數字社會治理背景下個人信息保護的現狀研究——以重大突發事件防控實踐為例

揚州大學馬克思主義學院 方亦馳

“欲得民必先知民”，古代先賢已明晰個人信息對于掌握國情國力、實施社會治理的重要作用，政府對個人信息的收集和利用的傳統已經延續了數千年[1]。于二十世紀中葉發端的信息革命迅速推動人類社會進入數字時代。信息與統計學、數據分析技術的結合使其在我國社會治理領域發揮著越來越重要的作用。根據個人信息保護法條例，個人信息是指與一個身份已經被識別或者身份可以被識別的自然人相關的任何信息，包括個人姓名、住址、出生日期、身份證號碼等單獨或與其他信息對照可以識別特定的個人的信息[2]。

這表明個人信息不僅是有關個人的單一數據，也包括了以大數據、統計數據為基礎的所有能夠通過整合識別自然人的碎片數據[3]。

鑒于信息化治理的迅速發展，我國近年來著力打造數字政府、數字社會，公安、統計、社保、稅務等管理部門都建立了相應的個人信息數據庫。一方面，信息化推動社會的快速發展，通過數據庫建設、智能化手段，個人信息的公共價值被激發；另一方面，信息在運用過程中構成對主體權益“私”的侵犯的可能。本文將以我國2020年新冠肺炎疫情防控實踐為例，分析個人信息在數字社會治理中的應用價值和現實困境，進而提出解決策略。

一、個人信息在疫情中的應用現狀

新冠肺炎疫情初期，我國將“大數據＋網格化”作為公共衛生事件防控的治理新模式，創造了“戰疫金盾”“健康碼”等防疫系統，個人信息通過這些途徑在疫情防控中發揮了重要作用。信息被迅速地搜集整理、篩選整合、處理分析，能夠迅速了解個人的健康情況、活動軌跡，并發揮規模效應，通過無數個人信息的整合擴展為小至鄉鎮街道，大致全國各省的整體數據庫，全面了解相關地區的疫情現狀。個人信息在精準防控、摸排傳染鏈、防止疫情擴散、推進復工復產等方面發揮著重要作用。

在新冠肺炎疫情等重大公共衛生事件中，公民出于國家保護自身的生命安全的考慮，通過訂立契約的方式讓渡自己的部分“自然權利”，即把部分隱私權讓渡給了國家，國家成為公民個人信息的管理者。同時由于“突發公共衛生事件的防控可以作為豁免數據控制主體部分義務、克減信息主體部分權利的合法事由”[4]，從原則上確認了個人信息在公共衛生事件中公開的合法性，國家有權公開部分信息。但出于防控需要、保持合理范圍、經過主體同意等前提條件在實踐運用過程中常被忽視甚至顛覆。以“成都一確診女生去酒吧遭網暴”為例：2020年12月8日，20歲的趙某被確診為新冠患者，成都衛健委通報其基本信息，信息如下：“趙某，女，20歲，無固定職業，居住于成華區崔家店華都云景臺小區，系郫都區昨日確診病例盧某、趙某的孫女。12月8日在對盧某密切接觸者的隔離檢測中檢出核酸陽性。經省、市、區專家會診，綜合臨床、影像學表現和實驗室核酸檢查結果，診斷為確診病例（普通型），已轉運至成都市公共衛生臨床醫療中心醫院隔離治療。近14天內，患者主要停留的場所包括：中冶中央公園、嗨藍調美甲店、小巷巷麻辣燙、海霧里小酒吧、playhouse酒吧、赫本酒吧等。”隨后關于這一患者的時間、地點的活動軌跡圖被不明人士在網絡上發布，頻繁的活動軌跡、復雜的活動場所使趙某遭受嚴重的網絡暴力，其姓名、身份證號碼、家庭住址、私人照片等個人隱私被泄露。這是公民個人信息權利在數字社會得到侵犯的典型案例。客觀方面，詳細的公開信息未實現脫敏。雖然只是公布其行動軌跡以排查途徑地點和接觸人群，但公眾卻可以通過整合病例姓氏、家庭成員、居住小區等信息判斷患者身份。這雖然無侵犯他人信息權利的主觀故意，卻造成了不利結果[5]。主觀方面，部分群眾基于不滿情緒，故意在網上公布患者信息，造成了泄露他人隱私和個人信息的主觀后果，違反了相關法律規定。

二、個人信息保護不足的現狀分析

信息技術融入社會治理是現代化浪潮中不可阻擋的必然趨勢，對于隨信息技術應用出現的個人信息保護不足的問題，應該保持客觀理性的態度分析其背后的深層原因。

（一）政府對于信息公開的權責關系尚未理順

政府利用自身政治資源能夠構建巨型的個人信息庫并運用于社會治理。同時出于自身管理、維持政權的需要，政府具有最大程度地收集人民個人信息的趨向，因此需要一力量限制個人信息收集、處理和利用的無節制增長。而這一主體往往由政府自身承擔，因為“實現個人信息保護和利用的平衡是政府作為公共安全和利益維護的權利行使者的重要責任”[6]。政府擁有收集個人信息的權力的同時負有保護公民個人信息權力的責任，這給政府提出了更高的要求。新冠肺炎疫情中出現的個人信息泄露的情況表明目前政府部門及工作人員沒有完全處理好利用者和管理者的關系。

（二）防控實踐中個人信息保護與防控需要的結合程度尚未找準

一般而言，采集到的信息只有滿足了“唯一性、完整性、精確性、一致性”，才是高質量的。但在新冠肺炎疫情防控實踐中，信息收集存在重復與錯漏的情況。首先，相同的信息被重復采集，采集主體的能力良莠不齊，不乏居心叵測者謀取私利。其次，疫情防控的一些關鍵信息未被統計，成為信息漏洞。再次，隨疫情防控形勢的好轉，大量閑置的信息對公共安全造成威脅，如何處理成為急需解決的問題。

三、個人信息保護的策略路徑

個人信息保護不足的根本原因在于現有的法律無法找準個人信息與防控需要的尺度。因此本文從法律途徑出發探討個人信息保護的策略路徑。

（一）明確個人信息公開主體

我國現有法律具有對個人信息保護的主體性規定，但適用于一般情況，無法完全適用于突發的公共衛生事件，這勢必造成法律漏洞和主體責任缺失。因此，需要在法律上明確在公共衛生事件中主體的權限范圍。第一，通過列舉確定信息披露主體和責任權限，以及需要承擔的法律責任。第二，明確信息泄露的主體責任，加強信息采集、分析、公布各個環節的主體監督。由于收集過程經手人員數量大，需要以法律形式規定經手人員的規范行為。

（二）制定個人信息公開標準

由于法律關于個人信息公開標準并不清晰，常使客觀行為在無意中導致侵犯他人權利的后果，需要通過法律界定公共衛生事件防控中個人信息公開的標準。第一，明確界定個人信息公開的范圍，將抗疫實踐中形成的先進做法提升至法律的高度。第二，確立“脫敏處理”標準，既要模糊化處理信息，亦要嚴格審核，防止形成信息鏈條，指向某一特定個人。第三，確立信息“及時退出”的機制。隨著個人信息的公布，信息主體也失去了對這部分信息的控制能力。面對不可控的后果，信息主體應有權要求及時刪除相關信息。由此，突發公共衛生事件情境下非常態化的信息采集也需要明確授權和規則邊界，并針對重大突發事件等級建立個人信息分級分類采集標準[7]。

（三）健全個人信息監管機制

政府對于個人信息的趨向性、信息業人員的趨利性，都要求構建良好的個人信息公開監督機制，它能夠在必要時刻采取法治措施保障個人信息安全[8]。首先要完善數據信息的分類保護，例如對于風險較高的個人信息設置嚴格的權限機制，防止信息泄露，因為“一旦發生數據泄露或濫用，都會導致信任度的喪失，未來如果再基于公共利益需求收集公眾個人信息，很可能阻力就會加大”。其次，合理規范地管理個人信息，及時處置疫情相關個人信息，對無用信息進行動態刪除和安全銷毀，同時對于未來可用信息進行去隱私化后進行歸檔管理[7]。

信息是我國重要的戰略性資源，在數字社會被廣泛運用的同時，面臨著信息泄露的威脅，因此我國應通過法律手段為個人信息保護提供保障，兼顧社會發展和個人信息保護需求，更好地實現個人信息的社會價值。