孟 磊 蒋家坤

（湖南理工学院政法学院， 湖南 岳阳 414006）

在新冠肺炎疫情防控工作中，各种疫情防控App承担公民与疫情防控相关重要信息的收集、分析和处理工作，为政府部门科学监测、分析疫情和精准实施防控策略提供了重要依据，为公民及时了解最新疫情动态、制定个人疫情防控策略、合理安排疫情期间的工作与生活等提供了极大便利。然而，实践中也出现了个人信息被泄露、曝光和被滥用的问题，导致特定个人遭到歧视和骚扰。运用数字技术上线的一系列疫情防控App存在个人信息保护不足等问题，对他人的私生活及人身自由造成了影响，因此平衡好利用大数据支持疫情防控与个人信息保护之间的关系成为亟待解决的问题[1]。在疫情防控背景下，个人信息安全问题不仅关乎个人权利，还事关社会稳定。为此，需要建立健全政府、企业、用户多方主体共同参与的疫情防控App协同治理机制，维护公民基本的信息权利，避免出现公民因信息安全顾虑而瞒报、漏报和错报个人信息的情形。

一、疫情防控App个人信息安全风险的主要表现

疫情防控App主要有2种类型：（1）专门为疫情防控目的而开发设计的软件、小程序，如疫情通App、疫情动态App和各种微信疫情小程序等；（2）在既有新闻类、医疗类、支付类和搜索类App产品中（如凤凰新闻、丁香医生、支付宝、UC、百度App）新增的“抗击肺炎”专题模块。这两类App产品都存在着个人疫情信息收集、使用、对外提供和保存等方面的安全风险。相对而言，临时开发上线的疫情防控App，由于事发紧急，难免考虑不周，因而存在更多的信息安全漏洞和隐患。

（一）个人信息收集环节的安全风险

疫情防控App在个人疫情信息收集环节，主要存在“无隐私政策”“超范围采集”和“强制捆绑授权”等方面的安全风险[2]。制定并发布隐私政策供App使用者在下载安装过程中阅读浏览，是网络运营者履行“公开使用个人信息规则”义务和保护移动应用软件用户知情权的具体表现，然而疫情防控App中最为普遍存在的问题恰恰是“无隐私政策”。例如在《天津市疫情防控App专项治理情况通报》第1期中提到的7款App中，新冠通、泰平、门诊大厅、双港复工通和保疫防等5款App就无隐私政策[3]。疫情防控需要收集个人身份证号、住址、行程、生理健康等诸多敏感信息。按照信息收集最小范围原则，应该将收集对象限定在新冠肺炎确诊者、疑似患者和密切接触者等重点群体，但实践中不仅存在超范围采集通话状态、移动网络信息等情形，且存在不区分人群而统一收集个人敏感信息的问题。最后是“强制捆绑授权”问题，用户不同意开启App申请的所有权限，便不能继续完成安装或正常使用。如疫情动态App，要求用户一次性同意开启访问确切位置信息并在后台使用位置信息，授予读取存储卡内容、通话状态和修改或删除SD卡中的内容等权限。

（二）个人信息使用环节的安全风险

疫情防控App个人信息使用环节的安全风险，主要表现为未经用户授权同意而擅自使用个人信息及未明示个人疫情信息的专收专用。原则上，只有国务院卫生健康部门依法授权的机构才允许未经同意使用个人信息，其他任何单位和个人即使出于疫情防控的目的也无权在未征得用户同意的前提下使用其信息。然而检索发现，像百度、夸克、今日头条、支付宝、微信、丁香医生等这些具有较大市场和影响力的App，也普遍存在着在隐私政策中声明可以未经用户同意而使用个人疫情信息的问题。2020年2月4日，中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》（下文简称《通知》），要求“为疫情防控、疾病救治收集的个人信息，不得用于其他用途”。然而对于大多数疫情防控App而言，“抗击肺炎”专题只是运营者开发的众多服务项目之一，要防止对个人疫情信息在App产品内部予以共享和后续的商业化利用，还是存在相当大的困难。据《天津市疫情防控App专项治理情况通报》第2期显示，有4款商用App都存在没有逐一列明个人信息使用目的的问题[4]。

（三）个人信息对外提供环节的安全风险

疫情防控App个人信息对外提供环节存在的最大安全风险，是未经匿名化处理而公开披露个人疫情信息。按《通知》规定，为新冠疫情联防联控需要，可以在不经过被收集者授权同意情况下公开个人信息，但必须经过信息脱敏处理。然而，经由各种软件或小程序收集到的个人信息，常常半公开地出现在单位、小区的内部网络或微信群中[5]；自武汉或境外返乡人员的姓名、身份证号、工作单位和家庭住址等敏感信息，也在未经任何加密技术处理的情况下，被有意或无意地公开上传到互联网上。这些个人信息公开情形，部分已经远远超出了疫情防控的需要。因不当公开披露而导致个人敏感信息泄露，不仅会构成对当事人的信息歧视，而且可能引发垃圾短信、骚扰电话、网络诈骗和身份冒用等一系列“网络次生灾害”，从而制造新的社会矛盾[6]。另外，有许多疫情防控App是专为疫情而设计、临时上线的，运营者存在资金和经营方面的短板，一旦发生被兼并、收购或重组等情形，能否恪守向第三方共享或转让个人信息时须经当事人同意的规则，是存有疑问的。

（四）个人信息保存环节的安全风险

与其他App产品相比，疫情防控App所收集处理的个人信息更为全面、更加敏感，其正当性理据在于为了疫情防控的公益目的，可以暂时抑制、牺牲个人信息权益保护，等到疫情结束之后，就需要恢复乃至救济受压抑的个人隐私权益。但是，我国现行立法中未规定信息主体的删除权或被遗忘权，《通知》中也没有明确疫情结束后对疫情期间所收集个人信息的具体处理方式。换句话说，人们需要面对个人疫情信息被长期保存的问题。在此背景下，个人信息在保存环节的安全风险必须引起充分关注。从客观层面来说，一些疫情防控App运营主体在用户信息内部管理制度和安全保护技术方面都存在安全漏洞和隐患，不能确保较长时段内的个人信息安全，个人敏感信息有被泄露或窃取的安全风险。从主观方面来看，疫情防控App运营企业的内部治理机制不健全，在疫情防控的公益目的实现之后，其内部没有全面有效的制约机制来抑制对个人信息的商业化开发利用，因此也存在个人信息被滥用的风险。

二、疫情防控App个人信息安全风险的成因分析

（一）个人信息安全风险的特殊性成因

与其他类型或用途的App产品相比，疫情防控App的个人信息安全风险有其特殊性成因，即为了疫情防控的特殊需要而暂时降低了对个人信息的保护力度。鉴于新冠肺炎病毒具有极强传染性和较大危害性，及时控制传染源，阻断其传播路径，这是实现疫情有效防控的必要举措。因此，收集确诊患者、疑似患者和密切接触者的个人信息尤其是位置和行踪轨迹数据，是完全必要的。对于这部分群体而言，出于维护公共利益需要，必须对其个人信息自主权予以一定程度的克减和限制，限制的主要体现就是有义务“如实提供有关情况”[7]。疫情防控App正是在此背景下紧急开发和使用，其开发者、运营者在考虑个人信息保护方面也就可能不够周到、细致。从软件设计的角度来说，疫情防控App的主要目的是服务于新冠疫情防控的紧急状态，难以有充足的时间供设计者审查个人信息安全问题。从软件运营的角度来看，实际操作App的工作人员大多未经过专门的安全技术培训，许多App运营者也没有足够条件和能力配置与所收集个人信息体量相当的信息安全保护技术。

（二）个人信息安全风险的一般性成因

1.立法较为分散，缺乏系统保护

当前我国立法对疫情防控App的规制较为零散。没有统一的个人信息立法，相关条文散见于《民法总则》和《网络安全法》等法律中，缺乏系统性和整体性。国家网信办等部门联合发布的《App违法违规收集使用个人信息行为认定方法》属于部门规章层次，效力等级不高。全国信息安全标准化技术委员会陆续发布了《个人信息安全规范》《App收集个人信息基本规范（草案）》和《App个人信息安全防范指引（征求意见稿）》，对疫情防控App个人信息安全风险规制具有指导意义。但《个人信息安全规范》在性质上是推荐性的国家标准，《App收集个人信息基本规范（草案）》和《App个人信息安全防范指引（征求意见稿）》尚处在征求意见阶段，实际执行效果和约束力有限，难以形成系统保护。

2.行政执法乏力，对企业追责不够

针对新兴数字技术发展中的个人信息保护问题，发达国家通常设有专门的数据保护机构。比如欧盟为实施《通用数据保护条例》（GDPR），在欧盟层面成立了数据保护委员会，在各成员国建立了专门的数据保护局；美国的联邦贸易委员会具有对个人信息安全的调查、处罚和强制执行权力。在我国，目前中央网信办、工信部、国家市场监管总局和公安部都有对App个人信息安全的执法监督权[8]。这种多部门共享执法权的状况，从积极方面看，有利于各部门发挥各自优势，形成执法联动效应；从消极方面来说，则会因为执法资源和力量的分散，在各部门之间难以建立起有效的沟通整合机制，各自为政，执法与追责效果会存在差异。同时，受利益驱使，部门之间可能出现互相争夺执法机会或相互推诿的情况，不仅使执法效果大打折扣，还可能引发利益勾连现象。

3.企业违法成本低，改进动力不足

企业是App个人信息保护的直接主体。其中，移动应用分发平台负有对疫情防控App个人信息安全的审核责任，App实际运营企业是个人信息保护的第一责任人。目前，与履行个人信息保护责任所需要的巨大人力和技术投入相比，我国现行立法中规定的企业“违法、违规成本要低很多，对相关企业的威慑不够”[9]，而且企业还可能会因违法使用个人信息而获得巨大的商业利益。由于企业的违法、违规成本远低于严格保护个人信息所需要的资源投入，在缺乏有效外部威慑的情况下，企业改进个人信息低效保护状况的动力严重不足。

4.公民保护意识不强，保护途经有限

公民个人信息保护意识不强，也是导致疫情防控App个人信息安全风险的重要原因。在个人信息遭到侵害时，人们缺乏拿起法律武器自救的意识。公民个体无法迅速适应智能网络时代信息安全的挑战，而参与渠道和保护途经不足也是阻碍公民信息安全意识提升的重要因素。在面对某些疫情防控App的超范围采集信息和强制捆绑授权等安全问题时，用户若要顺利使用该App，就必须忽视这些安全问题，同意App的全部隐私条款。就个人信息司法救济而言，有学者通过统计分析1 383份“App越界索权”纠纷发现，存在用户“胜诉比例低、诉讼动力不足”[10]的问题，这种现象也会限制用户的维权积极性和信息保护意识的提升。

三、疫情防控App个人信息安全风险的治理机制

治理疫情防控App的个人信息安全风险，从短期来看，需要着力加大对疫情防控App违法、违规问题的专项整治力度。国内目前只有天津等个别省份开展此类专项治理行动，治理范围和效果有限。有必要在全国范围内统一部署和开展此类专项行动，在确保有效防控疫情的基础上，最大限度保护用户的个人信息安全。从长远来看，应建立长效治理机制，形成治理主体的多元化、治理规范的协同化、治理工具的多样化，将个人信息保护嵌入内部治理机制，着力提升App个人信息安全治理体系和治理能力的现代化水平，营造清朗、健康、安全的智能网络环境。

（一）治理主体：多元主体合作共治

在国家治理现代化背景下讨论疫情防控App个人信息安全风险治理，意味着告别过去政府作为单一主体的自上而下的管制路径，充分调动和发挥移动应用分发平台、App运营主体和用户的治理积极性和潜能，确认其治理主体地位，明晰其治理责任要求，形成多元主体“共建共治共享”的疫情防控App治理格局。建立“共建共治共享”的多元主体治理体系，是疫情防控治理机制的创新路径，也是实现国家治理体系和治理能力现代化的必然要求。

设置专门的个人信息监管机构，是提升政府监管效能和个人信息安全的重要保证。我国的个人信息监管机构设置，不必仿效欧盟模式而设立独立的数据监管局，可以将目前分散的监管权力集中由中央网信办统一行使，赋予其对App个人信息保护的监管、监督、调查和处罚的权力，从而构筑起有效的“外部执法威慑”[11]，对侵害个人信息的行为予以制裁，形成一种约束的内生机制。

强化移动应用分发平台对疫情防控App的安全审核责任，是治理个人信息安全风险的重要部分。移动应用分发平台的安全审核范围，通常包括“恶意软件检测、隐私泄露检查、安全漏洞扫描、人工审核”[12]、隐私政策审查和第三方SDK排查等方面。为促进平台积极履行审查责任，法律可规定：上线的疫情防控App若存在安全风险并造成用户个人信息泄露、滥用，平台承担连带责任。

健全疫情防控App运营主体信息安全内控机制，是推进个人信息安全保护的关键。疫情防控App运营主体应从确立个人信息安全保护意识、建立保护用户信息安全规章制度、加强内部人员信息安全技术培训和加大对用户信息安全保护的资源、技术投入力度等方面，着力完善信息安全内控机制，维护用户的个人信息安全。

公民的积极参与，是推动疫情防控App不断深化个人信息安全风险治理的不竭动力。公民作为个人信息的享有主体，先天地占据优势地位，理应积极参与到治理过程中来。面对疫情防控App可能存在的个人信息安全风险，用户应从被动维权转向主动保护，通过不断学习个人信息安全保护知识、仔细阅读App隐私政策、谨慎授权与提交个人信息、定时清除使用记录[13]和诉诸司法救济等方式，提升个人信息安全保护意识和能力。

（二）治理规范：软硬法规范协同规制

从疫情防控App个人信息安全治理规范来看，硬法规范是指由国家强制力保障实施的法律规范；软法规范包括行业标准、隐私政策、服务协议等。软法规范虽不具有强制约束力，但在治理实践中意义重大。比如《个人信息安全规范》的出台，就具有填补规则空白、提供业务参照和行为指引等重要作用[14]。健全防疫App个人信息安全治理机制，需要克服“硬法不硬”“软法太软”的规范失灵局面。一方面，通过及时的国家立法，解决硬法的滞后性问题；另一方面，通过宣扬法治精神，转变法治观念，提升软法的理性，从而实现软硬法规范良性的协同规制。

制定专门的个人信息立法是确保“硬法要硬”的根本方式，也是“解决个人信息泄露、滥用问题，动态平衡数据信息科学利用与有效保护的基石”[15]。个人信息立法应首先确认公民的个人信息权利主体地位，明确其具体享有的权利类型和范围；完善个人信息概念的法律内涵和外延[16]；规定政府的个人信息安全保护义务；确定移动应用分发平台、App运营者等责任主体收集、使用个人信息的具体规则和程序、所需配备的安全保护技术措施的最低标准、不当收集使用信息和造成信息泄露所须承担的责任等。同时，个人信息立法还须同《传染病防治法》《突发事件应对法》等公共卫生紧急状态法制形成有效衔接，有效平衡公共利益与个人信息保护之间的张力。

全面提升软法的理性品质和治理效能，是实现“软法不软”的重要途经。第一，软法的创制应从封闭走向开放，打破移动应用分发平台的规则垄断。在平台服务协议和疫情防控App隐私政策等软法规范形成过程中，应主动吸纳用户参与，建立协商机制和程序。第二，软法的内容要遵循科学化和规范化的标准，条文应尽可能做到简洁、清晰、明了，兼顾合法性和可视性。例如疫情防控App，可以采取“简版隐私政策”“个人信息保护声明”等方式告知用户个人信息使用规则[2]。第三，完善软法执行的监督机制，构建政府外部监督和平台内部监督“同时发力的双重监督机制”[17]，提高执法的科学化、规范化水平，增强治理效能。

（三）治理工具：多样化工具有机结合

政府、移动应用分发平台、疫情防控App运营主体等多元主体合作共治，对App个人信息保护也就会有多样化的策略和方式，实现归属于不同治理主体的多样化工具的协同作用。

政府治理疫情防控App个人信息安全问题，主要工具有约谈、行政处罚和刑事处罚等。约谈是一种具有中国特色的准行政行为，执法机关就存在的信息安全问题与App运营主体进行一次或多次面对面的沟通交流，在达成共识的基础上，提出查处整改措施。当约谈无法达到预期效果或仅靠约谈已不能实现规制目的时，按《网络安全法》规定，行政机关根据不同违法情形，可以对App运营者采取责令改正、警告、罚款、责令暂停相关业务、停业整顿等行政处罚措施。刑事处罚是政府治理的最终手段，《刑法》规定了“侵犯公民个人信息罪”。App运营主体、直接负责的主管人员或其他直接责任人员，若有情节严重的出售或向他人提供个人信息行为，须承担相应的刑事责任。

移动应用分发平台的治理工具主要是“上架”和“下架”。在收到疫情防控App上线申请时，移动应用分发平台须重点审查其隐私政策的完整性与合规性，排查软件的信息安全漏洞，而对不符合个人信息安全保护要求的App就不批准其“上架”，通过事前的管制排除信息安全风险。平台应建立针对个人信息安全风险的长效防范机制，加强疫情防控App版本升级过程中的安全监测力度。开通受理用户个人信息安全投诉的专门通道，对于用户投诉较多的App，应及时启动信息安全排查机制。一旦发现疫情防控App存在信息安全隐患，应及时沟通整改，必要时采取“下架”措施。

提升信息安全技术层次，对于App个人信息保护具有“立竿见影”的效果。面对收集的巨量个人信息，疫情防控App运营主体要迅速建立起与之相匹配的信息安全技术层级，确保个人信息不会因为内部工作人员的违规操作而造成泄露，同时又可以抵挡第三方网络供给可能引发的个人信息被窃取的问题。对于嵌入和可能嵌入的收集个人信息的第三方SDK软件，采取安全审计、技术监测等手段，“确保第三方SDK收集、使用行为符合约定要求”[2]。在实行技术保护之外，疫情防控App运营主体还要加强对具体操作人员的技术培训，打造良好的信息管理能力和文化氛围，健全内部信息管理规范和制度，建立起长效的内部安全治理机制。

四、结语

在机遇与挑战并存的大数据时代，人工智能在加速创造价值的同时也对公民个人信息安全和信息隐私权造成了巨大威胁。个人信息作为数字化社会的基本元素，是集人身权益和财产权益于一体的社会资源，把握好个人信息利用与安全之间的红线是对个人权利底线的保障，对于维系社会秩序也具有重大价值。在此次突发的新冠肺炎疫情中暴露出来的个人信息保护问题，也进一步反映了构建长效治理机制的重要性和迫切性。疫情防控App在用户个人信息的收集、使用、对外提供和保存等环节都存在一定程度的安全风险。导致这些安全风险的原因是多方面的，既与疫情防控的特殊性有关，也与我们现有的风险治理体系和治理能力相关。因此对个人信息安全风险的治理，一方面应加大对疫情防控App违法、违规问题的专项整治力度；另一方面应建立健全多元主体合作共治、软硬法规范协同规制和多样化治理工具有机结合、协同作用的长效治理机制。