个人信息保护的公法框架研究
——以突发公共卫生事件为例
2020-03-11刘国
刘 国
(中国政法大学 法学院,北京 100088)
提要: 行政管理的有效实施,特别是突发公共卫生事件的应对,离不开对个人信息的收集和使用。国家以公共利益为目的收集和使用个人信息,无论是在理论基础方面,还是在实证法律规定方面,均可以证成其合法性和正当性。不过,鉴于个人信息权的基本权利属性,以及现代行政法对于权力控制的价值追求,行政机关在收集和使用个人信息的同时,应当严格遵循法律保留原则、比例原则、正当程序原则等行政法原则,并围绕这些重要原则构建相应的规制框架,以加强对个人信息的公法保护。具体而言,在个人信息收集方面,收集主体的权限应当来源于法律、行政法规的明确授权;收集范围在满足“目的明确”的基础上,实现“最少够用”的目标;收集行为、方式、过程等应符合正当法律程序要求。在个人信息使用方面,应当恪守“目的限制原则”,在确保信息安全、信赖与稳妥的基础上,以符合“初始目的”的使用为原则,以“目的外使用”为例外。此外,在个人信息的公开与共享等方面,尚需满足“去识别化”的要求,有效切断信息与信息主体之间的连接,维护个人信息的基本权利属性。
当今社会,信息被誉为“新一代的石油”,个人信息①更是最有价值的资源之一。在我国,行政机关虽已基于个人信息,建立了庞大的基础数据库,但也习惯在突发公共卫生事件(以下简称突发事件)应对中,以信息不对称和情况紧急之名,扩大收集、使用个人信息的强度和范围。例如,与2003年“非典”(SARS)疫情的应对相比,2020年“新冠肺炎”(COVID-19)疫情发生时,公民需要报告的个人信息在体温数据的基础上,增加了所在地点、身体状况、是否接触过特定人员、是否到过特定地区等。同样是对个人信息的收集和使用,当发生在私法领域时,公民似乎会本能的报以警觉和防御,并对侵权行为一追到底;而当行政机关出面时,公民更多表现出无条件的理解、支持和配合。我们当然欣喜于公民在突发事件应对中表现出的社会责任感,但也惶恐于因权利让渡可能导致的对个人信息无边界的收集和使用。
在公法领域,保护公民个人信息理应受到与满足其知情权同等的重视,然而,立法与执法实践均非如此。这一畸形景象在突发事件的应对中表现的比较明显,一方面是行政机关持续召开新闻发布会,另一方面是无序、无度的收集与使用个人信息。公民在沉浸于知情权被满足的快感时,好像忘却了自己才是个人信息的权利人:有权决定个人信息何时、何地、以何种方式被行政机关收集、储存、处理以及使用。准此以言,个人信息保护实为公法领域,特别是突发事件应对中一个相当重要的内容,以“事前”“事中”“事后”的时间阶段观之,主要涉及收集、使用、保护等方面的问题。本文以此为基础展开关于个人信息公法保护框架的研究,并将指导和协调着其中全部社会关系的法律原则作为核心内容加以阐释。
一、收集、使用与保护个人信息的统一
无论是学理研究,还是法律规范,均可以推导出行政机关收集、使用个人信息的正当性。然而,目的的正当性不等于手段的任意性。通过限定主体、厘清范围、规范使用等对个人信息进行积极周到的保护,可以强化收集与使用的正当性。
(一)收集、使用个人信息的正当性
权利与义务是相互依存和贯通的,和谐社会可以为公民权利的实现提供保障,但也要求公民承担起为维护和发展集体生活而应尽的义务。
1.法律原则的支撑
一是行政应急性原则。在紧急情况下,行政机关为维护经济与社会秩序,保障公共利益和公民根本利益,可以采取行政应急措施,其中既包括具有行政制定法上依据的行为,也包括一些没有具体法律依据甚至中断部分法律规范实施的行为[1]。按照行政应急性原则的指引,为及时控制和消除突发事件的危害,公权力应合理扩张,私权利当相应克减,具体表现为行政机关积极主动采取一切必要的措施,包括收集并使用个人信息,而公民负有较高的容忍和服从义务,唯有如此,方符合突发事件应对的基本要求。
二是行政效能原则。现代行政法不仅要防止权力滥用、遏制专制行为,而且还要“促使行政机关更诚实、迅捷和更有效地行动”[2]。由此,行政法上的制度设计,在着眼于保护私权利的同时,应当为行政权的高效行使提供必要的空间。基于突发事件的突发性、公共性、危害性、连锁反应性等特点,当突发事件发生时,行政机关应当及时启动应急处置程序,包括信息报告、先期处置、应急响应、指挥与协调等环节,这些环节的高效、顺利进行,离不开对个人信息的收集与使用。
三是公共利益原则。公共行政的目的是维护和促进公共利益或者大众福祉,这是一个不成文的基本原则[3]。申言之,公共利益应当成为行政法适用和解释的普遍原则,一切行政行为的目的、动机和旨趣皆应着眼于维护和促进公共利益。虽然关于公共利益的内涵与外延尚有不同的观点和认识,但和平社会秩序的维护与人类生命健康的保护无疑属于“客观的公共大众利益”。突发事件不仅破坏了既存社会秩序的稳定,而且严重威胁着社会公众的生命健康。行政机关为实现对公民的“生存照顾”而收集与使用个人信息,符合公共利益原则。
2.法律规范的要求
我国《宪法》第二条规定,人民依照法律规定,通过各种途径和形式,管理国家事务,管理经济和文化事业,管理社会事务。这一蕴含公众参与原则的宪法条款,在一定意义上可被视为突发事件应对中,行政机关收集与使用个人信息的最高法律依据。事实上,《突发事件应对法》《传染病防治法》《突发公共卫生事件应急条例》等法律规范,均或直接或间接的作出了关于收集与使用个人信息的规定。
其一,直接规定公民有配合突发事件应对工作的义务。《突发事件应对法》第十一条第二款规定,公民、法人和其他组织有义务参与突发事件应对工作。在突发事件的处置过程中,公民依法负有较平常时期更多、更严格的法律义务,以配合应急权力的行使。这些法律义务包括四个层次:一是对突发事件应急状态保持高度关注的义务;二是在应急状态时期主动接受行政机关各项应急措施,特别是各项管制的义务;三是接受法定权利被行政机关限制的义务;四是主动参与突发事件应急处置各项工作的义务[4]。这其中,信息报告义务必不可少。
其二,建立应对突发事件的社会动员机制,明确“依靠群众”原则。《突发事件应对法》第六条规定,国家建立有效的社会动员机制;《传染病防治法》第二条确立了依靠群众原则,这都是对公民在突发事件应对中可以发挥重要作用的直接体现。相应的,《传染病防治法》第十二条规定,公民必须接受有关传染病的调查、检验、采集样本等预防、控制措施,如实提供有关情况。
其三,设置应对突发事件的报告与信息发布制度,间接要求公民提供个人信息。为吸取2003年“非典”暴发初期信息通报不及时、不准确、不公开的教训,《传染病防治法》的修改,以及《突发公共卫生事件应急条例》和《突发事件应对法》的出台,均以专条甚至专章的形式建立了突发事件的报告与信息发布制度。这一制度有效运转的关键是行政机关必须及时、充分、准确的掌握突发事件的所有相关情况。故而,法律规范相应的赋予了行政机关及相关机构的信息收集、使用权。例如,《突发事件应对法》第三十八条规定,县级以上人民政府及其有关部门、专业机构应当通过多种途径收集突发事件信息。与信息收集、使用权相对应的是公民的提供与授权义务,否则,突发事件报告与信息发布制度将成为无源之水。
此外,突发事件应对中对个人信息的收集与使用,亦符合国务院《促进大数据发展行动纲要》(国发〔2015〕50 号)关于运用大数据提升政府治理能力的要求。借助海量个人信息,实现基于数据的科学决策,推动突发事件应对理念和处理模式的革新。
(二)公法保护个人信息的必要性
现代法治不允许法律不加限制地交给政府一张空白支票,让政府在紧急状态下自己去任意确定自己行使何种权力[5]。为收集与使用个人信息的“工具理性”注入“价值理性”的基因,既是突发事件应对的现实需求,又是法治政府建设的理想图景。
1.基本权利的生成
之所以说公法应当关注个人信息的保护,是因为其理论基础中蕴含着基本权利的要素。在美国,“宪法隐私权”的确立源于“格瑞斯沃尔德诉康涅狄格州案”[381 U.S.479(1965)]。主审法官道格拉斯运用“权利伴影”(Penumbra)理论,首次在宪法判决中确认了隐私权的法律地位。其后“惠伦诉罗伊案”[429 U.S.589(1977)]的判决加强了对“宪法隐私权”的保护,认为宪法上的隐私权不仅包括信息隐私,而且包括自决隐私[6]。经由判例的推动,美国出台了《隐私法》(Privacy Act,1974)、《隐私权保护法》(The Right to Privacy Protection,1980)等诸多法律,开创了用制定法保护隐私权的新时代。在德国,1977年生效的《联邦个人信息保护法》(BDSG)开始专门关注个人隐私的保护。公民“信息自决权”的创设,源于1983年的“人口调查第二案”(BverfGE 65,1)。联邦宪法法院的判决认为,个人信息属于基本法中“一般人格权”与“人性尊严”条款的保护范围,该基本人权原则上保障每个人有权自行决定其个人信息的交付与使用。受该判决影响,再次修订的《联邦个人信息保护法》,引入“信息自决权”的法律内核,以普遍的信息保护替代了单纯的隐私保护。
我国《宪法》没有关于隐私权或“信息自决权”的直接规定,但这并不意味着对个人信息的公法保护纯属空中楼阁。事实上,公法领域涉及个人信息保护的法律规范并非没有,只是这些条款多数偏于宣示性,尚需精细化的内容加以填充。例如,《传染病防治法》第十二条规定,疾病预防控制机构不得泄露涉及个人隐私的有关信息、资料。当前,在个人信息保护统一立法仍不明朗的情况下,不论采用“宪法隐私权说”,还是“信息自决权说”,《宪法》第三十八条的人格尊严条款,都有足够的张力去解释该项基本权利,且第三十三条的人权条款亦有广阔的空间将其容纳[7]。
2.控制权力的要义
个人信息基本权利的生成,意味着行政权的尊让与克制。虽然在突发事件应对中,行政机关可以基于公共利益对这一基本权利进行限制,但是这种限制本身也应有其限制,否则将导致基本权利有名无实。
我国的行政法治实践始终贯穿着两条主线,一是以约束公权力、保障私权利为核心的合法性考量,二是以提高政府效能为核心的最佳性考量[8]。如若两条主线有所龃龉,首先需要进行合法性考量,重视控制行政权的价值理性,然后才能着手最佳性考量,兼顾行政效能的工具理性。当然,现代行政法对行政权的控制,已不再是消极的限制,而是强调积极的驾驭和支配,既在价值取向上倡导控权功能,又在客观实证上承认管理功能。
突发事件应对中的个人信息公法保护,最终还是要回归到行政法上的经典话题,即怎么样合理的配置公权力与保护私权利,在确保公共利益和秩序优先的前提下,兼顾个人利益和自由。申言之,一方面需要认可行政机关收集、使用个人信息的正当性,另一方面又应当为这种权力的行使施以必要限制,确保“制度的笼子”牢不可破。我们以为,我国个人信息公法保护规则的缺失,恰好为相关法律原则的适用提供了空间。在这方面,既有的理论研究成果和域外已有的制定法体现出的相关法律原则可供我们参考和借鉴。
二、收集个人信息的强度
行政机关可在多大范围内收集多少个人信息?对此,比例原则要求的妥当性、必要性与均衡性[9]已经给出了回答。同时,与收集范围相关联的谁来收集、如何收集等问题,涉及法律保留中的职权分工与正当程序下的制度安排。
(一)法律保留原则限定收集主体
现代法治国家无论法律保留原则在宪法上有无明文规定,几无例外的加以遵循[10]。法律保留原则的关键问题是其范围,即涉及领域和事务。对此,德国实务中通常根据“某个规则对共同体和公民个人的意义、份量、基础性、深远性及其强度等”,采取重要性理论加以确定[11]。于是,鉴于收集个人信息的行为直接涉及到对具有宪法位阶的基本权利的限制,故而当有法律保留原则的适用余地。结合我国《立法法》第八条与第九条的规定可知,仅“有关犯罪和刑罚、对公民政治权利的剥夺和限制人身自由的强制措施和处罚、司法制度等事项”必须由全国人大或其常委会制定法律,其他的应当制定法律的事项,尚未制定的,可以授权国务院制定行政法规。申言之,突发事件中行政机关收集个人信息的行为,原则上应当有法律的明确授权,退一步讲,至少得有行政法规的具体规定。也就是说,地方性法规、规章以及其他规范性文件没有权力作出此类授权。
综观与突发事件相关的法律规范可知,在我国有权收集个人信息的主体(以下简称行政机关)有三类:一是县级以上政府及其有关部门(如卫生行政部门),例如,根据《突发事件应对法》第三十八条第一款的规定,县级以上政府及其有关部门应当通过多种途径收集突发事件信息。二是疾病预防控制机构,例如,根据《传染病防治法》第十八条第一款的规定,各级疾病预防控制机构在传染病预防控制中履行“收集、分析和报告传染病监测信息”等职责。三是各类医疗机构,例如,根据《传染病防治法》第十二条的规定,公民必须接受医疗机构有关传染病的调查、检验、采集样本等预防、控制措施。
此外,以下三类主体无权以自己的名义收集个人信息:一是突发事件应急处理指挥机构,相应的工作当由前述三类主体依法实施②;二是采供血机构,虽然《突发公共卫生事件与传染病疫情监测信息报告管理办法》(原卫生部令第37号)第十六条将采供血机构规定为“责任报告单位”,但该规定的合法性值得商榷;三是街道、乡镇以及居民委员会、村民委员会,根据《突发公共卫生事件应急条例》第四十条的规定,它们的职责仅限于“协助”有权机关收集和报告。
(二)最少够用原则明确收集范围
个人信息收集范围的确定,是一个关于信息所涉领域的重要性、收集信息时的紧迫性,以及收集信息与其目的之间的关联性等因素的综合考量。突发事件中收集个人信息的范围应当受到比例原则的限制,表现为目的明确原则基础上的“最少够用”[12]。
目的明确原则是指收集个人信息的目的,应当在收集之前加以确定,并通过一定的方式明确化;若收集目的发生变更,则在变更后及时予以明确。我国的立法在一定程度上认可了目的明确原则,但相关的规定比较笼统且主要适用于私法领域。例如,全国人大常委会《关于加强网络信息保护的决定》第二条明确规定,收集公民个人电子信息,应当明示收集、使用信息的目的、方式和范围。其后出台的《网络安全法》在第四十一条作了类似的规定。
目的明确原则包括四个要素,分别是:相关,即收集的个人信息应当与具体职能的履行有关;特定,即收集目的应当在不迟于收集时确定下来,且需提供足够的细节描述,以使之具有辨识度;明确,即目的特定化后,应当明白无误地展现出来,确保各方对于目的具有一致的理解;合法,即收集个人信息应当符合立法规定,不得违反禁止性条款[13]。因此,行政机关在突发事件应对中收集个人信息,应当是为了满足“预防、监测、预警、处置、救援”等特殊目的的需要。同时有必要将收集的每项个人信息所对应的具体目的,详细且明确的列举出来,向公民作出清晰说明。
以目的明确原则为基础,突发事件应对中个人信息的收集应当基于目的与信息间“正当合理之关联”,不得逾越“最少够用”的边界。对此,可以参考我国《信息安全技术 个人信息安全规范》(GB/T 35273-2020,以下简称《安全规范》)5.2(a)的规定,将“最少够用”反向描述为:收集的个人信息的类型应与突发事件应对有直接关联;直接关联是指没有这些个人信息的参与,突发事件的应对即无法实现。基此,其一,收集的对象应当有所限定。例如,“新冠肺炎”疫情期间,中央网信办《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(2020年2月4日,以下简称《通知》)在第二条专门将收集对象限定为确诊者、疑似者、密切接触者等重点人群。实践中要求所有公民上报个人信息的做法,虽然有助于疫情防控,但与信息权利保护尚有不合。其二,即使不得不收集特定群体的个人信息,也应当限定信息的范围。例如,“新冠肺炎”疫情期间收集的个人信息,应当与疫情防控存在关联性,包括个人基本信息,如姓名、身份证号码、联系方式、住址等;以及日常监测信息,如体温、症状、旅居史、乘坐交通工具记录、接触史等;除此之外,其他诸如个人生物识别信息、财产信息、职业信息、民族、宗教信仰等不应被纳入收集范围。同时,需要明确“最少够用”的底线是“信息品质”[14],即收集的个人信息应当在既已明确的目的范围内做到完整、准确和时新,以确保实现收集目的。
(三)正当程序原则约束收集手续
“随着政府权力持续地剧烈增长,只有借助于程序公正,权力才有可能获得容忍。”[15]突发事件中行政机关以维护公共利益之名收集个人信息,本无可厚非,不过,公益的实现需要“看得见的方式”背书,即遵循最低限度的正当程序要求。
首先,公开并说明理由。假如无法要求行政机关履行公开义务,则目的明确原则将失去意义。这里的公开有两层含义:一是面向社会的公开,即行政机关有义务将与突发事件应对中收集个人信息相关的法律规范向社会公开,满足公众知情权,并接受社会监督;二是面向收集对象的说明理由,即行政机关在实施具体的收集行为时,应当向收集对象说明收集主体、法律依据、信息类别、收集与使用目的、个人权利及救济方式等事项,以免信息主体陷入不可预知的恐惧中③。同时,说明理由义务的履行,实际上暗含着要求行政机关直接向公民本人收集信息,即“直接收集”原则的要求。该要求源于公民的“信息自决权”,目的在于强化公民在信息收集中的主体性[16]。不过,当直接收集会付出不合理的成本,且间接收集不会侵害公民重大合法权益时,行政机关或许可以采用其他方式(如向其他行政机关或第三方)收集个人信息。例如,欧盟《通用数据保护条例》(以下简称GDPR)在第14条对非从信息主体处获得个人信息时的告知义务作出了规定。
其次,重视公众参与。与普通行政程序中公众参与的形式主要是陈述、申辩类似,信息收集环节中的公众参与表现为查询、异议与更正。公民的查询是为了知悉行政机关对其个人信息的处理、使用情况。多数国家或地区的个人信息保护法都规定了公民的查询权,只是在具体问题的规定上存在差异。若查询被拒绝,公民有权提出异议;若查询后发现个人信息错误或过时,公民有权进行删除、修改、完善或补正[17]。个人信息收集中的公众参与在突发事件应对中占据相当重要的位置,是确保“信息品质”的关键。
最后,作为同意原则的例外。基于个人信息的权利属性,同意原则俨然成了信息收集行为合法性与正当性的首要基础。例如,经合组织(OECD)的《隐私保护和个人数据跨境流通指南》“附件”(以下简称《指南》)第7条规定,个人信息的收集,在适当情况下,要经过信息主体的默示或明示同意。我国《网络安全法》在第二十二条第三款与第四十一条第一款作了类似的规定。尽管同意原则的实现分化出择入机制(opt-in)与择出机制(opt-out)两条路径,且各有优劣[18],但应当明白,同意原则不该是唯一的解决方案。尤其是对以突发事件应对为代表的公共行政而言,行政机关对个人信息的收集,在履行公开与告知义务后,基于公益维护的现实性,没有必要也不允许严格恪守“同意”原则,否则将严重阻滞个人信息的收集与使用,影响整体的“信息品质”。因此,虽然欧盟GDPR大幅修改了之前“数据保护指令”的内容,但依然保留并扩充了信息处理的合法性原则,允许行政机关在信息主体“同意”外,以“履行公共利益领域的任务或行使既定的行政职权”[Art.6(1)(e)]为由收集个人信息④。质言之,突发事件应对中行政机关对个人信息的收集不以公民同意为前提。
三、使用个人信息的限度
作为规范个人信息收集行为的目的明确原则,属于目的拘束原则的子原则,后者还包括适用于个人信息使用行为的目的限制原则[19]。依其要求,行政机关应当在确保个人信息安全的基础上,遵循收集时已经明确的使用目的,依法使用与共享个人信息。
(一)信赖稳妥原则保证信息安全
突发事件应对中收集的个人信息,有相当数量属于“敏感信息”⑤,安全方面稍有不慎,就可能导致灾难性后果。因此,既有个人信息保护立法几无例外地承认安全原则,规定应当采取一切合理必要的措施,防止个人信息被未经授权的访问、使用及窃取、泄漏等。对此,我国的《网络安全法》《关于加强网络信息保护的决定》等作了专门规定,中央网信办《通知》第四条更是强调,“收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露”。
根据安全原则的要求,行政机关应当采取的措施包括但不限于物理措施(如锁门)、组织措施(如设置访问权限)和技术措施(如加密)[20]。目前美国、英国、日本及国际标准化组织等,均已建立了个人信息安全的评估准则或认证框架,我国也在《安全规范》第11条提出了“组织的个人信息安全管理要求”,包括“开展个人信息安全影响评估”“数据安全能力”“人员管理与培训”等。总体而言,这些措施可以归结为两点,即管理人员的足够“信赖”与安全措施的足够“稳妥”。在此,对以下四点作出阐释。
一是培训与考核的重要性。须知,信息安全中的内部(人员)威胁问题实际上比其他威胁都更加难以捉摸和令人困惑,是以如何通过知识宣导及教育训练,从根本上提高公务人员的安全管理意识,实为建立安全管理措施之前提[21]。虽然突发事件的紧急性决定了应对措施的非常规性,但于个人信息保护而言,安全这根弦绝不能松懈。屡禁不止的公务人员在“微信群”“朋友圈”等社交平台上散布公民个人信息的行为,实与事前安全教育培训的缺失密不可分。此外,鉴于突发事件中行政机关收集个人信息的数量级可能覆盖数十亿人,故有必要认真对待《安全规范》11.1(c)关于“设立专职的个人信息保护负责人和个人信息保护工作机构”的建议。
二是安全措施的适当与必要。纵然个人信息安全如此重要,且突发事件应对中的个人信息多属“敏感信息”,但也不能证成我们在安全方面的投入可以不计成本。此时,比例原则又一次发挥了它的作用,行政机关需要做的是,根据有关国家标准的要求,建立“适当”的数据安全能力,落实“必要”的管理和技术措施。申言之,个人信息保护法不会直接规定行政机关应当采取的具体安全措施,而是要求其设定与处理信息导致的风险相称的安全级别。为此,行政机关需要考虑现有技术水平和实施成本,以及处理的性质、范围、背景和目的等。
三是遵守储存时限的要求。为特定目的收集与使用的个人信息,均不得超过该目的所需要的最短时间予以保存,否则本为合法的行为将“质变”为非法。《安全规范》6.1将此界定为“个人信息存储时间最小化”,并规定超出存储期限后,应对个人信息作出删除或“去识别化”等技术处理。突发事件应对中对个人信息的使用当有其时间界限,原则上,事件的经过应同时触发个人信息的“消逝”,而若有其他使用目的,如用于公益维护、科学研究、社会统计等,需恪守“目的限制原则”。当然,这其中涉及的“被遗忘权”问题也值得深思。
四是信息泄漏时的通知义务。个人信息的泄露不仅会对公民权利产生直接或潜在的伤害或威胁,而且将严重影响行政机关的声誉,进而导致突发事件的应对雪上加霜。故而,立法通常要求行政机关在发生信息泄露后,履行上报义务的同时,毫不迟延地[Art.34(1),GDPR]通知或警示相关信息主体,具体内容包括但不限于安全事件的内容和影响;已采取或将要采取的处置措施;公民自主防范和降低风险的建议等。
(二)目的限制原则约束信息使用
既然行政机关在收集个人信息时,已将相应的使用目的予以明确并告知了公民,那么其后的使用行为自然应当在该目的框定的范围内进行。融合“目的明确”与“目的限制”的目的拘束原则,之所以成为个人信息保护法的“帝王条款”[22]49,是因为契合了法的明确性要求,有助于公民在面对收集行为时得预见未来的使用场景,避免因“人格画像”⑥的描绘使得本来界定明晰的“自我”分裂、颠倒与消散[23]。然而,在大数据时代,个人信息的价值不再单纯来源于它的基本用途,而更多源于它的二次利用,很多信息在收集的时候并无意用作其他用途,但最终却产生了很多创新性的用途[24]。于是,立法在以“特定目的”限制信息使用的同时,应当考虑到“进一步使用”的实际需要而赋予一定的灵活性。
首先,为了科学、历史研究或统计目的而进一步使用的,符合初始目的⑦。
其次,基于法律规定、信息主体同意、维护公共利益、避免公民生命或财产上的危险等情形,而进一步使用个人信息的,亦不应在目的限制之列。
最后,在上述情形外进一步使用的,需满足针对灵活性的评价标准。《安全规范》7.3(a)对此的界定是,与初始目的“具有直接或合理关联的范围”,而欧盟GDPR(Art.9)及经合组织《指南》(第9条)则采用了“非不相容”的表述,其裁量空间比我国更大。鉴于这些不确定性法律概念自身仍不足以框定灵活性的边界,欧盟GDPR[Art.6(4)]列举了“相容性评估”的关键要素,包括:(1)初始目的与进一步使用目的之间的关系;(2)收集信息时的环境,特别是信息主体与行政机关之间的关系;(3)个人信息的性质;(4)意向的进一步使用可能带给信息主体的不利后果;(5)包括加密或匿名化在内的适当安全措施的存在。经评估,进一步使用的目的可能与初始目的紧密匹配,也可能有所不同,但是不同不代表即与初始目的“自动不相容”,是否相容需要根据案件情况具体判断[25]。一般说来,如果新的目的与初始目的有很大不同,出乎意料或对个人造成不合理影响,则可能与初始目的不符,应该受到限制。
于是,突发事件应对中行政机关使用已收集的个人信息,原则上仅限于突发事件的预防、监测、预警、处置、救援等目的需要,但若将这些个人信息用于学术研究,或得出对自然、科学、社会、经济等现象总体状态的描述,亦未尝不可。同时,行政机关也可基于公共利益的考量或信息主体的同意等,将这些个人信息用于其他目的。不过,因为个人信息的泄露通常发生在“目的外使用”,所以,域内外立法对此赋予的相当大的自由裁量空间恐怕过于浮滥,有违反法的明确性原则之虞,基于“例外规定,从严解释”的考量,应对“目的限制”的灵活性作限缩理解[22]53-54。
此外,对目的限制原则的遵循,还需要相应配套制度的落实。其一,“目的外使用”前,行政机关应当履行告知义务,必要时征得公民的同意。行政机关于初始目的外使用个人信息时,应当将目的、依据、权利及救济方式等内容告知公民,且当目的属于上述第三类时,还应当征得公民的同意,因为应急状态下的公私利益平衡与常态不同,只不过这里的同意可以默示同意为已足,即只要公民未明确表示拒绝,则视为同意。其二,基于不同目的收集的个人信息应当分别储存,相应系统间保持独立与封闭。纵然是同样的个人信息,也可能因为使用目的的不同,而在安全性、保密性等方面产生差异。突发事件应对中收集的个人信息多半涉及“敏感信息”,若将此类信息与为了其他目的而收集的个人信息储存在同一系统,则无论这些信息具备直接识别性,还是带有间接识别性,都将极大增加个人信息被融合的可能性,恶化“人格被目录化”的风险[26]。是以,原则上禁止各类个人信息系统的互联互通,除非有重大公共利益的需要。其三,在个人信息的使用过程中,亦有公众参与原则的适用空间,其目的在于确保“信息品质”。
(三)去识别化原则控制信息共享
对突发事件应对中个人信息的使用,目的内也好,目的外也罢,抑或是根据《促进大数据发展行动纲要》的要求,向社会开放,均需要借助“去识别化”的技术手段,有效切断信息与信息主体之间的连接,维护个人信息的基本权利属性。
“去识别化”包括“匿名化”(anonymization)与“去标识化”(de-identification)两类,二者之间的区别主要体现在能否被“复原”。其中,经前者处理后,个人信息主体已经无法被识别或关联,处理后的信息不能被复原;经后者处理后的信息,若不借助额外信息的帮助,亦无法识别或者关联个人信息主体。基于“复原”的可能性不同,个人信息经“匿名化”处理后不再属于个人信息,即不再受到个人信息保护法的调整[27],可以“自由流通”。但“去标识化”是建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识,故仍属于个人信息,受到个人信息保护法的严格规范⑧。
不过,即便是经“匿名化”后的信息也不可能完全做到“永远不被复原”,尤其是随着技术的进步、信息大小和多样性的增加,去“匿名化”的可能性已大幅增长。申言之,“匿名化”的判断标准应当是相对的,所谓的绝对安全只是臆想。因此,欧盟法上将个人信息的“匿名化”定义为,信息控制者及其他任何人均无法以任何可能的合理方式予以识别的过程,而方式是否属于“合理可能”需要考量所有客观因素,如进行再识别所耗费的时间、费用,以及进行信息处理时科技的发展状况与可得技术等[28]。我国既有的法律规范中虽然有关于“匿名化”的阐释,但相应的判断标准仍需在未来予以细化。同时,对“去标识化”的个人信息而言,由于“复原”需要的关键信息、算法等内容仍掌握在行政机关手中,故要求其在共享或开放此类个人信息时,务必单独安全储存与“复原”相关的所有资料。此外,就个人信息的开放而言,应当注意对其他使用者施予“禁止再识别”的义务。
当前,在突发事件应对中,我们对于个人信息的模糊化或脱敏处理已经十分常见,如在公布突发事件相关信息,满足公众知情权时,已经开始注意回避相关人员的身份信息、联系方式、家庭具体住址等,而仅涉及经“假名化”⑨处理后的姓名、人员活动大体范围等要素。这是一种进步,也有利于保持个人信息保护与公众知情权间的平衡,但对完整、细致的个人信息保护技术适用来说,尚有较大的发展空间。
四、结语:寻求个人信息保护中公私利益的平衡
在提升国家治理体系与治理能力现代化的征程中,突发事件的依法应对正受到来自各方的广泛关注,并引发热烈讨论。然而,其中对于个人信息的公法保护研究明显不足。应当明确,公民的自愿主动与积极配合,不能成为其个人信息被随意收集与任意使用的充分理由。一方面是以秩序、稳定、安全为内核的重大公共利益维护,另一方面是涵盖知情同意、公众参与、目的限制等内容的基本权利保护,二者在突发事件中的“交锋”与互动颇有意味,由此体现出的私益与公益的平衡,实为行政法治建设中亘古不变的经典话题。
某种意义上讲,个人信息保护并非新兴话题,但因为大数据时代的到来而有了新的发展和内涵,并成为域外立法在近年来相继修改的动因之一。在中国特色社会主义法律体系中,个人信息保护立法不应缺位。就个人信息保护而言,“今天”理应成为最好的时代,但稍有不慎,也可能沦为最差的时代。幸好,个人信息保护法在全国人大常委会立法规划中的“跳跃式前进”⑩,让我们对未来充满了期待。
注 释:
①《民法典》第一千零三十四条第二款规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
②行政机关收集个人信息的权限应当来源于“行为法”的明确授权,而不得以“组织法”之名直接为之。参见邱文聪:《被淘空的法律保留与变质的资讯隐私宪法保障》,载台湾地区《月旦法学杂志》第272期(2018年),第35-38页。
③域外立法多只规定面向社会的公开。此外,台湾地区的立法中有关于免于“告知”的规定,相关情形如“告知将妨害公共利益”等。不过,我们并不建议大陆地区借鉴这一规定。因为,此规定与法治建设中的“控权保民”思想不合,行政机关极有可能借此彻底排除个人信息的权利属性。
④对此,《个人信息保护法(专家建议稿)》也在第十一条第一款与第十五条作了类似的规定。参见周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第5-6页。
⑤“敏感信息”是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,如身份证件号码、通信记录和内容、行踪轨迹、住宿信息等。“敏感信息”的判定方法和类型见于《安全规范》附录B。不过,域外通常使用的是一般信息与特殊信息的分类,例如Art.9,GDPR.
⑥根据《安全规范》3.8的定义,“人格画像”是指通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。
⑦这是国内外立法普遍认可的合法的“目的外使用”情形,例如,Art.89(1)(2),GDPR.
⑧例如,《安全规范》6.4(c)规定,个人信息控制者停止运营时,对其所持有的个人信息进行删除或匿名化处理;7.3(a)规定,对外提供使用个人信息形成的学术研究或描述的结果时,需要对其中所包含的个人信息进行“去标识化”处理。
⑨“假名化”属于“去标识化”的技术方式之一,例如,将“张三”经算法整合后表述为“石五”。关于个人信息“去标识化”的方式,可参见《信息安全技术 个人信息去标识化指南》(GB/T37964-2019)。不过,请注意,域内外在具体技术方式的归类上可能有所差别。
⑩在全国人大常委会的立法规划中,个人信息保护法从第11届的“三类项目”,到第12届的“缺席”,再到第13届的“一类项目”,已经曙光在前。