郭鹏飞 林慧翔
1. 重庆市渝北区人民法院 重庆 401120;2. 西南政法大学法学院 重庆 401120
因感染新型冠状病毒引发的肺炎(以下简称“新冠肺炎”)疫情突然暴发,在证实病毒具有“人传人”的性质之后,国家卫生健康委员会(以下简称“国家卫健委”)于2020 年1 月20 日发布公告,将新冠肺炎纳入《中华人民共和国传染病防治法》(以下简称《传染病防治法》)规定的乙类传染病,并采取甲类传染病的预防、控制措施。新冠病毒主要通过气沫、气溶胶传播,一旦接触,被感染的风险极大。为防止疫情扩散,及时隔离患者、疑似病例并准确发布相关信息及其活动轨迹,追踪密切接触者是最直接有效的管理措施。在此过程中,各政府部门、企事业单位甚至是自然人收集掌握了大量的个人信息。一方面,个人信息的采集、公布对我国在较短时间内有效遏制疫情传播起到了举足轻重的作用;另一方面,泄露个人信息的事件时有发生,尤其是疫情暴发初期,一定程度上侵害了当事人的合法权益,并对其生活造成严重困扰,更有甚者利用疫情从事侵犯个人信息的犯罪活动。例如,2020 年1 月29 日15 时许,山西省临汾市网民姚某红在其微信群中传播“35 名密切接触者名单”的文件[1]。又如,2020 年2 月7 日14 时许,犯罪嫌疑人薛某制作“涟水县防护口罩预约服务”的网站链接发布在微信朋友圈中,非法获取公民身份号码、联系方式等敏感个人信息4 700 条[2]。随着疫情防控进入常态化的阶段,各项工作日趋理性、规范,社会秩序逐渐恢复。但是,疫情呈点状式在局部区域暴发的风险依然存在,采集、公布、使用个人信息时非法收集、过度公布、恶意传播的情况仍有发生。比如,2020 年12 月7 日,四川省成都市郫都区发生新冠肺炎疫情,一赵姓女子被确诊,其个人隐私信息当天就在多个社交平台上被频繁转发,涉及姓名、公民身份号码、联系电话、行动轨迹、私人照片、微博账号及其内容、日常生活微视频等,并收到诸多谩骂的电讯信息与语音电话[3]。再如,2021 年9 月21 日,哈尔滨确诊病例李某的行踪轨迹被公布后,因其连续三日前往剧本杀店而遭到“网暴”[4]。因此,在确保疫情防控工作稳步推进、切实保障社会公共卫生安全的前提下,如何保护民众的个人信息权益是一个值得深入研究的法律以及社会课题。
随着法治的不断健全完善,个人信息权益日益丰富,逐渐从隐私权、名誉权扩张到包含知情、同意、利用、删除等一系列的权益,但仍主要集中在私权的范围之内。当发生公共卫生事件时,尤其是像新冠肺炎疫情此类极具传染性的疫情暴发,为寻找传染源,追踪密切接触者,有效阻断、控制疫情发展,必须及时收集和公布确诊患者、疑似病例等相关人员的个人疫情信息①。此时个人信息所蕴含的法益已超越私权范围,进入需要公共利益考量的范畴,即具有了复合型的法益属性,不仅包括公民个人信息安全,更涉及公共卫生健康安全乃至国家安全[5]。疫情时期,一方面,为确保民众的生命健康,需要将确诊患者、疑似病例的个人疫情信息,特别是其行踪轨迹公之于众;另一方面,个人疫情信息包含了大量的敏感信息以及个人隐私,其收集和公布必然会对涉疫情人员的权益造成影响。由此,对个人信息权益的保护提出了很大挑战。另外,对发生在大数据时代的公共卫生事件,为尽早控制疫情发展,寻找传染源与密切接触者,新技术手段的迅速介入将有效提高疫情防控的效率与效果。与此同时,基于大数据开发的高新技术在“联防联控”疫情防控政策的指引下,无形中增加了个人信息被侵犯的风险。
公共卫生事件发生之后,为防止疫情扩散、保障民众生命健康安全,及时找出病毒携带者以及潜在病例,并进行隔离观察、治疗是发现特效药物与疫苗研发成功之前最直接且行之有效的举措。以新冠肺炎疫情为例,疫情发生后,有关部门必须尽快收集和发布确诊患者、疑似病例的个人疫情信息;确诊患者、疑似病例也有义务向当地政府或者负责卫生防疫的相关部门报告,并主动提供其真实姓名、联系方式、行踪轨迹等个人疫情信息,以便有关部门向社会播报寻找密切接触者。对于疫情时期的确诊患者、疑似病例而言,其对个人疫情信息所拥有的隐私权等人格权,失去了绝对的排他性。在信息采集的过程中,个人的知情同意不再是首要原则,当公共卫生安全与个人信息权益发生冲突之后,为了公共安全利益,作为社会的基本组成单元,民众必须让渡一部分个人信息权益。信息收集主体可以不经其同意,采集并发布其相关的个人疫情信息,即使其中可能会涉及敏感信息或者个人隐私。当然,必须将之限定在一定范围之内,不得采集与疫情防控无关的个人信息,并且在发布时也一定要进行“脱敏”的去识别化处理,以防止对个人信息权益造成不当侵害。
疫情暴发之后,病毒携带者、确诊患者、疑似病例这类特殊群体想的是尽量避免其个人信息被公开,以求自己私生活的平静和内心的安宁。而另一方面,基于公共卫生安全的考虑,有关部门有收集和发布疫情信息的权力,社会公众亦有获悉和分享疫情信息的知情权,尤其是知晓疫情的发展状况、控制程度以及病毒携带者、确诊患者、疑似病例此类特殊群体的个人疫情信息等,以及时有效地防范疫情。同时,充分保障公众的知情权也有利于破除谣言。新冠肺炎疫情暴发初期,我国对于病毒尚未有足够的认知,疫情形势也不明朗,加之互联网、自媒体的助推,网络谣言四起,甚至一度造成社会恐慌。实行政府信息公开及数据开放、保障公众的知情权就是治理网络谣言最好的“特效药”[6]。为了兼顾社会公众的知情权与个人信息权益保护,尽可能减少对民众个人信息权益的影响,《中华人民共和国政府信息公开条例》(以下简称《政府信息公开条例》)第五十五条规定,公共企事业单位公开在提供社会公共服务过程中制作、获取的与人民群众利益密切相关的卫生健康信息时,应当依照相关法律、法规和国务院有关主管部门或者机构的规定执行。《中华人民共和国数据安全法》(以下简称《数据安全法》)亦有相应的规定,主要体现在第三十八条:国家机关对在履行职责中知悉的个人隐私、个人信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
由于新冠病毒传播性极强,被感染的风险极大,因此,个人疫情信息,特别是其中的行踪轨迹成为此次疫情防控中收集和公布的重点。大数据为此提供了足够的技术支撑,疫情暴发以来,诸如“同程排查”“健康码”“疫情防控调查”等应用或者小程序层出不穷。各地也都充分运用“大数据+”等手段,为战“疫”配上“最强大脑”,加强疫情防控数据汇聚和共享利用,及时发挥大数据在服务决策与精准防控方面的作用。比如,工信部联合移动、联通、电信三家电信运营商,组织行业专家开展大数据咨询,建立疫情电信大数据分析模型,并进行常态化数据监测,统计全国各地人员向不同城市的流动情况,从而帮助预判疫情传播趋势、提升各地疫情防控工作效率[7]。在联防联控的要求下,以互联网新技术为依托的数据共享、信息流转为疫情防控添翼助力的同时,也增加了个人信息被侵犯的风险。一方面,伴随着科学技术的飞速发展,个人信息的载体日益繁多,传播的方式日渐多样,收集的难度却逐渐降低,被泄露的风险随之增加;另一方面,信息共享越频繁,掌握信息的网络程序、数据终端就会越多,而互联网作为一个开放的空间,并不能保证每个网络程序、数据终端均是安全可信的,个人信息每流转一次,被泄露的风险便会增加一分。为此,2020 年2 月4 日,中央网络安全和信息化委员会办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》)要求在疫情防控中收集、使用个人信息时应当遵循相关法律法规以及国家标准,并明确了坚持最小范围的原则等。
“公益价值标准的取舍,既有各自不同的标准,在其个案中所引起的矛盾和冲突时,唯必须寻助一个最高的标准;这个最高的标准,应如拉伦兹教授所言的,以人民之生存及人类尊严为最高价值。”[8]这里的公益指的就是公共权益或者公众的利益,代表的是社会绝大数人的利益,而非一部分人或者一部分群体的利益。另外,就私权而言,生命健康权是人类所享有的最基本的权利,是其他权利的基础。在公共利益、生命健康权与其他权利相冲突时,为了维护公共利益以及作为基础性权利的生命健康权,对其他权利进行一定程度的克减与限缩是正当的,也是必须的。正如日本法学家加藤一郎所言:“当两种权利发生冲突时,应当衡量权利所蕴含的利益,根据利益的大小决定利益的配置,也即前者所带来的利益是否足以将后者的利益省略,如果能,则承认前者,反之则尊重保护后者。”[9]质言之,在考量权利位阶、权衡利益大小时,要遵循绝对公益原则。在疫情防控的特殊时期,为保障整体社会的公共卫生安全以及绝大多数民众的生命健康权利,个人信息权益要让渡一部分权益,即个人私权要服从于公共卫生安全,个人信息保护也要让步于公众的知情权。但这并不意味着忽略个人信息权益保护,相反,更应注意个人信息收集的范围、公布的渠道、使用的方式等,力求维护公众生命健康的同时,最大限度地保护个人信息权益。
在应对重大突发疫情的过程中,国家采取紧急干预措施,政府部门超越通常状态下的权力清单行使权力,虽然会在一定程度上影响到民众的个人信息权益,但这是维护更高层级的公共利益所必需。在此过程中,比例原则可以成为公共利益和个人信息权益之间的调和剂,这也得到了我国立法的认可。《中华人民共和国突发事件应对法》(以下简称《突发事件应对法》)第十一条规定,有关人民政府及其部门采取的应对突发事件的措施,应当与突发事件可能造成的社会危害的性质、程度和范围相适应;有多种措施可供选择的,应当选择有利于最大程度地保护公民、法人和其他组织权益的措施。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
具体表现在以下四个方面。一是收集以及公布的个人信息必须与疫情防控具有最大程度上的相关性。《政府信息公开条例》第十五条但书部分规定,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。只有对公共利益的影响达到“重大”的程度,与疫情防控具有“重大”意义上的关联性时,才得收集、公开个人信息。比如,在此次疫情防控中,行踪轨迹即满足重大关联性的要求,是收集和公布的重点,而公民身份号码作为个人基本信息,与疫情防控并无实质上的相关性,但如若泄露则会对个人权益造成巨大侵害。二是合目的性,又称目的正当性。收集、公布、使用个人信息的逻辑边界和正当性基础只能是公共利益。可以是基于公共健康和公共安全的考量,也可以是满足公众知情权的需要,除此之外,任何超越或者脱离公共利益而收集、公布、使用个人信息的行为都是不被允许的。三是手段的适宜性。收集、公布、使用个人信息的具体方式和措施,应当是疫情防控所必需。这一点集中体现在公布个人疫情信息时,一定要对拟公开的个人信息做“匿名”“脱敏”等去识别化的处理。四是损害最小,即“狭义的比例原则”。德国联邦宪法法院对此有经典阐释,“一项对基本权妨碍的牺牲,不得于一般性所欲达成的效益之间不存在任何关联,这项措施对于基本权的权利人,不得产生过度负担,此措施的作出应当对基本权的权利人具有预测可能性(Zumutbarkeit)”②。比如,如果收集、公布普通个人信息或者次敏感信息就可实现疫情防控目的,则不得收集、公开敏感层级更高的个人信息或者个人隐私。
需要特别注意的是,比例原则的适用并非一成不变,应当因时、因地、因人而有所不同,并且随着疫情防控的需要进行相应的调整,在公共利益与个人权益之间保持动态平衡。比如,疫情暴发初期,由于对新冠病毒缺乏足够认识,疫情形势也不明朗,各地均要求登记武汉归乡返乡人员信息并进行隔离确有必要,对于迅速切断病毒传播有积极意义,但在进入常态化疫情防控阶段之后,除了出现疫情的局部地区,不应当再广泛收集来自特定地域人员的信息,防止将新冠病毒污名化,标签化。又如,收集、公布确诊患者的家庭住址信息,一般情况下,只到小区即可,但是在疫情集中暴发的地域,由于小区内相较于公园、广场等公共场所,人流量相对更大,人际接触更为频繁,被感染的风险也更大,因此,收集、公布确诊患者的居住地址精确到单元楼更为科学合理[10]。再如,针对不同群体,收集个人信息的范围也应有所区别,与收集普通民众的个人信息范围相比,采集确诊患者以及疑似病例的个人信息范围应该更加全面,诸如其近期出行方式、经停区域场所、密切接触人等都应囊括在内。
“正当程序原则”是“正当法律程序原则”的简称。从正当程序产生和发展的过程来看,它主要是作为刑事诉讼的原则而存在的,被视为刑事诉讼的灵魂[11]。不仅在刑事诉讼领域,正当程序原则对于数据处理来讲亦格外重要,特别是同时牵涉到公共利益与个人信息权益时,为此《数据安全法》特别规定,国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行。具体到疫情防控的背景下,即个人信息的采集、公布、使用等都应当置于法治程序的规制之下。正当程序原则应贯穿于个人信息采集、公布、使用、共享乃至封存、删除的整个生命周期中③。有别于刑事诉讼中的正当程序原则,疫情防控中处理个人信息的正当程序原则应当包括以下三个方面的内容。一是各主体在处理个人信息的各个环节必须严格遵守和执行正当程序的要求。比如,采集个人信息的主体应当有法律以及相关部门的充分授权,非经授权任何主体不得以疫情防控为由收集个人信息。二是处理个人信息的程序应当是事前已经制定并经权力部门审核通过的生效规定。重大突发公共卫生事件发生之后,相应的社会秩序以及关系由《传染病防治法》《突发事件应对法》《中华人民共和国突发公共卫生事件应急条例》(以下简称《突发公共卫生事件应急条例》)进行调整,但是有关个人信息如何收集、公布、使用等处理措施及其程序的规定尚付阙如。未来修改完善相关法律法规时应将诸如收集与公布个人信息的主体、责任机构、流程、操作规范等内容进行明确。三是在疫情防控过程中违反正当程序处理个人信息的行为应当承担相应的法律后果,信息主体有获得救济的权利以及途径。在个人信息生命周期的任何阶段,如果有违反正当程序处理个人信息的,应当对相应的主体依据其违反程度的不同实施制裁,比如纪律处分、追究其民事责任和行政责任,构成犯罪的,还应该追究其刑事责任。
《中华人民共和国执业医师法》(以下简称《执业医师法》)、《中华人民共和国母婴保健法》(以下简称《母婴保健法》)等医事法律法规明确规定,医疗机构及其医护人员可以收集患者的个人信息用于诊疗。《传染病防治法》《突发事件应对法》等紧急事态法律法规规定,在发生公共卫生事件之后,疾病预防控制机构、医疗机构、县级以上人民政府及其有关部门以及专业机构有权收集个人疫情信息。由于新冠病毒的传染性强、致病率高,我国采取“联防联控、群防群控”的方针政策,因此,在疫情防控的实践中,除了以上法律法规规定的医疗机构、政府部门之外,信息收集主体极其多元,从派出所、街道办事处到居委会、村委会,甚至小区物业都是收集主体。在疫情防控进入常态化阶段之后,做好疫情防控的同时,为有序复工复产,各企事业单位、交通运输等部门均收集了大量的个人信息。信息收集主体的多元化为实现疫情防控网格化、全覆盖打下了坚实的基础。与此同时也带来了一些问题:一方面,信息收集主体多元造成多头采集、重复采集,减低了疫情防控的效率,浪费了社会资源;另一方面,相应的信息持有主体也会相对分散,多方保管、交叉管理也增加了个人信息被侵犯的风险。为此,在考虑突发公共卫生事件现实需求的基础上,相关法律法规应对个人信息的收集主体做出明确规定,对信息收集主体适当扩容,尤其是应当赋予社区居委会、村委会、交通运输部门等基层一线的职能机构在紧急状态下采集、登记个人信息的权力。当然,对于所收集个人信息的对象以及内容、项目等应明示并严格控制,信息收集主体在采集信息的过程中也必须遵守比例原则,尽量减少对个人私权利的影响。
除了信息收集主体的多元、分散,科技有余,共享不足是此次疫情防控过程中个人信息采集的另一特点。新冠肺炎疫情暴发在Web3.0 时代,互联网科技日新月异,发展迅猛,疫情暴发之后,各地依靠互联网高新技术为疫情防控提供硬件、软件支持,迅速建立起自己的“防疫阵地”,特别是在个人信息采集方面,各种健康码、小程序如雨后春笋。但是,单就技术手段而言,不同地方均有自己独特的个人信息登记方案以及健康码,互不兼容,互不认可,尤其是在疫情防控初期,这与《通知》联防联控、信息共享的精神与要求差距很大。各地疫情形势不同,疫情防控措施因地制宜并无不妥,但不能因此而将本地区孤立起来。基于地缘关系、疫情形势相似,采取不同地域之间联防联控与群防群治的疫情防控措施,进行信息共享,打破合作壁垒,以确保疫情防控的有效性是非常必要的[12]。比如,京津冀三省市建立的疫情联防联控联动工作机制,在人员流动引导、交通通道防疫、防疫物资保障、生活物资保障、企业复工复产等方面建立起了更加紧密的沟通联系,取得了积极成效[13]。针对以上存在的实际问题,真正发挥新技术在疫情防控中应有的作用,切实做到数据互联、信息共享,充分借鉴我国第七次人口普查电子化采集、登记的方式,是可操作性强且有效的措施。此次疫情防控中个人信息的收集、管理采取的是自下而上的方式,即由基层一线信息收集主体收集、汇总后逐级上报,此种方式经手环节多,经办人员杂,个人信息被泄露的风险自然随之增大,客观上也给各地采取相对封闭的防疫措施预留了可能的空间。相反,如果采取自上而下的方式,只由一个主体统一管理,这样既可以解决不同地方互相独立、各自为阵的问题,同时又可以极大地降低所收集的个人信息被泄露、滥用的风险。
具体方案如下:由国家卫健委牵头,公安部、工业和信息化部等相关单位协调配合,结合疫情防控的实际需求,共同开发一套应用程序以及数据库,各地采集、登记的个人信息直接进入最终的数据库,由国家卫健委负责日常数据信息的统计和管理,并在此基础上向各地方提供疫情防控的工作建议与指导。关于收集个人信息的程序设计,应将个人信息登记与管理员的入口区分开来,通过个人信息登记入口登录的权限仅限于编辑、上传个人疫情信息,而通过管理员入口登录的,则可以对数据库中的个人信息进行统计、分析。另外,管理员账号宜设计为数个不同等级,对应不同的权限,国家卫健委可视具体情况,将具有相应权限等级的账号授权给各个人信息收集主体使用。
新冠肺炎疫情暴发以来,个人疫情信息公布主体五花八门,上到国家卫健委,下到居委会、村委会,而且公布的范围和项目也不尽相同,其中不乏侵犯民众个人信息的情况。甚至有个别地区针对重点疫区来访人员,全方位曝光其姓名、公民身份号码、家庭住址、工作单位等个人信息,极易导致其个人名誉、身心健康受到损害或者遭受歧视性待遇,而且可能危害其人身和财产安全。与个人信息收集主体应当多元、分散,尽量提高个人信息采集的效率和扩大覆盖面不同,个人疫情信息的公布应当采取单一主体,公布的个人疫情信息范围以及项目也应从严把握。结合上文中提到的由国家卫健委牵头并统筹实施个人疫情信息采集的工作,相应的公布也应由国家卫健委统一负责。具体方案为:首先按照疫情发展的客观情况,将涉疫情地域和群体按照不同程度划分为数个级别;然后制定相应级别的涉疫情地域和群体应公开的个人疫情信息的格式、项目、限度以及确定公布个人疫情信息卫健委的级别;最后,由国家卫健委授权当地卫健委按照既定的方案进行公布。疫情的发展如同战场,形势瞬息万变,为了保证具体实施过程中的灵活性,可以适当保留各地方卫健委一定的自由裁量权力,如遇特殊情况可以先行公布,但事后必须逐级向国家卫健委进行汇报,国家卫健委可根据具体情况批准或者撤回地方卫健委已经公开的个人信息。当然,公布确诊患者、疑似病例的个人疫情信息是为了追踪密切接触者,阻断疫情扩散,公布的形式尽可能地多样并不违背信息公布主体单一的设定,可以充分利用报刊、广播、电视、网络新媒体等方式,扩大信息受众面,以尽快找到密切接触者。
个人疫情信息的使用方面,不论是《执业医师法》《母婴保健法》等医事法律法规,还是《传染病防治法》《突发事件应对法》《交通运输部关于统筹做好疫情防控和交通运输保障工作的紧急通知》等紧急事态法律规范,或者《中华人民共和国民法典》(以下简称《民法典》)《中华人民共和国网络安全法》(以下简称《网络安全法》)《数据安全法》《个人信息保护法》等都明确规定,相应的主体(信息业者)在掌握民众的个人信息之后不得泄露、向他人提供或者违法挪作他用,并就违法行为规定了相应的处罚措施。比如,《传染病防治法》第六十八条规定,疾病预防控制机构或者相关从业人员违反本法规定,故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的,由县级以上人民政府卫生行政部门责令限期改正,通报批评,给予警告,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书,构成犯罪的,依法追究刑事责任。《个人信息保护法》第六十六条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务,拒不改正的,并处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
公共卫生事件发生之后,民众需要在合理范围内让渡一部分个人信息权益,以维护社会公共卫生安全。由于此次新冠肺炎疫情发生在人工智能时代,疫情暴发之后各种高新技术被迅速应用到疫情防控中来,尤其是在收集个人信息方面,基于互联网新技术开发的程序、平台、应用、终端等掌握了海量的个人信息。疫情结束之后,理应采取更为严格的个人信息保护措施,将各收集主体在疫情期间为防控需要而采集的个人信息进行销毁、删除,防止收集的个人信息被非法利用,并尽可能使大众“遗忘”在此期间所收集、公布的个人信息,以确保相应信息主体的生活安宁,不被侵扰。
“被遗忘权”的概念肇始于欧盟,并于2014 年由欧盟法院在“谷歌西班牙诉冈萨雷斯案”(Google Spain SL v. Agencia Espanolade Proteccion de Datos,Case C 131/12)中正式确立。2018 年5 月25 日生效的《一般数据保护条例》[General Data Protection Regulation,(EU)2016 /679]将其法典化[14]。目前,关于被遗忘权的概念仍莫衷一是,学界专家们均有自己的见解与思考,不过对其中最为核心的意涵已基本达成一致意见,即民众在满足一定的条件时,有权要求网站等信息业者将其掌握、持有、发布的有关个人信息进行擦除。我国并没有将被遗忘权纳入到法律规范中来,但在《网络安全法》《个人信息保护法》等法律法规中均有“个人信息删除”的相关表述。比如《网络安全法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。当前,我国的个人信息删除通常需基于侵权行为的存在。司法实践中也以此作为裁判的重要依据,如我国“被遗忘权”第一案“任甲玉诉百度网讯科技案”④一审、二审法院均以原告要求保护的利益不具有正当性及保护的必要性为由,认为百度公司并未侵犯其姓名权、名誉权,未支持其诉讼请求⑤。从个人信息权益自决性的实质来看,相较于“个人信息删除权”,在大数据时代,称之为“被遗忘权”更为科学合理。因为对于信息主体来讲,重要的不在于删除,删除仅是实现权利的手段与途径,被遗忘才是权利行使的最终目的[15]。
就我国当下司法实践而言,充分借鉴域外(尤其是欧盟)被遗忘权的实质内核,以公共卫生事件发生后采集的个人信息作为探索性适用的场景,应当是可行的。以新冠肺炎疫情防控时期采集的个人信息为例,各种应用程序、终端等在疫情防控期间掌握了大量的个人信息,一旦泄露或者被非法利用,对于民众自身权利的损害将是巨大的,甚至会引发社会问题。因此,疫情结束之后个人信息的持有者将之销毁、删除无疑是最直接有效保护个人信息安全的方式。除此之外,与其他类型的个人信息相比,应用程序、网站等信息业者所采集的个人疫情信息一般并不牵涉其经济利益及其意志表达,适用的难度、阻力相对较小。需要注意的是,在疫情防控期间收集的个人信息包含着诸多个人敏感信息,不应以侵权行为的存在作为被遗忘权行使的前提。另外,仅依靠信息业者与数据运营商的自律显然不够,因此,相应制度的建立、相关部门的监管以及权利被侵犯之后的救济同样值得思考和完善。
2003 年“非典”疫情结束之后,我国陆续制定、修订《突发事件应对法》《突发公共卫生事件应急条例》《传染病防治法》等法律法规,应对突发公共卫生事件的法律体系初具成型,使得疫情防控的各项政策以及采取的措施虽突破了通常时期的权力清单,但仍具有法律上的合理性与正当性,各项权力均在法治框架内稳定运行[16]。同时,也必须承认以上法律法规关于个人信息保护的内容较为粗疏,仅是“形式”意义上的制约,而非“实质”层面具有可操作的规范性控制。为此,应当从以下四个方面入手,着力构建公共卫生事件中个人信息保护的规范化路径。
1. 统一指导下的分级分类保护
根据《数据安全法》的规定,我国数据安全工作在国家的统一指导下建立了数据分类分级保护制度。同样,在公共卫生事件中的个人信息保护工作也应实行统一指导下的分级分类保护。我国幅员辽阔、人口众多,公共卫生事件发生之后,为及时阻断病毒传播,防止疫情扩散,应当遵循全国防疫“一盘棋”的思想,杜绝各自为阵。由国家卫健委统筹协调,各方联防联控以及群防群控是已经得到实践检验的有效策略。具体到疫情防控中的个人信息处理而言,由于不同病毒的传染源、传播途径、传染性等各不相同,甚至大相径庭,不同地域的疫情形势也会不尽相同,在疫情暴发之后,国家卫健委应当联合相关部门根据病毒种类、各地区的疫情形势以及不同群体的具体情况划分数个不同层级,并在此基础上分别确定需要收集以及公开的个人疫情信息的项目、限度、格式等。根据病毒种类可将传染病分为甲类、乙类和丙类;根据各地域的疫情形势可将涉疫情区域划分为高、中、低风险地区;根据不同群体健康状况可划分为确诊患者、疑似病例、密切接触者、普通民众。以高风险地区的确诊患者为例,考虑到跟踪其病情与追踪密切接触者的需要,收集个人疫情信息时,除了个人基本信息,诸如姓名、年龄外,其联系方式、近期行程、行踪轨迹以及家庭住址是采集的重点。公布的范式也应当在隐去姓名、联系方式的基础上如实反映往返目的地+交通工具(包含车次、班次、车厢号)+经停地,然后由相应级别的地方卫健委负责执行。当然正如上文中所提到的,为了确保实施过程中的灵活性,可以适当保留各地方卫健委一定的自由裁量权力,但事后必须逐级向国家卫健委进行汇报。
除了上述按照病毒种类、各地域的疫情形势以及不同群体划分之外,分级分类保护还应体现在以下两个方面。一是个人信息内容本身应有的分级分类。按照《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(以下简称《规范》2020 版)的规定,至少应将个人信息分为敏感信息与非敏感信息两类。个人敏感信息是指一旦遭到泄露、非法提供或者滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或者歧视性待遇的个人信息,主要包括公民身份号码、行踪轨迹、个人生物识别信息、健康信息、家庭住址等。对于个人敏感信息,当然应采取相较于非敏感信息更加有力的保护措施。在保证疫情防控的前提下尽量不收集、公布个人敏感信息,即使必须公布也应严格遵守比例原则,对其进行必要的“脱敏”技术处理。另一个是公开对象的分级分类。同种类型主体(社会公众),可能由于与信息相关的程度不同,对同一信息具有不同程度的利益[17]。同一个小区的居民对于本小区确诊患者需要获悉的信息与非本小区,甚至是其他地区的人所需要获悉信息的程度是有很大区别的。在大数据时代,基于技术支持,可以建立以距离为考量因素,对于附近是否有确诊患者、疑似病例进行分级分类别地公布。比如,本小区、本单元楼的普通民众可以查看本小区、本单元楼确诊患者更为详细的信息,而超出该区域的其他普通民众可知晓该确诊患者的信息则应相对较少。该方案不仅能够保证相关主体的知情权,还可以避免个人信息的过度曝光。
2. 坚持去识别化
司法实践中可识别性是判断某个信息要素是否为个人信息的重要标准。可识别性是指个人信息与信息主体存在客观确定的可能性,简单来说,这些个人信息能够直接或者间接地指向确定的主体[18]。相应的,去识别化即是采用技术手段对个人信息中能够识别特定个人身份的数据信息予以删改的过程。在个人疫情信息的公布过程中坚持去识别化,是比例原则在个人信息公布环节的具体体现,是平衡公共利益与个人信息私权的最佳措施。除保留性别、年龄以及行踪轨迹、近期行程、经停地之外,其余个人信息应采取最严格的去识别化措施,可以是匿名化,亦可采取诸如代码索引、加密、哈希函数等技术手段替代对个人信息的标识。需要强调的是,对于个人疫情信息的公布仍然要以绝对公益原则作为指导疫情防控工作的首要原则。比如,《规范》2020 版中虽然规定个人信息中的行踪轨迹属于敏感信息,但是短时间内的行踪轨迹并不具有识别性,而且行踪轨迹是追踪密切接触者最关键的线索,必须如实公布,不得做任何技术性处理。又如,《信息安全技术 健康医疗信息安全指南》(征求意见稿)中使用了“受限制数据集(limited data set)”的概念,规定经过去标识化处理的个人健康医疗信息可在未经个人健康医疗信息主体授权的情形下用于研究或公共卫生等目的,另外在临床研究场景中也以对信息“去标识化”为前提给出了获取受试者知情同意的例外情形[19]。
3. 强调数据库运营者、信息业者以及网络运营商的责任
各地采集、登记的个人信息直接进入最终的数据库,并由国家卫健委负责日常数据信息的统计和管理,可以在很大程度上解决个人信息泄露的问题,降低被滥用的风险。但是,为了提高信息采集效率,采取分散型、多元化的信息收集方式是必要的,国家卫健委会授权大量的管理员账号来收集个人疫情信息。另外,为采集个人疫情信息提供链接以及登录入口的网络运营商也不在少数。在此过程中,依然存在个人信息被泄露和不法利用的可能性。因此,应当特别强调数据库运营者、信息业者以及网络运营商等的责任。一方面,要严格遵守法律规定、恪守职业道德,坚决杜绝掌握数据库秘钥的从业人员、信息业者、网络运营商等利用职务之便侵犯民众的个人信息权益;另一方面,数据库运营者、信息业者以及网络运营商等主体应采取足够的技术手段,比如身份验证、IP 限制、验证码、数据伪装、参数签名、隐藏验证、阻止调试等,并建立信息泄露预警系统确保个人信息的安全。
4. 统一监管模式下“被遗忘权”的场景化应用⑥
根据本文设想,对于公共卫生事件中的个人信息宜采用统一监管的模式,由各地各方收集后直接进入最终的数据库,从程序上减少个人信息的经手环节,从而降低个人信息被泄露和不法利用的风险。由此,可以设想个人信息需要“被遗忘”的三种场景:第一种是疫情过后储存于数据库中的个人信息;第二种是第三方获取之后发布在网站上的个人信息;第三种是各种应用程序、终端等在收集、公布过程中非法获取、截留或不法利用的个人信息。在第一种场景中,疫情结束之后将储存于数据库之中的个人信息直接删除是最有效、彻底的保护方式,不以当事人的申请为前提,数据库的监管机构应在疫情结束后的一定时间内主动销毁。但是,也应视个人信息的具体内容而定,对于其中可能将来能用于科学研究的病情症状及其相关的信息应作保留并严加监管。第二种场景中的情况往往是在疫情期间为保障民众的知情权或者寻找疑似病例、密切接触者的需要,经有关部门同意或者授权而发布的。同第一种场景一样,疫情结束之后,甚至在疫情期间,发布的个人信息已对疫情防控无实质性帮助的情况下,第三方应主动删除相应的个人信息,或者采取断开链接等方式,确保个人信息“被遗忘”。第三种场景,具有明显的非法目的性,严重侵犯了信息主体的信息权益,极有可能影响其私人生活。当信息主体知晓其个人信息被不法利用、传播时,当然有权利请求信息发布者删除相应的个人信息,以维护其合法权益以及个人生活安宁,并要求发布者承担相应的责任。
目前,我国关于公共卫生事件中个人信息保护的规定分散在各类法律规范以及司法解释当中,但都缺乏可操作性。要么规定较为粗疏,例如《传染病防治法》《突发公共卫生事件应急条例》;要么并非为公共卫生事件制定从而不具有针对性,比如《电信和互联网用户个人信息保护规定》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《 解释》)。与此同时,我国也没有专业的个人信息保护机构,而主要由各行业主管部门负责本领域的个人信息保护工作,但不同部门的执法资源、执法手段相差巨大,容易产生监管漏洞[20]。制定并不断完善相关法律法规当然是最完美的解决方案,但其不能一蹴而就,需要一定的时间以及实践累积。为此,可以先确定某个机构,将其作为重大公共卫生事件暴发之后专门的个人信息保护机构,对个人疫情信息的登记、存储、修改、查询、公布、删除等进行监管,并承担个人信息保护风险评估以及向疫情防控指挥部门提供咨询的职能。从域外已有经验来看,欧盟作为保护个人数据信息的先进示范,不仅有着比较完善的法律规范,相关的配套制度也较为完备。欧盟采用了数据保护影响评估(DPIA)机制,就个人数据信息生命周期中各个环节的风险以及对信息主体的影响进行内部评估。数据保护主管部门(EDPS)可就个人数据信息保护规范的相关问题接受咨询,并发布指南,以协助有关机构和个人了解及遵守数据保护令。根据我国现有的行政机构设置、法律法规⑦以及实际国情,鉴于国家网信办在大数据时代背景下的个人信息保护方面已经积累了相当的经验,可以确定网信办为重大公共卫生事件中个人信息保护的专门机构。根据上文中所设想的由国家卫健委统一负责公共卫生事件中个人信息的日常管理,以新冠肺炎疫情防控为例,相较于欧盟的DPIA 内部评估与EDPS 外部咨询机制,由于网信办与卫健委隶属不同部门,不论是评估还是咨询,一方面网信办具有一定的独立性,能够保证对于个人信息保护风险评估与向疫情防控指挥部门提供建议的科学性、客观性,同时这两个部门又同属新冠肺炎疫情工作小组的领导之下,能防止两者相互掣肘,实现有效疫情防控与个人信息权益保护的有机统一。
非紧急状态下,如个人信息权益被侵犯,一般有投诉举报和司法救济两种救济途径。重大公共卫生事件发生之后,行政机关以及经授权行使公共管理职能的部分社会组织均会出现在个人信息的生命周期当中。因此,除了投诉举报与司法救济之外,如上述行政机关或者社会组织在采集、使用个人信息过程中涉嫌侵犯民众的个人信息权益,相应的信息主体理应有通过申诉或者行政复议来维护其合法权益的途径。换言之,在疫情防控期间,信息主体可以视具体情况而选择不同的救济途径:行政复议、投诉举报以及司法救济。
其中,行政复议的相关问题,《中华人民共和国行政复议法》及其实施条例等法律法规已经相对完备,本文不再赘述。关于投诉举报,通常情况下,民众的个人信息被侵犯之后,报警应该是大多数人维权的途径。在疫情防控的特殊时期,由国家网信办来承担起受理涉及个人信息被侵犯的投诉职责更为适宜。一方面,相较于普通公安部门,网信办及其工作人员有更具针对性的硬件设施与专业知识储备;另一方面,根据本文设想,国家网信办作为重大公共卫生事件暴发之后专门的个人信息保护机构,本就对疫情期间的个人信息具有监管职责。司法救济方面,一般而言,司法救济途径应当遵循民法到行政法,再到刑法的递进式逻辑,但是在个人信息保护领域并非如此。民事法律层面,直到《民法典》的出现,对个人信息权益保护具有操作性的条款数量依然不足;行政法层面,对于侵犯个人信息的法律规制主要依赖《中华人民共和国治安管理处罚法》,实践中也以教育、警告、罚款为主,效果并不理想;刑事法律层面,《中华人民共和国刑法修正案(七)》《中华人民共和国刑法修正案(九)》《解释》构建了以“侵犯公民个人信息罪”为主要罪名的犯罪圈。新冠肺炎疫情暴发初期,最高人民法院、最高人民检察院、公安部、司法部于2020 年2 月6 日出台《关于依法惩治妨害新型冠状病毒感染肺炎疫情防控违法犯罪的意见》就拒不履行信息网络安全管理义务罪,编造、故意传播虚假信息罪等侵犯涉疫情个人信息法益的相关罪名的刑法适用提出办案指导意见,呈现出“刑先民后、行政法中空”的特点。诚然,“刑法先行”的做法很大程度上可以解决突发事件引发的或者潜在的社会问题以及风险,对侵犯民众个人信息的犯罪行为进行有效打击,主动封住底线,值得肯定,但是倘若民事、行政法律法规缺位或者虚置,长此以往,势必会造成刑法负荷过载。因此,应尽快构建民事侵权、行政违法、刑事犯罪逐级递进的个人信息法律保护体系及其司法救济途径,在重大公共卫生事件暴发之后,确保有效推进疫情防控工作的同时,兼顾民众个人信息的权益保护。
习近平总书记在中央全面依法治国委员会第三次会议上发表的重要讲话中指出:“在法治轨道上统筹推进各项防控工作,保障疫情防控工作顺利开展。”具体到个人信息保护而言,应着重从以下两个方面进行完善。一是修订完善相关的法律法规,构建公共卫生事件中的个人信息保护制度;二是充分发挥政策灵活性的作用。法律法规方面,应以此次疫情防控为契机,及时修订我国应急管理类的法律法规,要总结疫情防控中的有效经验以及不足之处,并充分吸收《规范》2020 版、《通知》以及在疫情防控期间制定的各类法规文件中的有益规定,将其法律化,使得公共卫生事件中的个人信息保护由形式上的有法可依逐渐向实质上的依法防治过渡。政策方面,重大公共卫生事件具有突发性,难以预测,再完备的法律法规体系也不可能将其全部覆盖,当已有的法律制度以及行政方式不足以克服紧迫的公共危机时,就应当给予政府更大的行政权力和自由裁量空间,以防止公共利益和公民权利遭受不可挽回的损失。当然,新政策的制定应以既定法律法规的不足为前提,并且应当接受比例原则的规制。唯有如此,才能在确保疫情防控工作有效性的同时,充分保障信息主体的个人信息权益。
① 个人疫情信息,是指为疫情防控的需要,收集、使用有关确诊患者、疑似病例、密切接触者等自然人的个人信息,包括但不限于姓名、联系方式、行踪记录。
② 转引自赵宏《疫情防控下个人的权利限缩与边界》,《比较法研究》,2020(2):16。
③ 《互联网个人信息安全保护指南》3.8 条指出,个人信息生命周期,包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。
④ 详见(2015)海民初字第17417 号民事判决书。
⑤ 在该案中,原告任甲玉认为,他已从之前的工作单位离职,其之前的工作经历不应出现在网络上并被广为传播,应当被网络用户所 “遗忘”。而且,因为该企业名声不佳,在百度相关搜索上存留其与该企业的相关信息侵犯了其姓名以及名誉权。
⑥ 此部分的论述以及场景化的分类方式受到了相关文献的启发,详见丁晓东《被遗忘权的基本原理与场景化界定》,《清华法学》,2018(6);丁晓东《论算法的法律规制》,《中国社会科学》,2020(12)。
⑦ 《数据安全法》第六条第三款规定,国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。《个人信息保护法》第六十条规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。