對于個人信息方面的保護均用“數(shù)據(jù)”代替“信息”。但個人數(shù)據(jù)與個人信息是兩個不同的概念。個人信息的外延相對個人數(shù)據(jù)就明顯大得多，數(shù)據(jù)僅僅是信息表達的方式之一，信息并不僅僅是通過電子數(shù)據(jù)這一種途徑進行傳播。同時個人數(shù)據(jù)依賴于計算機存在，其具有虛擬性，而個人信息具有客觀性，其是自然人身上客觀存在的能使他人被識別的信息。計算機技術的發(fā)達增加了個人信息在網(wǎng)上的曝光率，與個人信息相關的數(shù)據(jù)權益更容易被他人所侵犯。網(wǎng)絡數(shù)據(jù)是信息的載體之一，網(wǎng)絡數(shù)據(jù)要通過對信息的整合和處理才能精確出來，同時要想確保信息的安全，數(shù)據(jù)以及所寄生系統(tǒng)的安全性就是其要考慮的重要因素。所以就網(wǎng)絡數(shù)據(jù)與個人信息之間來說，兩者又是互相聯(lián)系的。但為了給個人信息以更好的保護，所以有必要將兩者區(qū)別開來，區(qū)別于網(wǎng)絡安全和信息安全，不能簡單地用保護網(wǎng)絡數(shù)據(jù)的一套來保護個人信息。

其次，個人信息的收集應當先征得信息所有者的同意，但是對于該原則性的處理方法是否應當存在例外？《民法總則》第111條與《網(wǎng)絡安全法》第41條規(guī)定信息控制者在收集和使用個人信息時，應當征得被收集者的同意。由此可以看出，個人信息收集遵循的最基本原則是雙方合意，即首先適用《合同法》中的規(guī)定，個人信息的收集在非經(jīng)他人同意的情況下，不得非法收集。在新冠肺炎流行的過程中，部分新聞媒體在未經(jīng)他人同意的情況下對武漢人員信息進行直接披露，在微信群或者朋友圈中對武漢人或感染人群進行信息共享的行為，這對他人個人信息權益造成了嚴重損害。網(wǎng)絡時代中的數(shù)據(jù)共享的出現(xiàn)對個人信息中的合意原則提出了更嚴峻的挑戰(zhàn)。對于信息收集者而言，數(shù)據(jù)共享實際上是信息收集者將其所收集的信息進行再次流轉，可以是針對特定人也可以針對不特定的人[3]。然而就是數(shù)據(jù)共享中再次分享的過程，讓其他信息收集者在沒有得到他人同意的情況下，也可以非法利用他人信息。個人信息權是自然人依法對其本人資料信息所享有的支配并排除他人侵害的人格權[4]。個人信息為信息主體所享有，具有專屬性和強烈的私人性特征[5]。為了保護個人信息，首先應當在收集環(huán)節(jié)嚴格遵守雙方合意原則，以信息所屬人同意為前提條件。但根據(jù)《傳染病防治法》中對衛(wèi)生行政部門、疾控中心、醫(yī)療機構收集個人信息的特別規(guī)定，可知考慮到疫情防控的必要性，上述主體可以在沒有經(jīng)過他人同意的前提下對他人信息進行收集，這顯然與《民法總則》中規(guī)定的知情同意權存在沖突。但《民法總則》中所規(guī)范的是平等主體之間的民事法律關系，私人利益是其保護的重點。而《傳染病防治法》《突發(fā)公共衛(wèi)生事件應急條例》等衛(wèi)生法律法規(guī)的基本目標是為了對疫情進行預防和控制，應對突發(fā)公共衛(wèi)生事件，保護公共健康利益，規(guī)制衛(wèi)生行政部門、疾控中心和醫(yī)療機構對確診者、疑似者、密切接觸者等重點人群的個人信息采集收集行為?！秱魅静》乐畏ā废鄬Α睹穹倓t》來說，在疫情防控中收集個人信息系公法規(guī)范，盡管個人信息具有強烈的私人性特征，但是在公共利益與私人利益存在沖突的情況下，個人權益應當讓渡于公共利益。緊急情況下需要利用個人信息時，衛(wèi)生行政部門、疾控中心可以依照法律規(guī)定或授權對個人信息進行收集，并不需要征得信息主體同意，而且應當告知信息主體必須如實提供個人信息，如果虛報、隱瞞個人信息導致疫情擴散、傳播，則應承擔法律責任，嚴重的還要承擔刑事責任。

最后，疫情期間個人信息收集的主體及其責任?！秱魅静》乐畏ā返?2條為其提供了法律依據(jù)。該法條規(guī)定單位和個人必須接受疾控機構、醫(yī)療機構有關傳染病的調查、采集樣本、隔離治療等預防、控制措施，如實提供有關情況。在此過程中，疾控機構、醫(yī)療機構不得對其中涉及個人隱私的有關信息、資料進行泄露。如果衛(wèi)生行政部門以及其他有關部門、疾控機構和醫(yī)療機構所實施的措施違法，單位和個人合法權益造成損害的，受損的單位和個人可以依法申請行政復議或提起訴訟。可見在疫情防控中，除企業(yè)組織、員工個人可依照合意原則對個人信息進行收集之外，疾控中心、醫(yī)療機構和衛(wèi)生健康行政管理部門以及其他有關部門可以對個人信息進行收集。疫情防控應當嚴格遵守習近平總書記的重要講話精神，進行依法防控。這些主體作為把握疫情全局的主體，其對疫情的收集應當更為嚴肅認真，嚴格依照法律的規(guī)定進行收集。在突發(fā)公共衛(wèi)生事件的特殊時期，個人信息收集應堅持“合法、正當、必要”的原則，在收集他人信息的同時，應當同時保證他人的知情權，對收集的信息進行適當?shù)墓?，但也應當遵循最小比例原則，對于其中的敏感信息③不得隨意公布。對于收集的信息予以公布，應當堅持“誰收集，誰公布”，同時為了保證收集信息的安全，應當明確“誰收集，誰負責”，為個人信息的收集提供更好的程序保障。

三 疫情防控中個人信息的處理

個人信息的處理包括個人信息的使用、加工、公布、傳輸?shù)取！袄硇匀恕崩砟顬楝F(xiàn)行的個人信息保護法律規(guī)范提供了指引，其強調個人信息主體的自主支配和自我責任[6]。但是在疫情期間，考慮到疫情的突發(fā)性和緊迫性，所以為了更及時地保護公共利益，需要對特殊時期的個人信息處理作出特別規(guī)定。因此，在這主要針對國家機關、疾病控制中心、醫(yī)療機構等其他主體在特殊時期應當如何對收集到的個人信息進行處理利用。

首先，國家機關對個人信息的處理。疫情防控期間，國家機關中發(fā)揮關鍵作用的主要是各級衛(wèi)生行政部門和各級人民政府。在CoviD-19疫情中，國家機關實施了一系列公共衛(wèi)生應急措施，其中包括運用大數(shù)據(jù)分析、住戶排查、流動人口登記，收集確診、疑似、發(fā)熱患者、密切接觸者、流動人口的個人信息。在此過程中，由于國家機關身份的特殊性，所以其更應當謹慎處理個人信息。《傳染病防治法》中規(guī)定衛(wèi)生行政部門可以出于傳染病防控的需要，采取包括個人信息在內(nèi)的傳染病信息收集和處理?！秱魅静》乐畏ā贰锻话l(fā)事件應對法》《突發(fā)公共衛(wèi)生事件應急條例》等法律法規(guī)中對各級政府機關在疾病防控中的職責進行了規(guī)定，在遵從統(tǒng)一領導原則下同時奉行屬地原則要求。正如上面所論述的，各級衛(wèi)生行政部門和各級人民政府只能出于維護公共利益的目的對個人信息進行利用。由于個人信息內(nèi)容的多樣化，上述主體在使用個人信息時，應當對個人信息進行加工處理，將其中的敏感信息分離出來，不得超出與其所實施疫情防控措施相對應的范圍，實現(xiàn)敏感信息保護和一般信息使用之間的平衡[7]。作為國家機關，保障人民合法權益是其首要目的，在使用個人信息的過程中，考慮到公共利益概念的模糊性，而且為了穩(wěn)定疫情期間的人心，所以有必要由專門的職能部門對信息使用狀況進行及時公布，以保障信息所屬者及其他相關人員的知情權，確保疫情防控工作的順利進行。

其次，疾病控制機構、醫(yī)療機構對個人信息的處理利用。在CoviD-19重大突發(fā)衛(wèi)生事件中，疾病控制機構和醫(yī)療機構這兩個主體發(fā)揮了重要的作用。其中疾病控制中心是由政府舉辦的實施疾病預防控制與公共衛(wèi)生技術管理和服務的公益事業(yè)單位，其使命主要是通過對疾病的預防控制，保障人民健康和維護社會穩(wěn)定。醫(yī)療機構因其分類不同，其所具有的性質也不同，但是都或多或少具有盈利性?！秱魅静》乐畏ā返?7條、第18條規(guī)定各級疾病預防控制機構有權對傳染病發(fā)生、流行以及影響其發(fā)生、流行的因素，進行監(jiān)測。該法同樣也規(guī)定醫(yī)療機構可以在各級衛(wèi)生行政部門或疾病預防控制機構的指導下實施疾病預防控制措施。兩者在實施疾病預防控制措施的過程中，必然會涉及到對例如病患的姓名、家庭詳細住址、行程軌跡、接觸人員、等個人信息的使用。兩者在使用他人個人信息時，應當嚴格保證信息的安全，不得私自對與疫情相關的個人信息進行公布和分享。在疫情防控的過程中所獲悉的與疾病控制密切相關的信息，應當遵循疫情報告屬地管理原則，及時上報各級衛(wèi)生行政部門和各級政府機關。

最后，不管是企業(yè)組織、員工個人、醫(yī)療機構還是國家機關，在對他人信息進行處理使用的時候，都需嚴格遵守最小比例原則，將使用范圍控制在使用目的所必需的范圍內(nèi)。同時注意對他人個人信息的保護，采取恰當?shù)谋Ｗo措施。對于沒有實施安全到位的措施致使信息泄露的，應當承擔相應的民事責任甚至刑事責任。對他人信息利用完之后，應當在他人同意的前提下進行封存或者進行銷毀，以保障當事人的個人信息權。

四 個人信息保護立法的建議

對于任何國家、政府、部門、各行各業(yè)來說，個人信息都必須十分重視，其更是一個國家所不容忽視的國家安全戰(zhàn)略。在發(fā)生突發(fā)事件這樣的特殊時期，更應當確保個人信息收集的真實和完整。針對CoviD-19疫情爆發(fā)流行引發(fā)的特別重大突發(fā)公共衛(wèi)生事件應急措施中對個人信息收集處理所存在的問題，個人信息保護制度仍需要完善。

首先，網(wǎng)絡數(shù)據(jù)規(guī)制不能代替?zhèn)€人信息的保護。個人信息經(jīng)過計算機處理在電腦上呈現(xiàn)出來就成為了電子數(shù)據(jù)，信息通過數(shù)據(jù)形式生成、傳播和儲存，目前我國對于網(wǎng)絡數(shù)據(jù)的安全，主要是通過《網(wǎng)絡安全法》來進行規(guī)制。但是正如上面所論述的個人數(shù)據(jù)與個人信息之間是不同的，數(shù)據(jù)缺乏特定性和獨立性，其交易受制于信息的內(nèi)容，其價值的實現(xiàn)也依賴于數(shù)據(jù)安全[8]。而個人信息盡管具有較強的人身依附性，但是其仍然能夠獨立于主體之外，被他人進行利用，從而具有財產(chǎn)性。從《網(wǎng)絡安全法》第1條可知該法的制定目的更多偏向于對網(wǎng)絡安全、數(shù)據(jù)安全的保護，其忽略了從個人信息獨有的特征出發(fā)進行考慮，更多的堅持網(wǎng)絡安全與信息化發(fā)展并重。目前非法買賣個人信息系已成為新興產(chǎn)業(yè)，對于個人信息的侵害并不僅僅只限于網(wǎng)絡這一種途徑，然而對其他途徑造成的個人信息損害并未有具體規(guī)定，這為我們以后的個人信息保護留下了隱患。盡管在很多國家和地區(qū)都趨向于將“信息”和“數(shù)據(jù)”兩個概念等同來加以使用，但我們應該要注意兩者的不同，給個人信息更全面、統(tǒng)一的保護，網(wǎng)絡數(shù)據(jù)的規(guī)制并不能代替?zhèn)€人信息保護的立法。

其次，公開透明原則與比例原則的協(xié)調。個人信息與政府信息存在顯著不同，政府信息的公開是政府機關的職責所在，但是個人信息卻因為其關系到個人隱私問題，所以一旦個人信息被濫用，將會給他人的經(jīng)濟、精神和財產(chǎn)等方面帶來損失，所以其不能隨便進行公開。但正如學者姜盼盼所說的，個人信息兼具個人利益和公共利益雙重屬性[9]，在涉及到公共事件處理的同時，需要對個人信息進行公布。公開透明的程序才能更好地保障公民的知情權，加強信息主體對自己信息的控制權，即決定啟動或停止個人和組織收集自己的信息[10]。個人信息保護制度要求或提倡個人信息收集的公開透明，以保證個人信息不會被秘密收集，同時為了保證信息不被過度收集、過度處理與過度儲存，收集利用主體應當堅持比例原則，正如2020年2月4日中央網(wǎng)信辦發(fā)布的《關于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作》通知，即要求疫情期間收集他人信息應當堅持最少收集原則，只能對疫情防控所必需的信息進行收集，而且個人信息的儲存期限不能超過必要時限。

再次，堅持個人信息安全管理原則。對個人信息進行完收集和利用的同時，應當加強對個人信息的安全管理，在利用個人信息的時候，考慮到信息統(tǒng)計的必要性，應當加強對個人信息的保護。《傳染病防治法》《突發(fā)事件應對法》《突發(fā)公共衛(wèi)生事件條例》中對國家機關、疾控中心、醫(yī)療機構等征集和利用他人個人信息的責任進行了簡要規(guī)定，盡管這些主體在收集和利用個人信息時并不要求嚴格征得他人同意但也要求對收集的信息進行安全管理。其他主體在處理使用他人個人信息應當征得他人的同意，對此雙方可以按照雙方契約中所規(guī)定的那樣對個人信息進行安全管理。明確了何人在何種情況下可以使用個人信息，同時應明確個人信息如何進行安全管理。信息的安全管理首先應當伴隨著信息控制者的責任制度，對個人信息主體對所受損失應如何救濟進行規(guī)定，建立以賠償責任為核心的信息控制者責任[11]。

最后，《個人信息保護法》的制定應當以私權為中心并且兼顧公共利益。我國《憲法》第40條對公民信息權作了根本性的規(guī)定，另外對于個人信息的保護其他法律也進行了重要的規(guī)定，這些規(guī)定構成了我國個人信息保護體系。但是縱觀目前我國對于個人信息的保護，其被零散地規(guī)定在各個法律法規(guī)中，缺乏系統(tǒng)性，這在一定程度上削弱了對個人信息的法律保護力度。全球將近90多個國家和地區(qū)對個人信息的保護制定了相關法律和規(guī)定，同時伴隨著計算機技術的不斷發(fā)展，相應的法律法規(guī)也在不斷完善。德國是最早通過隱私保護法的國家，其對泄露個人信息的行為懲罰格外嚴厲，特別是數(shù)據(jù)保護專員制度對個人信息保護起到了非常大的作用[12]。美國在個人信息方面的保護，盡管沒有設立專門的個人信息保護法，但在該國的《隱私法》中對個人信息保護都做了詳細的規(guī)定，對政府部門收集、使用和披露個人信息的方式以及信息主體的權利義務都做了詳細規(guī)定。較之于國外完善的個人信息保護制度，我國在這方面的制度尚存在不足，個人信息的保護缺乏專門的法律，對平常的保護和特殊時期的保護僅僅進行了抽象的規(guī)定，這顯然保護力度不夠，仍需要制定專門的《個人信息保護法》進行規(guī)制。個人信息權具有私人屬性，信息使用主體對信息的收集權力是來源于個人對其權利的讓渡，所以盡管個人信息具有雙重屬性，但制定個人信息保護法的首要目的應是保護自然人的個人信息權，其應當堅持以私權為中心，同時兼顧其公益性。

五 結 語

CoviD-19疫情爆發(fā)流行引發(fā)的特別重大突發(fā)公共衛(wèi)生事件應急措施中對個人信息收集利用發(fā)揮了非常重要作用，但也存在著一定的對個人信息保護不力，侵害個人信息利益的問題。個人信息和網(wǎng)絡數(shù)據(jù)是兩個不同的概念，但也有相通之處，只有認識到兩者的不同，正確認識個人信息的屬性，才能更好地保護個人信息。計算機技術的大數(shù)據(jù)分析，使個人信息被侵害的可能性增大，其隨時有可能受到來自各方的侵害，正所謂有侵害才有需要保護的余地，為了確保各個主體對個人信息收集使用的合法性，將個人信息的保護限定在法律層面，完善個人信息法律保護制度，促使《個人信息保護法》早日出臺。

注釋：

①《國家突發(fā)公共衛(wèi)生事件應急預案》1.3中對突發(fā)公共衛(wèi)生事件進行分級，其根據(jù)突發(fā)公共衛(wèi)生事件性質、危害程度、涉及范圍，突發(fā)公共衛(wèi)生事件劃分為特別重大(Ⅰ級)、重大(Ⅱ級)、較大(Ⅲ級)和一般(Ⅳ級)四級。

②《中華人民共和國網(wǎng)絡安全法》第76條(五)以及《中華人民共和國民法典》(草案)第1034條。

③我國首個個人信息保護國家標準——《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》中將個人信息分為敏感信息和一般信息，其規(guī)定個人敏感信息在收集和利用之前，必須首先獲得個人信息主體明確授權。