馬 莉

（蘭州大學經(jīng)濟學院，甘肅 蘭州730000）

為迅速應對2021年冬春季新冠肺炎疫情的二次爆發(fā)，筑牢疫情防控安全線，以科學網(wǎng)絡技術為支撐的“大數(shù)據(jù)抗疫”被廣泛應用于疫情防控的整個階段。個人信息數(shù)據(jù)作為形成健康碼、健康通行證等抗疫產品的主要要素，在防疫效率的提升方面起著舉足輕重的作用。伴隨數(shù)據(jù)共享紅利而來的是個人信息收集渠道的多元化及轉發(fā)量、曝光率的增加，這使個人隱私信息存在被反噬的風險。疫情防控期間，信息主體的個人信息被濫用、隱私被泄露、權益被損害的事件層出不窮，折射出信息主體的個人信息與信息使用者的大數(shù)據(jù)集在疫情防控工作中面臨客體交叉和利益沖突的局面，導致雙方圍繞個人信息處理及數(shù)據(jù)價值挖掘產生劇烈的分歧與矛盾。利益沖突的調和有賴于權利制度的科學構建與機制實施。這不僅需要在個人信息的使用過程中平衡各主體間的利益，還需要恰當考慮多重價值和利益的實現(xiàn)，構建合理正當?shù)膫€人信息處理法律基礎，使社會整體福利最大化?；谶@樣的原則，對個人信息處理行為的外部性進行規(guī)制，有助于疫情防控期間在一個更為完整的尺度上把握個人信息的保護與利用，從而提高個人信息數(shù)據(jù)資源在疫情防控工作中的配置效率。

一、疫情防控背景下個人信息處理行為的雙重外部性

外部性定義的核心為“邊際私人成本、邊際私人收益與邊際社會成本、邊際社會收益的不等同”［1］。當私人行為給社會上其他組織或成員帶來收益，自己卻不能因此得到好處時，表現(xiàn)為邊際私人收益小于邊際社會收益，即“外部經(jīng)濟”（或稱作“正外部性”）；當私人的行為給社會上其他個體帶來危害，自己卻不為此支付成本時，表現(xiàn)為邊際私人成本小于邊際社會成本，即“外部不經(jīng)濟”（或稱作“負外部性”）［2］。具體到“數(shù)字戰(zhàn)役”背景下個人信息數(shù)據(jù)處理的全生命周期關聯(lián)場景，個人信息處理與數(shù)據(jù)資源在防疫工作中的開發(fā)利用互為表里，個人信息數(shù)據(jù)在分析疫情發(fā)展形勢、防止疫情蔓延、協(xié)助政府決策等方面的價值挖掘有賴于海量的個人信息數(shù)據(jù)資源。海量的個人信息既可能施加信息主體以信息安全風險或施加信息控制者以數(shù)據(jù)泄露他用等負外部性，也可能帶給信息使用者（個人、各級政府機構、營運商、醫(yī)療機構）以算法優(yōu)化設計分享“數(shù)據(jù)紅利”的正外部性。可見，“數(shù)字戰(zhàn)役”背景下個人信息處理的雙重外部性交互影響。

（一）疫情防控背景下個人信息處理行為的負外部性

“數(shù)字戰(zhàn)役”背景下，為保證聯(lián)防聯(lián)控工作的順利開展，《突發(fā)公共衛(wèi)生事件應急條例》規(guī)定，傳染病暴發(fā)流行時，基層工作組織應當組織力量，協(xié)助做好疫情信息的收集等工作。此外，一些提供健康碼查詢服務的機構和提供疫情報告數(shù)據(jù)的各類運營商也被賦予了采集、排查和整理相關疫情信息的智能。這無疑擴大了以政府為代表的公共權力，與之相對的是個人權利的縮減。在負外部性的條件下，這種關系的變化以讓渡個人利益為代價，使個人信息處理行為在防疫工作中的私人成本（政府及相關機構付出的代價）小于社會成本（對信息持有者造成損害的成本）。成本分擔的不對稱性導致信息使用者對個人信息資源的無限制收集，信息使用者的有限理性及盲目追求防疫效果最大化又會造成個人信息使用不善、不當甚至濫用的情況，這些行為最終使個人信息走向“公地悲劇”的負外部性道路。具體表現(xiàn)在：首先，突發(fā)公共衛(wèi)生事件中，為防止疫情迅速蔓延，各級鄉(xiāng)政府對居民的個人信息進行地毯式、網(wǎng)格化收集，一些所謂“硬核”的防疫措施也層出不窮，面對海量的個人信息數(shù)據(jù)，由于信息收集者缺乏相應的信息處理技術及監(jiān)管機制，不僅難以克服數(shù)據(jù)處理及治理技術障礙難題，還難以防范數(shù)據(jù)處理過程中的風險因素，從而導致疫情防控過程中個人隱私泄露和無序傳播的事件屢見不鮮。作為個人信息所識別的特定主體，一旦信息遭受泄露，不僅使信息主體遭受網(wǎng)絡暴力與歧視對待，還嚴重威脅信息主體的合法權益及人格利益。其次，“數(shù)字戰(zhàn)疫”背景下，為做好疫情的聯(lián)防聯(lián)控工作，大部分地區(qū)鼓勵各類運營商、醫(yī)療機構、交通運輸?shù)认嚓P部門將數(shù)字信息技術不斷地應用到防疫抗疫工作中，以利用技術平臺強大的分析整合能力提高疫情防控工作的精準性和時效性。在調動有能力的企業(yè)利用大數(shù)據(jù)進行分析、處理個人信息的過程中，無疑將大部分個人信息（包括敏感度極高的個人隱私信息） 作為數(shù)據(jù)資源掌握在了大型企業(yè)手中。“公地悲劇”理論揭示由于產權不明導致公地過度使用至資源枯竭的現(xiàn)象，疫情防控工作中由于對個人信息數(shù)據(jù)的產權及營運商的權利沒有清晰的界定，加之營運者的有限理性可能會驅使其對承載人格利益的個人信息進行深度挖掘并另作他用?；凇袄硇匀恕奔僭O，面對數(shù)據(jù)紅利，理性人追求經(jīng)濟最大化的主張無可厚非，但表征人格利益的個人信息一旦被企業(yè)用來牟利，這不僅侵犯了個人信息所承載的人格利益，也將會帶來數(shù)據(jù)壟斷或數(shù)據(jù)濫用等一系列失范的信息利用活動。

（二）疫情防控背景下個人信息處理行為的正外部性

“數(shù)字戰(zhàn)疫”背景下，個人信息的處理和利用貫穿于整個疫情防控工作的始終，發(fā)揮著傳統(tǒng)疫情應對方式所難以比擬的效果，具有給社會及其他個人帶來收益的正外部性。

首先，于信息使用者而言。疫情防控期間，利用大數(shù)據(jù)云計算等科技手段對所收集的數(shù)據(jù)進行風險關聯(lián)性比對分析，通過分析重點人群的流動情況監(jiān)測疫情傳播路徑與確定疑似感染者，為疫情工作的高效化提供了“智慧支撐”。在數(shù)據(jù)處理過程中，取用的信息數(shù)量愈多、范圍愈廣，其數(shù)據(jù)分析挖掘的價值愈有效、愈精確，愈能發(fā)揮個人信息開發(fā)利用的“規(guī)模收益遞增”規(guī)律。這不僅在時間和空間維度上為政府防控工作安排與決策提供適應新形勢的參考數(shù)據(jù)，還豐富了行政主體管理公共事務的方式從而提升政府的治理水平。另外，個人健康醫(yī)療信息的共享和利用也有助于互聯(lián)網(wǎng)醫(yī)療平臺的建設與發(fā)展，例如百度APP開通的“在線問醫(yī)生”免費通道，騰訊上線“發(fā)熱門診地圖”、今日頭條等APP平臺上線的“肺炎防治”頻道，這些平臺的研發(fā)和使用，不僅為社會群體提供有關疫情的預防、自查、及時就診咨詢等服務，還有助于緩解疫情高峰時醫(yī)院的負荷、減少線下交叉感染的概率，發(fā)揮個人信息開發(fā)利用在網(wǎng)絡方面的正外部性。

其次，于社會公眾而言。大數(shù)據(jù)背景下，公共部門對個人信息的使用，也逐漸成為實現(xiàn)政務“大數(shù)據(jù)”的有效支撐。政府的信息公開活動，從本質上來講是公共服務職能的體現(xiàn)。疫情防控期間，政府機構對有關疫情信息的及時披露，不僅滿足了社會公眾對疫情信息的知情權，也有利于引導社會公眾降低自我風險、有序地參與到疫情防控工作中，從而緩解社會恐慌、穩(wěn)定社會治理秩序。此外，個人健康醫(yī)療信息作為個人信息的組成部分，對使用者、被使用者、全社會乃至整個國家都具有一定的積極價值。當整個社會所有人的生命受到疫情威脅的時候，醫(yī)療機構對個人信息的收集、使用、共享，在公共衛(wèi)生領域有利于公共利益的保障。因此，個人信息在疫情防控工作中的使用，在保護不特定社會公眾的生命和健康權及維護社會秩序方面也發(fā)揮著正效應。

（三）雙重外部性原因分析

一方面原因是多元信息主體間的沖突與矛盾。在法律經(jīng)濟學的視角下，利益主體的“理性人”特征和個人信息的公共物品屬性必然造成外部不經(jīng)濟，使得利益沖突成為常態(tài)［3］。“數(shù)字戰(zhàn)疫”背景下，個人信息具有私人人格利益和社會公共利益的雙重利益屬性，個人信息處理行為在不同的場景模式下體現(xiàn)著不同主體的利益訴求，呈現(xiàn)出多方利益共存的復雜局面。為應對突發(fā)公共衛(wèi)生事件，各主體都希望在既有的約束下追求自身效用最大化，信息主體追求個人信息權利最大化；信息使用者追求抗疫效果最大化；國家追求公共治理水平最大化，三方主體基于不同的目標作出最有利于自己的理性選擇。信息使用者為了實現(xiàn)防疫效果最大化，收集個人信息的過程中往往為了收集數(shù)據(jù)而收集數(shù)據(jù)，很少考慮自身行為給信息持有者帶來的不利影響；政府為了保障社會公共利益收集和披露相關個人信息，亦有可能遭到信息持有者的反對；信息主體為了捍衛(wèi)個人信息所附著的人格自由及財產利益，會對信息的處理行為提出嚴格的要求，甚至會限制個人信息的使用。多元主體追求各自效益最大化的行為使個人信息在處理過程中價值沖突與矛盾成為常態(tài)，這必然導致個人信息處理行為存在一定的外部性。

另一方面原因是個人信息保護法律法規(guī)的缺位。我國個人信息保護的法律體系呈現(xiàn)出民法、刑法并行，行政法總體缺位的情形。總體上看，在過去的幾年里，個人信息立法在民事和刑事領域中取得了初步成果，我國《民法典》第一千零三十五條指出在個人信息的收集、存儲、使用、加工、傳輸、提供、公開的全生命周期處理過程中，應當遵循合法、正當、必要原則，不得過度處理?！毒W(wǎng)絡安全法》專章規(guī)定網(wǎng)絡用戶數(shù)據(jù)信息取用行為不僅要遵循“合法、正當、必要”與目的限定原則，還要遵從向用戶“告知同意”程序規(guī)范和對用戶信息轉移“去身份化”要求［4］?！秱€人信息安全規(guī)范》從信息的收集、保存、使用、共享、轉讓、公開披露等方面詳細規(guī)定了個人信息處理行為規(guī)范?？v觀現(xiàn)行法律規(guī)范，這些法律規(guī)定在一定程度上對人信息處理過程中的外部性規(guī)制起到了支撐作用，但在突發(fā)事件應對中，政府是否可以利用個人信息以及如何利用、利用限度何在等問題，則完全空白。至于應急狀態(tài)下的個人信息利用規(guī)則，現(xiàn)行立法幾近空白，只有《傳染病防治法》等個別法律對“個人隱私”稍有涉及?？偟膩砜?，在突發(fā)公共衛(wèi)生事件中有關個人信息安全的法律法規(guī)呈現(xiàn)分散立法、多頭疊出的模式，對利益相關者的權利義務缺乏明確規(guī)定，無法對信息使用者收集和處理信息的相關行為構成有效的約束，從而引發(fā)個人信息數(shù)據(jù)在處理的全生命周期中呈現(xiàn)正負外部性共存的局面。

二、雙重外部性下個人信息處理行為規(guī)制的兩難困境

（一）規(guī)制個人信息處理行為中告知同意規(guī)則的兩難選擇

“數(shù)字戰(zhàn)疫”背景下，個人信息作為一種社會資源，被廣泛地應用于疫情防控的整個過程。作為提高疫情防控效率的強大資源，其以犧牲個人信息權利為代價而實現(xiàn)整體社會福利最大化。但這與個人信息安全之間的矛盾，使個人信息在使用和處理過程中面臨正負外部性的激烈沖突。一方面，為了保護信息主體的自決權，法律法規(guī)將信息主體的知情同意原則作為個人信息保護的基石，但如果過多地強調信息主體的個人利益，個人信息將會被禁錮起來，不僅成為疫情防控的障礙，還會影響社會的發(fā)展。因此，適用告知同意及“信息最小化”規(guī)則規(guī)制個人信息處理行為不僅不符合實際，也會額外增加社會成本，從而約束其正外部性的實現(xiàn)。另一方面，為使個人信息開發(fā)利用在防疫工作中產生“公地喜劇”式效應，政府利用個人信息的范圍不斷深化與廣化其程序要求也不斷降低，如《信息安全技術個人信息安全規(guī)范》5.6的規(guī)定使知情同意原則處于失靈的狀態(tài)。這不僅擴大了個人信息使用者的范圍與信息使用權限的外延，也為營運商利用大數(shù)據(jù)分析技術發(fā)揮“數(shù)據(jù)紅利”的正外部性創(chuàng)造了條件。然而，面對“分散式”的海量信息，由于多元收集主體缺乏科學的管理和保護舉措，使其在收集和處理個人信息的過程中不僅帶給信息持有者個人信息被過度識別、竊取他用、隱私泄露等數(shù)據(jù)安全風險的負外部性，也同樣增加了個人信息保護的負擔，給國家的安全治理帶來了壓力。

（二）規(guī)制個人信息處理行為中去身份化規(guī)則的兩難選擇

“數(shù)字戰(zhàn)役”背景下，個人信息的開發(fā)利用在保障社會公眾知情權、醫(yī)療事業(yè)發(fā)展、國家疫情防控調度等公共利益的同時不可避免地將部分個人敏感及隱私信息暴露在公眾視野下，這種沖突與矛盾使信息處理過程中呈現(xiàn)正負外部性交互影響的局面。突發(fā)公共衛(wèi)生事件中，個人信息既是監(jiān)控和預測疫情發(fā)展趨勢的主要要素，又是疾病監(jiān)測、診斷治療、病毒研究中必不可少的判斷依據(jù)。同時，個人信息數(shù)據(jù)的真實性和精確性是大數(shù)據(jù)分析結果準確的前提。對社會公眾來說，個人對疫情信息了解得越充分，越精確，就越有利于分析、排查、遏制身邊潛在的疫情威脅，從而根據(jù)對疫情的研判及時作出應對措施以降低自我風險；對醫(yī)療機構來說，醫(yī)護人員對個人醫(yī)療信息了解得越全面，越精準，越有利于病患者醫(yī)治與醫(yī)學研究，這就對個人信息的收集和披露內容提出了更具體更詳細的要求。但是，為避免個人信息公開披露所致的外部性風險———正如《關于做好個人信息利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》中指出，個人信息收集的對象原則上限于重點人群，因聯(lián)防聯(lián)控工作確實需要公開“重點人群”個人信息的，但也必須經(jīng)過脫敏化處理。若嚴格遵循脫敏及最小公開原則對個人信息采取嚴格的去身份標識與脫敏處理以規(guī)制其負外部性，難免會削弱其原始數(shù)據(jù)在防疫效果上的潛在價值，導致個人信息數(shù)據(jù)的防疫價值“斷崖式”下跌。

（三）個人信息處理行為規(guī)制的價值取向分析

考量外部性的關鍵在于通過比較社會成本與社會收益的高低來作出權衡取舍，以此避免較嚴重的損害?；谶@一原則，從成本——收益角度來看，最低成本與最高收益反映的實質就是效率，這就要求在進行利益衡量的過程中，將不利利益分配給能夠在預防發(fā)生意外損失時付出較低成本的一方，可以減少損失產生所付出的社會成本。從另一角度講，就是用相同的預防成本來獲取更大的社會總產出。因此，“數(shù)字戰(zhàn)役”背景下，只要我們能夠找到個人信息處理的權利界限并配合以合理的法律規(guī)制，在一個合理的限度內以犧牲個人微小的利益為代價就能換取整個社會福利水平的提高。問題是如何在個人信息處理過程中確立一個最佳的注意水平，使個人信息主體權利克減最小的同時又能提高疫情防控的效率，對此，本文沿著侵權法經(jīng)濟分析的常用途徑——漢德公式，進行分配預防義務、分擔事故風險的分析，為疫情防控期間個人信息處理的最優(yōu)注意水平提供理論導向。

信息主體的個人信息遭受泄露及濫用，主要風險環(huán)節(jié)涉及政府機構、網(wǎng)絡運營商及其他機構等主體，無論是非法利用個人信息以牟利利益，還是防護不當遭受個人信息泄露，都可以采取侵權責任規(guī)則來推定信息使用者的侵權責任。原因在于，疫情防控工作中，個人信息由信息使用者直接掌控，在預防個人信息泄露及權利被侵害的能動性方面，個人信息使用者有著更大的預防事故成本的責任，只要稍微提高預防成本（加大對個人信息的保護）就可以在一定程度上降低信息持有者的損害成本（個人信息安全風險）。而消費者處于被動狀態(tài)，可提供的注意水平幾乎為零。根據(jù)波斯納的觀點，侵權法將嚴格責任加于那些涉及很高危險度，而只靠行為人注意或潛在受害人改變其行為無法防止的活動［5］。因此，疫情防控工作中，嚴格責任規(guī)則可以強化信息使用者保護個人信息的安全意識。

漢德公式是以B（預防成本）與PL（損失概率*實際損失，即預期損失）的關系來提供判斷責任和提供預防水平的依據(jù)，B是關于注意水平X的單調遞增函數(shù)，PL是關于注意水平X的單調遞減函數(shù)?；谝咔榉揽仄陂g個人信息利用中“損害具有相互性本質”，將PL函數(shù)曲線從單調遞減的曲線改進為U型曲線，如圖1所示：

B預防成本曲線隨著預防水平的增加而上升，PL預期損失曲線先下降后上升。在（0，X*） 區(qū)間，隨著個人信息使用者的注意水平的增加，對個人信息主體挽回的利益損失逐漸高于由于個人信息嚴格管制阻礙疫情防疫工作的損失，直至A*點處，此時社會總損失達到最低。當預防水平超過X*后，信息使用者的預防水平持續(xù)增加，阻礙疫情防疫工作的損失將超過對個人信息持有者挽回的利益損失，所以社會總損失逐漸上升?；谏鐣＠阶畲蠡紤]，為了不遏制疫情防控工作的效果，同時對個人信息保護起到一定的激勵作用，最優(yōu)預防水平是A*點對應的預防水平值，一旦超過該點，從成本收益上來講是不合理且無效率的。波斯納認為，判斷一個法律規(guī)則的效率及正確的態(tài)度，是向將來看這種規(guī)則是否可以產生讓當事人在將來有效率作為的激勵，所以適度的威懾水平尤為關鍵［6］。所以，在個人信息處理行為的規(guī)制過程中，必須對個人信息權利進行界定并通過價值的選擇和整合保證預防水平維持在A*點處。

圖1 個人信息處理行為的預防損失與預防成本示意圖

三、“數(shù)字戰(zhàn)役”背景下個人信息處理行為的外部性規(guī)制

數(shù)字戰(zhàn)疫背景下，個人信息兼有隱私自主價值和在社會交往中獲取一定經(jīng)濟利益及某種社會評價與服務的使用價值。針對其權利屬性，有研究指出個人信息為公共物品而非稀缺資源［7］。為了避免“公地悲劇”地發(fā)生，規(guī)制個人信息處理行為要保證其疫情防控的公共價值，又要維護其數(shù)據(jù)安全與人格價值，面臨著多重利益相互交織的問題。這就需要在人格價值、社會價值、安全價值中對個人信息進行初始界定的基礎上配置以具體的規(guī)制措施，使政府部門和相關機構處理涉疫個人信息的過程中把握好權利邊界，以保持各方價值的動態(tài)平衡。

（一）個人信息權的權利界定

1.明確個人信息人格價值的基礎地位。個人信息的處理過程中，其目的不是保護個人信息本身，而是要防止其對個人信息所體現(xiàn)的人格尊嚴、人性自由、人身完整等基本利益的侵害風險［8］。因此，從信息主體這一方來說，其主要的利益是一種防御性利益，即被非法處理而致人身財產權益遭受侵害甚至人格尊嚴與人格自由受到損害的利益。如果個人信息達到描繪個人生活方式的某方面的程度，則信息形象（information profile） 可以被視為個人人格（personality） 的反映［9］。因此，個人信息的可識別性及由此形成的數(shù)據(jù)化人格拼圖，使得日常生活中個人的行為偏好或社會關系、生理特征都可以被數(shù)據(jù)化處理以及商業(yè)化利用［10］。如果個人信息處理不當，首先損害的是信息主體的數(shù)字化人格，最終妨害的是現(xiàn)實世界中特定自然人的人格利益。由此可見，個人信息權作為一種具體人格權，具備其他具體人格權共同的屬性特征。此外，通過對個人信息價值維度的考察不難發(fā)現(xiàn)，個人信息是精神價值和財產價值的二維綜合體，精神價值和財產價值的交互式發(fā)展也造就了個人信息獨特的法律屬性：第一，個人信息是自然人人格要素之一，是人格權客體。第二，個人信息不僅承載著精神利益，還承載著財產利益。第三，個人信息承載的財產利益，歸根結底仍是對人格要素財產價值維度的考察，財產利益也是從人格要素中發(fā)揮出來的。因此，個人信息性質上仍舊應屬于人格權客體范圍內，其來自于個人的人格表現(xiàn)，也能反向作用于個人的人格表現(xiàn)。因此，政府部門和相關企業(yè)機構在個人信息處理過程中，既要保證個人信息資源的開發(fā)利用，也要把個人信息的人格價值放在首要的、最基本的位置進行考慮。當個人信息數(shù)據(jù)開發(fā)利用過程中給個人的人格權益造成侵害的情形下，法律應當給予適當?shù)木葷?，以平衡個人人格價值與數(shù)據(jù)資源開發(fā)利用的價值。

2.追求個人信息的防疫效用最大化。疫情防控背景下，個人信息的經(jīng)濟價值所側重的并不是信息主體個人所特有的經(jīng)濟價值，而是側重于規(guī)?；膫€人信息和大數(shù)據(jù)分析所帶來了疫情防控工作效率的提高，這也是信息時代個人信息所具有的社會價值。如前文所述，為保證防疫效果最大化，各利益相關者應保持最優(yōu)注意水平。如果病患者個人信息處理過程中預防水平過大，在一定程度上會削弱信息利用的效率，降低疫情防控的時效性，從而導致社會福利減少的負效應。相反，當公共利益與個人利益發(fā)生沖突時，為了實現(xiàn)公共利益，在遵循比例原則、利益補償原則及正當程序原則的基礎上，對個人權利進行一定的限制具有正當性。即犧牲部分私人利益，將會帶來整個社會福利的增加。因此，在克減個人信息權、追求抗疫效果最大化的過程中，政府可以出于公共利益的考量對個人信息權益進行限制，但這種限制須具有目的的正當性、手段的適宜性和侵害的最小性，這種限制不能對個體造成難以承受的負擔。

3.確保個人信息的安全價值得以保護。疫情防控工作中涉及海量的個人信息和多方信息使用者、控制者，雖然為抗疫工作的順利開展提供了支持，但由于配套規(guī)范的缺失，也給個人信息的安全帶來了一定的風險。疫情防控工作中，個人信息面臨著多元化的采集主體，但法律法規(guī)未明確規(guī)定這些行為主體的法律責任及其行為邊界。操作規(guī)范及監(jiān)督機制的缺乏極易導致各方主體在執(zhí)行防控工作時出現(xiàn)過度使用、不當披露、擅自擴散未經(jīng)處理的個人信息等問題。這不僅為個人信息保護帶來了壓力，也增加了國家治理、管控的負擔。另外，大數(shù)據(jù)時代，海量的個人信息多存儲在云空間。從其治理維度來看，大量個人信息尤其是健康醫(yī)療信息，一旦遭受黑客攻擊導致信息泄露，不僅給信息主體帶來隱私困擾，還會危及國家安全。政府作為最主要的個人信息使用和處理者，其最初的目標在于保障疫情工作的順利開展維護社會安全和秩序穩(wěn)定。因此，國家應當加強對個人信息及其健康醫(yī)療信息的共享監(jiān)測、流通限制、安全監(jiān)管，以規(guī)避個人信息使用過程中的風險，保證個人信息的其他價值得以實現(xiàn)。

4.多元價值之間呈現(xiàn)動態(tài)的平衡關系。個人信息處理是一個涉及產生、收集、使用、存儲動態(tài)化的過程，因此在其權利界定中要注意不同個人信息在不同場景下不同的價值構成，根據(jù)具體的場景對個人信息進行處理，形成各種價值之間的動態(tài)平衡。

（二）個人信息處理行為的規(guī)制機制

關于解決外部性的方法，保羅·薩繆爾森提出：“無論采取何種特殊手段，根治外部經(jīng)濟的一般藥方是將外部經(jīng)濟效果內在化?！保?1］“數(shù)字戰(zhàn)役”背景下，針對個人信息所附著的多元價值及其處理過程中正負外部性交互影響的特征，對其進行法律規(guī)制的過程中不能片面地傾向于某一主體的利益，而要從利益衡量的角度出發(fā)以內部化規(guī)制其“雙重外部性”。

根據(jù)科斯定理的價值推論，即如果考慮到交易成本為正的問題，市場可能經(jīng)常無法改變法律的初始權利界定，并達到預期的有效率的結果，那么就必須用法律來替代或者輔助市場進行安排，以節(jié)省交易成本，提高社會資源的配置效率。疫情防控背景下“個人信息”兼具人格與財產屬性，因此個人信息在利用過程中不具有“爭用性”，卻因其人格屬性具有一定的“限用性”。特殊的產權屬性使其在處理過程中，若采取自愿協(xié)商規(guī)制，不僅存在協(xié)商定價成本高的問題，也不符合社會現(xiàn)實。這就需要建立科學合理的法律制度對個人信息處理過程中的不當行為進行責任規(guī)制，并視其外部性的具體程度采取相應的懲罰措施，以規(guī)范政府對個人信息的收集和使用行為。此外，法經(jīng)濟學關于“外部性內在化”的規(guī)制模式認為，當某種行為帶來社會損害等負外部性時，予以適當懲戒或由其生成者向受損者進行補償；當某種行為帶來社會收益等正外部性時予以適當補貼或由其受益者向生成者進行付費?！皵?shù)字戰(zhàn)役”背景下，為保障個人信息的基礎地位，彰顯法律對信息主體人格尊嚴與自由的尊重，應對個人信息給予相應的救濟制度，以實現(xiàn)信息使用者在個人信息使用過程中對信息主體權利造成的損失進行相應懲戒與補償。

應對大數(shù)據(jù)技術下個人信息處理行為規(guī)制的難題，學界基于美國《消費者隱私權利法案（草案）》及歐盟《一般數(shù)據(jù)保護條例》吸納“風險與場景導向”的國際主流新理念，以此促進個人信息“合理使用”并重點規(guī)制其“不合理使用”［12］。這種方法不僅從實質上提升了個人信息保護的有效性，也有效降低企業(yè)不必要的成本負擔。針對“數(shù)字戰(zhàn)役”背景下原生的個人信息及其衍生信息來說，首先，要將其引入防疫抗疫的場景，依據(jù)個人信息處理行為不同場景的價值構成將個人信息分類為隱私信息、敏感信息及一般信息，對不同類型的個人信息采取有不同的執(zhí)行機制與保護強度，進而通過所產生的外部性大小予以不同的法律規(guī)制將外部性內在化。對于極端敏感的隱私信息，賦予信息主體完整的人格權益自決權，只有向信息主體告知并得到清晰地、明確地同意表示下，才可以對其進行合理地使用。對于非敏感及延伸的普通信息，通過對信息敏感度及使用目的的合理性、處理方式的恰當性、損害結果的可控性進行綜合“程度性”判斷的基礎上，進行動態(tài)的風險控制。適當?shù)目s減個人權益以平衡個人信息所附著的多元價值雖然具有一定的正當性，但在個人信息使用和處理過程中，需要堅守一定的原則。即，若未經(jīng)信息主體同意，信息控制者的不當行為對信息主體造成損害時，信息主體有權請求控制者刪除該信息，并依據(jù)對自身的侵害程度使其承擔相應的民事責任，以保障個人在特定情況下對個人信息的支配和控制權能。

在大數(shù)據(jù)和云計算等科學技術用于抗疫工作的背景下，為保護個人信息權利，立法可以考慮對特定信息主體在個人信息處理過程中進行匿名化及脫敏處理，這是多元利益價值都得到最大化的一種選擇。在匿名化及脫敏處理個人信息時，應保證個人隱私保密性與數(shù)據(jù)可用性之間的平衡，保證處理后的數(shù)據(jù)仍然具有一定的統(tǒng)計特征和在疫情防控工作中的利用價值。

綜上，筆者建議，在個人信息處理行為規(guī)制過程中，應當將其外部性內部化，并與適當?shù)臋嗬葷?guī)則進行有效對接。這不僅能夠減輕信息使用者不必要的合規(guī)負擔，還能夠以社會問題為中心，保持法律規(guī)制的靈活性與能動性，使個人信息處理規(guī)制的制度需求與供給在動態(tài)回應中達到均衡。

個人信息既是保護對象，也是巨大財富。在不同的社會發(fā)展階段、不同的社會背景、不同的利益價值理念下，立法必然采取不同的利益平衡選擇，不存在統(tǒng)一的公式或標準一勞永逸地解決利益平衡問題［13］?！皵?shù)字戰(zhàn)役”背景下，個人信息的使用面臨著持有者、采集者、使用者等多方利益主體，這使個人信息附著了信息主體的人格尊嚴和財產利益，同時個人信息獨特的社會價值又催生了信息使用者（主要包括個人、政府、營運商、醫(yī)療機構等）的利益。個人信息所承載的個人利益、社會（使用者）利益和公共利益之間的價值沖突使個人信息處理行為的溢出效應呈現(xiàn)正負外部性共存的局面。本文旨在全面揭示“數(shù)字戰(zhàn)役”背景下個人信息處理行為的正負外部性及其規(guī)制的兩難困境，從經(jīng)濟學角度探尋解決正負外部性規(guī)制的有效路徑，力求不僅有助于緩和個人信息保護在立法過程中的多重價值沖突，也有助于進一步探索突發(fā)公共衛(wèi)生事件中個人信息處理政策的法制完善之路。