扬州大学马克思主义学院 方亦驰

“欲得民必先知民”，古代先贤已明晰个人信息对于掌握国情国力、实施社会治理的重要作用，政府对个人信息的收集和利用的传统已经延续了数千年[1]。于二十世纪中叶发端的信息革命迅速推动人类社会进入数字时代。信息与统计学、数据分析技术的结合使其在我国社会治理领域发挥着越来越重要的作用。根据个人信息保护法条例，个人信息是指与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息，包括个人姓名、住址、出生日期、身份证号码等单独或与其他信息对照可以识别特定的个人的信息[2]。

这表明个人信息不仅是有关个人的单一数据，也包括了以大数据、统计数据为基础的所有能够通过整合识别自然人的碎片数据[3]。

鉴于信息化治理的迅速发展，我国近年来着力打造数字政府、数字社会，公安、统计、社保、税务等管理部门都建立了相应的个人信息数据库。一方面，信息化推动社会的快速发展，通过数据库建设、智能化手段，个人信息的公共价值被激发；另一方面，信息在运用过程中构成对主体权益“私”的侵犯的可能。本文将以我国2020年新冠肺炎疫情防控实践为例，分析个人信息在数字社会治理中的应用价值和现实困境，进而提出解决策略。

一、个人信息在疫情中的应用现状

新冠肺炎疫情初期，我国将“大数据＋网格化”作为公共卫生事件防控的治理新模式，创造了“战疫金盾”“健康码”等防疫系统，个人信息通过这些途径在疫情防控中发挥了重要作用。信息被迅速地搜集整理、筛选整合、处理分析，能够迅速了解个人的健康情况、活动轨迹，并发挥规模效应，通过无数个人信息的整合扩展为小至乡镇街道，大致全国各省的整体数据库，全面了解相关地区的疫情现状。个人信息在精准防控、摸排传染链、防止疫情扩散、推进复工复产等方面发挥着重要作用。

在新冠肺炎疫情等重大公共卫生事件中，公民出于国家保护自身的生命安全的考虑，通过订立契约的方式让渡自己的部分“自然权利”，即把部分隐私权让渡给了国家，国家成为公民个人信息的管理者。同时由于“突发公共卫生事件的防控可以作为豁免数据控制主体部分义务、克减信息主体部分权利的合法事由”[4]，从原则上确认了个人信息在公共卫生事件中公开的合法性，国家有权公开部分信息。但出于防控需要、保持合理范围、经过主体同意等前提条件在实践运用过程中常被忽视甚至颠覆。以“成都一确诊女生去酒吧遭网暴”为例：2020年12月8日，20岁的赵某被确诊为新冠患者，成都卫健委通报其基本信息，信息如下：“赵某，女，20岁，无固定职业，居住于成华区崔家店华都云景台小区，系郫都区昨日确诊病例卢某、赵某的孙女。12月8日在对卢某密切接触者的隔离检测中检出核酸阳性。经省、市、区专家会诊，综合临床、影像学表现和实验室核酸检查结果，诊断为确诊病例（普通型），已转运至成都市公共卫生临床医疗中心医院隔离治疗。近14天内，患者主要停留的场所包括：中冶中央公园、嗨蓝调美甲店、小巷巷麻辣烫、海雾里小酒吧、playhouse酒吧、赫本酒吧等。”随后关于这一患者的时间、地点的活动轨迹图被不明人士在网络上发布，频繁的活动轨迹、复杂的活动场所使赵某遭受严重的网络暴力，其姓名、身份证号码、家庭住址、私人照片等个人隐私被泄露。这是公民个人信息权利在数字社会得到侵犯的典型案例。客观方面，详细的公开信息未实现脱敏。虽然只是公布其行动轨迹以排查途径地点和接触人群，但公众却可以通过整合病例姓氏、家庭成员、居住小区等信息判断患者身份。这虽然无侵犯他人信息权利的主观故意，却造成了不利结果[5]。主观方面，部分群众基于不满情绪，故意在网上公布患者信息，造成了泄露他人隐私和个人信息的主观后果，违反了相关法律规定。

二、个人信息保护不足的现状分析

信息技术融入社会治理是现代化浪潮中不可阻挡的必然趋势，对于随信息技术应用出现的个人信息保护不足的问题，应该保持客观理性的态度分析其背后的深层原因。

（一）政府对于信息公开的权责关系尚未理顺

政府利用自身政治资源能够构建巨型的个人信息库并运用于社会治理。同时出于自身管理、维持政权的需要，政府具有最大程度地收集人民个人信息的趋向，因此需要一力量限制个人信息收集、处理和利用的无节制增长。而这一主体往往由政府自身承担，因为“实现个人信息保护和利用的平衡是政府作为公共安全和利益维护的权利行使者的重要责任”[6]。政府拥有收集个人信息的权力的同时负有保护公民个人信息权力的责任，这给政府提出了更高的要求。新冠肺炎疫情中出现的个人信息泄露的情况表明目前政府部门及工作人员没有完全处理好利用者和管理者的关系。

（二）防控实践中个人信息保护与防控需要的结合程度尚未找准

一般而言，采集到的信息只有满足了“唯一性、完整性、精确性、一致性”，才是高质量的。但在新冠肺炎疫情防控实践中，信息收集存在重复与错漏的情况。首先，相同的信息被重复采集，采集主体的能力良莠不齐，不乏居心叵测者谋取私利。其次，疫情防控的一些关键信息未被统计，成为信息漏洞。再次，随疫情防控形势的好转，大量闲置的信息对公共安全造成威胁，如何处理成为急需解决的问题。

三、个人信息保护的策略路径

个人信息保护不足的根本原因在于现有的法律无法找准个人信息与防控需要的尺度。因此本文从法律途径出发探讨个人信息保护的策略路径。

（一）明确个人信息公开主体

我国现有法律具有对个人信息保护的主体性规定，但适用于一般情况，无法完全适用于突发的公共卫生事件，这势必造成法律漏洞和主体责任缺失。因此，需要在法律上明确在公共卫生事件中主体的权限范围。第一，通过列举确定信息披露主体和责任权限，以及需要承担的法律责任。第二，明确信息泄露的主体责任，加强信息采集、分析、公布各个环节的主体监督。由于收集过程经手人员数量大，需要以法律形式规定经手人员的规范行为。

（二）制定个人信息公开标准

由于法律关于个人信息公开标准并不清晰，常使客观行为在无意中导致侵犯他人权利的后果，需要通过法律界定公共卫生事件防控中个人信息公开的标准。第一，明确界定个人信息公开的范围，将抗疫实践中形成的先进做法提升至法律的高度。第二，确立“脱敏处理”标准，既要模糊化处理信息，亦要严格审核，防止形成信息链条，指向某一特定个人。第三，确立信息“及时退出”的机制。随着个人信息的公布，信息主体也失去了对这部分信息的控制能力。面对不可控的后果，信息主体应有权要求及时删除相关信息。由此，突发公共卫生事件情境下非常态化的信息采集也需要明确授权和规则边界，并针对重大突发事件等级建立个人信息分级分类采集标准[7]。

（三）健全个人信息监管机制

政府对于个人信息的趋向性、信息业人员的趋利性，都要求构建良好的个人信息公开监督机制，它能够在必要时刻采取法治措施保障个人信息安全[8]。首先要完善数据信息的分类保护，例如对于风险较高的个人信息设置严格的权限机制，防止信息泄露，因为“一旦发生数据泄露或滥用，都会导致信任度的丧失，未来如果再基于公共利益需求收集公众个人信息，很可能阻力就会加大”。其次，合理规范地管理个人信息，及时处置疫情相关个人信息，对无用信息进行动态删除和安全销毁，同时对于未来可用信息进行去隐私化后进行归档管理[7]。

信息是我国重要的战略性资源，在数字社会被广泛运用的同时，面临着信息泄露的威胁，因此我国应通过法律手段为个人信息保护提供保障，兼顾社会发展和个人信息保护需求，更好地实现个人信息的社会价值。