突發事件中個人信息的保護與利用

蔡璐祎

（鄭州大學，鄭州 455001）

2020年4月28日，中國互聯網絡信息中心（CNNIC）發布第45次《中國互聯網絡發展狀況統計報告》顯示，截至2020年3月，我國網民規模為9.04億，互聯網普及率達64.5%[1]。互聯網的快速發展，一方面為居民的生活提供了便利，拉動了經濟增長，促生了許多新興事物，對社會的發展有明顯的促進作用；另一方面，網絡的快速發展，也使我們的個人信息面臨著被濫用、泄露等的安全風險。

2020年初，新冠肺炎疫情暴發之后，中央網絡安全和信息化委員會辦公室發布了《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》，允許相關部門利用大數據，為疫情防控、疾病防治收集個人信息。在疫情防控中及時、正確地運用個人信息，極大地提高了疫情防控的工作效率。然而，在某些領域不規范使用個人信息的事件也頻繁發生，影響了有關公民的正常生活，侵犯了其合法權益。因此，探討在突發事件中，如何既能正確利用個人信息的同時又能充分地保護個人信息，平衡二者之間的關系，具有深遠的現實意義。

一、個人信息保護在突發事件中面臨的挑戰

雖然個人信息的收集在突發事件的處理中起到了不可估量的作用，但個人信息無論是在立法保護上、理論層面上還是在實踐的過程中，都還面臨著一些問題與挑戰。

（一）個人信息保護的范圍不夠明確

雖然《網絡安全法》對個人信息進行了定義，列舉了其屬范疇包括但不局限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。但是在大數據背景之下，個人信息經常與其他一些相似的概念混淆不清。

一是個人信息與個人隱私。有學者認為二者是交叉的關系。也就是說，有的個人信息特別是涉及個人私生活的敏感信息屬于個人隱私，但也有一些個人信息因高度公開而不屬于隱私[2]。例如，個人不愿意公開的家庭住址、銀行賬戶等信息因與生活的私密性聯系密切而成為個人隱私的一部分。另外，在特定的信息關系中，會出現諸如被遺忘權和可攜帶權等新型權利。如果仍以傳統的隱私權的保護模式來保護個人信息，只會放縱一些侵犯個人信息的行為，不能滿足現實的保護需要。目前學界主流觀點是將個人信息和隱私予以區別[3]。

二是個人信息與個人數據。二者的區別，核心在于數據與信息的異同[4]。對于二者之間的關系主要有以下幾種觀點。有學者認為，信息的外延大于數據，數據只是信息的一種表達方式[5]。有學者認為，個人信息往往通過一定的數據與資料來記錄和反映，數據與資料所涉的對象從根本上講就是主體的信息內涵，數據與資料是信息的載體，是具體化、形式化了的信息；而信息是數據和資料所要反映的內容[6]。也有學者認為數據主要適用技術領域，在法律領域較少適用。總體而言，大多數學者都認為個人數據和個人信息只是形式和內容的關系，在本質上并無多大區別。由于互聯網的快速發展，致使個人信息不斷進入網絡領域，通過數據這種形式表現出來，對二者也越來越難以區分，這導致一些組織或個人過度使用個人信息，損害公民的合法權益。因此，厘清個人信息的保護范圍及其與相關法律概念的區別是至關重要的。

（二）法律規范保護體系不夠健全

一般而言，個人信息是指與識別或可識別的自然人相關的所有信息，包括但不限于自然人之姓名、出生年月、證件號碼、指紋、婚姻、家庭、教育、職業、醫療、基因、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動、上網記錄、地理位置等信息[7]。個人信息關系著公民生活的方方面面，如果沒有健全的立法保護體系，個人信息被非法使用的情形會越來越多，公民的合法權益得不到有效的保障。

目前，我國對個人信息的立法保護存在一些漏洞。一方面，從整體上看，目前沒有頒布“個人信息保護法”這樣一部詳細的法律，對個人信息的相關規定大多散見于各個部門法之中，并且都是一些兜底性的條款，缺乏具體的法律規定。另一方面，從內容上看，對個人信息的規定更傾向于控制與利用，而非保護。其規定的特點主要表現在以下幾個方面：一是個人有權要求制止侵害其個人信息合法權益的行為；二是收集、使用個人信息的目的、方式和范圍應當公開并獲得信息所有者的同意；三是個人信息安全由信息收集者和處理者負責；四是信息收集者不得泄露、篡改、毀損他人信息，不得非法與他人交易,嚴格保密已經收集到的個人信息[8]。

在突發事件中，個人信息發揮了舉足輕重的作用。及時地收集個人信息有助于追蹤、預測事態的發展方向，并且信息公開不僅可以增強政府公信力，穩定民眾情緒，還可以運用社會監督力量提高政府執政能力[9]。但是，在突發事件中，經常會出現過度利用、濫用等侵犯公民合法權益的情形。總的來說，法律規范的缺位，可能會導致突發事件中應對個人信息利用的兩種極端情況并存：一方面，盡管學理上能夠為應急狀態下政府出于公益目的對個人信息權益進行必要限制提供正當性支撐，但由于沒有法律法規明確授權，導致很多地方政府不愿用、不敢用、不善用；另一方面，由于沒有明確的價值衡量標準和權力制衡機制，有些地方政府對個人信息又過度使用、不當使用[10]。因此，完善個人信息的立法保護體系，構建一個明確、具體的個人信息法律保護框架，既是理論上也是現實上的迫切需要。

（三）個人信息被不當使用

個人信息具有雙重屬性：個體屬性與公共流通屬性[11]。正是由于個人信息的公共流通性，當個人信息與公共利益聯系在一起的時候，允許對公民的個人信息進行公開。然而在征集使用過程中，尤其是在突發事件中，嚴重暴露了當前我們對個人信息的保護力度和應對能力的不足。

就2020年初暴發的疫情來說，為了公共衛生利益，個體并沒有拒絕信息采集的權利，相反一切單位和個人在公共衛生事件中都有接受調查，如實提供相關信息的義務[12]。個人信息在對追蹤嚴密切接觸者、預測疫情發展勢態、人員流動、社區的管理等方面發揮了不可替代的作用。但是在收集和使用個人信息的過程中，也出現了一些過度使用個人信息的情況。例如對于疫情的對外披露工作，僅公開返鄉人員流動統計數據，確診患者僅公開性別、確診日期、發病癥狀等非個人信息，即可滿足社會一般公眾對疫情狀況的知情權，公布其他的如姓名、年齡、身份證號碼、電話號碼、家庭住址等都可造成公民個人信息的嚴重泄漏[13]。另外，部分新聞媒體在未經當事人同意的情況下對武漢人員信息進行直接披露，這也對個人信息權益造成了嚴重損害[14]。因此，在突發事件中，既能做到嚴密地保護個人信息，又能合理地使用個人信息是一項艱巨的實踐任務。

二、正確處理突發事件中個人信息的保護與利用之間的關系

在突發事件中，個人信息能夠發揮最大的價值，實現社會的公益目的，這是由其社會屬性決定的，但個人信息的個體屬性要求不應完全忽視公民的個人利益。

（一）公民個人信息的保護途徑

首先，完善個人信息立法保護體系。我國有關個人信息的法律規范比較籠統、分散，在實踐中得不到有效的實施，所以建立系統的法律保護體系是實踐困境所需。目前，我國《刑法》將侵犯個人信息的犯罪主體限于國家機關或者有關單位的工作人員，這種做法不利于從根本上打擊犯罪行為。在實踐中，一般主體也可能發生嚴重侵犯公民非個人信息的行為，因此可以將一般主體納入其中，對實施犯罪行為的主體進行定罪量刑。在現有的民法法律框架內，有學者建議改變舉證規則，建議采取過錯推定責任，由侵權人證明自己沒有過錯，如果證明不了的，則推定其有過錯，從而減輕被侵權人的舉證責任[15]。也可以借鑒國外做法，建立專門的個人信息監督機構，促使個人信息的保護更加專業化、精細化。

在突發事件中，除了上述的法律之外，在《突發事件應對法》《傳染病防治法》等相關法律中，也應該明確細化有關內容。在公法保護上，嚴格確定有關組織、個人應當承擔的個人信息保護義務，嚴格管控收集、分析、調查、使用個人信息的行為。如果違反法律規定收集、使用個人信息的，應當承擔相應的刑事和行政責任，以發揮公法的預防震懾功能；在私法保護上，當信息收集、使用者違反法定義務侵犯公民個人信息時，信息主體有權請求行為人承擔停止侵害、排除妨礙、恢復名譽、賠償損失等民事責任[16]。

其次，明確個人信息的范圍，建立區別于隱私權的保護模式。我國《憲法》中沒有明確規定隱私權，不能對個人信息直接采取隱私權保護模式。個人信息與隱私權的含義完全不同。個人信息的范圍遠遠大于個人隱私，不是所有的個人信息均可采用隱私權的保護模式。2012年11月頒布的《信息安全技術公共及商用服務信息系統個人信息保護指南》中規定將個人信息區分為一般信息與敏感信息。敏感信息與個人的私生活聯系更為緊密，對于此類信息可以歸于隱私權的范疇，采用隱私權的保護模式。

最后，提高公民個人安全保護意識。在日常生活中，公民個人要主動學習一些安全知識，加強個人信息的保護。要認真查看有關平臺是否合法，盡可能避免填寫自己的重要信息，防止信息泄露。另外，我們也應當學會維護自己的合法權益，當個人信息遭受侵害時，要勇于拿起法律的武器。

（二）利用公民的個人信息必須遵循的原則

當社會對個人信息的收集與使用變成常態，這使得個人信息獲得了更豐富的社會經濟價值[17]。尤其是在大數據時代，個人信息被傳遞的途徑越來越多樣化，許多商戶為了獲取更大的收益，對個人信息進行了最大限度的商業化利用，導致個人信息受到了不必要的侵害。所以在使用個人信息的過程中特別是在突發事件中使用個人信息時，應當遵循以下原則：

合法性原則。具體而言，該原則包括三項內容，一是主體法定，即收集、使用個人信息的主體必須是符合法律規定的適格主體，如疾病預防控制機構、醫療機構、衛生行政主管部門、網信部門等。二是權限和內容法定。法律、法規授權的主體在使用個人信息時，應當嚴格遵守法律的規定，不得超出法定權限的范圍。三是依法追責。對于非法使用個人信息的行為，信息使用者應當依法承擔法律責任[18]。

安全保護原則。大數據時代背景下，個人信息的使用者和收集者越來越多樣化，許多企業、平臺、個人都可能成為個人信息的使用者和保管者，所以有關組織或個人應當加強安全保護意識，不得非法泄露、使用、買賣個人信息。在突發事件中，基于公共利益的維護，可以對個人信息進行采集和使用，但也應當履行妥善保管的義務。就此次突發的疫情，在個人信息采集過程中，如果各地疾病防控機構、街道辦等以紙質填表方式開展調查，需要嚴格要求紙質材料不被拍照、復印，進行統一回收，妥善保管；如果以電子方式記錄或匯總相關信息，需要保存在特定的終端并將數據和備份數據加密存儲[19]。

比例原則。比例原則包括三個子原則，即合目的性、適當性和損害最小原則。具體而言，一是使用個人信息要符合法律目的，使用主體、使用程序都應當遵守法律的規定，不得違背法律的要求。二是只有在所使用的個人信息有助于實現目的時，才能使用，不得隨意或非法使用個人信息。三是不論是個人還是組織，使用公民的個人信息都應當遵守最小比例原則，把適用范圍控制在目的的必要范圍之內。在能夠實現目的的所有手段中，要選擇對公民損害最小的方式，只有這樣才能防止濫用個人信息的情況發生，有效保護公民的個人信息。

（三）平衡公民個人信息與公共利益之關系

一方面，在突發事件中，應當堅持個人信息利用優先的原則。在利益發生沖突時，應當以高位階利益為主。國家利益、社會公共利益高于個人利益這早已經形成共識。在突發事件中，往往是大多數人的生命、財產遭受到威脅，在此情況下，政府為了維護不特定、多數人的生命、財產安全，有必要使用公民的個人信息來克服公共危機。在2020年疫情中，有關機構收集有關患者的住址、行蹤等信息，并及時向社會公開，以此排查與其密切接觸者，實現防控的目的。對于這些患者及有關人員來說，生命、健康安全比其他任何一切都面臨著迫切的危險，公布他們的個人信息，有利于分析、預測事態發展的情況，并對一定范圍的公民予以警惕，緩解疫情的緊張態勢。

另一方面，在突發事件中，應當同樣重視保護公民的個人利益。生命權、健康權是人類一項重要的基本權利，公民的生命、健康權應當受到尊重和保護。在突發事件中，考慮到不特定多數人的生命健康安全，會拓寬收集和使用個人信息的渠道，以達到社會公益的目的。但是這并不意味著完全不考慮公民的個人利益，要嚴格個人信息保護標準，按照法定程序來使用個人信息。

具體而言，一是建立特定相對人信息公開制度，適當限制個人信息公開的范圍[20]。每個人對有關信息的緊密程度是不同的，所產生的影響也不同，所以對有關疫情的信息可以選擇性向有關人員傳遞。二是規范個人信息收集的行為。在收集信息的時候，要明確規定哪些信息可以收集，哪些信息不能收集，由誰來公開個人信息，收集信息主體的具體權限。三是重視信息被使用后的后續保護。突發事件中所收集的個人信息用于預測、分析、監督、控制情況，具有特殊的功能。如果這些信息被他人非法使用，后果將不堪設想。所以，即便是突發事件已經結束，也有必要采取嚴格的措施保護公民的個人信息。例如，信息收集主體應明確自身責任，有義務對信息進行封存，一旦泄露，則將受到嚴懲；也可以利用技術手段建立個人信息保護治理平臺，全方位監測信息泄露情況，運用人工智能、大數據分析等措施加強個人信息傳輸、利用的監管，注意加強對重點領域與平臺的個人信息利用檢查，尤其是大量信息存儲的系統要定期進行安全維護與測評，進行及時的修補整改[21]。由此可以看出繼續加大對個人信息的使用、公開的后續管控措施是保護公民個人信息的重要一環。

三、小結

在突發事件中，為了維護社會公共利益，有關機構和個人收集、使用了許多公民的個人信息。但基于利益衡量，對公民的個人信息保護有所限縮。可見，突發事件中如何正確處理個人信息保護與利用，平衡二者的利益關系是一直存在的問題。事實上，解決這些問題歸根到底還是要立足于當前的法律規范保護體系，結合現實的發展需要，在現有的法律框架之內進行完善。最重要的任務之一就是制定系統的“個人信息保護法”，同時也可以借鑒國外的一些經驗，比如設置專門的個人信息監督機構，鼓勵各行各業針對自身特點來指引規范，促進經濟和個人信息保護的和諧發展。值得注意的是，在突發事件中使用個人信息時，要遵循比例原則和安全保護原則，不能過度使用個人信息，找到個人信息的法律保護與利用二者之間的平衡點。