突发事件应对中的个人信息利用与法律规制
——以新冠肺炎疫情应对为切入点
2020-01-08林鸿潮赵艺绚
林鸿潮,赵艺绚
个人信息是指单独或者与其他信息对照可以识别特定个人的相关信息,包括公民的姓名、出生日期、身份证号码、住址、医疗记录、人事记录、照片等。(1)张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015年第3期。随着互联网的普及与数据法治时代的来临,个人信息所蕴含的价值及其固有的权利(权益)属性逐渐获得私法的确认。例如,2017年颁布的《民法总则》第111条明确规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”而在公法领域中,个人信息利用的规则正在逐步确立。一方面,大数据时代下的行政管理必然涉及对个人信息的利用。例如,在此次新冠肺炎疫情应对中,对个人信息的收集、排查和分类已经成为疫情防控中的重要一环。(2)赵宏:《数据抗疫中的患者信息披露与隐私保护》,中国宪治网,2020-02-19,http://calaw.cn/article/default.asp?id=13552,访问日期:2020年3月10日。另一方面,个人信息权利的排他效力从私法领域向公法领域延伸,不仅可以排除平等主体对个人信息的不当侵犯,也能拒绝政府对个人信息的无限收集和不当使用。
在正常的社会秩序下,政府对个人信息的利用与公民对其个人信息的支配之间的紧张关系尚不明显。但在重大突发事件应对中,为了尽快克服公共危机,以政府为代表的公权力主体权力范围扩大,个人权利相对克减。这种权利义务关系的变化使得某些传统意义上对个人信息的“不当”利用行为具备了正当性。例如,在此次疫情应对中,很多地方政府为了尽快排查确诊患者的密切接触人员,向社会公开了确诊患者的籍贯、所居住小区、活动轨迹等个人信息,其中一些个人信息本应属于个人隐私范畴,但是为了快速切断病毒传播途径以控制疫情,这种做法又不得不为。纵观现行法律规范,立法者更关注如何实现公民对其个人信息的自我控制,对个人信息的利用环节涉及甚少,对政府等公共部门利用个人信息的规定则几乎“留白”。(3)林鸿潮:《个人信息在社会风险治理中的利用及其限制》,《政治与法律》2018年第4期。至于在突发事件应对中,政府是否可以利用个人信息以及如何利用、利用的限度何在等问题,则完全空白。由于缺乏法律规制,在此次疫情防控中,政府不善、不当或者过度利用个人信息的情况均有发生,特别是一些所谓“硬核”防疫措施层出不穷,有的甚至侵犯了公民的基本权利。例如,福建省晋江市某镇政府为了排查当地一名确诊患者的密切接触人员,在公共场所张贴该确诊患者的照片。(4)李佳楠、陈威敬、胡琪琛:《被声讨“晋江毒王”:感到很抱歉,可我没撒谎》,北青深一度,2020-02-09,http://mini.eastday.com/a/200209022356514.html,访问日期:2020年3月10日。又如,多地出现载有准确个人信息的“武汉返乡人员名单”在当地微信群中大肆传播的现象。(5)《从武汉返乡学生:感觉自己像瘟神,大家拿着名单躲我们》,环球时报百家号,2020-01-27,https://baijiahao.baidu.com/s?id=1656871463752376381&wfr=spider&for=pc,访问日期:2020年3月10日。这些做法既有悖于行政法的比例原则,也严重背离了宪法的本质保护原则。由此可见,如何建立一套突发事件应对中的个人信息利用规则,在保证政府能够有效利用个人信息的同时,又为应急状态下的个人信息权益提供最低限度的保护,已经成为一个迫切需要解决的问题。
一、个人信息利用在突发事件应对中的功能
“大数据”和“互联网+”的兴起不断变革着社会治理体系,并通过影响治理流程、治理工具和治理技术,丰富着行政主体管理公共事务的方式。(6)陈琳:《精简、精准与智慧:政府数据治理的三个重要内涵》,《国家治理》2016年第27期。其中,政务“大数据”的主要来源之一是个人信息的集成。(7)陈晓勤:《大数据背景下政府信息形成权的行使》,《苏州大学学报(哲学社会科学版)》2017年第3期。随着“大数据”技术的成熟,公共部门对个人信息的利用也迅速从最初的犯罪调查、治安防控等领域推广到公共管理的各个领域,包括公共危机治理领域。从此次疫情应对来看,政府通过利用个人信息所发挥的功能至少体现在如下四个方面。
(一)突发事件的预测和预警
从某种程度上说,突发事件的预测和预警是应急管理中最重要的环节。如果能够在事件发生之前迅速控制危险源或者采取相应的预先处置措施,即使不能完全避免事件发生,也能够大大减少其损害。(8)薛澜、张强、钟开斌:《危机管理:转型期中国面临的挑战》,清华大学出版社,2003,第57页。虽然单个个体的个人信息不足以成为突发事件预测和预警的依据,但个人信息背后隐藏的是个人行为,个人行为能够体现公共危机生成与演化的规律。通过“大数据”和“云计算”等手段,将一定范围内个体的个人信息聚合并置于某种风险分析模型中,有可能提前探知风险点并预测风险事件未来的发展趋势。例如,在此次疫情防控中,工信部联合三家基础电信企业,利用技术手段获取海量的个人定位和行动轨迹等信息,连续多日向中央和北京、上海等大城市推送武汉、湖北人员流出大数据统计结论及流动人员态势分析,对疫情蔓延风险高的地区及时发出疫情态势预测和社会预警,帮助各地疫情防控部门实现提前防范和精准防控。(9)《工信部召开媒体通气会:介绍电信大数据分析、支撑服务疫情防控总体情况》,工信微报百家号,2020-02-14,https://baijiahao.baidu.com/s?id=1658523536310826830&wfr=spider&for=pc,访问日期:2020年3月10日。
(二)突发事件的应急决策
在危机情景下,影响应急决策效果的因素除了决策者的个人素质和个人经验之外,还包括决策信息、决策时间等客观条件,而应急决策困境则大部分因决策信息匮乏所致。(10)同①书,第169页。因此,为了获取充足的决策信息,政府可以在“大数据”“云计算”和“智慧城市系统”等信息技术的帮助下,通过履行法定职能,展开社情民意调查,向大型企业、科研机构和数据开发机构征集分散性公共数据等多种方式,收集包含个人信息在内的海量信息,并对这些碎片化的信息进行分析、研判,挖掘其中的关联性。通过对危机应对中的信息增量进行整合分析,可以在很大程度上克服由于信息不足而造成的决策困境,实现高效、精准的应急决策。(11)张海波:《应急管理研究向何处去?——简论大数据时代的应急管理研究》,《安全》2017年第10期。例如,在此次疫情应对中,浙江省根据聚集性疫情分布、输入性病例行程及流向、本地病例占比等指标计算全省疫情风险,绘制全省县域疫情风险“五色图”并实现数据实时更新,在此基础上实行分级分区防控。对列入高风险等级的县域采取停工停产、区域封锁等一级响应措施,而对风险等级较低的县域则鼓励复工复产、给予政策补贴等。此外,浙江省还率先使用遥感定位、“大数据”测算等技术,识别人群活动轨迹及其与确诊病人活动轨迹的吻合程度,按照病毒暴露风险程度划分人群的风险等级。在风险等级测算的基础上,实行人群分类管理制度,对病毒暴露风险最高的“红码”人群执行强制医学隔离和集中隔离,对风险等级次之的“黄码”人群执行14天居家隔离,取消对风险等级较低的“绿码”人群的活动限制等,取得了促进社会秩序较快复苏的良好效果,已在河南、海南等省实现“跨省互认”。(12)《一人一码 大数据助力精准防疫 》,光明网,2020-02-19,http://politics.gmw.cn/2020-02/19/content_33569957.htm,访问日期:2020年3月10日。
(三)识别危险源和控制个体行为
在数据时代,通过信息技术可以在极短的时间内收集、整合、分析人在生活中所留下的各种数据痕迹和个人信息,将人的各种行为抽象化,进一步处理后可以在数据和信息层面上描绘出与真人生活相似的“个人画像”。(13)梅夏英:《在分享和控制之间:数据保护的私法局限和公共秩序构建》,《中外法学》2019年第4期。通过对“个人画像”与旅游、交通、治安等数据的对比和整合,可以精准识别出具有风险传播可能性的危险源,进而识别出与危险源相关的个体,并对这些个体采取相应的控制措施。在此次疫情应对中,天津市通过对已确诊患者居住地点、行动轨迹等个人信息的分析,识别出本市疫情暴发点之一是宝坻区百货大楼,将此处定位为风险源后,天津市政府对有宝坻区百货大楼接触史的人员进行了识别并采取紧急隔离措施,遏制了疫情形势的恶化。此外,通过对“个人画像”的描摹和分析,可以精准识别存在“失范行为”的个体并及时给予打击或规制,防止或者减轻个人“失范行为”给危机应对带来的不利影响,最典型的例子就是将个人信息用于危机舆情监控和网络谣言治理。(14)夏一雪、兰月新、李昊青、吴翠芳、张秋波:《面向突发事件的微信舆情生态治理研究》,《现代情报》2017年第5期。例如,截至2020年2月27日,北京警方依法查处通过微信等社交媒体或者微博等自媒体编造、传播涉疫情谣言,干扰破坏疫情防控工作的违法犯罪行为27起,依法查处违法犯罪人员27人,避免了谣言散布带来社会恐慌。(15)李祺瑶:《散布疫情谣言27人被查处》,《北京晚报》2020年2月28日。
(四)判断突发事件演变的阶段和趋势,以适时采取社会秩序恢复措施
遏制或控制突发事件并不是危机管理的最终目的,在眼前的危机结束之后,还有另外一个同样艰巨的任务,就是逐步恢复平常时期的一切秩序和原则。(16)杨建顺:《论危机管理中的权力配置与责任机制》,《法学家》2003年第4期。所谓“大灾之后,百废待兴”,突发事件所造成的社会秩序的失衡和混乱并非一时可以复原的,政府必须在判断社会秩序恢复程度的基础上逐步采取恢复措施。在危机暴发之初,政府要保证民众的日常生活和急需用品;当危机初步得到控制时,政府应有序推动企业恢复部分生产和商业经营;当危机被完全克服时,政府要帮助民众尽快摆脱危机阴影,刺激就业,促进社会秩序和经济活动的全面复苏。(17)韩大元、莫于川主编《应急法制论》第1版,法律出版社,2005,第293页。大数据分析的即时性、动态性和互动性特征可以为事后恢复措施的制定提供有针对性的实时、动态指导。既可以帮助政府判断当下所处的危机发展阶段,也可以判断社会秩序的恢复程度,从而采取相应措施。例如,通过大数据模型分析主要劳动力输出省份的人员流向,可以预测重点省份和城市的复工复产程度;而提前统计分析已复工复产的重点区域人员情况,又可以预测疫情的反弹风险。
总之,对个人信息的利用贯穿突发事件应对的全过程,发挥着传统危机应对手段所难以比拟的功能,但又时时处处受制于个人信息保护的“红线”,面对如何平衡危机应对的公共目标和个人信息背后的重大私益的难题。在重大突发事件应对中,政府一方面要尽量推动个人信息数据资源的流动和利用,特别是从巨型企业、数据开发机构中获取分散的数据资源,实现个人信息的社会价值;另一方面,不管在何种情况下,政府都要保障个人信息权益中最本质的部分不受任何侵害,避免公民在强大的国家机器面前被“客体化”“透明化”。(18)谢远扬:《信息论视角下个人信息的价值——兼对隐私权保护模式的检讨》,《清华法学》2015年第3期。“如何在个人权利的克减和保障之间以及在公共权力的赋予和限制之间求得可持续的平衡,绝非简单套用个人信息保护的一般规则即能够获得答案,而需要认真作出探求。”(19)林鸿潮:《个人信息在社会风险治理中的利用及其限制》,《政治与法律》2018年第4期。
二、新冠肺炎疫情应对中政府利用个人信息法律能力的不足
与传统意义上实体化的应急资源不同的是,个人信息虽然兼具私法上“财产”的属性(20)杨立新:《个人信息:法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》,《法学论坛》2018年第1期。,但并不具备实体形态。因此,对个人信息的收集和处理必须依赖一定的信息科学技术和载体(21)维克托·迈尔-舍恩伯格、肯尼思·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社,2013 ,第7页。,我们可以称之为“硬件”。客观地讲,“硬件”很难在突发事件应对的短时间内迅速提升,只能着力于提升“软件”——政府在突发事件应对中依法利用个人信息的能力。这种能力,就是运用法律规则在个人信息的充分利用和必要保护之间求得平衡的方法和技巧,我们可以称之为“法律能力”。此次新冠肺炎疫情应对,恰恰暴露了突发事件应对中政府个人信息利用法律能力的不足。
(一)各地政府在疫情防控中利用个人信息的水平差距明显,一些地方顾虑较大、力度不足
疫情是一面镜子,疫情防控可以照出各地政府治理能力上的差距。有的地方研判及时、反应灵敏、措施得当,防控措施因势而变,分级分区精准施策;有的地方则是疫情比别人轻、措施比别人硬、方法比别人粗、复工比别人晚,形成鲜明对比。造成这种差距的原因,不仅与各地经济社会发展水平、政府施政理念有关,地方政府对个人信息的利用水平也是重要原因之一。正如上文所言,对疫情整体发展态势的研判、危机时刻的紧急决策以及对危险源的排查和控制,无一不依赖于个人信息利用。个人信息利用越充分,研判就越及时,反应就越灵敏,措施就越精准。而地方政府充分利用个人信息的背后,则是其对个人信息保护规则把握和运用的能力和自信。一方面,政府在疫情防控中利用个人信息涉及对个人的识别、标记、追踪甚至监控,不可避免地引起人们对“技术利维坦”的担忧(22)王小芳、王磊:《“技术利维坦”:人工智能嵌入社会治理的潜在风险与政府应对》,《电子政务》2019年第5期。,引发行政争议的法律风险较大,能否避免和化解这些风险,对地方政府是一种考验。另一方面,政府直接掌握的个人信息资源不多,大部分可以利用的个人信息资源掌握在大型企业手中,在调动这些企业资源整合、分析、处理个人信息的同时,又不过度迫使其违反对用户的个人信息保护义务,也是一个难题。此外,政府在利用个人信息时必须建立起十分严格的内控制度,防止内部人员泄露和违法使用这些信息,但很多地方政府未必具备这样的条件。正因为受制于上述因素,一些地方政府顾虑重重,在疫情防控中对个人信息不敢利用、不愿利用、不善利用,保守求稳,一味依赖传统手段,搞“一律劝返”“封村断路”“锁死家门”和“一刀切”禁止复产复工等简单粗暴的“硬核”手段。这既没有落实好中央“一手抓疫情防控,一手抓复工复产”的方针,又引发了矛盾纠纷。(23)谷艳伟:《与武汉共疫战 河南农村防疫:挖掘机断路车辆封村》,映象网,2020-01-26,http://news.hnr.cn/202001/26/86101.html,访问日期:2020年3月10日。
(二)有的地方政府对疫情防控中个人信息披露的特殊尺度把握不准
在正常状态下,政府信息公开中对个人信息的披露不能触及关涉私生活安宁和秘密的个人隐私部分。但在应急状态下,社会公众对于政府或其指定的权威机构信息披露程度的要求更高,对知情权的要求比任何时候都强烈,人们期望通过获知信息了解真相以降低自我风险。(24)苟正金:《我国突发环境公共事件信息公开制度之检讨与完善——以兰州“4·11”自来水苯超标事件为中心》,《法商研究》2017年第1期。信息公开在突发事件应对中的意义不仅在于向公众澄清真相以保障其知情权,还包括引导舆论、警示风险、鼓舞信心、治理谣言、号召社会力量等,需要考虑和权衡的因素十分复杂。(25)林鸿潮:《中国公共应急体制改革研究》,中国法制出版社,2015,第79页。可见,在正常状态下政府信息公开和披露所预设的原则、规则以及适用方法在应急状态下并不完全适用,而现行应急法体系对这些问题基本没有规定或规定得十分模糊。例如,《传染病防治法》第12条规定:“疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料”,不仅没有规定泄露个人隐私的法律后果,而且“不得泄露”的主体只限于疾控机构和医疗机构,“不得泄露”的内容则更偏向于传统意义上的个人隐私。而与个人隐私权追求彻底“个人自治”的价值取向不同,个人信息权自被宪法理论确认和识别以来,就认同个人信息并非纯粹与个人相关,公共利益、社会秩序等都需要纳入个人信息规则的考虑范围。(26)孙平:《系统构筑个人信息保护立法的基本权利模式》,《法学》2016年第4期。不管从个人信息保护的一般规则,还是从突发事件应对的理念和原则中,都可以推导出以下结论:在突发事件应对中,政府可以出于公共利益的考量对个人信息权益进行限制,虽然这种限制有可能会触及个人隐私,但个人在原则上应当接受这种限制。
当然,政府在对个人信息权益施加这种限制时必须遵循某种“度”的要求,具体而言,就是要把握好施加限制的条件以及将个人信息利用到何种程度。从此次疫情应对的实践来看,对“度”的把握必须与事态的变化紧密结合,否则可能导致个人信息利用机制的僵化。例如,在疫情蔓延之初,很多地方公布了确诊患者居住的小区,但在武汉市,很多居民却认为这样做还远远不够。因为武汉市是疫情中心区,几乎每一个社区都有确诊或者疑似患者,“公布到小区”对于公众了解和避开身边的危险源意义不大,实际上也影响了对疫情蔓延的控制。最终,鉴于疫情的严峻形势和公众的强烈要求,武汉市政府决定参考北京、上海等地的做法,扩大个人信息披露的范围,增加公开确诊者的行程轨迹及其所居住单元等更加精确的信息。(27)《武汉多社区疫情信息公开细化到楼栋单元,法学专家建议推广》,澎湃新闻百家号,2020-02-09,https://baijiahao.baidu.com/s?id=1658019696992987115&wfr=spider&for=pc,访问日期:2020年3月10日。通过这个例子可以发现,由于突发事件的高度不确定性,法律上对政府利用个人信息的授权采用“概括式”而非“列举式”规定更加适宜,应当允许政府在适当时机采取必要的、与特定时刻事态形势相适应的个人信息利用措施。
(三)不少地方存在对个人信息的过度利用甚至是滥用
在应急状态下,为了维护紧迫而重大的公共利益,政府利用个人信息的程序要求降低、范围扩大、程度加深。例如,根据国家标准GB/T35273—2020《信息安全技术 个人信息安全规范》5.6之规定,当个人信息的控制者出于与公共安全、公共卫生和重大公共利益直接相关的目的收集、使用个人信息时,无需经过个人信息主体的授权和同意。由此,在突发事件应对中可能出现三种不利情况。第一,政府收集掌握了大量的个人信息,其中不乏姓名、身份证号码、家庭住址等敏感信息,却没有采取严格的管理和技术防护措施,导致这些信息被窃取、泄露。例如,在此次疫情应对中,云南省文山州、市的5名医务人员利用工作之便,偷拍了当地疾控部门收集的确诊病人敏感个人信息并通过微信转发,造成了社会恐慌。(28)赵广泉:《云南文山被拘留的几名医生泄露了什么?》,《健康时报》2020年2月7日。第二,一些地方政府对个人信息披露的范围过广。例如,武汉市政府不仅公开了确诊患者、疑似患者、密切接触者的居住小区和所在单元,暂时无法排除新冠肺炎的发热患者也在公开的范围当中,且公开的程度与前三类人群相同。(29)同①。第三,某些地方政府对个人信息进行了过度识别,一些与危机应对没有直接关系的个人信息也被收集。例如,某地一名确诊患者在某宾馆曾住过一晚,当地政府收集了当晚及之后曾在该酒店居住的所有人员的信息并全部公开。尽管这些个人信息与疫情防控有一定联系,但并不直接,因为酒店并不是一个开放的公共场所,与一名确诊患者在同一个酒店居住过,尚不符合密切接触者的界定标准。而相比之下,“开房记录”却是高度敏感的个人信息,涉及个人信息权益的两个核心价值:保护个人尊严,避免被大众或者媒体窥知隐私;保护个人自由,避免政府对个人信息的过度利用。(30)令倩、王晓培:《尊严、言论与隐私:网络时代“被遗忘权”的多重维度》,《新闻界》2019年第7期。在此情况下,相对于公开这些信息对疫情防控可能发挥的作用,保护个人尊严和自由的价值无疑更加重要。
三、对突发事件应对中个人信息利用规则的检讨
地方政府在疫情防控中利用个人信息的法律能力不足,固然与治理理念、人员素质、硬件设施等因素有关,但追根溯源,还在于突发事件应对中个人信息利用的法律规则存在缺陷,需要回到制度层面进行检讨。
(一)以隐私权为中心的个人信息保护模式先天不足
最初,个人信息权益是作为隐私权的衍生权利而被私法规则所接纳,并具有支配权属性。目前,学界通说认为个人信息与个人隐私是交叉关系,涉及私生活或不欲为人所窥知的部分构成二者的交集。(31)张新宝:《〈民法总则〉个人信息保护条文研究》,《中外法学》2019年第1期。由于与隐私权关系密切,个人信息的保护模式在构建之初就具有典型的“隐私权”保护特征。(32)张建文、高完成:《司法实践中个人信息的保护模式及其反思——以隐私权的转型为视角》,《重庆邮电大学学报(社会科学版)》2016年第3期。在该模式之下,以政府为代表的公权力主体主要被定义为监管者和保护者而非使用者,导致公共领域中的个人信息保护呈现出理论上的不适应和应对迟缓的状态。(33)梅夏英:《在分享和控制之间:数据保护的私法局限和公共秩序构建》,《中外法学》2019年第4期。一方面,个人信息具有个体和社会的双重属性。(34)丁晓东:《个人信息的双重属性与行为主义规制》,《法学家》2020年第1期。在信息时代,政府要实现精确治理、科学决策从而广泛地促进公共福祉,必然有赖于公民对个人信息权的让渡;(35)洪玮铭、姜战军:《社会系统论视域下的个人信息权及其类型化》,《江西社会科学》2019年第8期。而“社会性”也构成了突发事件应对中政府不经权利主体同意而利用个人信息的正当性基础之一。如果将个人信息完全等同于隐私权追求绝对“个人自治”的权利,必然推导出政府在利用个人信息时应当遵照公法中的个人隐私权保护规则(36)李帅:《个人信息公法保护机制的现存问题及完善对策——基于 295 份行政判决书的定量研究》,《浙江社会科学》2019年第4期。,可能导致政府在利用个人信息时的“束手束脚”,如疫情信息披露的不及时、不到位。一个典型的例子是,我国台湾地区当局在疫情防控形势已经十分严峻的情况下,仍然以“涉及个人隐私”为由拒绝公开确诊患者的个人信息,引发了台湾民众的强烈不满。(37)陈成沛:《感染源不明的确诊“北部女”在哪?疫情中心拒绝公开,民众心慌慌》,海峡导报百家号,2020-02-22,https://baijiahao.baidu.com/s?id=1659207869504091337&wfr=spider&for=pc,访问日期:2020年3月10日。另一方面,在个人信息“私法权利”保护模式下,即使公共利益可以解决政府能否利用公民个人信息的问题(38)谢琳:《大数据时代个人信息使用的合法利益豁免》,《政法论坛》2019年第1期。,也无法直接利用现有的公法学一般原理对政府的个人信息利用行为形成有效制约,无法解决政府过度利用或不当利用个人信息给公民带来不必要损害时的追责问题,与行政法上权责统一的基本原则相背离。总之,个人信息“私法权利”保护模式的局限揭示了构建个人信息利用公法规则的必要性,而从危机治理这一典型的公共领域切入,更有利于接近事物的真相。
(二)应急状态下个人信息利用的具体规则缺失
目前,我国个人信息保护的法律体系呈现出民法、刑法并行,行政法总体缺位的情形。在民事领域中,2013年修订的《消费者权益保护法》中确立了消费者个人信息保护规则,其第29条规定“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供”。2017年颁布的《民法总则》明确了个人信息的权利属性,并确立了私法保护规则。尽管民法学者对个人信息权益保护和利用的具体规则到底是写入人格权编还是财产权编或是作为知识产权进行保护多有争议(39)张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015 年第3期。,但2019年公布的《民法典》(草案)仍然延续了《民法总则》的规定方式。在刑事领域中,2015年通过的《刑法修正案(九)》第253条之一规定:“违反国家有关规定,向他人出售或者提供公民个人信息”应当承担刑事责任。随后,2017年颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了有关规定的内涵。此外,在2016年颁布的《网络安全法》和2017年颁布的《国家情报法》中都有关于个人信息的规定。总体上看,在过去的几年里,个人信息立法在民事和刑事领域中取得了初步成果,民事的权利保护规范和刑事的惩戒措施已基本具备,但主要集中于规制个人信息的收集、保密环节,对利用环节的规定较少。相比之下,在行政法方面,涉及个人信息的国家法律几乎为零。虽然有为数不多的几部法律和行政法规提到个人隐私,但正如前文所述,个人信息与个人隐私在属性上有所不同,不能等同视之。至于应急状态下的个人信息利用规则,现行立法几近空白,只有《传染病防治法》等个别法律对“个人隐私”稍有涉及。法律规范的缺位,导致突发事件应对中个人信息利用的两种极端情况并存:一方面,尽管学理上能够为应急状态下政府出于公益目的对个人信息权益进行必要限制提供正当性支撑,但由于没有法律法规明确授权,导致很多地方政府不愿用、不敢用、不善用;另一方面,由于没有明确的价值衡量标准和权力制衡机制,有些地方政府对个人信息又过度使用、不当使用。
(三)政府信息公开规则在多数情况下无法适用于个人信息利用
在特定情形下,政府信息公开可能构成个人信息利用的一种情形,如在此次疫情防控中对确诊患者个人情况的公开。因此,人们可能认为既有的政府信息公开规范可以同时作为政府利用个人信息的法律规则。但是,应急状态下的个人信息利用并不等同于政府信息公开,直接套用《政府信息公开条例》来解决个人信息利用问题并不恰当。一方面,在突发事件应对中,政府所利用的个人信息在来源上与政府信息公开中所涉及的个人信息并不相同。《政府信息公开条例》第2条规定:“本条例所称政府信息,是指行政机关在履行行政管理职能过程中制作或者获取的,以一定形式记录、保存的信息。”而在突发事件应对中,政府所利用的个人信息主要来源于电信、民航、铁路、电商等大型企业,并非行政机关在履行行政管理职能中所直接掌握的个人信息。另一方面,对突发事件应对中个人信息利用的限制与政府信息公开也不相同。在突发事件应对中,政府对个人信息以“聚合使用”为主、“分别使用”为辅。所谓“聚合使用”,指的是对人群中不特定个体的个人信息进行聚合和再分析,运用“大数据”“云计算”等手段,挖掘超越个体以外的公共价值,如前文提到的利用个人信息进行宏观风险判断、应急决策。所谓“分别使用”,指的是收集某一个体的信息,通过虚拟的“个人画像”分析其在突发事件中的个人行为,并根据其行为模式提供个性化的建议、服务或规制等,从而实现控制整体风险的行政目的,如前文提到的寻找密切接触者、规制网络造谣者等。(40)林鸿潮:《个人信息在社会风险治理中的利用及其限制》,《政治与法律》2018年第4期。不管是“聚合使用”还是“分别使用”,政府收集和整合的个人信息当中必然有能够直接识别公民身份的高度敏感信息,包括行程轨迹、聊天记录、医疗记录、开房记录等。但是,政府基于危机应对的公共职能而使用高度敏感的个人信息,并不需要经过个人信息主体的授权和同意,也不需要动用“合法利益豁免”规则来证成其合理性。而在政府信息公开中则相反,对于涉及隐私、高度敏感的个人信息,是以不公开为原则、公开为例外的,即必须为了明显大于个人利益的公共利益,且公开个人隐私是唯一手段或者个人隐私权主体同意公开时,才能够将其公开。(41)王敬波:《政府信息公开中的公共利益衡量》,《中国社会科学》2014 年第 9 期。
四、突发事件应对中个人信息利用的原则
建立突发事件应对中政府利用个人信息的法律规范,应当从公法立场出发,适应非常状态下公权适度扩张、私权适度克减的特点,明确其有别于常态的若干基本原则。
(一)利用优先原则
在突发事件应对中,政府运用必要资源克服公共危机的职能优先于保护个人信息的职能。在大多数人最基本的生命财产安全受到迫切威胁的情况下,个人信息保护的价值必须有所退让。在个人信息利用和个人信息保护这对矛盾当中,应当首先确立“利用优先”的原则。
1.行政权在应急状态下具有优先性和更大的权威性,可以为了重大、紧迫的公共利益限制甚至暂停某些公民的法定权利(42)韩大元、莫于川主编《应急法制论》第1版,第5页。,公民的个人信息权益自然也在此范围内。例如,在疫情防控中,政府出于维护周边居民知情权和健康权的考量,可以公开确诊患者所在的小区甚至所居住的单元。当然,政府在决定限制公民的个人信息权益时,也必须遵循基本的价值判断规律,不能为了实现一些间接的、不确定的公共利益而直接侵害相对人的权益。(43)刘权:《均衡性原则的具体化》,《法学家》2017年第4期。与此同时,政府还应保障其所收集、储存、处理的个人信息不被用于其他不相关的目的,因此必须建立可靠的安全保障机制。例如,政府应当采用必要的技术手段防止这些个人信息被偷拍、窃取和泄露。又如,在疫情结束之后,政府应当将没有必要保留的个人隐私全部删除。
2.政府在应急状态下利用个人信息必要时可以突破法律保留原则。法律保留原则的含义是:“当涉及公民权利义务等事项方面,只有法律明确授权,行政机关才能实施相应的管理活动,否则即构成违法。”(44)张树义主编《行政法》第2版,北京大学出版社,2012,第27页。有学者由此认为:“法律保留原则要求行政机关对个人信息的收集或是处理,皆需要有法律授权,即必须经由全体公民合意的法律授权给行政机关。如果行政机关的收集或处理个人信息行为没有法律规定,则该权力的行使不具有正当性。”(45)张娟:《个人信息的公法保护研究——宪法行政法视角》,博士学位论文,中国政法大学,2011,第111页。该观点忽略了一种特殊情形,即在应急状态下,由于突发事件具有非预期性、紧迫性、不确定性,政府应对突发事件的措施不可能完全通过法律提前预设。当法定的行政方式不足以克服紧迫的公共危机时,就应当给予政府更大的行政权力和自由裁量空间,以防止公共利益和公民权利遭受不可挽回的损失。(46)薛澜、刘冰:《应急管理体系新挑战及其顶层设计》,《国家行政学院学报》2013年第1期。因此,法律首先应当对政府采取这样的特殊措施给予相对宽泛的授权,以尽量避免造成应急措施在合法性和正当性上的紧张关系。但是,如果确实出现了没有法律依据而又必须采取紧急措施的情况,政府可以超出法律授权的范围,根据事态处置的实际需要进行比较广泛的数据处理和信息披露。
(二)适度放宽的比例原则
比例原则是行政法的基本原则,包含几个基本方面:一是适当性,指行政机关采取的措施恰当,有助于实现公共目的;二是必要性,没有一种公共利益有绝对的正当性要求普通公民作出无限度的牺牲,对公民权利的限制必须是迫不得已的选择,而且是伤害最小的一种;三是相称性,也称为狭义的比例原则,即公共利益在价值上不低于特定的私人损害。(47)杨登峰:《从合理原则走向统一的比例原则》,《中国法学》2016年第6期。在突发事件应对中,政府和公民的关系发生了深刻的变化,人们对于行政权与私权利的平衡、正当程序以及知情权、生命权和健康权的需求有消有长,而政府的决策依据、行政程序、行政目的都有所调整。因此,应急状态下比例原则的适用体现出两个重要特征:一是比例原则的要求要有所放宽;二是判断行政措施是否符合比例原则要考虑政府的应急资源等特殊因素。
1.在突发事件应对中,不应要求政府利用个人信息的措施在适当性上得到严格证明或者获得绝大多数人的认可,而应充分考虑其出发点和实际能力。例如,在此次疫情防控中,河南省某市的基层工作人员和志愿者每日上门为农村居民测量体温,而大多数村庄并没有出现确诊或者疑似病例,有些村民认为工作人员和志愿者上门反而有可能造成交叉感染。(48)《上门排查体温可能带来交叉感染?民政部:有风险,正改进》,中国新闻网百家号,2020-02-10,https://baijiahao.baidu.com/s?id=1658147433938440460&wfr=spider&for=pc,访问日期:2020年3月10日。在应急状态下,判断行政机关所采取的措施是否符合比例原则,要充分考虑其目的的正当性和现实条件。上门测体温的目的是排查潜在感染者,其目的的正当性没有问题。就收集信息的手段而言,虽然不够科学甚至可能带来潜在风险,但考虑到当地的经济条件落后、社会资源匮乏,没有诸如“无人机测体温”等更好的手段,在避免共用体温计的前提下,如果工作人员的防护措施到位,带来交叉感染的可能性比较小,可以认为这种措施仍然是符合比例原则的。
2.在突发事件应对中,不应要求政府利用个人信息的措施是对公民权利影响最小的一种。只要该措施是影响较小的一种或者其影响尚在合理、可控的范围之内,就可以认为其符合比例原则。例如,随着对疫情认识的深入,新冠肺炎病毒被证实可以通过飞沫传播,具有“人传人”的危险性,于是国务院发布的疫情信息中除了患者年龄、性别、发病情况等一般个人信息外,还增加了患者居住社区及行动轨迹。在此基础上,有些地方政府进一步公布了包括患者所居住的单元、病史、诊疗方案、愈后效果等更精确的个人信息。(49)富子梅、扎西:《天津市加强疫情信息公开 细致排查筑防线》,《人民日报》2020年2月15日。处于疫情中心的武汉市更是扩大了个人信息公开的范围,包括确诊患者、疑似患者、发热病人和密切接触者在内的“四类人员”的信息均被公开。(50)《武汉多社区疫情信息公开细化到楼栋单元,法学专家建议推广》,澎湃新闻百家号,2020-02-09,https://baijiahao.baidu.com/s?id=1658019696992987115&wfr=spider&for=pc,访问日期:2020年3月10日。这些措施不可避免地给上述人员带来了不利影响,而且绝不是对其权利影响最小的一种。例如,浙江省一些地市依托过硬的技术基础和丰富的电商资源在APP中增加近距离提醒功能,只要靠近患者或者潜在危险源达到警示距离就会报警,不需要公布具体的个人信息就可以达到同样的目的。但是,考虑到行政成本和时效性等多重因素,对必要性的要求应当适当放宽。只要政府的信息披露措施对公民权利的影响还在可以控制的限度之内,对公民的本质权利还没有造成直接侵害,仍可认为其符合比例原则的要求。
3.在突发事件应对中,公民的个人信息权之所以要受到限制,是因为其与这一价值同等重要的或者更高的公共利益——克服公共危机存在冲突。如果没有这样的价值冲突存在,限制个人权利就是非正当的。(51)王进文:《宪法基本权利限制条款权利保障功能之解释与适用——兼论对新兴基本权利的确认与保护》,《华东政法大学学报》2018年第9期。实际上,在整体公共利益之外,对个人信息披露与否的利益衡量中,有时候还应考虑特定相关人员更为重要的权利,如生命权和健康权。例如,根据个人信息保护的一般规则,公民的住址是高度敏感的个人信息,被认为属于绝对不得公开的信息。(52)胡文涛:《我国个人敏感信息界定之构想》,《中国法学》2018年第10期。但是,如果在应急状态下,高度敏感的个人信息涉及其他特定人的生命权、健康权,除了衡量因信息披露被牺牲的个人利益和所实现的公共利益是否相称之外,还应当将上述因素作为砝码加入其中。因此,对“相称性”的理解不能陷入“全有”或者“全无”的绝对化认识,否则可能造成比例原则适用的机械化。在此次疫情防控中就出现了这样的案例,由于政府只公开了确诊患者所居住的小区,导致内蒙古达拉特旗某小区一居民并不知道楼下住户就是确诊患者,楼下住户的门窗经常敞开,门口堆放有大量生活垃圾,楼上住户下楼需要经过其家门口,很快就被感染了。(53)《内蒙古新感染者只住患者楼上,他是如何被感染的?》,网易新闻,2020-02-06,https://3g.163.com/war/article/F4NCA06G05450U76.html?isFromOtherWeb=true,访问日期:2020年3月10日。可见,对于确诊患者的邻居这样的特定人群来说,其生命权、健康权面临着比其他人紧迫得多的危险,将患者的具体住址在有限范围内公开以引起足够警觉并不违背比例原则。
(三)本质保护原则
在突发事件应对中,尽管政府的权力有所扩张、公民的个人权利有所收缩,但仍应划定“底线”,否则政府基于正当目的进行的个人数据处理和信息披露就很可能蜕变为对个人权利的过度干预。这个“底线”就是不得违背宪法规定的本质保护原则。本质保护原则的含义是承认公民权利可以为国家公权力机关所限制的前提是,为限制本身设定一个“不得侵犯的核心领域”,即为公民权利的限制划定一个禁区,从而提供最低限度的保障。(54)焦洪昌主编《宪法学》第5版,北京大学出版社,2013,第373页。这一原则被广泛接受,如德国《基本法》第19条第2款规定“无论何种情况,均不得侵犯基本权之本质内容”;《公民权利和政治权利国际公约》第4条规定“可以对基本权利进行必要限制,但不得包含纯粹基于种族、肤色、性别、语言、宗教或者社会出身的理由的歧视”。在突发事件应对中,公民的个人信息权和其他权利一样可以为公权力机关所限制,但公权力机关在任何情况下都必须保障公民权利中“不得侵犯的核心领域”不受来自于自身或者其他主体的侵害。
1.对个人信息权的利用不得侵害公民的生命权、健康权和人格尊严。对于个人而言,对生命权和人格尊严的要求从来不会因为社会秩序的改变而改变。在应急状态下,公民让渡一些“非本质性权利”并不是为了“公共利益”作出“自我牺牲”,而是为了保障自身的本质性权利不受侵犯。这一理念可以为此次疫情防控中的一些现象提供进一步的价值判断工具。例如,武汉市每个居民小区都采取了严格的封锁措施,加上基本医疗资源被大量调用,导致一些需要定期治疗的传染病(如艾滋)病毒感染者无法获得及时诊治,面临断药风险,政府决定组织医疗志愿者提供上门服务。(55)孙克亮、刘恋:《蔡甸区疾控中心上门送药,缓解艾滋病患者断药风险》,荆楚网,2020-03-05,http://www.cnhubei.com/content/2020-03/05/content_12817612.html,访问日期:2020年3月10日。尽管政府的目的无可置疑,但也导致了一个十分矛盾的局面——艾滋病毒感染者的个人信息将不得不被透露给上门服务的志愿者,并且这种“透露”给其人格尊严带来的影响并不会伴随疫情的结束而结束,甚至有可能给其生活带来实质性的改变。在这种情况下,即使政府的行为符合比例原则的要求,也不能被评价为完全合理和正当。要解决这种困局,政府必须采取更多的措施。例如,尽量征集本身就是艾滋病毒感染者的人或者已经了解感染者情况的医务人员作为志愿者,并与上门服务的志愿者签订保密协议等。
2.对个人信息的利用不得包含基于籍贯、职业、出身等理由的歧视。在此次疫情蔓延之初,一些地方政府对与特定地域相关的人群进行个人信息收集和披露,事实上形成了对该特定地域人群的歧视,并造成该人群被“污名化”的严重后果。例如,福建、广州、贵州多地政府大量收集武汉返乡人员的个人信息,并将这些信息向社会公开,导致一些公民受到“上门骚扰”甚至“人肉搜索”。(56)吴怡、岑慧敏、蔡舒萍:《武汉返乡人员的信息被泄露,接到辱骂电话》,陕西法制网百家号,2020-01-27,https://baijiahao.baidu.com/s?id=1656868601409332595&wfr=spider&for=pc,访问日期:2020年3月10日。诚然,相比于其他人群而言,武汉返乡人员确实有较大风险患上新冠肺炎,有必要对其采取一些特殊的控制措施,如居家隔离14天、定时向社区汇报体温等。但是,根据中央网络安全和信息化委员办公室发布的《关于做好个人信息利用大数据支撑联防联控工作的通知》,个人信息收集的对象原则上限于确诊者、疑似者、密切接触者等重点人群,因联防联控工作确实需要公开“三类人群”个人信息的,也必须经过脱敏化处理。将所有武汉返乡人员等同于“三类人群”的做法显然违背了上述规定,不经脱敏化处理就直接公开个人信息更构成了对公民基本权的过度侵犯。
纵观世界范围内的重大突发事件,可以发现这样一个规律,即每次危机过后都会带来应急法制的进步。此次新冠肺炎疫情应对不仅是对我国“一案三制”应急体系和政府危机治理能力的考验,也是推动我国应急法制发展的一个重要契机。在疫情结束之后,《传染病防治法》《突发事件应对法》很有可能再次修订。而在个人信息保护领域,《个人信息保护法》此前已经纳入本届全国人大常委会的立法计划,属于条件比较成熟、任期拟提请审议的一类立法项目。为了充分吸收此次疫情防控中的经验教训,填补突发事件应对中政府利用个人信息的制度空白,应当把握好这一轮立法、修法契机,在突发事件应对和个人信息保护两个领域的法律中同时加入这一制度。具体的制度设计应当包括三个层次:一是授予政府必要权限,规定在突发事件应对中行政机关有权将个人信息用于风险评估、突发事件预警、应急决策、危险源排查和控制等;二是明确个人和单位的配合义务,规定个人、掌握个人信息的商业机构、社会组织等应对行政机关在突发事件应对中获取个人信息的决定和命令予以配合;三是对这种情况下政府利用个人信息进行必要的限制,要求行政机关对个人信息的利用应当符合比例原则,不得损害公民的生命权、健康权、人格尊严等基本权利,不得包含基于任何理由的歧视。