楼辉
摘 要:受突发疫情影响,与疫情防控相关的行踪轨迹、疫苗接种记录等涉疫个人信息,在病毒溯源、关联病例追踪和疫情态势预判等方面具有重要价值,因而通常成为政府部门组织制定有效疫情防控措施的决策前提。但基于疫情防控工作紧迫性的考量,存在大量未作脱敏处理和去标识化的涉疫个人信息被非法泄露而引发次生社会治理问题的情况。检察机关应当及时有效地开展涉疫个人信息公益保护工作,避免社会公共利益和公民个人信息保护陷入失控的危险当中。
关键词:疫情防控 非法泄露 个人信息保护 公益诉讼
自新冠肺炎疫情防控常态化以来,出于防疫工作的需要,公民个人的地理位置、行踪轨迹、健康状况等相关信息构成了应对突发疫情防控处置决策的重要前提。但以“疫情防控”的名义非法泄露和未经正当程序公开等侵犯涉疫个人信息的事件也时有发生。涉疫个人信息充斥于各类社交平台和通讯群组当中,并被一些好事者为博眼球而不断歪曲、演绎,“平庸之恶”将原本属于公民个人对于信息权益的自决处置上升为影响公共利益的社会问题。检察机关通过积极履行公益诉讼检察职能服务疫情防控大局,对于缓解疫情防控精准处置与涉疫个人信息保护之间的紧张关系,具有重要的现实意义。
一、现实之困:不当使用与救济不足的紧张关系
(一)涉疫个人信息使用的社会语境
置身于当前信息社会“数字化生存”的现实之中,人成为各类信息的集合体,个人信息也在被赋予了社会性和公共性的同时成为社会管理的基础和重要工具。为应对突发疫情需要,多省市先后启动了重大突发公共卫生事件一级响应,以政府为主导的权力部门为尽快恢复社会正常秩序,通过必要的权力集中,将公民个人信息作为紧急状态下用于公共治理的重要依托和精准防控的有效手段。
但在这一社会情境之下,作为此时最大的个人信息处理者的地方政府,往往通过分权和转授权的方式将相关采集权限下放至街道、社区、村委等基层社会网格化治理的“最小分子”。由于履行信息采集职能的主体过多、标准不一、管理失当等,各地已发生多起相关工作人员因非法泄露所掌握的涉疫个人信息而遭到公安机关处罚和纪检部门介入的事件。如浙江警方通报某地一社区工作人员泄露涉湖北籍人员身份资料遭纪检部门处理[1] 、云南警方通报某地一医院相关人员散布患者信息遭公安机关处罚[2]等。
(二)涉疫个人信息泄露的因果认识
从这些事件来看,被非法泄露的信息不再是传统的单一信息,而是能够精准识别、追溯定位到具体个人的“信息簇”。这些“信息簇”当中不仅涉及到相关人员的姓名、性别、年龄等个人自然信息,还涉及身份证号、联系电话、工作单位等社会活动信息,甚至包括在新冠病毒感染排查中产生的核酸检测(RCR)与Ct值结果、试剂批次型号等20余种详细信息。追溯这种详细信息遭非法泄露的源头,不排除系相关行政机关、医疗机构以及街道、社区等疫情排查信息接触单位及其工作人员在履行职责的过程中违反保密义务和信息处理的规范操作要求所致。由于社会上下对涉疫防控进展工作的高度关注,部分社会成员出于“刻奇心理”和“收割流量”的目的,擅自将这些未作脱敏处理和去标识化的流行病学调查信息、核酸检测信息等散布于各类社交平台和通讯群组中,致使这些信息所关联和指向的涉疫人员及其家人陷于“事实歧视”甚至“社会性死亡”的境地之中。
诚然,在疫情防控过程中,基于社会公共利益的迫切需要,公民的基本权利必须有所克减,但这并不意味着公民对个人信息的让渡和容忍没有边界。任何组织和个人在疫情防控工作中获取的公民个人信息,均应当依法取得、规范操作并履行相应保密义务。涉疫个人信息遭非法泄露的事件频发,表面上是个别机构、部门及其工作人员的违法失职行为,但也从深层次暴露出相关行政机关和职能部门未能平衡好个人信息保护与履行法定职责之间的关系。
(三)涉疫个人信息保护的解决方案
基于传统司法救济存在效率上的缺陷以及考虑到实际诉讼成本和维权效果,疫情期间个人信息泄露事件大部分的最终走向,是由公安机关依据《治安管理处罚法》的相关规定对违法行为人处以行政处罚,并未上升到民事侵权诉讼或刑事犯罪的层面。这种“利用行政处罚‘一刀切’以息事宁人的做法,短时间内社会收效较好,但是长期来看,既给相关部门造成较大的舆论和工作上的压力,又不利于实现个人信息保护的良性循环”[3],更无法从根本上解决被侵害的公民个人信息权利得到充分司法救济和被损害的社会公共利益得到充分维护的问题。因此,检察机关履行公益诉讼职能成为必要之策。
二、制度之基:私权外溢和公权保护的法律应对
(一)个人信息保护的多元法律支撑
近年来,随着经济社会发展的需要和重大突发公共卫生事件的加速催化,我国加快了对公民个人信息安全保护的立法进程。2021年11月1日,作为个人信息保护领域中基础性、专门性的《个人信息保护法》正式施行,与《网络安全法》、民法典、刑法等法律規范共同形成了对个人信息予以多层次保护的法律规制体系。从不同时期开始施行的相关法律规定来看,法律条文对于公民个人信息的内涵是一个不断丰富和周延的过程。简而言之:民法典以“个人信息”的用词取代了《网络安全法》中“个人身份信息”的表述,而《个人信息保护法》又在民法典规定的基础上采用“识别+关联”的双重判断方式,将“个人信息”的涵摄范围扩大到自然人有关的各种信息,从而在立法上实现了对个人信息的系统性保护。
结合疫情防控的具体实际,最值得重点关注和保护的涉疫个人信息包括可以锁定到特定自然人的身份信息、活动信息和医疗信息。早年间颁布的《突发公共卫生事件应急条例》(2003年5月9日起施行)和《突发事件应对法》(2007年11月1日起施行)中并未对公民个人信息的保护设置明确的条款,而《突发公共卫生事件与传染病疫情监测信息报告管理办法》(2003年11月7日起施行)中也仅有原则性规定而没有设置相应责任追究条款与罚则。为弥补以上缺憾,民法典着眼于长远的社会发展趋势和公民个人信息保护的需求,以第1038条、第1039条、第1226条等多个条款的设置,对个人信息处理者、国家机关及行政机构、医疗机构三类主体,提出了信息保护保密的规范要求以及违反该类规定将承担的侵权责任。
(二)涉疫个人信息的双重法律属性
公民个人信息是人格权的重要组成部分。涉疫个人信息在流通过程中俨然已经产生了无法量化的社会价值,其中关键敏感的个人信息与隐私信息存在交叉,兼具人身权利和财产权利双重属性。因此,当公民个人信息成为能够帮助政府了解涉疫个人、群体与社会疫情感染面基本情况的重要工具时,就已经溢出了私人领域而带有极强的公共属性,关涉着广泛的社会公共利益,“公共利益指向的是不特定多数人,其一旦遭受损害,受损范围同样涉及不特定多数人,导致损害后果更大、恢复代价更高”[4]。经济学上的“公地悲剧”概念形象地展示出公共利益脆弱的一面。如果说因涉疫个人信息遭非法泄露,被侵害的个人尚可能通过付出一定的民事诉讼成本或国家权力的刑事介入来实现救济,那么对于因涉疫个人信息未被得到妥善处理而造成的社会公共利益受损,则远远超出了个案可以解决的范围。
(三)检察公益诉讼的理论实践拓展
当传统的私益救济方式不再足以抵御涉疫个人信息在社会公共利益情境下面临的高风险时,就需要具有更强纠纷解决能力的组织和机关介入,以强化为受损的涉疫个人信息这一社会公共利益提供及时、充分和有效的保护,涉疫检察公益诉讼迎合了这种需求。近年来,为贯彻落实党的十八届四中全会关于“探索建立检察机关提起公益诉讼制度”的要求,以检察机关为主体的公益诉讼所关注的视野被不断拓宽,履职理念亦实现了从“稳妥积极”向“积极稳妥”的跨越性迭代。2021年8月21日,最高人民检察院下发了《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,明确将个人信息保护纳入检察公益诉讼法定领域,为涉疫个人信息的检察公益诉讼保护提供了直接的依据。
三、路径之选:行政公益与民事公益的双向保护
(一)涉疫个人信息的可诉性
从2021年4月最高人民检察院发布的11起检察机关提起个人信息保护公益诉讼的典型案例看,当前检察机关对于涉疫个人信息保护的关注和保护是有所欠缺的。涉疫个人信息是公民个人信息的重要组成部分,其与敏感、隐私信息之间存在重大交叠和高度关联。检察机关从社会公共利益的层面加强对涉疫个人信息的保护,在当前疫情防控常态化的社会情境下无疑具有区别于其他个人信息保护的重大现实意义。
“公益诉讼之诉的利益是保护公共利益或者恢复、补偿受到减损的公共利益,或者是虽然没有公共利益受到侵害或者减损的事实,但是有一定的法律秩序和道德秩序需要诉讼保护的,都可以提起诉讼,这是诉权存在的基础”。[5]诚如前述,在疫情防控过程中的涉疫个人信息早已溢出私人领域而进入到社会公共利益的范围,并且直接或间接地侵犯了具体的个人信息权益主体和抽象的社会公共利益,在这种情形下,便具备了检察公益诉讼的可诉性,确保对涉疫个人信息的使用始终在“重大且明显的公益需要”的范围内。
“我国法律明确将个人排除在公益诉讼的诉权主体之外,是采国家代表权论的立场,也即必须由超越直接利害关系的国家机关和法律规定的组织来代表此类不可分的社会公益”。[6]因此,根据相关规定,在消费者组织和国家网信部门确定的组织不愿和个人不足以提起诉讼的情况下,检察机关应当以“超级替补者”的角色,通过行政公益诉讼和民事公益诉讼等法治方式,为涉疫个人信息提供及时充分的保护。
(二)行政公益诉讼的优先性
“從权能区分的角度出发,立法权是以法的形式表达公共利益,行政权则是以执法的方式葆有公共利益,司法权则是候补于行政权”[7],而实践中基于司法权与行政权的关系办案难度的考量,适用行政公益诉讼程序亦是优先选项。行政公益诉讼不是追责之诉而是督促之诉,更注重通过高效便捷的诉前程序来实现对行政权的实质性规制,“在最佳的状态下,公益诉讼的规模效应可以对行政监管失灵起到弥合、扶助和补充的作用”[8],从而严格高效地治理因涉疫个人信息的合法权益遭到侵害而带来的社会公共利益风险。
当前,疫情已经成为地方政府法治水平和公共治理的一场压力测试。在疫情防控过程中,对于地方政府、街道、乡镇和社区等疫情信息接触单位及其工作人员在履职时不当发布涉疫人员信息而导致社会公共利益受到损害的,检察机关应当把涉疫个人信息保护作为重要的公益保护任务,通过制发公益诉讼诉前检察建议的方式,督促怠于履职的行政主管机关依法履职,从源头上加强对涉疫个人信息的脱敏和筛查处理,确保这些信息在采集、传递和使用等重要环节的安全性,防止大量与疫情防控无关的隐私信息被非法泄露。
(三)民事公益诉讼的兜底性
从民事公益诉讼的角度来说,检察机关不仅是公共利益的代表者、诉讼的支持者,也是起诉的兜底者。“当行政机关已穷尽手段或执法效能不足、公益损害仍持续发生时,检察机关可以通过民事公益诉讼的方式来补位和兜底保护公益”。[9]诚如前述可知,国家已经在立法层面对个人信息保护问题作出了较为全面的闭环式制度体系构建,但检察机关对于涉疫个人信息公益诉讼保护方面仍有较大的履职空间。实践中,大部分的民事公益诉讼是依附于刑事(附带民事)程序来完成的。但基于民事公益诉讼兜底保障的特性进行反向思考,对于私主体或者个人未经授权传播、无序共享而导致涉疫个人信息引起社会面广泛传播损害社会公共利益的,亦可以充分利用诉讼程序和民事证据规则的特点,破除传统刑事附带民事公益诉讼单一的办案思路,在刑事案件之前先行立案调查。此外,检察机关也可以在公民就个人信息被侵害而通过私法的途径救济失败的情况下,探索针对合适的个案支持起诉。
四、结语
在大数据时代,信息技术的运用对于提升疫情防控的效率和精度具有极大的价值,但同时也将涉疫个人信息处置的时效度、受损权益的救济度等问题,摆在了“后疫情时代”社会治理的突出位置。公益诉讼作为一项长远的制度安排,其重要的时代使命绝非仅限于面向过去对疫情防控期间被损害的社会公共利益得到及时救济的实际效应,更着眼于面向未来与刑事检察互相增益、与民事检察协调发展、与行政检察相辅相成,集私权之赋权,还诉益于众益,以“既见树木、又见森林、更见气候”的全方位检察履职格局促进公民个人信息的长效保护。
[1] 参见《警情通报》,舟山发布澎湃号https://www.thepaper.cn/newsDetail_forward_5645112,最后访问日期:2022年4月3日。
[2] 参见《云南警方暂缓拘留泄露确诊患者信息的医务人员》,人民网http://society.people.com.cn/n1/2020/0208/c1008-31576842.html,最后访问日期:2022年4月3日。
[3] 刘承韪、赵文博:《新冠肺炎疫情防控背景下个人信息保护再审视》,《经贸法律评论》2021年第4期。
[4] 天津市人民检察院第二分院课题组:《检察机关提起民事公益诉讼制度的实践与完善》,《检察调研与指导》2019年第3期。
[5] 宋朝武 :《论公益诉讼的十大基本问题》,《中国政法大学学报》2010 年第 1 期。
[6] 张卫平:《民事公益诉讼原则的制度化及实施研究》,《清华法学》2013年第4期。
[7] 梁鸿飞:《中国行政公益诉讼的法理检视》,《重庆大学学报(社会科学版)》2017年第6期。
[8] 张陈果:《个人信息保护民事公益诉讼的程序逻辑与规范解释——兼论个人信息保护的“消费者化”》,《国家检察官学院学报》2021年第6期。
[9] 李娜:《以诉的形式实现公益诉讼效果“看得见”》,正义网http://news.jcrb.com/jszx/202109/t20210923_2321933.html,最后访问日期:2022年4月3日。