数字化疫情防控中个人信息利用的法治风险及其化解

□雷 刚

[西南政法大学 重庆 401120]

大数据技术的蓬勃发展为应对突发公共卫生事件提供了强有力的科学支撑。围绕“早发现、早报告、早隔离、早治疗”的防控原则，新冠肺炎疫情防控工作得以有效开展且取得阶段性成效，都离不开大数据技术的助力。因而，国家卫生健康委发布了《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》，旨在进一步巩固和发挥信息技术在辅助疫情趋势研判、疫情数据共享联动及创新诊疗模式等方面的中坚作用[1]。具体来说，为有效控制和消除传染疾病引发的公共卫生灾害，各级人民政府、疾病预防控制中心及医疗机构等采取联防联控工作机制，推行群防群控措施，运用大数据技术等多种手段对确诊患者，疑似感染者和传染病密切接触者等重点人群的个人信息进行技术分析、监测预警，确保精准有效地实施防控措施。同时，在不特定人群层面，借助技术消除个人信息的识别特性，汇总成为人群聚集分布信息及区域人员流动信息，不仅为疫情趋势的研判分析提供数据基础，而且也为医疗资源的科学调度提供明确指引。

但是，数字化疫情防控中也出现了个人信息不当利用、泄露的情形。疫情暴发初期，多地出现武汉返乡人员信息被违法披露在网络的现象，泄露的信息涉及个人的住址、行踪等多种敏感信息[2]。此类敏感信息一旦泄露，势必造成难以弥补的危害：一方面对特定人群打上标签，形成“疫区歧视”，对他们的人格尊严造成侵害；另一方面对个人的人身健康和财产安全形成威胁，引发人身伤害和财产损失的危险。对此，国家网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，特别强调在积极利用个人信息在内的大数据进行联防联控的同时，须做好个人信息保护工作[3]。一言以蔽之，数字化疫情防控的开展，不得不关注个人信息保护的问题，以避免大规模泄露、不当利用等造成社会恐慌，滋生网络暴力、人身攻击等不法行为。

关于疫情防控中个人信息利用的问题，相关立法已有所规定。《传染病防治法》《突发公共卫生事件应急条例》均规定公权主体基于公共卫生利益之维护的目的可以对个人涉疫相关信息进行收集、利用和公布。《传染病防治法》第12条第1款对疾病预防控制机构和医疗机构不得泄露个人隐私信息提出了原则性要求，该法第68条第5项和第69条第7项进一步对疾病预防控制机构和医疗机构泄露个人隐私信息所应承担的法律责任予以分别规定。但是从总体上来看，《传染病防治法》中关于个人信息利用的规定是零散不成体系的，仅停留在原则性要求以及事后追责上，并未从权责关系对利用行为进行法律控制，也未基于信息生命周期对利用行为形成全过程控制。可见，现行相关立法难以全面解决数字化疫情防控视阈下个人信息收集、储存和公开等阶段中存在的实体问题和程序问题。有鉴于此，本文立足于大数据时代下的数字化疫情防控，试图回答如下问题：在数字化疫情防控中，个人信息利用面临哪些法治风险？其法治化建设的实质要素包括哪些方面？其法治化建设的程序要素又包括哪些方面？

一、数字化疫情防控下个人信息利用面临的法治风险

鉴于新冠肺炎疫情的严重性和突发性，行政机关在《传染病防治法》《突发公共卫生事件应急条例》的授权框架下可以对包括个人信息在内的疫情信息进行全方位的收集和利用。无需多言，在运用数据技术的过程中，不可避免地对公民个人的信息权益构成限制，甚至是侵害。据此，从现实情况出发，个人信息利用法治化的必要性源于数字化疫情防控下个人信息所面临的两大风险，即“监控社会”的形成和法治供给不足。同时，从价值层面出发，大数据助力防疫使得个人信息利用与保护之间难以实现平衡。

（一）事实层面：数字化疫情防控中个人信息的收集和利用形成对个人囊括无遗的监控

在大数据时代背景下，个人信息权是由两部分构成：一是知情权；二是信息自决权。前者强调公民能够获取必要的公共信息，表现为权利的对外积极性，而后者侧重于公民自我决定其个人信息对外公布的程度与范围，表现为权利的对内自主性。不得不承认，随着大数据技术在防疫活动中的广泛运用，对个人信息的“监控”程度也随之提升。一方面，在传染疫病防控中，公众对疫情严重程度、发展趋势等表现出极大的关注度，为保障公众的知情权，国家机关在充分收集与传染病相关的个人信息的同时，会以不同的方式披露此类信息。然而，目前有时较为粗放的公布方式让特定群体被社会进行实时窥视，形成知情权和信息自决权之间的内在紧张关系。另一方面，在数字化疫情防控中，以“同意”为核心的信息自决权势必会受到相应限制。在现行立法规定下，个人应积极履行如实报告基本信息的义务，国家机关未经信息主体同意也可对其个人信息进行收集，这些都具有规范意义上的正当性。但是，由于立法既缺乏对收集范围的清晰划定，也缺乏对利用方式的细致规定，导致某些不必要的个人信息也被归纳至“疫情信息”的大口袋里，个人事实上难以了解和维护自己的信息权益。

这些庞大的个人信息成为国家描绘分析疫情发展的数据基础，某种程度而言，也使得每个人如同透明人一览无余地暴露在国家的“监控”下。换言之，国家在量上拥有足够多的信息，在技术上能够精确锁定个人，而与此同时，“人们对于国家对个人信息的无限度地搜集以及不当使用却缺乏足够的警醒”[4]。在突发公共卫生事件的紧急情形下，对个人信息的保护一定程度上让位于公共卫生利益，但这一点仅仅旨在强调疫情防控中公共卫生利益的优先性，而并非意味着必须牺牲个人信息自决权。然而，我国相关法律法规未对疫情防控中的公共卫生利益予以明确规定，导致公共卫生利益呈现出泛化趋势。公共卫生利益在立法中的不确定和泛化，“无异将当事人之资讯自决权架空，保障资讯自决权即形同具文”[5]。进而言之，泛化的公共卫生利益让公权机关在数字化疫情防控中缺乏对个人信息权益和公共卫生利益予以充分考量和适当权衡。同时，公权机关以“公共卫生利益”之名对个人信息进行过度收集和泛滥利用的行为使得个人走向透明化和客体化。最终，在缺乏对公权机关信息利用行为予以明确外部性控制的情形下，个人的隐私空间不断压缩，而这一过程意味着个人的整体性轮廓逐渐暴露在社会中，一种囊括无遗的“监控社会”也因此产生。

（二）规范层面：数字化疫情防控中个人信息保护的法律体系并不完备

在我国，由于尚未制定统一的个人信息保护法，目前关于个人信息保护的规定都散落在不同的法律法规和规范性文件中，难以为数字化疫情防控中的个人信息保护提供完备的规范体系。就疫情防控这一特殊的行政领域而言，《传染病防治法》《突发公共卫生事件应急条例》中关于个人信息保护的实体性规定和程序性规定都相当简陋，难以为疫情防控中个人信息的收集、处理及利用提供充足的法治保障，呈现出“专门化”“板块化”“碎片化”的立法问题[6]。

首先，哪些主体可以依法收集疫情相关的个人信息，现行法律法规未予以明确描述。具体来说，《传染病防治法》和《突发公共卫生事件应急条例》对个人信息收集进行了授权性规定，对疫情相关个人信息进行收集的主体限定于县级以上地方人民政府、卫生行政部门、疾病预防控制机构和医疗机构，即法定主体；协助收集的主体则是街道、乡镇以及居民委员会、村民委员会，即授权主体。法定主体基于疫情防控收集和利用个人信息具有规范上的正当性，授权主体在协助过程中也可以利用个人信息。但是，“协助收集”这一行为并未得到清晰定性。从现有的规定来看，无法准确判断街道、乡镇以及居民委员会、村民委员会是作为独立法律地位的行政主体协助医疗机构和疾控机构收集个人信息，形成行政协助关系，亦或是街道、乡镇以及居民委员会、村民委员会经由县级以上人民政府或卫生行政部门委托后收集个人信息，形成行政委托关系。不同类型行政法律关系中的双方主体的法律地位是不尽相同的，现行立法对此尚未提供明确的合法指引，导致实践中进行信息收集的主体纷繁复杂，甚至超出法定主体的范围。

其次，对于突发公共卫生事件中个人信息收集范围和利用形式，现行法律法规并未做出明确性的规定。为了更好地应对疫情，各地选择地毯式大面积收集相关的个人信息，一方面悖离了个人信息的最少收集原则，另一方面也不符合《传染病防治法》中关于收集“疫情相关”信息的要求。此外，个人信息的利用应与疫情防控目的相关联已成为基本共识，但是就信息利用的类型、方式、监督及救济等重要事项未进行详细确定，缺乏明确的个人信息保护规则体系作为指导性准则，以划定个人信息利用的“红线”和“底线”。

最后，在数字化疫情防控中，现行法律法规对个人信息收集、存储和披露阶段的必要程序着墨甚少。尽管重大疫情中的个人信息收集属于“同意原则”的例外情形，但这并不意味国家机关告知义务的豁免。所以，告知程序的缺失，既不利于个人对其相关信息进行有限控制，也不利于相关部门以法治方式执行收集行为。此外，在个人疫情信息的存储阶段和披露阶段中，诸如信息审查程序、信息匿名化程序等的缺失，不仅导致行政机关在紧急情况下的信息处理行为往往游离出法治框架，而且致使特定群体因个人信息的不当披露而受到歧视。

（三）价值层面：数字化疫情防控中个人信息的利用与保护之间陷入失衡状态

历史地看，行政机关运用个人信息进行公共治理并非新兴现象，而且，个人信息的利用与保护之间是否实现平衡，已经成为评判政府是否善治的重要标准。此次新冠肺炎疫情防控中对个人信息的利用与保护，并未一以贯之地坚守利益平衡原则，事实上导致利用与保护之间陷入失衡状态。具体来说，可从以下现有法律制度的内在机理和大数据时代个人信息的双重特性两方面进行阐释。

其一，从突发公共卫生应急法律制度的内在机理来看，公民个人信息权益的限制程度和限缩范围通常以公权力优先行使来划定，但缺乏对个人信息权益和行政应急权力进行平衡，以确保公共卫生秩序恢复的同时兼顾权益保护。在疫情危机面前，控制疫情蔓延和保障公共健康成为卫生行政的优先目标，个人权利让步于公共利益的维护具有合法性和正当性。但是，反观现行的《传染病防治法》《突发公共卫生事件应急条例》等法律法规中关于个人信息利用与保护的条文规定，均未明确其基本机理和制度规则，个人信息从收集到利用整个过程中的合法性构成要素并不足以描述行政权力运作和个人权益保护所需的法治概貌，也难以为大数据广泛运用于疫情防控所形成的“权力-科技-权利”复合型行政关系中的利益衡量提供可行路径。此外，在重大疫情防控中，个人与行政机关事实上形成一种社会连带关系，通过合作形式来抗击疫情，强调个人作为共同体成员应对社会秩序负担维护责任，是对自由主义下个人权利至上理念的修正。然而，《传染病防治法》立足于隐私权利保护的原则性宣示和依赖于行政复议和司法审查的救济机制既不能为疫情防控中个人信息利用与保护良性关系形成提供有效法律基础，也不能提供“外部要求与内生激励相容”[7]的个人信息利用与保护模式。可见，现有的利益调整模式难以消解大数据抗疫和个人信息保护之间此消彼长的张力，个人信息保护与防疫管理措施在价值上和实践中陷入互不相容的困境。诚如波斯纳所言：“进步并不仅仅来自既定的参照系中耐心地积攒知识，进步还来自参照系的变更。”[8]既然现行法律制度的内在机理不能回应信息利用主体多元化、个人信息权益复合化的现实情形，那么作为“参照系”的法律制度亟需革新其内在机理以满足个人信息保护的实际需要。

其二，在数字化疫情防控中，政府运用大数据技术对重点人群的个人信息进行广泛收集是为了及时掌握和准确研判疫情趋势，但也不得不对个人信息的“公共性”和“私人性”进行考量，一旦出现偏颇，极易导致个人信息利用与保护之间陷入失衡状态。马克思•韦伯对理性的分类进行了阐释，即工具理性和价值理性，这与个人信息的“公共性”与“私人性”形成耦合。一旦突发疫情，政府势必会采取信息技术收集和处理重点人群的个人信息，彰显出个人信息在疫情防控中的工具理性和价值理性。进而言之，个人信息的工具理性与“公共性”相对应，强调对个人信息进行整合分析以助推疫情联防联控工作的开展；个人信息的价值理性则是与“私人性”相对应，强调对个人信息利用目的与保护需要进行衡量判断。可以说，个人信息的“公共性”和“私人性”蕴含着理性的两个层次，意味着在数字化疫情防控中需要综合分析个人信息的双重特性以消弭不同法益间存在的冲突。工具理性反映出数字化疫情防控中个人信息的公共性利用，为疫情防控措施注入科学因素，然而，价值理性反映出数字化疫情防控中个人信息利用应兼具私益保护，信息利用行为需要融入权利理念。但是，从当前的实践来看，数字化疫情防控中存在着诸多个人信息利用不规范和保护不到位的现象，折射出个人信息的“公共性”和“私人性”已陷入失衡状态。尤其是，大数据技术的运用固然有利于行政机关更好地防控疫情，但也冲击着原本残缺的个人信息保护体系，让个人信息权益被迫淹没在疫情防控战中。进而言之，在个人信息的利用范围和保护需求之间未能形成有效的沟通桥梁，未能真正地提供合理平衡个人信息“公共性”与“私人性”的思维模式，一方面导致数字化疫情防控中个人信息利用的规则体系难以形成；另一方面致使承载着公共利益和信息权益的天平面临着倾斜倒塌的危险。

二、数字化疫情防控中个人信息利用法治化的实质要素

行政机关将大数据技术运用于新冠肺炎疫情的监测、预警和防控，确属必要。但是，我们也不得不面对着数字化防疫所附带的信息侵害风险。前述已阐明数字化防疫中个人信息利用所面临的法治风险，化解风险首先需要从数字化疫情防控中个人信息利用的实质要素法治构建出发。是故，公权机关在运用个人信息进行疫情防控的过程中，应认识到保护个人信息是做好疫情防控的内在要求，理应拿捏好分寸，在公共利益和信息保护之间形成平衡，以避免人为地造成次生灾害。

（一）在数字化疫情防控背景下“知情-同意”效用式微，要求对行政机关信息利用行为进行“反向控制”

在常态法治下，行政机关对个人信息收集和处理行为是受到“知情-同意”规则约束的，但面对突如其来的新冠肺炎疫情，基于有效控制疫情蔓延的迫切需要，行政机关通过收集个人疫情相关的信息，以形成研判疫情态势的基础数据。在这一过程中事实上无法一一征得信息主体的同意。不难发现，以“知情-同意”为圭臬的信息自决权模式在数字化疫情防控中并无施展余地。在规范层面，为维护疫情防控中的公共卫生利益，不经信息主体同意而直接收集其个人信息属于“知情-同意”规则的例外情形。考究域外立法实践，根据欧盟《通用数据保护条例》（以下简称为“GDPR”）第6条的规定，行政机关旨在实现公共利益或者是为了保护数据主体或其他自然人核心利益而进行的数据处理活动，在不经当事人同意的情况下具有正当性。在此基础上，为有效应对新冠肺炎疫情，欧洲数据保护委员会（EDPB）发布了《新冠病毒暴发期间处理个人数据的正式声明》，进一步重申：“在公共卫生领域基于实现重大公众利益的考量，对个人数据的处理无需征得个人同意。”[9]类似的声明例外也发生在美国，美国卫生与公共服务部发布公告称：在全国公共卫生紧急情况下，个人信息共享利用属于《健康保险流通与责任法案》（HIPAA）隐私规则的豁免范围，在公告列举的范围内，公共卫生紧急领域内的卫生行政部门和签订灾难协议的医疗机构在无需获得感染者同意授权的情况下即可共享其相关健康信息[10]。虽然数字化疫情防控下政府难以遵循“知情-同意”而直接进行信息收集和利用的行为具有规范意义上的正当性，但是，诸多不确定因素让个人比常态法治下更加难以实现对自我信息的掌控，利用规则的残缺也使得相关职能部门的责任分配和权力行使显得更为模糊不清。申言之，同意规则的例外情形并不意味着权力边界得以无限扩张，相反，“责任主义”要求对行政机关的信息处理行为的规制从基于权利保护的“正向控制”转变至基于权力控制的“反向控制”。有鉴于此，数字化疫情防控中行政机关的信息利用行为因“知情-同意”的式微而无法受到正向约束，为规范信息利用行为和保护相对人权益，必须借助“反向控制”理念以构建目的整合性、体系相融性和功能开放性的个人信息利用规则。

在数字化疫情防控中，正是因为个人对信息和隐私的管理和控制容易陷入“自治陷阱”，特别是行政机关在权力、技术、信息等方面拥有着明显的优势，应从信赖保护视角出发对行政机关的信息活动制定更为严苛的行为标准[11]。那么，在数字化防疫的信息关系中，“需要重新调整隐私权利基础上的不均衡的利益关系”[12]，从个人控制转变到社会控制[13]，需要基于信赖保护中的“责任法定原则”[14]对行政机关利用个人信息的行为进行“反向控制”。（1）在个人信息收集、处理及利用的整个流程中，应在全过程责任认识下采取“列举+概括”的方式来科学设定职责主体。对法定主体予以列举式明确，而对授权主体予以概括式限定，并在不同主体间合理分配管理责任、保护责任及监督责任等。（2）在疫情预警、暴发到消退的渐进过程中，根据不同阶段的疫情防控需要，所对应的信息利用主体和行为责任是具有层次性的。疫情预警阶段的信息利用主体应限定为法定主体，信息利用的行为责任需要因“疫情预警”而设定。在疫情暴发阶段，为有效控制疫情扩散而需要一定程度地扩大信息利用主体范围，并根据联防联控机制对不同主体的网格化行为进行责任设定。在疫情消退阶段，信息利用限于日常监测的“行程追踪”，信息利用主体再次限缩至法定主体，信息利用行为需要将常态化防控作为责任设定的准则[15]。（3）需要对事后责任追究机制进行完善，突破现有的以“故意”为标准的主观归责，毕竟不是所有的信息泄露行为都是有意而为之，还有相当部分泄露事件是因为不作为、过失行为所导致，应将此类行为纳入追责体系中，扩大责任认定的标准。

（二）数字化疫情防控中个人信息的公共利益属性占据首位，应在“利用为基础”的理念下明确保护原则

确诊患者、疑似感染者、密切接触者及重点地区人员的信息承载着监控和预测疫情发展的公共要素，政府作为疫情防控的主体，只有通过对此类人群的疫情信息进行汇总分析，才能进一步提高疫情防控的成效，精准把握疫情发展趋势。从实践出发，在应对新冠肺炎疫情中，我国各地政府遵循着个人信息的“积极利用主义”[16]，开发“健康码”等程序对个人信息进行广泛收集，在此基础上形成疫情信息数据库，以实时研判疫情发展趋势。同时，随着疫情向着全球蔓延发展，各国对个人信息尤其是个人健康信息的利用也格外强调“积极利用主义”，卫生行政机关享有宽泛的信息利用权力。虽然“自然人让渡一部分个人信息给国家或信息业者，以实现公共福祉；法律对个人信息权利进行适当限制，以实现个人信息流动”[17]已成为信息积极利用的共识，但是，利用并不意味着行政权力边界得以任意扩大。相反，即使在突发公共卫生事件中，行政机关及其他主体对个人信息的处理仍需遵循相应的法律原则。可见，“积极利用主义”只是疫情防控中个人信息利用的理念导向，而非成为忽视个人信息保护的措辞。“积极利用主义”强调个人信息的保护模式和理念的转变，在以“利用为基础”的进阶理念下构造数字化疫情防控中个人信息积极利用的基本原则体系以引导信息利用行为。

1. 法定原则。行政机关对个人信息进行甄别利用以及时有效控制疫情蔓延和准确执行复工复产等决策，应符合法定原则，主要是指主体合法、方式合法和目的合法。具体来说，主体合法是指执行信息收集和利用的行政主体应经由法律法规明确授权，应遵循相对的“法律保留原则”，即原则上信息利用主体的确定应由法律规定，条例设定主体的范围应与法律规定的范围具有对应性，不得任意扩大主体范畴。方式合法是指行政机关收集个人信息的行为方式应具备科学性和合理性，尤其在运用大数据技术时应确保透明度和可问责性，能够为相对人清晰感知，同时，因联防联控的工作需要而公布的个人信息，应进行脱敏匿名化处理。目的合法是指行政机关收集和利用信息的目的不仅应与疫情防控直接挂钩，还应确保收集目的与利用目的具有高度同一性。

2. 目的明确原则。从原则间的相互关系来看，目的明确原则是目的合法的进一步演化，强调信息收集的目的应具有清晰外观。根据该原则的要求，行政机关在收集和利用个人相关疫情信息时，应具有明确、清晰、具体的目的。也就是说，收集个人信息的目的应直接指向预防和控制疫情，收集个人信息的范围须限定在“疫情相关的”和“有关传染病的”，即包括个人联系方式、重点人群14天内的行踪、14天内密切接触史及当前病情症状等，避免信息的过度收集；利用个人信息的目的受制于收集时的目的，不得超出目的限定的范围，如果确实需变更信息利用目的，应告知相对人变更后的利用目的。

3. 知情同意原则。如前所述，在数字化疫情防控背景下，个人同意权利受制于公共卫生利益维护而有所限缩，但是，知情同意原则对控制政府积极利用个人信息的行为仍具有不可替代的作用。为消减知情同意和疫情防控之间的张力，应对知情同意原则进行灵活阐释以体现“利用为基础”的规制理念。为防控疫情和防治疫病的需要，卫生行政部门对个人信息的收集和利用应经本地区数据管理机关审核同意，若是涉及个人医疗健康信息，则还需要经本地区伦理委员会审核同意，通过公告的方式将信息利用计划和目的告知公众后，即可收集和利用个人信息；同时，为保障个人对信息的有限控制，个人享有选择退出的权利[16]。一言以蔽之，在个人信息收集阶段，“同意”从个人控制转向行政控制，由第三方机构进行审核，减少传统自决权模式带来的低效，但是，关于审核同意的内容应采用公告的形式予以告知。

4. 信息安全原则。个人涉疫的相关信息往往具有高度的隐私性，因此，行政机关应主动采取安全手段保障信息安全，以防止不法泄露、修改、使用或毁灭。该原则有两方面含义：一是在个人疫情信息内部管理方面，落实信息管理人员的职责，构建全过程的责任追究机制，避免管理人员泄露信息。二是在技术和制度层面，应促成疫情防控中个人信息风险综合治理体系的形成，建立起信息分级管理制度。

（三）数字化疫情防控中收集的个人信息具有敏感性和普通性，应建立起信息分级管理制度

传统认为，个人信息保护主要指的是“信息性隐私权”[18]，揭示出公共行政中对个人信息的保护通常是对个人隐私性信息的保护，其中隐私性判断成为个人信息保护的关键，这一点在《传染病防治法》《政府信息公开条例》等法律法规中已有体现。随着数据社会的急速发展，个人信息与个人隐私在概念上越发显现出交融趋势，两者的界限日渐模糊。虽然，《民法典》对个人信息和隐私信息做出了区别规定，适用规则也相应变化，但是，《民法典》尚未界定隐私信息的具体范围和类型。以“隐私性”作为个人信息保护的出发点当然不具有实质意义。近年来，以识别性作为个人信息保护的出发点能够界分出个人信息保护的范围，即通过信息的识别力度来判断是否属于个人信息。但是，识别性作为法律上的概念具有不确定性，而且判定一类信息的识别性标准并非固定不变的，是需要基于技术考量进行识别力度判断，这就导致个人信息的种类范畴难以形成层级划分。因而，在数字化疫情防控背景下，个人信息的安全保障应塑造出行政机关责任主义理念下的分类管理机制，以平衡公共利益和私权利益。

对个人信息的保护，首先需要划定“不得侵犯的核心领域”[19]，核心场域指向的是与个人生命权、健康权和人格尊严休戚相关的信息类别，理应提供宪法层面的最低限度的保护。申言之，此类信息被称之为个人敏感信息，其判断是以泄露、非法提供或滥用后对个人人身健康、身心名誉和财产安全造成的危害程度为标准。在数字化疫情防控中，个人敏感信息具体是指个人健康信息。个人健康信息直接与个人基本权利的核心领域相关联，对其存储管理应采取最高层级的安全保障措施，立法不仅需建立起信息收集、脱敏的同步机制[20]，还需要限定共享主体范围和可利用信息范围，此外，仍需对其设定退出机制以便于信息主体选择退出。

其次，在厘定个人敏感信息的判断标准后，个人普通信息占据了疫情信息数据库的绝大部分，对其合理分类可以促使利用正当化。《数据安全法》将“重要程度”和“危害程度”作为数据分类管理的两大要素，具体至数字化疫情防控中的个人普通信息的分类管理，需要明确“重要程度”和“危害程度”的判断要点，前者强调对个人信息的私益重要性和公益重要性进行衡量判断；后者则是着重于个人信息不当处理后对个人权利“非核心领域”的危害性。不难发现，分类标准是以程度性判断作为基础，就程度性判断这种方式而言，其本质上属于技术性分析和价值性选择的相互统一，立法上难以进行精细规定，对个人信息的程度综合性分析需要动态地调整判断标准的参照物，才能确保分类标准的科学性和合理性。那么，在数字化疫情防控中，“重要程度”和“危害程度”均较高的个人信息包括了个人姓名、亲属关系、户籍信息、居住地址等，行政机关进行信息利用时应拿捏好个人利益和公共利益间的分寸，根据“危害程度”来设定信息利用的规则，避免任意利用和不当公示。“重要程度”和“危害程度”均适中的个人信息包括了个人行踪轨迹、消费信息、工作单位等，行政机关应采取匿名化措施，以降低信息的识别力度，切断信息与主体之间的关联。但是匿名化并非一劳永逸，行政机关需要定期对信息的完整性进行校验和对安全保护能力进行评估，即地方政府需要对疫情防控APP进行专项治理，对个人信息收集利用的过程进行全面追踪。“重要程度”和“危害程度”均较低的个人信息包括了人群聚集分布信息、区域人员流动信息等，此类信息在疫情防控中发挥着中流砥柱的作用，立法对其利用也比较宽容，但是，在进行利用的过程中应避免大规模泄露进而形成群体性歧视。

三、数字化疫情防控中个人信息利用法治化的程序要素

政府运用大数据技术收集和利用个人信息的活动，一定程度上表明“新的信息技术改变了行政程序法的个别构成要件”[21]。如果说实质要素是为了塑造数字化疫情防控中个人信息法律制度的基本规则，那么，程序要素的建构则是为了贯通和规制不同阶段中的利用行为，以达成利益平衡之目标。

（一）数字化疫情防控背景下个人信息收集阶段的程序设置

《传染病防治法》和《信息安全技术个人信息安全规范》均已明确，基于公共卫生利益维护的目的，可以不经由相对人同意即可对其涉疫信息进行收集。虽然传统意义上的同意形式已经被豁免，不再作为收集的法定要件，但是信息主体获悉收集行为的依据、内容和目的的程序权利并未因此而受到完全限制。据此，出于疫情防控程序法治化的必要，行政机关个人信息收集行为应遵循告知程序，切实履行法定告知义务。

诚如“正当程序概念的意思是，正式行为必须符合对个人的最低公正标准，如得到充分通知的权利”[22]。不难发现，告知是行政机关收集个人涉疫信息合法开展的程序保障，也是相对人获得通知程序性权利实现的前提。那么，数字化疫情防控中告知程序设置需要关注两方面：（1）告知方式的选择。告知方式的选择与个人信息类别紧密相关，意味着既不能单方面罔顾疫情控制需要，径直选择简易的告知方式，也不得过度倚重私权保护而选择繁琐的告知方式。涉及对个人敏感信息的收集，例如个人健康状态、医疗数据等，行政机关原则上应采用书面告知方式，若是通过APP方式收集，应在收集页面同步告知收集依据、目的等内容。在一定程度上，书面告知会严重掣肘政府防控疫情的效率，可以采用口头告知的方式，但事后也须形成书面记录。对于常见种类个人信息的收集，政府应制定统一的标准并通过公告的方式予以告知。（2）告知内容的确定。无论是通过人工方式收集个人信息，亦或是借助疫情防控APP收集个人信息，都应主动充分告知相对人信息收集涉及的必要内容，包括履行信息收集职责的行政主体身份信息、收集信息的具体类型、收集信息的明确目的、开展信息收集的法律依据或者相关政策、信息收集的具体方式、信息主体相应的权利以及救济途径。

（二）数字化疫情防控背景下个人信息存储阶段的程序设置

数字化疫情防控中个人信息利用的程序正义实现，不能忽视行政机关存储阶段中内部行为的程序设计，毕竟“内部行政法包括了行政行为的内部程序”[23]，而这些内部程序成为确保行政机关信息收集到共享利用这一过程具有连贯性和一致性的链接枢纽。为确保行政机关能够一以贯之地合理利用信息来控制疫情，信息审查程序构筑起内部主体互动以及外部对象沟通的整体环境。从行为规制和权利保障视角出发，信息审查程序需要细化为目的性审查、内容性审查和安全性审查三个子程序继而形成的连续性告知和全过程监控的内外效应。

1. 目的性审查子程序。原则上，数字化疫情防控中，相关部门对个人信息的处理目的不得超出收集之时告知相对人的目的，二者应保持高度同一性。但是，突发疫情实际上是社会秩序非常规状态下的具体危险状态，为尽快消除疫情，信息利用目的时常会超出收集时预设的目的范围。设置目的性审查子程序是为了协调收集目的和利用目的之间存在的冲突。一旦目的发生变更，相关部门首要做的是进行合法性和合理性综合比较分析，以判断目的变化是否符合法律规定、目的变化是否必要。对于确需变更的目的，相关部门应尽快告知相对人相关情况，让其及时获知目的变更情况，必要时可以行使程序抗辩权；同时，相关部门也应及时在本地区疫情防控信息管理平台进行变更备案，建立起处理留痕的可追溯性监控。需要注意的是，在疫情防控和告知利益的比例性判断过程中，如果存在告知目的变更会让公共卫生利益恢复会付出不成比例的成本，那么这一目的变更可以在利益恢复后延迟告知相对人，但是对目的变更进行备案仍旧需要及时执行。

2. 内容性审查子程序。根据不同的疫情防控目的，所收集的个人信息会涉及当事人的姓名、性别、住址、健康状况、近期行踪等。基于疫情防控中信息利用中最少够用原则的要求，收集的信息应与疫情防控存在着必要的关联。审查以疫情防控目的为标准，根据信息来源和所属领域[24]对其内容进行审查，对“有关传染病”和“疫情相关”的信息予以保存；对于不符合防控目的的信息内容，相关部门应在法定时间内删除此类信息，并及时告知相对人删除情况。可见，对个人涉疫信息的内容性审查是为了便于相关部门对不同类型的个人信息进行标准判断进而形成涉疫类别化的信息集，而且通过适用“告知—评论”的程序使得相对人能够获知被存储的个人信息和及时发表自己的意见。在标准判断和意见回应的关联下形成立体性的内容性审查，可以看作是一种供多方主体积极修正个人涉疫信息类型的子程序。

3. 安全性审查子程序。通常而言，公共行政中的个人信息留存应具有明确的期限，即“信息处理活动的生命周期”，需要基于信息生命周期展开对个人信息的安全性审查。因此，在数字化疫情防控背景下，相关部门对个人信息的存储管理也应考虑到个人涉疫信息的周期，一般不得超出恢复公共卫生秩序所需的时间，而且需要从周期出发展开安全性审查。这一点在地方立法得以先行，根据《深圳经济特区突发公共卫生事件应急条例》第56条的规定，相关部门应建立信息安全管理机制。那么，安全性审查子程序包括了预案制定、事件记录、风险评估、事件上报和事件告知等。具体而言，在疫情防控期间，相关部门应制定个人涉疫信息安全事件应急预案，一旦在信息存储、传输和利用过程中发生安全事件，相关部门需要及时记录安全事件内容，同时评估事件可能产生的不利影响，相应地采取措施以消除风险。在事件记录和风险评估要求下，相关部门不仅需要按照要求及时将安全事件上报至主管部门，而且需要向相对人告知安全事件，在难以一一告知的情况下，相关部门需要采取合理、有效的方式通报相关的警示信息。

（三）数字化疫情防控背景下个人信息公开阶段的程序设置

涉疫信息公开是为了提升政府疫情防控透明度，最终塑造出一种“玻璃橱窗中的行政”[25]。涉疫信息公开功能在于保障公民的知情权，让其知晓政府防疫行为的内容和疫情发展的状态，进而做出正确行为决策。但是，涉疫信息公开受制于相关规则。从《传染病防治法》的规定上来看，相对人同意权利只在收集阶段受到正当限制，然而在信息公开阶段，获得当事人的同意原则上是个人涉疫信息公开的合法性要件，这一点在《关于做好个人信息保护利用大数据支撑联防联控工作的通知》得到了着重明确。再者，根据《政府信息公开条例》第15条规定，涉及个人隐私的信息以不公开为原则，但获得当事人同意可予以公开。在疫情防控期间，公众的知情权高涨，行政机关有必要公布确诊者、疑似者、密切接触者等重点人群的个人涉疫信息，然而，政府公布个人信息的行为仍应受制于信息主体的同意授权，个人同意权的行使需经特定程序来实现。

信息主体表示同意的方式构成同意程序的核心。GDPR中将同意定义为：信息主体依其意愿自由做出清楚的、明确的同意表示。由此可见，信息主体必须是在自愿的情形下清晰且明确地做出同意，行政机关才能公布其疫情信息。在现行立法规定中，《突发公共卫生事件与传染病疫情监测信息报告管理办法》第14条规定了“未经当事人同意，不得将传染病病人及其家属的姓名、住址和个人病史以任何形式向社会公开”，《政府信息公开条例》第15条采用了“同意则无损害”的理念，规定信息公开事先征询意见的程序要求，即信息公开与否取决于个人是否同意而非由行政机关决定。在“同意应明确且清晰”和“同意则无损害”的双重规则理念下，个人决定是否公开其涉疫信息理应经过谨慎考虑，那么，书面同意成为个人表示自愿公开且承担风险的载体形式。当然，在公共卫生紧急状态下，个人应在法定期限内尽快确定是否同意，若逾越法定期限个人未做出明确拒绝，可视为是默许同意。

但是，考虑到疫情出现的突发性、疫病蔓延的广泛性和引发危害的严重性，常规的同意形式某种程度上是缺乏实效性的。基于这一点，《政府信息公开条例》第15条规定了个人信息公开的例外规则，即“不公开会对公共利益造成重大影响”，此处的公共利益当然也涵盖了公共卫生健康秩序，《关于做好个人信息保护利用大数据支撑联防联控工作的通知》《关于支撑开展疫情联防联控工作切实加强个人信息保护的通知》进一步重申了这一点。虽然同意规则再次受限，但是基于公共卫生秩序维护而公开的个人信息需经特殊处理，《政府信息公开条例》规定了信息公开的“分离规则”，随着大数据时代不断演进，《网络安全法》对“分离规则”进行了升级，该法第42条规定：“经过处理无法识别特定个人”，《信息安全技术个人信息安全规范》国家标准直接明确了个人信息匿名化的要求。所以，在同意规则需让位于公共卫生利益实现之时，匿名化构成了存储、披露、共享个人信息之标准程序的核心[26]。匿名化程序应围绕着标准设定展开，毕竟标准规定的是程序，而非结果[27]。所以，其法律标准主要需要考虑匿名信息的可再被识别力度。具体来说，判断匿名信息的可再识别力度，应关注这些因素[28]：（1）对于信息控制者而言，匿名化的信息不能再被识别特定个人；（2）经匿名化的信息面向社会披露后，还需考虑接受信息的社会主体对匿名化信息恢复身份识别的可能性；（3）面向社会公开的匿名化信息，接受信息的主体的信息恢复能力是存在差异的。

四、结语

在数字化疫情防控背景下，个人信息的公共性成为政府将其用于疫情联防联控“预测预警、应急决策、个体行为分析、网络舆情管理和应急资源配置等”[29]的正当性基础。然而，当前疫情防控领域内的个人信息利用制度仅仅基于公共卫生利益维护的必要性，不能回应数字化防疫中个人信息保护的现实需求。在政府运用大数据技术收集和利用个人信息过程中，个人面临着客体化、透明化的风险，导致个人信息利用与保护的天平处于失衡状态。面对这些现实风险和价值失衡，需要构建数字时代疫情防控中的个人信息利用法治化模式，一是在“责任主义”指引下实现对行政机关收集和处理个人信息行为的“反向控制”、确立以“利用为基础”的个人信息保护原则和建立疫情防控中的个人信息分级管理制度；二是对数字化疫情防控中个人信息处理活动进行阶段划分，在不同阶段中设置相应程序。唯有如此，才能在数字化疫情防控中避免个人信息利用从“以风险防控”为中心的数据治理异化成为对个人进行泛化监控的工具。

总而言之，新冠疫情防控中的个人信息的广泛利用已经表明，风险治理是政府利用个人信息的典型领域。那么，从数字化疫情防控中汲取个人信息利用的法治化经验，这对于我国突发公共卫生应急法治建设中个人信息利用的公法建构实属必要。