疫情网络谣言治理中个人数据利用的法律规制

魏俊斌，张 冬

(哈尔滨工程大学 马克思主义学院，黑龙江 哈尔滨 150001)

新媒体技术借力智能算法推荐重塑了信息生产的组织惯习，为公共管理部门在危机事件中利用个人数据实现网络谣言危机预警、应急决策、源头控制和信任修复提供了现实助力。但在危机治理红利之下潜存了公民个人信息权利与公共利益在价值层面、法律层面的冲突。《网络安全法》、《民法典》、《个人信息保护法(草案)征求意见稿》(以下简称《草案》)等确立了以禁止获取或利用为基础规则的个人信息保护制度，但又以“例外”的形式肯定了自由流通与权利保护同等重要的价值内涵。在此法律框架下，公共利益被确定为一种公民个人信息权行使之限缩的例外，表明公共管理部门可以基于公益性目的突破个人信息保护的一般规定，但这种限制必须要遵循某种“度”的要求，以防止“公共利益滥用”而损害公民的基本权利。故而，需要在法治理念指导下，明确重大疫情网络谣言治理中个人信息可收集、利用的行为标准、范围与救济途径，健全突发事件应急处置中的个人信息利用与保护制度。需说明，个人信息与个人数据在对象上都指涉可用于识别或结合其他信息可识别个人的数据(信息)，内涵基本相同，故不做严格区分。

一、新媒体平台辟谣优势背后的数据逻辑

运用问卷星平台对新媒体技术在疫情网络谣言治理中发挥的作用进行调查，围绕新媒体辟谣影响范围、辟谣效果等主要问题共设计16道题目，历时10天，剔除废卷共得到有效问卷777份，经过审核与复查，未出现数据超出有效范围的现象，数据较为客观、准确。通过对777份网络调查问卷进行分析，得出新媒体平台在辟谣信息的及时发布、传播范围、影响力度、用户接受程度等方面存在巨大优势(表1)。

从表1可以看出，模型R2值为0.345，表明及时发布辟谣信息等相关变量可以解释传播范围的34.5%变化原因。通过调查，大多数受访者认为新媒体平台便于为关注谣言信息的群体提供个性化服务，方便辟谣信息的扩散，与传统辟谣手段相比具有传播范围广、影响力度大等显著优势[1]。通过分析，新媒体平台辟谣信息发布隐藏着典型的大数据技术逻辑。以“为关注谣言信息的群体提供个性化服务”为例，本质上是以对用户兴趣的精准捕捉和用户需求的精致化满足为目标的智能算法推荐系统的能力体现。而这样一套完整的个性化算法推荐系统至少由数据收集模块(网络爬虫技术收集和存储用户数据)、数据分析模块(关联分析和文本挖掘发现用户兴趣点)和信息推荐模块(筛选和推送用户感兴趣的新闻资讯)三部分组成，其中最为基础和关键的莫过于对用户个人数据的收集。不难发现，新媒体平台发布辟谣信息，本质上是依托用户数据生成的信息推荐和资讯分发机制的具体实践。舆情监管部门可以利用这样一种潜在的规则形态对公众认知、态度、情感和行为形成“隐语义”影响，不断强化社会价值观念和规则传送，最终实现网络谣言治理效果。

表1 新媒体平台辟谣信息发布与谣言治理效果的相关性分析

二、涉疫情网络谣言治理中的个人数据应用

“大数据”和“互联网+”的兴起不断变革着社会治理体系，以电子政务、智慧城市、共享经济建设为表征的“智治模式”正在为“中国之治”引入新范式、创造新工具、构建新模式，而先进安全的基础信息资源是实现智慧之治的必要条件[2]。“智治模式”推动了国家治理体系架构、运行机制与工作流程的智能化再造，在公共危机领域大数据技术的渗透尤为突出。就此次疫情网络谣言的治理而言，相关部门对谣言态势的研判、传播路径的分析、危机时刻的应急处置以及对谣言传播源头的排查，无一不依赖于个人数据使用，具体可划分为三个阶段，如图1。

其一，网络谣言事件发生前，个人数据可用于预防群体极化、预测谣言发生。网络拟态空间已成为现实社会的“镜像”，全媒体媒介业态实现了网络与现实的深度勾连，线上、线下即时互动将网络舆情营造为一个开放系统，在这个系统中人数众多但彼此陌生、分布广泛但具有同质性，似乎不受任何规范和准则的约束但却受外部力量的驱使[3]。正是由于受众的这种价值可塑性，为媒介组织利用大数据进行用户侧写，找准用户内容偏好，实现个性化信息推荐下的受众价值认同塑造提供了契机。从某种程度上说，这一价值输送复杂系统的运行完全依赖于个人数据信息的持续供给。与此同时，由于网络舆情具有外部开放性，疫情发展及网络舆情发酵的不确定致使信息流中充斥大量的混乱符号与未知信息，正常的信息传播系统不断被输入负向能量，在集体无意识和个体不安的推动作用下，逐渐偏离平衡态，形成涉疫情谣言，并产生一系列衍生风险。如若能通过大数据的数据挖掘、智能搜索和模拟仿真手段在信息传播偏离平衡态之前迅速锁定危险源，消除负面情绪产生的动力机制，即便不能够完全避免事件发生，也能在最大程度上减少负面舆情的累积和爆发，降低谣言危害。

图1 网络谣言形成及治理过程数据应用图

其二，谣言发生后持续中，个人信息可用于突发舆情事件的应急决策。在危机背景下，影响应急处置的因素除决策者的个人素质与以往经验外，还包括决策信息、决策时间等客观条件，而应急决策困境的存在大部分是因决策信息匮乏所致[4]。因此，在疫情网络舆情危机事件发生后，为了获取充足的事件信息支撑最后的应急决策，根据《网络安全法》第54条第二款与《个人信息保护法(草案)》第13条第五款之规定，相关部门可以按照规定的权限和程序实施舆论监督行为，并在合理的范围内处理个人信息。通过对疫情谣言的传播路径、扩散范围、接触用户、危害后果等进行监控，借助数据技术识别和定位谣言传播源头，能够实现谣言传播的过程阻断。故而，当网络谣言大肆传播且严重威胁网络空间秩序与社会公共安全时，舆情监管部门可以向电信、互联网企业、大数据研发机构等征集分散性公共数据，或自行收集相关群体的特定个人信息，以此支撑对公众谣言参与度、谣言传播效率和谣言增量的分析，提升危机应对中信息整合与趋势预测的效度。

其三，谣言治理后期，个人信息可以研判谣言态势，评估治理效果。相比于遏制危机事件的持续发酵这一价值追求，危机管理的最终目的更侧重于在危机过后逐步恢复到平常时期的一切秩序和原则。借助大数据的分析和可视化功能能够实现事后恢复效果的反馈，根据推送信息的读取状态(已读还是未读)、速度与互动(点赞、评论、转发)来测量辟谣信息的传播效果，为后续精准治理和实现辟谣信息的反向覆盖提供现实依据[5]。同时，能够为建立网络谣言风险指标体系框架提供原始数据。即通过利用大数据技术对历史谣言事件信息传播基础指标与风险评价指标的抽取，在量化分析的基础上确定谣言态势阶段演化的属性参数，以ABC分类法对谣言风险评估指标进行风险要素等级划分，从而确定谣言发展不同阶段的风险等级和预警级别。然后，训练机器学习智能识别网络谣言的准确率，当谣言再次发生时通过关键词识别能够迅速定位某一时间节点网络谣言处于何种危机情境，进而启动相应等级的应急预案。

三、疫情防控中个人信息公共利用的法理基础

人的利益的二分决定了个人信息具有较强的社会性，尤其在社会治理与产业经济数字化进程中，个人信息的性质也由私法确认的排他效力不断向公法领域延伸，实现了私益自决向有序共享的逻辑转换，公民对个人信息的绝对控制正逐步让位于信息正当利益的维护和实现[6]。实践已经表明，在此次新冠肺炎疫情应对中，对个人信息的收集、分类、分析和公开成为疫情防控过程中的重要一环。

(一)个人信息内含公共性价值属性

就信息本身的性质而言，其符合经济学上“公共品”的核心特征，即在权利生成与行使过程中具有非竞争性和非排他性。自人类社会形成以来，信息就一直处在公共领域，个人信息在交流中产生，是构成社会交往的必要条件。“披露数据是自由的、民主的社会存在和发展的根本条件”[7]。互联网的强大效能完美诠释了数据的充裕性法则，也在客观上证实了将以客体稀缺性为基础建立起的私权保护体系移植于个人信息保护之上，在本质上忽视了数据本身区别于一般权利客体的无形性、共享性与公共性特点，忽视了基于数据公共性本质而衍生出的公共目的的普遍性[8]。与此同时，个人信息安全的内涵也实现了向国家、社会和个人不同层面的法益延伸，成为一种涵摄多层含义的复合法益，即具备了信息自决控制、信息流通、公共利益、社会秩序和国家安全等多元价值。相应地，个人信息权的法律保护也具有了权利保护、信息自由与信息安全的多重面向。

(二)个人信息保护立法共享与保护的二重性动机

现阶段，世界范围内基本建立起了以私法理论为基础的个人信息保护体系，构建信息产权制度对信息技术创新实施激励，促进社会发展从而最终服务于公共利益[9]。与之相适应，各国在个人信息保护立法中均以“例外条款”的形式将数据共享予以合法化，体现出了共享与保护的动机二重性，为信息有序共享提供了法律支持。美国以隐私权作为个人数据保护的权利基础，实行分散立法的模式，基本思路是力求在信息流通和隐私保护之间寻求平衡，力避统一立法对数据资料的自由流动和市场自由与创新的阻碍。欧盟将个人数据保护视为一项基本人权与自由问题，出台《通用数据保护条例》(GDPR)以保护公民数据安全。但仍在其中以“限制条款”的形式对涉及公共安全、重要一般公共利益等情状下的信息主体责任范围与权利范围予以限制(1)《通用数据保护条例》(GDPR)第1条第三款规定“不能以保护处理个人数据中的相关自然人为由，对欧盟内部个人数据的自由流动进行限制或禁止。”。我国在个人信息保护方面采取分散立法模式，在《民法典》《网络安全法》《电子商务法》等相关法律中确立了个人信息保护的主要规则。与此同时，加紧个人信息保护专门立法，2020年10月21日发布《个人信息保护法(草案)征求意见稿》，在第13条明确规定“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息”，与第27条形成对基于公共安全目的在公共场合获取和使用的信息不受禁止获取或利用基础性规则的限制。

(三)网络行为数据信息可采性的法律证成

虽然个人信息与个人数据在对象上都指涉可用于识别或结合其他信息可识别个体，但受法律调整的数据并非数据全体，而是经过数据主体整理、加工或经脱敏处理后无法识别，或不能直接识别出信息主体的信息，即衍生信息[10]。这样一来，判断某类数据能否作为法律意义上的个人数据，就需要根据其所反映的信息内容的法律属性加以判定。网络行为数据是网络服务提供者通过cookie等互联网跟踪记录程序收集的反映用户个人在线行为活动轨迹的一类特殊数据，主要包括用户的浏览记录、交易记录、检索记录等[11]。在网络谣言传播过程中，网民对谣言信息的浏览、转发和评论等行为催化了网络舆情发酵，成为网络谣言数据化治理的重要依托。在对网络行为数据的法律属性认定上，美国通过2012年Kevin Low v.LinkedIn Corporation案明确了网络服务提供者利用在线跟踪记录程序收集的用户网络行为数据属于个人信息的范畴，但我国在“朱烨诉北京百度网讯科技公司侵犯隐私权案”中认定网络行为数据不属于个人信息，网络服务提供者收集和利用用户网络行为数据的行为不构成对其隐私权的侵犯[12]。同时，在立法层面，2018年《电子商务法》第18条将电商平台对消费者网络行为数据的保护和利用问题涵摄其中，但并未对其进行明确定性。笔者认为，从已有《网络安全法》《民法典》关于个人信息概念的规定不难看出，个人信息的核心判断标准在于数据是否具有“可识别性”。在大数据技术之下，通过数据集合体内部的交叉检验去匿名化实现对网络行为数据主体身份的识别已不再困难，因此，网络行为数据应属于“与其他信息结合识别”的个人信息类型。

四、涉疫情网络谣言治理中个人信息使用的法律规制

一直以来，政府都是最大的个人信息收集、处理、储存和利用者，政府公权力所及之处必然涉及个人信息的收集、处理和利用[13]。在重大疫情中，进行数据化治理不仅是面对疫情网络谣言的应激反应，更是在智慧政务建设背景下网络空间安全治理的长久之策。但数据化治理带来便利的同时，需警惕个人信息滥用行为的发生。故需要对网络谣言治理过程中个人信息的收集范围、利用标准和救济途径进行明确，以实现个人信息上各附着利益间的平衡。

(一)疫情网络谣言治理中个人信息收集的行为标准

法律上隐私权与个人信息权存在明显差异，但二者在“隐私信息”的规制问题上又存在竞合，即当某一行为侵犯了他人“私密信息”时，根据《民法典》第1034条第3款规定，“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”，从而确立了“隐私优先”的保护模式[14]。结合第111条相关规定，不难发现“控制个人信息传播利益”在理念上沿袭了个人隐私权的保护立场，强调信息主体对“私人信息”的控制权。因此，笔者认为，在划定个人信息可收集的行为标准时应以信息是否属于“隐私信息”为限。隐私信息本身就是个人不愿意公开的信息，行为人收集此类信息当然应经个人同意，否则即构成他人隐私权的侵害，此种信息收集行为很难说具有合法性[15]。但“隐私信息”的涵摄范围应受到两个条件的限制：其一，信息发布的场景应属于私密空间。诸如QQ群、微信群、微博、网站、QQ空间、朋友圈等具有自媒体属性的社交平台已然成为典型法律意义上的公共场所[16]。网络执法部门为实现法律规定的网络空间安全维护职责，对该场景内发布、传播、推广的信息进行监控、收集并进行内容的实质审查，不会侵犯公民隐私权，具有合法性。而公民使用聊天工具进行的“一对一”或“一对多(3人以下)”小范围的交流互动，应当定性为私人信息，运用个人信息或隐私保护规定进行保护。其二，法律、行政法规另有规定的除外。《网络安全法》《突发事件应对法》《传染病防治法》等都已经赋予了相关主体基于疫情防控收集个人数据的权能。包括《草案》第13条明确规定，为公共利益实施舆论监督的可以在合理围内处理个人信息。但考虑到公民个人的通信自由和隐私保护，这里的信息监控、收集行为应当遵循“差异化”标准，对于公共空间的信息发布、传播和推广采取无差别的监控与收集，对属于私人空间的信息传播采取重点监控和信息收集策略，即通过大数据分析技术对已暴发出的网络谣言进行溯源，定点监控传播路径中扮演重要节点的个人、账号或平台，限于实现处理目的的最小范围以保障公民权利的最小损害。但如果发现属于私人空间的信息传播内容已然达到违法犯罪标准，就要突破第一条的限制，对其进行信息收集。

(二)疫情网络谣言治理中个人信息的利用范围

为防止谣言治理过程中对于技术依赖造成的公共理性相对退位及工具理性的漫溢，在明确了个人信息收集范围的基础上，还要对个人信息的利用范围进行框定，以防范权力扩张和技术的非对称优势可能造成的个人信息滥用风险。

首先，公民的态度数据可被用于疫情防控中的谣言态势分析，实现网络舆情管理和危机沟通。公民态度数据主要指公众在面对疫情网络谣言通过网络言论和观点表达产生的接受或排斥态度，其中包含着丰富的个人信息内容且具有明显的大数据特征。管理部门可以利用收集到的用户信息传播内容、转发评论、参与时间等数据字段实现对网络谣言传播效率、传播路径、受众接受程度和谣言影响范围的可视化分析，从而对网络谣言的传播机制、谣言传播效率和谣言态势等关键信息进行精确把握。涉疫情网络谣言传播机制主要表现为以下特征：其一，公众通过碎片化信息拼图形成对问题的主观认知；其二，将主观认知臆断为“事件真相”，通过网络空间的观点发布形成在线群体聚合；其三，潜在传播者将谣言进行放射性传递，通过“分散-集中-再分散”传播模式的循环作用使谣言产生更大的社会影响，甚至引发重大社会事件。在该传播路径中，受众情绪、批判意识以及在个体情绪影响下作出的行为选择成为谣言信息扩散的重要指标。相关部门利用对受众态度的大数据分析，能够较为精准的识别公众的心理状态和对疫情信息的态度倾向，除可以服务于风险评估与应急决策外，还能够为建立沟通渠道提供“精确坐标”，及时回应社会关切[17]。同时，技术部门亦可通过逆向溯源程序追踪、搜索、定位谣言信息的风险源，进而采取针对性措施实现源头治理。

其次，有限的行为数据利用可以有效实现社会风险预警。当个体在接触到危机事件的信息后，“每个人都有自己独特的行为模式，95%的人可以被识别”[18]。通过对受众浏览记录、检索记录、转发评论记录等相关数据安全风险的关联性对比，能够在很大程度上准确预测谣言可能引发的次生风险。但需明确，此处公众行为数据的利用应是有限的利用，即在利用时应遵守聚合利用原则。所谓聚合利用原则是指将大量的个人信息整合在一起用于风险评估、预测、建模或提供其他决策辅助，而非对单个公民数据的识别和个别化利用[19]。之所以对利用公民行为数据进行限制，一方面，行为数据可用于识别个体，背后牵涉的信息增值颇多，与公民的隐私权关系较为密切，被识别出的个人可能因政府使用造成不必要的影响。另一方面，大数据分析的前提是有足够多的数据，海量数据资源是预测功能实现的一个核心因素。因此，在数据使用者眼中，数据的价值产生于数据集合，更多时候大数据识别的对象在一定意义上已经变成了某类具有共同特征的人，至于这些人具体是谁，则对其毫无意义。笔者认为，在最小范围原则和适当性原则指导下，应以聚合利用原则对相关群体的行为数据利用加限制，即在不识别特定个人身份的前提下实现危机预警和未来风险评估。

(三)疫情网络谣言治理中个人信息滥用的救济途径

第一，设立专门监督机构，强化个人信息使用执法监督。在网络谣言治理过程中，由于技术、程序、制度等诸多方面的限制，管理部门往往存在向电信部门和企业借数据的现象，数据转借过程和后续数据使用缺乏监管。《草案》第56条规定，“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。”基于此，笔者认为应在各级政府网信办之下设置专门的个人信息保护监察机构，对突发公共事件网络谣言治理中数据收集、数据比对、数据挖掘行为等进行常态化和过程性监督；向应急决策部门和数据控制主体提供政策咨询、指导；进行数据处理行为合规性、泄露风险的内部评估和外部咨询；受理相关信息主体的异议和申诉；发现信息控制主体存在不当使用和滥用行为时，立即启动责任追究机制，对相关责任人进行追责。

第二，理顺个人信息私法保护规则，完善个人信息利用标准。随着《民法典》对个人信息权的确认，相关部门在收集和利用公民个人信息时应审慎考虑行为后果，维护附着于个人信息之上的人格尊严和自由利益。依据《民法典》第1034条第2款之规定，当相关部门对公民个人信息的利用超出正当范围时，应当考虑属于私密信息还是一般信息，如果属于“私密信息”就应当依法承担相应的侵权责任，且是无过错的侵权责任。原因在于，在强大的公权力尤其是经过二次赋权的公权面前，让受害人举证政府部门的信息利用存在过错，难度较大。如果滥用的属于非私密信息，就应当按照个人信息保护相关规定责令相关部门予以改正，进行匿名处理或删除数据等。同时，在《民法典》将个人信息作为人格利益进行保护的同时，法律也要尽可能确定个人信息中可以进行商品化或公开化的部分，这样就能够从法律上明确界定何种信息的人格利益可以转化为财产利益，在实践中明确何种信息可收集、何种信息需保护。

第三，完善个人信息犯罪行为要件，提升个人信息犯罪打击能力。现行《刑法》共有7个罪名直接或间接的对公民个人信息加以保护，但多数罪名在犯罪圈规定上过于狭窄，要求“情节严重”或“造成严重后果”才构成犯罪，未对大数据环境下侵犯公民个人信息严重冒犯性和行为产生的普遍恐惧进行考量[20]。在罪状设置上，侵犯公民个人信息罪规制的犯罪行为并没有将“使用”行为纳入其调整范围。在私权规则体系下，权利主体对第三人的不当使用行为(违反使用规则约定或知情同意等一般原则)尚可在此框架下寻求救济，但当涉及刑事犯罪时，非法使用行为就无法予以准确评价，行为的违法性只能被目的行为或违法结果导致的法律责任吸收，但这样就在一定程度上违背了罪责刑相适应原则。且在公共利益目的下“违反国家规定”的逻辑根基已不复存在，直接将公权力部门对个人信息的违法使用行为置于刑事责任的真空之下。因此，笔者认为，可以通过增加“非法使用公民个人信息”的行为要件扩大犯罪圈。同时，降低非法使用公民个人信息罪成立标准，增设抽象危险犯以倒逼政府部门减少越界行为。

在重大疫情危机处理日益数据化的趋势下，智能化治理系统的技术特性正在逐步消解价值理性与工具理性间的边界，引致监督主体同被监督方式存在信息和技术等严重不对称性问题。需要进一步厘定相关政府部门公共事件危机处理中个人数据收集的行为标准、应用环节和利用范围，完善突发事件应急处置中个人信息的相关法律救济制度，促进个人信息的流通与合理使用。同时，建立健全突发事件应急处置的动态监督与决策机制，建立网络综合治理体系，为实现依法治网提供助力。