尹嘉希

一、问题的提出

2020 年初爆发的新冠肺炎疫情作为2003 年“非典”后又一起重大突发公共卫生事件，其规模、影响已远超“非典”，甚至不出意外地将影响着未来世界格局的变幻。为应对及防控疫情，我国在依托大数据技术的基础上开发和推行了“健康码”，而浙江省杭州市作为全国首个推出健康码模式的城市，[1]参见《定了！杭州健康码将推广至全国》，载浙报融媒体2020 年2 月16 日，https://baijiahao.baidu.com/s?i d=1658666610798747998&wfr=spider&for=pc，2020 年7 月11 日访问。也是基于实现防控疫情和恢复生产生活的现实需求。一般而言，健康码都是由各地政府会同互联网技术企业合作开发及运营。健康码的功能在于通过“绿码、红码、黄码”三色动态管理来实现对持码人群是否可能携带病毒进行初步评估，获取绿码的人员凭码通行，而获取红码和黄码的人员需按规定隔离并进行健康打卡，满足条件后将转为绿码。事实上，健康码可溯源至“非典”时期浙沪地区政府出于疫情防控需要推行的《健康申报表》，[2]参见《上海市人民政府关于对从发生传染性非典型肺炎病例地区返沪人员实行医学观察、来沪人员实行健康检测的通告》（沪府发[2003]32 号）第3 条、《杭州市政府关于对从传染性非典型肺炎病例发生地区返杭人员、来杭人员实行健康检测的通告》（杭政函[2003]65 号）第7 条。二者的共同之处在于皆要求市民自行填报个人信息，且都包含了个人身份证号、身体状况、行动轨迹及住所信息等。从《健康申报表》到健康码的变化，不仅反映出我国政府对于疫情防控一以贯之的严格管控理念，也能显示政府防控手段的革新。从“非典”到“新冠”，从纸质时代到数据时代，政府在应急体制下的治理措施顺应时代潮流，但是学界对于这些措施干预个人信息的担忧并未偃旗息鼓。[3]例如，汤啸天分析了非典期间《健康申报表》可能存在泄露个人隐私的现象后，提到各级疾控中心代表政府采集个人信息时应当承诺的五项保护个人信息的义务。参见汤啸天：《政府应当为采集个人信息承诺相关义务》，载《上海人大月刊》2003 年第7 期，第28 页；以及赵宏提出目前对健康码的管理需避免对个人数据的过度采集和超目的使用。参见赵宏：《健康码中的数据收集与信息保护》，载《检察日报》2020 年6 月10 日，第7 版。尤其在现今大数据时代对个人信息的“无孔不入”的局势下，我们更应对个人信息保护和诸如健康码等新兴技术手段与个人数据收集之间的矛盾施予更多的关注。鉴于新冠肺炎在全球的持续蔓延，除了国内健康码的推广之外，其他国家基于控制疫情和定位病患的目的也开发了类似健康码运作机制的联系跟踪应用（contacting tracing apps），[4]如美国与谷歌公司合作发布新冠病毒移动报告、印度政府推出名为AarogyaSetu 的app、澳大利亚政府启动的COVIDSafe app 等。同时不少各国学者也提出了这些应用对个人隐私信息侵犯的问题。甚至国外有学者在对各国开发的联系跟踪应用所运用的协议、技术、源代码等各元素进行比对后宣称“在西方标准中，中国政府使用的应用和技术本质上是侵犯隐私的行为”[5]See Mohammad Jabed Morshed Chowdhury et al.,COVID-19 Contact Tracing:Challenges and Future Directions,Preprints(June.24 ,2020),http://dx.doi.org/10.20944/preprints202006.0240.v1.。然而，根据北京智源人工智能研究所的一份关于人脸识别和公共健康的调查报告可发现：疫情期间，民众在大数据和人工智能等技术对个人隐私和安全的侵入上表示担忧，不过对于该种技术的应用依然保持乐观的态度和较大的接受度。[6]See Yi Zeng et al.,Facial Recognition and Public Health—The First Report in Survey Series on Artificial intelligence and Healthy Society,Baai(Jun.28,2020),https://attachment.baai.ac.cn/share/aies/facial-recognition-and-public-health-en-2020-05-17.pdf.

尽管应急状态下公共利益优先的原则不可避免地导致个人隐私和数据保护权利的克减，且人们于此情形下对个人信息控制权利的让渡普遍出于自觉及展现了宽容态度，但是在疫情防控逐渐转为常态化的情况下如何处理应急状态中所收集的个人信息，如何保证个人信息采集、使用的合目的性和范围的限定，[7]比如杭州健康码未来可能会在关联健康指标和健康码颜色的基础上探索建立个人健康指数排行榜，这一对个人健康信息超范围的收集在互联网中引发了较强烈的争论。参见《未来杭州渐变色健康码将上线》，载腾讯网2020年5 月24 日，https://new.qq.com/omn/20200524/20200524A0B2HG00.html，2020 年7 月11 日访问。以及在疫情结束后对个人信息如何进行删除都是值得研究的议题。应急防控向常态化防控状态的转变亟需政府及合作企业合法合理地对待后续个人信息的收集、利用、披露、分析。而比例原则作为约束政府权力的重要原则在应急体例下的适用已得到我国《突发事件应对法》第11条的“准入认证”，并且其他国家有关信息保护的法规也一定程度上蕴含了比例原则的理念，如欧盟在1 月发布的《个人数据保护比例原则指南》（以下简称《指南》）对比例原则在个人信息保护和限制措施之间发挥的平衡作用有所指涉，但比例原则是否能在我国疫情防控中通过政府限权实现对个人信息权利的充分保护需要得到规范与实践的检验。不仅如此，我们还需要挖掘出比例原则在应急状态中政府对个人信息全景式监控的背景下对个人信息保护的适用进路，不至于让个人信息在多方权力的窥伺下无所遁形。

二、对个人信息权利的保护适用比例原则的必要性

如前所述，比例原则的重提是对《中华人民共和国突发事件应对法》（以下简称《突发事件应对法》）中规制政府在应急状态下的权力有关条款的呼应。事实上，疫情中对个人信息的利用及处理方式会连接到人身自由及人格尊严等人权，因此比例原则也是在非常时期制约应急行政权对人权侵犯的重要手段。此外，私法及私权理念在突发事件中对个人信息保护的适用不灵、新冠肺炎期间政府采取的某些收集或利用个人信息等措施出现不合比例的现实都推使比例原则浮出水面。

（一）对个人信息的干预隐射人权保障的重要性

新冠肺炎这一突发公共卫生事件中以应急权形式出现的公权力处于更为强势的地位，这可能导致对公民个人信息权利等个人权利的限制和剥夺，因此比例原则作为平衡权力与权利的“皇冠原则”的适用充分体现了行政法治和基本人权保障的现代宪政价值取向。[8]参见姚小林：《论我国应急法制的比例原则》，载《法学杂志》2008 年第4 期，第152 页。政府应用健康码等抗疫技术所收集公民的个人信息主要包括个人行踪轨迹信息与个人健康信息，而这两种信息恰恰是个人信息中最为隐私及敏感的部分，也是目前法律规制与保护最为薄弱的信息。政府通过健康码的定位技术及算法分析以确定个人过去一定期间去过的地方，从而勾勒出“个人疫情物理地图”。[9]参见王勇旗：《个人行踪信息的法律保护》，载《检察日报》2020 年6 月30 日，第3 版。目前对踪迹信息的保护仍从属于整个个人信息保护的法律框架，[10]参见邱遥堃：《行踪轨迹信息的法律保护意义》，载《法律适用》2018 年第7 期，第48 页。并表现为“民刑先行”的现状：《中华人民共和国民法典》（下称《民法典》）将其纳入了个人信息的范畴，具有“最后手段性”的刑事司法解释也对轨迹信息作出了有关规制，[11]《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1 条规定：“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”但是个人行踪轨迹信息的保护在行政法律中还没有具体的框范条款，至于个人健康信息的保护条款一般散见于司法解释或行政规章等。然而，这种行政立法保护阙如的情形却并不影响政府在突发公共卫生事件时以迅雷手段收集个人健康信息和轨迹信息，原因在于当面临未知传染性病毒的非常局势之时，将上述个人信息收集和利用等权力归入政府符合公益优先的要求。

无论是《突发事件应对法》还是《中华人民共和国传染病防治法》（以下简称《传染病防治法》）都未明确规定政府在应急状态下享有收集个人健康信息及轨迹信息的权力，但是观照其他国家或地区的有关条例可以发现，个人信息保护权利在非常时期应予限制的规定绝非个例。例如欧盟的《通用数据保护条例》（GDPR）规定在关涉公共健康等公共利益事件时，成员国政府可以制定限制个人信息保护的法规以及推行相关干涉措施。[12]See General Data Protection Regulation.art23(2018).美国的《健康保险携带和责任法案》（HIPAA）也规定了出于公共卫生活动、避免对公共健康和安全造成严重威胁等目的，政府可以披露和使用受保护健康信息的例外情形。[13]See 45 C.F.R.§ 164.512(2019).此外，美国的《示范州紧急医疗卫生法》（MSEHPA）还规定了政府及有关部门对受保护健康信息的获取和披露的条件。[14]See Model State Emergency Health Powers Act.sec.607(2001).

需要注意的是，突发公共卫生事件中政府等对个人健康信息和轨迹信息的收集及利用虽能得到公共利益需要紧迫维护的现实肯认，但是不能忽视对收集以上信息所连接到的自由迁徙等人权的影响。上文对健康码的运作机制有所提及，政府运用大数据手段收集包括体温、是否出现咳嗽发烧症状等关联到个人健康的信息，及包含个人近期活动轨迹如所到场所、所接触人员等个人行踪轨迹信息，而这两种信息之所以敏感在于其能直接决定持码人是否需被采取隔离措施以及隔离的期限。政府对已经发生疫情的场所及特定区域的人有权实施隔离可由《传染病防治法》第41 条佐证。由于新冠病毒具有潜伏期长、传播性强、毒性较大等特点，在目前的疫情防控中，政府对可能携带病毒或从疫区往来的人员设置了14 天的隔离期间。隔离作为限制自由迁徙这一宪法性权利的一种手段，其施行的正当性也需要得到比例原则的检视。例如，美国的Jacobson 案为政府的隔离措施确立了标准并为隔离法律提供了宪法框架：公共卫生当局剥夺自由是否合宪取决于个人风险评估，用以表明隔离是限制性最小的手段且满足了程序正当性的要求。[15]See Jacobson v.Massachusetts,197 U.S.11,25(1905).

因此，在公共卫生紧急状态之下，比例原则的适用既是对个人信息保护的出发点，更是彰显人权保障这一价值取向的落脚点。

（二）个人信息保护私法权利的被迫退让

2020 年5 月28 日，《中华人民共和国民法典》于十三届全国人大三次会议表决通过，设置在人格权编第六章的“隐私权和个人信息保护”得到了学界广泛的关注，这也表明个人信息保护获得了我国私法层面系统性的重视。尽管民法学界对于个人信息的确权、权属界定以及对个人信息保护采何种理论的观点依然莫衷一是，[16]关于个人信息是否为一种民事权利，尽管个人信息的规制条款被纳入《民法典》人格权编，但是其并未如生命权、健康权等被确定为具体的个人信息权，而以王利明为代表的学者不仅为个人信息确权，还将个人信息权界定为独立的人格权。参见王利明：《人格权的积极确权模式探讨——兼论人格权法与侵权法之关系》，载《法学家》2016 年第2 期，第7 页。至于个人信息权的权属之争，梅夏英对学界三种主流观点进行了梳理，即人格利益说、个人信息权说和人格权兼财产权说。参见梅夏英：《在分享和控制之间 数据保护的私法局限和公共秩序构建》，载《中外法学》2019 年第4 期，第846-850 页。个人信息保护采何种模式目前为学界讨论的重点话题，高富平认为不应忽视个人信息具有公共性和社会性的特征，因此对个人信息保护应舍弃个人控制论，而采用社会控制模式。范为则主要侧重对美国和欧盟个人信息保护立法模式进行分析，并提出建构场景与风险导向的个人信息保护新路径。参见高富平：《个人信息保护：从个人控制到社会控制》，载《法学研究》2018 年第3 期，第84-101 页；参见范为：《大数据时代个人信息保护的路径重构》，载《环球法律评论》2016 年第5 期，第92-115 页。但是《民法典》依旧承认和沿用了传统个人信息保护架构确立的知情同意权与个人享有的信息决定权。具体而言，《民法典》第1035 条明确了个人信息的知情同意权及处理的原则：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；……”，并且第1037 条也规定了自然人拥有对个人信息查阅、复制、提出异议和要求删除等个人信息自决的权利。一般说来，在突发事件中，政府基于公共利益的考量所拥有收集和处理个人信息的公权力极有可能与个人在私法层面上享有的私权利产生抵牾，特别是在新冠肺炎这类突然爆发的传染病事件发生的初期阶段，公共利益远远高于个人利益，个人的信息权利应当在一定程度上克减。这种个人信息权利的让位也得到国外学者的认可：当公共利益的优势高于个人所受损害的风险时，不论个人信息利益对公众有何潜在好处，都不应允许个人否决共享其个人信息。[17]See Lawrence O.Gostin & James G.Jr.Hodge,Personal Privacy and Common Goods:A Framework for Balancing under the National Health Information Privacy Rule,86 Minnesota Law Review 1439 (2002).

其实，个人信息权利的被迫退让不仅是公共利益优先以及应急行政权强调效率优位的要求，更重要的是，个人对信息享有的知情同意权和信息决定权也难以在应急状态下行使和实现。自1 月23日武汉封城到2 月9 日健康码的发布不过仅仅半个月的时间，而健康码的出现正好契合当时政府管控疫情的行政需求和抚慰民众对于自身周围环境的恐惧心理，于此情形下，公众在启用健康码前鲜少会点开长长的《隐私政策》或《用户服务协议》仔细阅读，即使阅读后存有异议也由于复工复产以及无码则无法自由流动的紧迫现实而不得不同意使用健康码。此外，由于病毒传播范围广且疫情持续时间长，公众对于政府收集的个人信息也难以提出删除的要求。这种看似有所选择实则没有选择的情况使得个人拥有的知情同意权形同虚设。

正因传统的知情同意权和个人自决权的行使困囿在应急状态下强硬的公权中，且鉴于不少学者提出应“基于公共利益来对个人数据信息的使用目的和方式加以公法上的规制”[18]吴伟光：《大数据技术下个人数据信息私权保护论批判》，载《政治与法律》2016 年第7 期，第116 页。“个人信息保护的私法进路忽视了个人信息保护法的目的”[19]梅夏英：《在分享和控制之间 数据保护的私法局限和公共秩序构建》，载《中外法学》2019 年第4 期，第858 页。等观点，那么比例原则作为公法上衡平公私利益的适用既能迎合《民法典》所提到对个人信息处理的“必要原则”，更是节制应急状态下无限扩张的公权力对个人信息权利侵益的肯綮之举。

（三）个人信息权利所受侵益不合比例

疫情期间发生的一些政府及有关部门对个人信息过度采集、披露以及致使个人信息的泄露也呼唤着比例原则的约束。首先是发生在疫情初期的大量信息泄露的情况，比如武汉返乡人员的个人信息在网上流传开来，这些信息精确到个人姓名、身份证号码、户籍地址、家庭住址、手机号、车牌号，甚至车票航班信息等；[20]参见《武汉返乡人员的个人信息被泄露接到辱骂电话》，载新浪网2020 年1 月27 日，http://news.sina.com.cn/c/2020-01-27/doc-iihnzhha4887955.shtml，2020 年7 月12 日访问。以及某地人民医院的职工利用工作便利，私自用手机拍摄医院电脑记录的新冠病毒感染患者的姓名、家庭详细住址、工作单位、行程轨迹、接触人员、诊疗信息等基本情况并公开散布。[21]参见《云南文山州5 名医院工作人员泄露患者个人信息被处置》，载环球网2020 年2 月7 日，https://www.sohu.com/a/371283662_162522，2020 年7 月13 日访问。这些信息泄露主要原因在于作为信息采集者的相关部门未能履行保密的义务，并且疫情中有关部门对于个人信息的超范围收集，而这种超范围的信息收集实质上已经超过了防控疫情蔓延的目的。除此之外，个人信息的大量泄露也反映出政府对个人信息的披露不当，且这种披露不当会对个人的日常生活产生极大困扰乃至损害其个人人身利益：如前述的武汉返乡人员受到不明人员的电话辱骂，以及由于政府向公众披露确诊病例的与疫情无关的个人生活和轨迹信息可能会为患者招来网络舆论的非议。又次，疫情期间对病例的个人信息公开存在回复的可能，但是个人受到的损害却是难以回复，值得思索的是政府因其披露不当对相对人造成损害的救济在实践中存在缺位的情形，如武汉返乡人员虽然受到了派出所“发布者被行拘”的反馈，但是派出所对于信息泄露的部门和人员却避而不谈，[22]参见《那些信息被泄露的武汉返乡人员，后来怎么样了？》，载凤凰网2020 年4 月28 日，http://news.ifen g.com/c/7vVjeX3H4sj，2020 年7 月13 日访问。更遑论对返乡人员的救济。相比而言，有的国家在疫情期间对于政府泄露个人信息的行为为相对人提供了相关救济措施。[23]参见《日政府官网泄露490 余名确诊患者信息，道歉后拟每人赔4 万日元》,载搜狐网2020 年5 月29 日，https://www.sohu.com/a/398564683_114778，2020 年7 月13 日访问。

综观疫情期间政府对个人信息权利的侵害情形，纵使比例原则的适用应当放宽，[24]参见林鸿潮、赵艺绚：《突发事件应对中的个人信息利用与法律规制——以新冠肺炎疫情应对为切入点》，载《华南师范大学学报（社会科学版)》2020 年第3 期，第130 页。但是疫情不应是挤压比例原则对应急行政权力约束的充分理由，而正是通过比例原则规范行政权力以此最大程度保障疫情期间个人信息权利的良好时机。

三、比例原则对个人信息保护的适用情况与问题检视

上文从三个方面说明了比例原则对个人信息保护适用的必要性，但学理所构建的比例原则“三阶论”却在应然与实然层面上遭遇了适用困境，以下将从比例原则现实的适用境况与存有问题两部分分别进行阐述。

（一）比例原则对个人信息保护的适用情况

突发公共卫生事件作为典型的一类一般紧急状态，比例原则具有洵足适用的空间。[25]参见梅扬：《比例原则的适用范围与限度》，载《法学研究》2020 年第2 期，第70 页。尽管如此，比例原则的现实适用情况却不容乐观，具体表现为：其一，《突发事件应对法》及有关规范主要着重规制“二阶”的比例原则；其二，个人信息被有关政府部门等过度收集和披露；其三，以健康码为代表的大数据技术对个人信息带来的潜在风险。下将结合目前法规内容和实践详述之。

1.应急法规仅创制了二阶的比例原则

我国《突发事件应对法》第11 条确立了政府在应急状态下实施措施所要遵循的比例原则：“有关人民政府及其部门采取的应对突发事件的措施，应当与突发事件可能造成的社会危害的性质、程度和范围相适应”对应传统比例原则中的适当性原则；而“有多种措施可供选择的，应当选择有利于最大程度地保护公民、法人和其他组织权益的措施”则对应必要性原则。但是该法并未继续延用规定传统比例原则中的狭义比例原则，即政府采用的措施对相对人造成的损害应当小于欲实现的公共利益目的。

除却《突发事件应对法》对比例原则所作出的具体阐释，国家网信办的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》（下称《通知》）第2 条明确了在疫情期间收集信息的“最小化范围”原则，《中华人民共和国网络安全法》（下称《网络安全法》）规定了“网络运营者收集、使用信息，应当遵循合法、正当、必要的原则”，以上两个条款大致勾画了在疫情防控下比例原则对个人信息保护的具体样态，进而确证了我国应急法律中对个人信息保护适用的比例原则主要强调的是适当性原则和必要性原则。

概而言之，在现有可适用于个人信息保护的应急法规范中，基本仅承认了“二阶”的比例原则，其既未对狭义比例原则进行规定，更未对目的正当性原则做任何书面表达。

2.个人信息的过度收集和不必要披露

在本次新冠疫情中个人信息泄露的事件频发，而最为核心的原因即为个人信息的过度收集。本文的第二部分对个人泄露事件造成的后果已有讨论，兹不赘述。之所以会出现过度收集的局面，一方面是由于在抗疫期间收集个人信息的主体众多，但却没有统筹的机制整合各自收集的信息，容易导致个人信息的泄露；另一方面在于所采集的很大一部分个人信息与疫情无关，没有必要纳入抗疫的数据库中。

首先，关于收集主体的收集个人信息的法规依据主要集中在《突发公共卫生事件应急条例》《传染病防治法》以及《通知》等。《突发公共卫生事件应急条例》第39 条与第40 条明确了医疗卫生机构和卫生行政主管部门、街道、乡镇、村委会、居委会等各级政府部门及基层组织几乎都拥有收集和报告个人疫情信息的权力。从《通知》第5 条“鼓励有能力的企业在有关部门的指导下，积极利用大数据，分析预测确诊者、疑似者、密切接触者等重点人群的流动情况，为联防联控工作提供大数据支持”，还可得出技术企业同样拥有收集个人信息的权力。当然，在抗疫实践中，其实远不止上述得到法规赋权的信息收集主体，还有诸如用人单位、学校以及类似健康码的应用程序开发者等都享有这种权力。而这种信息收集主体的林总情况若稍有不慎将导致个人信息的莫名泄露，也正因主体众多难以通过建立相关机制来管理信息。其次，关于收集与疫情无关的个人信息，主要体现在有些社区组织对个人信息的收集包括文化程度、政治面貌、宗教信仰、兵役状况等等与防疫根本无关的信息。

除了个人信息过度收集情况的存在，还应注意超范围披露不必要信息的局面。以北京市7 月3日公布石景山确诊女子的流调情况为例，披露的主要是该女子一个月内的行踪轨迹，但是在披露信息中还有“待业”“流产”“破坏门禁外出”等信息，[26]参见《石景山万达女子为无症状感染者 官方通报详细行动轨迹》，载中国小康网2020 年7 月3 日，http://news.chinaxiaokang.com/shehuipindao/minsheng/20200703/996591.html，2020 年7 月14 日访问。这些信息也许是政府部门流调所需要收集到的信息，但是不应全部披露给大众，否则很可能会为确诊人员招致不必要的网络暴力。此外，很多地方卫生行政部门对确诊或疑似病例的披露信息包括户籍、年龄甚至家庭关系，尽管披露信息时对人员的基本信息做了脱敏处理，但是当地人员依循这些披露的信息较容易知晓是何地的何人，从而确诊或疑似病例的“个人画像”不仅被有关部门所掌握，甚至也变相地被无关人员所追踪掌握，而这为病例带来的后果极有可能不符信息披露的出发点。

3.健康码技术带来的过高风险

疫情期间健康码技术的广泛应用对个人信息招引了一定风险，以“人脸识别”的应用为例，有些地方的健康码（如“北京健康宝”）使用资格的获取首先需要人脸识别认证，并且人脸识别技术灵敏度由于疫情的原因逐渐提高，即使戴着口罩仅露出部分脸部信息也能识别出个人身份。

虽然人脸识别技术的采纳是为了提高行使行政权的效率，比如对出入公共场所人员用人脸识别可迅速得出个人的基本信息和健康状态，从而提升管理效率、帮助减轻工作人员负担，但是这一技术应用对个人带来的风险与公共利益的有效实现之间的相称性是值得考量的。一方面人脸识别并非识别身份、追踪轨迹的唯一手段，健康码本身便拥有收集个人基本信息的功能，且各大通信运营商等技术公司都能对个人行踪轨迹进行查寻，甚至仅通过手机的定位、蓝牙功能都能有效的追踪密切接触者；另一方面，人脸作为人们重要的生物信息，一旦相关部门或公司获取这种信息对于个人带来的风险基本是不可逆的，也就是说，人脸信息根本难以更改、消除，且目前都能做到仅通过“眉眼识别”来识别个人，而这将会并发新的风险以及带来更多的安全隐患。

（二）比例原则对个人信息保护的问题检视

现下的大数据防疫不免已使个人信息的曝露天窗开致最大，个体的隐私信息也逐渐流于冰冷的数据表达，因此不可避免地带来个人信息是否能够在当前机制下得到恰如其分的保护这一隐忧。对适用现状的梳理有助于检视现实存有的问题。首先就比例原则本身来说，目的正当性原则的规制缺漏与传统三阶比例原则遭受的适用困境皆说明了理论与实践的脱钩；此外，常态化防控的转变还需重新审视应急防控下限制措施的应用条件和目的，从而理清未来可能存在的问题，以此消弭公众忧虑，尽力避免公民个人信息完全沦为政策的工具。

1.目的正当性原则规制不敷

比例原则系行政法上的舶来品，因此学界目前普遍沿用了德国所确立的比例原则中的三个子原则。但随着学界研究的深入和司法实践对比例原则的适用增多，有学者提出要在三个子原则前增补一个“目的正当性原则”，继而创制比例原则的“四阶层”适用路径。[27]参见刘权：《目的正当性与比例原则的重构》，载《中国法学》2014 年第4 期，第133-150 页。遗憾的是，无论是在2007年颁布的《突发事件应对法》，抑或是目下新冠疫情期间中央网信办所发布《通知》中确定的“收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》，坚持最小范围原则”都表明在应急状态下对目的正当性的忽视，而这便反映出至少在法规范层面中，政府在突发公共事件下为维护公共利益所采取措施的目的皆被默认为正当的。事实上，在此次新冠疫情中，有些地方行政机构或部门采取对相对人的限制措施的目的很难完全被认定为正当，如疫情刚爆发时某地“硬核”封门照片、视频在网上流传甚广，但是所谓的“硬核防疫”采用的是直接用木板、铁链封门，且措施实行的对象多为未确诊的“武汉返乡人员”。[28]参见《谁都没有给对“武汉返乡人员”封门的权力》，载新浪网2020 年2 月1 日，https://k.sina.com.cn/art icle_6710158762_18ff4e5aa00100p85i.html?from=news&sudaref=www.baidu.com&display=0&retcode=0，2020 年7 月1 3 日访问。此种防疫措施是否合法都值得商榷，但是就其目的而言并未考虑到被封人员的正常生活需求，也未考虑到该举措造成的心理压力与损害。“硬核封门”貌似出于防疫现实的紧迫目的，然而其也具有放任被封人员“自生自灭”的目的，因而其防疫目的并不纯粹，不符目的正当性原则。

总体而言，目的正当性原则在应急法规中的规制不敷，以及其在应急状态下的当然退却不仅肇端于立法者对目的正当性原则的忽略，也恰合紧急情况下行政权力展现出急遽扩张的天然本质。

2.三阶比例原则遭遇适用困境

适当性原则、必要性原则与狭义比例原则业已成为比例原则的核心，同时“适当性—必要性—狭义比例”的三阶适用顺序也为学理所采。然而，当前法规塑造的个人信息保护的二阶比例原则带来了三个子原则在理论适用上衔接不当、在实践应用中贯彻不足的问题。

第一，理论适用的衔接不当。

通过上述对目的正当性原则在法规层面的制定疏漏的解读，还可推出其影响了狭义比例原则的适用。狭义比例原则在个人信息保护中的适用情况如何，主要需考量政府采取的限制个人信息权利的措施在多大程度上满足了公共利益的需要，如果对个人造成的损害超出了预期实现的公共利益，那么干预措施应被认为是不合比例的。一般而言，狭义比例原则也可被认为是“目的必要性原则”，但只有在明确政府采用所有措施的目的皆为正当时，才有可能继续对目的与手段之间的关系进行价值判断。而应急法规未明确规定狭义比例原则，进一步使得比例原则理论遭遇适法困境。

就此而言，对目的正当性原则及狭义比例原则的忽视将难以充分运用“目的必要性”对限制措施进行判断，并且也会致使三阶比例原则适用逻辑的衔接不畅。

第二，实践应用的贯彻不足。

前文对比例原则的适用现状进行了初步介绍，其暴露出的问题不可谓不多，尤其能反映出比例原则在实践现况的贯彻“力道”不足：

首先，实践当中各地政府都出台了本地的健康码，但是在疫情初期，有些地方政府不承认其他地方推行的健康码，从而对异地人员的复工复产和正常生活造成不利影响。所以手段（互不相认健康码）与目的（不影响疫情防控的复工复产）呈现不适当的景象，也即此种手段不能推动目的的实现。

其次，最小侵害原则未能足够贯彻，典型表现为有关部门或组织对个人信息的过度收集，这明显违反了《通知》第2 条倡导的信息收集的“最小化范围”原则，同时对个人信息的超范围和不必要披露也与最小侵害原则严重悖反。

最后，通过分析健康码中“人脸识别”技术的风险，还可发现这一技术手段虽能在某种程度上防控疫情，但是其风险远远高于所需实现防疫的公益目的，不合狭义比例原则的内在要求。特别在所谓疫情防控常态化的局势下，人脸识别技术的作用须重新推敲。

3.期限安排不当、退出机制缺失将引发个人信息权利空心化

国务院联防联控部门于5 月7 日发布的《关于做好新冠肺炎疫情常态化防控工作的指导意见》中为疫情常态化防控定好了未来的基调，同时在该《指导意见》中的第16 条“依托全国一体化政务服务平台，全面推动各地落实‘健康码’互通互认‘一码通行’”中再次明确了健康码在未来防控中的地位。于此背景下，杭州政府继而发布了《关于印发杭州健康码开发运行规范管理办法的通知》将健康码的运营纳入规范化管理的轨道。然而，杭州市政府这份规范健康码运营操作的文件中并未有创新性的规定，对个人享有的知情同意权、信息收集主体所要依循的原则以及个人在面临个人信息泄露或使用不当的情形下拥有的救济权利都遵照的是之前《网络安全法》及《通知》的统摄规定。且无论是这部地方规范性文件，或是健康码开发企业的《用户服务协议》都未规定健康码收集个人信息的期限，也并未提及疫情结束后如何处理在应急情势下所收集的大量信息。

对比国外的一些应用程序如德国和挪威政府推出的“新冠预警”应用程序，德国应用程序的使用完全尊重民众自愿的心理，[29]参见《德国确诊逼近二十万 新冠预警APP 上线半月上报约三百例》，载东方网2020 年7 月4 日，http://n ews.eastday.com/eastday/13news/auto/news/world/20200704/u7ai9370210.html，2020 年7 月14 日访问。挪威卫生当局出于隐私保护的考量停止使用新冠病毒追踪软件，并将删除所有新冠接触者追踪应用程序数据，[30]See Norway Ends Coronavirus Tracing App Over Privacy Concerns,AP News(Jun.15,2020) https://apnews.com/a417361886e0e26b9341a373dde48352;参见《30 秒丨挪威将删除所有新冠接触者追踪应用程序数据》，载封面新闻2020 年6 月16 日，https://view.inews.qq.com/a/20200616V0AOZQ00?tbkt=D&uid=100127291237，2020 年7 月14日访问。而我国健康码等大数据技术应用的使用期限、退出机制处于缺失状态。值得注意的是，这种缺失的状态将会影响到个人在应急状态下所让渡权利的回复（roll back），因为在疫情期间大量被收集的个人健康和轨迹信息若无退出机制的保障将会造成个人信息的完全裸露，个人信息权利进而被挖空（hollowed out），当下一次危机来临时我们的个人信息甚至会变得无关紧要。[31]See Andrej,Z.,& Gstrein,O.J,Big data,privacy and COVID-19– learning from humanitarian expertise in data protection,5 Journal of International Humanitarian Action 6 (2020).

4.警惕对个人信息保护的法律功能潜变

法律功能潜变（legislative function creep）意指一项措施不能够真正解决问题，反而呈现与先前不同的目的。这一概念的提出可追溯到欧盟数据保护主管（EDPS）2017 年发布的《关于在自由、安全和司法领域中信息系统的互操作性的反思文件》，在该文件中EDPS 对欧盟委员会即将出台的立法提案提出了有关建议：“其应明确规定在其未来的互操作性计划中将处理哪些类别的个人数据。”[32]See Reflection paper on the interoperability of information systems in the area of Freedom,Security and Justice,EDPS(Nov.17,2017) https://edps.europa.eu/sites/edp/files/publication/17-11-16_opinion_interoperability_en.pdf.申言之，对于个人数据保护采取的各种采集、处理等措施都应当符合最初的目的，否则会造成个人信息权利损失扩大化，而这也不合比例原则。我国《网络安全法》第41 条对个人信息的收集、使用的目的给出了立法的约束：“网络运营者收集、使用个人信息，应当……明示收集、使用信息的目的、方式和范围”，同时在新冠疫情背景之下出台的《通知》第3 条也提到“为疫情防控、疾病防治收集的个人信息，不得用于其他用途”。这两条能够表明在疫情期间收集的个人信息应当仅仅出于防疫的目的，而不能再有其他的用途或目的。

然而，随着疫情防控由应急状态转入常态化，一些在疫情期间推行的收集、使用个人信息的措施却超越了其最初的防疫目的，典型表现为健康码向“全能码”的转向趋势。杭州市政府提出要将现有的健康码升级为“渐变色健康码”，而“除了健康码已经获取的个人健康信息较敏感外，渐变色健康码集成电子病历、生活方式管理等设想更引发了公众隐私被进一步掌控、甚至进行公开排序的担忧”。[33]《疫情后，健康码可否升级“全能码”？》，载财经网2020 年6 月5 日，https://news.caijingmobile.com/art icle/detail/417535?source_id=40&share_from=weixin，2020 年7 月14 日访问。这种转变将悖离当初健康码为防控疫情而应用的目的，并且“全能码”的应用将会固化政府或大数据企业等在应急状态下对个人信息权利干预的权力，而这极不利于保护个人信息，该技术也在转变过程中显现“法律功能潜变”的痕迹，远超出防控疫情的目的。

因此，在未来持续防控疫情的情形下应当警惕可能存在的功能潜变，毕竟“任何新的或经过修改的数据处理都需要在相关法律文书中明确定义，并且相对于其明确规定的目标同样必要且相称”。[34]See Reflection paper on the interoperability of information systems in the area of Freedom,Security and Justice,EDPS(Nov.17,2017) https://edps.europa.eu/sites/edp/files/publication/17-11-16_opinion_interoperability_en.pdf.

四、比例原则对个人信息保护的适用建议

比例原则在新冠疫情下对个人信息保护的适用不佳、应急状态向常态防控之转变为个人信息招致的未来风险等困境为比例原则的操作路径提供重构机遇，有必要将比例原则分别嵌入应急法规、适用程序、司法救济，从而为个人信息保护提供三重保障。

（一）前提保障：完善个人信息保护的应急法规

即使在国际规章中比例原则于突发公共卫生事件下对个人隐私保护的适用也能找到依归，如随着全球大流行传染病不断增多而逐渐完善的世界卫生组织的《国际健康规章》（the WHO International Health Regulations）中表明所有干预隐私权的健康措施都必须遵守比例原则̀。[35]See Andraž Zidar, WHO International Health Regulations and human rights:from allusions to inclusion,19 The International Journal of Human Rights 513 (2015).比例原则对应急状态下个人信息的保护发挥着举足轻重的作用，而真正能保障个人信息权利的尺度在于为应急情况下信息收集主体对个人信息的存储及利用划定期限。毕竟应急状态不同于常态，紧急状态的设定是为了能尽快遏制危机的发展以及快速恢复为常态，因此在应急法规中应当设定有关应急状态结束的日期或应急措施行使的期限，有学者称此类条款为“日落条款（sunset clause）”[36]所谓日落条款就是设定了过期日的条款。See Ronan Cormacain,Keeping Covid-19 emergency legislation socially distant from ordinary legislation:principles for the structure of emergency legislation,Taylor&Francis Online(Jul.22,2020),https://doi.org/10.1080/20508840.2020.1786272.。并且日落条款分属两种：一为设定了具体的过期日，如英国出台的《新冠疫情法案2020》（The Coronavirus Act 2020，以下简称《法案2020》）第89 条“该法案自通过之日起2 年内结束”；二为立法中的一项条款规定了其到期日的程序，如《法案2020》第98 条规定了为期6 个月的议会审查程序，即每六个月议会都需审查临时法案是否应继续施行，如果议会否决了“《法案2020》的临时规定尚未到期”的议案，则应遵循适用终止该法的程序。[37]See Coronavirus Act 2020 part 2 sec.89&98(2020); See Ronan Cormacain,Keeping Covid-19 emergencylegislation socially distant from ordinary legislation:principles for the structure of emergency legislation,Taylor&Francis Online(Jul.22,2020),https://doi.org/10.1080/20508840.2020.1786272.上文提到目前对于健康码等技术使用期限的规定处于缺位状态，并且我国应急法律基本未设置真正有效的日落条款。阿特金勋爵曾在二战时期的Liversidge v.Anderson 案中发表了一段著名的言论：“即便今天的英国战火纷飞,但法律并不因此沉默。战时的法律虽然可以进行修改，但没有修改的法律在战争时期与和平时期的用语是完全相同的。”就此而言，在应急状态中涉及到个人权利保护的法律不能长期付之阙如，否则既有违“无法律则无行政”的行政合法性原则，也不符对个人权利的侵犯维持在程度最小、时间最短的比例原则。

因此本文建议需完善个人信息保护的应急法规，且可采用两种立法或是修法方式：

第一，在专门性的个人信息保护法中规定在紧急情况下对个人信息权利的限制也需规制一定的期限，可参照欧盟GDPR 第23 条的安排，即第1 款规定限制个人信息权利措施实行的具体情况，其中包括了维护公共卫生的需要，第2 款则是对第1 款限制措施的限制，即任何措施都至少包含“f)……存储期限和适用的保障措施”；

第二，加强保障个人信息权利的应急行政立法，比如由国务院、国家卫生行政部门或省级地方政府颁布较高位阶效力的行政法规或规范性文件，其中应包含在疫情期间大数据技术使用的期限、信息收集主体保存个人信息的期限以及赋予个人信息删除权等规定。

当然，两种立法方式可采纳包含规定了具体的期限、自动过期日或经过一定程序而到期等多种灵活条款。

（二）程序保障：构建比例原则对个人信息保护的适用进路

比例原则作为法益平衡的重要机制，对于个人信息的保护具有较强的可操作性，比如国外学者Lawrence 虽并未明确提出运用比例原则来平衡个人健康隐私与公共利益的关系，但是他采纳了相似的理论即通过“平衡测试”（balancing test）力求在个人隐私至关重要时最大化保障隐私利益，而在公共利益更重要时最大化公共利益。[38]See Lawrence O.Gostin & James G.Jr.Hodge,Personal Privacy and Common Goods:A Framework for Balancing under the National Health Information Privacy Rule,86 Minnesota Law Review 1441 (2002).同时欧盟数据保护主管在2020 年1 月发布了《指南》，[39]指南全名为“Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data”.该指南旨在为评估新的立法措施的比例性提供一种精确实际的方法，也就是在评估任何涉及处理个人数据的建议措施的合法性都应当进行比例测试（proportionality test）。《指南》中所设对限制措施进行的比例测试顺序其实遵照的是《欧盟基本权利宪章》（Charter of Fundamental Rights of the European Union）中的第52 条第1 款：（1）限制措施必须由法律所规定；（2）该措施必须尊重实质性权利；（3）其必须真正达到欧盟认可的普遍关心的目标或者满足保护他人权利和自由的需要；（4）其必须是必要的；（5）其必须具有相称性。《指南》还对这一条款作出了深入解释并提出（4）的必要性和（5）的比例性具有先后适用顺序，以及对如何适用比例原则以评估新立法措施通过清单的方式明确下来。[40]See Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy a nd to the protection of personal data,EDPS(Jul.17,2020) https://edps.europa.eu/sites/edp/files/publication/19-12-19_edp s_proportionality_guidelines_en.pdf.下文也将以此为鉴，并在指南所列清单的基础上稍作改良，为应急状态下比例原则对限制个人信息权利措施的适用构建进路，从而为个人信息权利提供程序保障。

图一 比例原则对个人信息保护的适用进路简图

上图第一步和第二步于形式上舍弃了指南中的前三点，该进路在引入目的正当性原则的基础上沿用传统的“三阶”比例原则。其中第一步需评估限制措施是否目的正当，虽然应急状态具有区别于常态情况的特殊性，但部分基本人权如生命权等依然不能克减，这里的评估主要需判断限制措施是否有悖于基本人权。第二步则是初步判断采取限制个人信息权利的措施是否能达到目的。第三步的必要性测试则是首先对限制措施及其目的作出事实性的描述，其次确定采取的措施是否构成了对个人信息保护权的限制，然后对采取措施的目的给出具体的界定，完成以上三点后，应在所有措施中选择对权利侵害最小的手段。第四步的狭义比例测试需要对目的重要性进行评估，一般来说限制措施的目的应当是良好的。该测试还需评估限制措施对个人信息权利造成何种程度、规模以及强度的损害，并需考量措施的成本与收益。评估需比较个人风险与社会收益、个人收益与社会风险之间的关系，就人脸识别技术而言，由于其在疫情期间对记录个人行踪轨迹的作用不大且可用其他技术手段来代替，因此其社会收益一般，但鉴于其应用具有不可回复性，其对个人产生的风险较大、收益较低，综合来看人脸识别技术不能通过狭义比例测试。

以上仅是在借鉴欧盟《个人数据保护比例原则指南》确立的比例测试的基础上引述出的比例原则适用进路初步构想，目的在于希望通过这一套层层推进、精细量化的程序机制，对疫情应对措施所维护的公共利益和个人信息权利可能遭受的损害之间是否成比例进行比较，尽可能最大限度地减少对个人信息权利的不必要损害。

（三）救济保障：引入事后比例原则司法审查机制

我国针对应急行政行为的司法审查制度依然存于缺漏状态，原因在于不论是《突发事件应对法》或是《中华人民共和国行政诉讼法》都未对这一行为作出法律规制，而这既会导致行政主体对突发事件的应急处置行为严重危及行政相对人的行政诉权，也不能切实地保障行政相对人的合法权益，[41]参见高轩：《行政应急权对当事人行政诉权的威胁及其司法规制》，载《法学评论》2016 年第2 期，第56页。至于运用比例原则来进行司法审查更无从谈起，但这并不代表任由应急行政权对相对人进行侵害。尽管我国目前无此类案例，但是在此次疫情期间英国高等法院运用比例原则审查了一起关闭礼拜场所对公民宗教权利的干预与一般公共卫生利益之间的关系的案件，[42]See Hussain v.Secretary of State for Health and Social Care [2020] QB 1846.并且欧盟在《指南》中列举了诸多欧盟法院运用比例原则对各部门拟议措施对个人数据权利的侵害程度的案件。

除了应急行政行为司法审查的空白，目前我国关涉个人信息保护的行政案件也寥寥，表现为“在个人信息类司法案件中，行政案件数量远低于民事、刑事的现状”[43]李帅：《个人信息公法保护机制的现存问题及完善对策——基于295 份行政判决书的定量研究》，载《浙江社会科学》2018 年第8 期，第59 页。。而笔者以“传染病”“信息”等为关键词在中国裁判文书网进行检索，发现近年来有关传染病在行政诉讼中引发一定波澜的是2017 年湖南省桃江四中发生肺结核病突发公共卫生事件，在此事件中大量的利益相关人主要以湖南省政府拒不公开有关疫情处理的信息构成行政不作为为由提起诉讼，[44]蔡米良诉湖南省人民政府行政不作为案，湖南省长沙市中级人民法院（2019）湘01 行初第55 号行政裁定书。由此可见公众更关心在突发公共卫生事件中政府的疫情管控及信息公开工作是否到位。

本文认为，有必要对突发公卫事件中应急行政措施对个人信息权利所致损害进行司法审查，更重要的是运用比例原则来进行审查。由于现下的新冠疫情中政府大量运用大数据技术进行防控，该技术不仅引发关于个人信息权利的较大风险，更有可能对人权造成侵害。在事后引入比例原则司法审查能有效地比较行政措施对个人信息权利带来的限制与所增进的公共利益是否相称，而这也是相对人遭受权利侵害之后寻求救济的最后手段。此外，运用比例原则进行司法审查的强度应达致最大，因为对个人信息权利的限制也关涉到对个人基本权利的限制，在此可引入德国比例原则审查的强力审查标准，[45]参见杨登峰：《从合理原则走向统一的比例原则》，载《中国法学》2016 年第3 期，第100 页。一旦审查出行政权对个人信息权利的干预不当，应判定行政行为无效并对相对人给予赔偿救济。

结 语

新冠疫情下大数据技术被政府广泛的采纳及运用为我国抗疫成果的取得提供了巨大的贡献，但是在急速发展的大数据技术、愈发精确的算法技术以及政府膨胀的行政权所铸造出的密不透风“全景式监控”的空间中，个人信息应该何去何从？正如《人类简史》作者赫拉利所言：“当下的流行病可能将是人类监控史上一个重要的分水岭。”[46]尤瓦尔·赫拉利：《冠状病毒之后的世界》，载澎湃网2020 年3 月26 日，https://www.thepaper.cn/newsDet ail_forward_6683941，2020 年7 月21 日访问。在非常变为常态的局势下，应当采用比例原则对个人信息权利的限制措施进行评估，并且此种评估方式应当遵循一定的进路。适用程序借鉴了由欧盟发布的《指南》所构造的比例原则适用清单，这不是一味模仿、追逐潮流的“削足适履”之举，而是量化风险、避免个人信息权利受到损害的“量体裁衣”。而比例原则司法审查中对限制措施进行事后目的性审查和相应的比例审查将为无限扩张的行政权力划定最后一道防线，以此防范短期限制变为长期限制、应急防控转为常态监控的趋势。