突发事件中个人信息的保护与利用

蔡璐祎

（郑州大学，郑州 455001）

2020年4月28日，中国互联网络信息中心（CNNIC）发布第45次《中国互联网络发展状况统计报告》显示，截至2020年3月，我国网民规模为9.04亿，互联网普及率达64.5%[1]。互联网的快速发展，一方面为居民的生活提供了便利，拉动了经济增长，促生了许多新兴事物，对社会的发展有明显的促进作用；另一方面，网络的快速发展，也使我们的个人信息面临着被滥用、泄露等的安全风险。

2020年初，新冠肺炎疫情暴发之后，中央网络安全和信息化委员会办公室发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，允许相关部门利用大数据，为疫情防控、疾病防治收集个人信息。在疫情防控中及时、正确地运用个人信息，极大地提高了疫情防控的工作效率。然而，在某些领域不规范使用个人信息的事件也频繁发生，影响了有关公民的正常生活，侵犯了其合法权益。因此，探讨在突发事件中，如何既能正确利用个人信息的同时又能充分地保护个人信息，平衡二者之间的关系，具有深远的现实意义。

一、个人信息保护在突发事件中面临的挑战

虽然个人信息的收集在突发事件的处理中起到了不可估量的作用，但个人信息无论是在立法保护上、理论层面上还是在实践的过程中，都还面临着一些问题与挑战。

（一）个人信息保护的范围不够明确

虽然《网络安全法》对个人信息进行了定义，列举了其属范畴包括但不局限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。但是在大数据背景之下，个人信息经常与其他一些相似的概念混淆不清。

一是个人信息与个人隐私。有学者认为二者是交叉的关系。也就是说，有的个人信息特别是涉及个人私生活的敏感信息属于个人隐私，但也有一些个人信息因高度公开而不属于隐私[2]。例如，个人不愿意公开的家庭住址、银行账户等信息因与生活的私密性联系密切而成为个人隐私的一部分。另外，在特定的信息关系中，会出现诸如被遗忘权和可携带权等新型权利。如果仍以传统的隐私权的保护模式来保护个人信息，只会放纵一些侵犯个人信息的行为，不能满足现实的保护需要。目前学界主流观点是将个人信息和隐私予以区别[3]。

二是个人信息与个人数据。二者的区别，核心在于数据与信息的异同[4]。对于二者之间的关系主要有以下几种观点。有学者认为，信息的外延大于数据，数据只是信息的一种表达方式[5]。有学者认为，个人信息往往通过一定的数据与资料来记录和反映，数据与资料所涉的对象从根本上讲就是主体的信息内涵，数据与资料是信息的载体，是具体化、形式化了的信息；而信息是数据和资料所要反映的内容[6]。也有学者认为数据主要适用技术领域，在法律领域较少适用。总体而言，大多数学者都认为个人数据和个人信息只是形式和内容的关系，在本质上并无多大区别。由于互联网的快速发展，致使个人信息不断进入网络领域，通过数据这种形式表现出来，对二者也越来越难以区分，这导致一些组织或个人过度使用个人信息，损害公民的合法权益。因此，厘清个人信息的保护范围及其与相关法律概念的区别是至关重要的。

（二）法律规范保护体系不够健全

一般而言，个人信息是指与识别或可识别的自然人相关的所有信息，包括但不限于自然人之姓名、出生年月、证件号码、指纹、婚姻、家庭、教育、职业、医疗、基因、健康检查、犯罪前科、联络方式、财务情况、社会活动、上网记录、地理位置等信息[7]。个人信息关系着公民生活的方方面面，如果没有健全的立法保护体系，个人信息被非法使用的情形会越来越多，公民的合法权益得不到有效的保障。

目前，我国对个人信息的立法保护存在一些漏洞。一方面，从整体上看，目前没有颁布“个人信息保护法”这样一部详细的法律，对个人信息的相关规定大多散见于各个部门法之中，并且都是一些兜底性的条款，缺乏具体的法律规定。另一方面，从内容上看，对个人信息的规定更倾向于控制与利用，而非保护。其规定的特点主要表现在以下几个方面：一是个人有权要求制止侵害其个人信息合法权益的行为；二是收集、使用个人信息的目的、方式和范围应当公开并获得信息所有者的同意；三是个人信息安全由信息收集者和处理者负责；四是信息收集者不得泄露、篡改、毁损他人信息，不得非法与他人交易,严格保密已经收集到的个人信息[8]。

在突发事件中，个人信息发挥了举足轻重的作用。及时地收集个人信息有助于追踪、预测事态的发展方向，并且信息公开不仅可以增强政府公信力，稳定民众情绪，还可以运用社会监督力量提高政府执政能力[9]。但是，在突发事件中，经常会出现过度利用、滥用等侵犯公民合法权益的情形。总的来说，法律规范的缺位，可能会导致突发事件中应对个人信息利用的两种极端情况并存：一方面，尽管学理上能够为应急状态下政府出于公益目的对个人信息权益进行必要限制提供正当性支撑，但由于没有法律法规明确授权，导致很多地方政府不愿用、不敢用、不善用；另一方面，由于没有明确的价值衡量标准和权力制衡机制，有些地方政府对个人信息又过度使用、不当使用[10]。因此，完善个人信息的立法保护体系，构建一个明确、具体的个人信息法律保护框架，既是理论上也是现实上的迫切需要。

（三）个人信息被不当使用

个人信息具有双重属性：个体属性与公共流通属性[11]。正是由于个人信息的公共流通性，当个人信息与公共利益联系在一起的时候，允许对公民的个人信息进行公开。然而在征集使用过程中，尤其是在突发事件中，严重暴露了当前我们对个人信息的保护力度和应对能力的不足。

就2020年初暴发的疫情来说，为了公共卫生利益，个体并没有拒绝信息采集的权利，相反一切单位和个人在公共卫生事件中都有接受调查，如实提供相关信息的义务[12]。个人信息在对追踪严密切接触者、预测疫情发展势态、人员流动、社区的管理等方面发挥了不可替代的作用。但是在收集和使用个人信息的过程中，也出现了一些过度使用个人信息的情况。例如对于疫情的对外披露工作，仅公开返乡人员流动统计数据，确诊患者仅公开性别、确诊日期、发病症状等非个人信息，即可满足社会一般公众对疫情状况的知情权，公布其他的如姓名、年龄、身份证号码、电话号码、家庭住址等都可造成公民个人信息的严重泄漏[13]。另外，部分新闻媒体在未经当事人同意的情况下对武汉人员信息进行直接披露，这也对个人信息权益造成了严重损害[14]。因此，在突发事件中，既能做到严密地保护个人信息，又能合理地使用个人信息是一项艰巨的实践任务。

二、正确处理突发事件中个人信息的保护与利用之间的关系

在突发事件中，个人信息能够发挥最大的价值，实现社会的公益目的，这是由其社会属性决定的，但个人信息的个体属性要求不应完全忽视公民的个人利益。

（一）公民个人信息的保护途径

首先，完善个人信息立法保护体系。我国有关个人信息的法律规范比较笼统、分散，在实践中得不到有效的实施，所以建立系统的法律保护体系是实践困境所需。目前，我国《刑法》将侵犯个人信息的犯罪主体限于国家机关或者有关单位的工作人员，这种做法不利于从根本上打击犯罪行为。在实践中，一般主体也可能发生严重侵犯公民非个人信息的行为，因此可以将一般主体纳入其中，对实施犯罪行为的主体进行定罪量刑。在现有的民法法律框架内，有学者建议改变举证规则，建议采取过错推定责任，由侵权人证明自己没有过错，如果证明不了的，则推定其有过错，从而减轻被侵权人的举证责任[15]。也可以借鉴国外做法，建立专门的个人信息监督机构，促使个人信息的保护更加专业化、精细化。

在突发事件中，除了上述的法律之外，在《突发事件应对法》《传染病防治法》等相关法律中，也应该明确细化有关内容。在公法保护上，严格确定有关组织、个人应当承担的个人信息保护义务，严格管控收集、分析、调查、使用个人信息的行为。如果违反法律规定收集、使用个人信息的，应当承担相应的刑事和行政责任，以发挥公法的预防震慑功能；在私法保护上，当信息收集、使用者违反法定义务侵犯公民个人信息时，信息主体有权请求行为人承担停止侵害、排除妨碍、恢复名誉、赔偿损失等民事责任[16]。

其次，明确个人信息的范围，建立区别于隐私权的保护模式。我国《宪法》中没有明确规定隐私权，不能对个人信息直接采取隐私权保护模式。个人信息与隐私权的含义完全不同。个人信息的范围远远大于个人隐私，不是所有的个人信息均可采用隐私权的保护模式。2012年11月颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》中规定将个人信息区分为一般信息与敏感信息。敏感信息与个人的私生活联系更为紧密，对于此类信息可以归于隐私权的范畴，采用隐私权的保护模式。

最后，提高公民个人安全保护意识。在日常生活中，公民个人要主动学习一些安全知识，加强个人信息的保护。要认真查看有关平台是否合法，尽可能避免填写自己的重要信息，防止信息泄露。另外，我们也应当学会维护自己的合法权益，当个人信息遭受侵害时，要勇于拿起法律的武器。

（二）利用公民的个人信息必须遵循的原则

当社会对个人信息的收集与使用变成常态，这使得个人信息获得了更丰富的社会经济价值[17]。尤其是在大数据时代，个人信息被传递的途径越来越多样化，许多商户为了获取更大的收益，对个人信息进行了最大限度的商业化利用，导致个人信息受到了不必要的侵害。所以在使用个人信息的过程中特别是在突发事件中使用个人信息时，应当遵循以下原则：

合法性原则。具体而言，该原则包括三项内容，一是主体法定，即收集、使用个人信息的主体必须是符合法律规定的适格主体，如疾病预防控制机构、医疗机构、卫生行政主管部门、网信部门等。二是权限和内容法定。法律、法规授权的主体在使用个人信息时，应当严格遵守法律的规定，不得超出法定权限的范围。三是依法追责。对于非法使用个人信息的行为，信息使用者应当依法承担法律责任[18]。

安全保护原则。大数据时代背景下，个人信息的使用者和收集者越来越多样化，许多企业、平台、个人都可能成为个人信息的使用者和保管者，所以有关组织或个人应当加强安全保护意识，不得非法泄露、使用、买卖个人信息。在突发事件中，基于公共利益的维护，可以对个人信息进行采集和使用，但也应当履行妥善保管的义务。就此次突发的疫情，在个人信息采集过程中，如果各地疾病防控机构、街道办等以纸质填表方式开展调查，需要严格要求纸质材料不被拍照、复印，进行统一回收，妥善保管；如果以电子方式记录或汇总相关信息，需要保存在特定的终端并将数据和备份数据加密存储[19]。

比例原则。比例原则包括三个子原则，即合目的性、适当性和损害最小原则。具体而言，一是使用个人信息要符合法律目的，使用主体、使用程序都应当遵守法律的规定，不得违背法律的要求。二是只有在所使用的个人信息有助于实现目的时，才能使用，不得随意或非法使用个人信息。三是不论是个人还是组织，使用公民的个人信息都应当遵守最小比例原则，把适用范围控制在目的的必要范围之内。在能够实现目的的所有手段中，要选择对公民损害最小的方式，只有这样才能防止滥用个人信息的情况发生，有效保护公民的个人信息。

（三）平衡公民个人信息与公共利益之关系

一方面，在突发事件中，应当坚持个人信息利用优先的原则。在利益发生冲突时，应当以高位阶利益为主。国家利益、社会公共利益高于个人利益这早已经形成共识。在突发事件中，往往是大多数人的生命、财产遭受到威胁，在此情况下，政府为了维护不特定、多数人的生命、财产安全，有必要使用公民的个人信息来克服公共危机。在2020年疫情中，有关机构收集有关患者的住址、行踪等信息，并及时向社会公开，以此排查与其密切接触者，实现防控的目的。对于这些患者及有关人员来说，生命、健康安全比其他任何一切都面临着迫切的危险，公布他们的个人信息，有利于分析、预测事态发展的情况，并对一定范围的公民予以警惕，缓解疫情的紧张态势。

另一方面，在突发事件中，应当同样重视保护公民的个人利益。生命权、健康权是人类一项重要的基本权利，公民的生命、健康权应当受到尊重和保护。在突发事件中，考虑到不特定多数人的生命健康安全，会拓宽收集和使用个人信息的渠道，以达到社会公益的目的。但是这并不意味着完全不考虑公民的个人利益，要严格个人信息保护标准，按照法定程序来使用个人信息。

具体而言，一是建立特定相对人信息公开制度，适当限制个人信息公开的范围[20]。每个人对有关信息的紧密程度是不同的，所产生的影响也不同，所以对有关疫情的信息可以选择性向有关人员传递。二是规范个人信息收集的行为。在收集信息的时候，要明确规定哪些信息可以收集，哪些信息不能收集，由谁来公开个人信息，收集信息主体的具体权限。三是重视信息被使用后的后续保护。突发事件中所收集的个人信息用于预测、分析、监督、控制情况，具有特殊的功能。如果这些信息被他人非法使用，后果将不堪设想。所以，即便是突发事件已经结束，也有必要采取严格的措施保护公民的个人信息。例如，信息收集主体应明确自身责任，有义务对信息进行封存，一旦泄露，则将受到严惩；也可以利用技术手段建立个人信息保护治理平台，全方位监测信息泄露情况，运用人工智能、大数据分析等措施加强个人信息传输、利用的监管，注意加强对重点领域与平台的个人信息利用检查，尤其是大量信息存储的系统要定期进行安全维护与测评，进行及时的修补整改[21]。由此可以看出继续加大对个人信息的使用、公开的后续管控措施是保护公民个人信息的重要一环。

三、小结

在突发事件中，为了维护社会公共利益，有关机构和个人收集、使用了许多公民的个人信息。但基于利益衡量，对公民的个人信息保护有所限缩。可见，突发事件中如何正确处理个人信息保护与利用，平衡二者的利益关系是一直存在的问题。事实上，解决这些问题归根到底还是要立足于当前的法律规范保护体系，结合现实的发展需要，在现有的法律框架之内进行完善。最重要的任务之一就是制定系统的“个人信息保护法”，同时也可以借鉴国外的一些经验，比如设置专门的个人信息监督机构，鼓励各行各业针对自身特点来指引规范，促进经济和个人信息保护的和谐发展。值得注意的是，在突发事件中使用个人信息时，要遵循比例原则和安全保护原则，不能过度使用个人信息，找到个人信息的法律保护与利用二者之间的平衡点。