以重大突发公共卫生事件为背景谈《个人信息保护法》的若干适用性问题
2022-02-28南京工业大学法政学院黄宇轩
南京工业大学法政学院 黄宇轩
在重大突发公共卫生事件的防控期间,对个人信息的使用有其特殊性和必要性。但由于当下个人信息的使用界限模糊,出现了诸多例如滥用个人信息、个人信息泄漏、人肉搜索曝光等严重问题。如何在诸如重大突发公共卫生事件防控这样的特殊时期,对个人信息的使用权限进行明确的规定和说明,对人民群众就个人信息问题展开普及与教育,并对违法违规利用个人信息的行为进行处理,是亟须解决的问题。而此前,我国在个人信息保护的立法层面始终处于空白的状态。因 此,在2020年10月13日 和2021年4月26日,《个人信息保护法》的前后两版草案先后提请了全国人大常委会进行审议,并最终于2021年8月30日举行的第十三届全国人大常委会第三十次会议上表决通过。伴随着重大突发公共卫生事件防控政策的不断调整,对于个人信息的使用仍然需要密切关注,而《个人信息保护法》在这段时期内也暴露出了一些适用性上的问题。
一、现状分析
由于我国幅员辽阔,人口众多,重大突发公共卫生事件防控较之大多数国家而言更加困难。目前我国对于确诊病例主要采取的是“行程摸排”的处理方式,即将确诊病例近期所到的地点和确定的时间段在网络上进行公开,告知民众确诊病例近期的行动轨迹,并对与确诊病例有过接触的人群进行隔离观察。这种方式的好处在于较易发现可能被传染的密切接触者,便于尽快对其采取隔离措施,避免密切接触者再接触更多的人群,产生更大的影响和更坏的结果。同时,这样的公开也可以对民众的心理产生警诫作用,民众会自然而然地减少前往涉及的地点或范围,加强自我防护,尽可能地避免病毒的蔓延和扩散。但就像上文的案例所反映的情况一样,这种方式可能产生的问题在于,重大突发公共卫生事件防控期间对于个人信息和个人轨迹的使用服务于防范扩大化,因此并不会也并不能足够考虑到确诊病例的隐私保护问题。当确诊病例的完整行程轨迹在网络上被公开时,对于确诊病例而言,其近段时间内的行程就已经没有个人隐私可言。同时,以娱乐场所为例的行程轨迹在民众心中存在刻板印象,而确诊病例在重大突发公共卫生事件防控期间已然是无辜的受议论对象,因此,各式各样的恶意评价接踵而来,甚至上升到了人肉搜索的地步。这已经超出了防控期间对于个人信息的合理利用范围,甚至涉及了个人隐私权保护的法律问题。而由于重大突发公共卫生事件防控的需要,类似“健康码”“行程码”等采用手机扫码的方式来进行个人信息统计的现象在全国各地都非常普遍,而这其实也很有可能被一些不法分子利用,造成个人信息泄漏和个人信息滥用情况的发生,甚至滋生各类网络犯罪,对居民的人身和财产安全产生极大的影响。
诚然,个人信息和个人行程记录等内容的公开是在重大突发公共卫生事件防控的大背景下确诊病例必须做出的理解和配合,是保证我国确诊病例逐步减少的必要措施。但对于个人信息的滥用和人肉搜索等一系列违法违规的行为其实是对确诊病例的二次伤害。实际上,在符合重大突发公共卫生事件防控要求下的人员流动是完全符合规定的。并没有人会希望自己被感染,大多数确诊病例的日常出行也并没有违反任何要求。然而,在重大突发公共卫生事件防控期间,这样的人肉曝光行为像是披上了正义的外衣一般,实则内核性质依旧不变,其反映的是我国一直以来都存在的个人信息使用界限较为模糊的问题。在重大突发公共卫生事件防控期间,如何平衡公众知情权和个人信息保护,如何权衡确诊病例管理和对其人权的尊重,对于有关部门都是很大的难题。而在常态化防控背景下,除了对确诊病例个人信息的保护,更亟须解决的是“全民扫码”带来的信息爆炸化下的保护难题。
目前我国正处于关键的常态化防控阶段。全国人大代表、广州市第八人民医院感染科主任蔡卫平在2020年的两会期间提出了“常态化防控下应加强公民个人信息保护”的议题,而全国人大代表、台盟上海市委副主委、上海市闵行区副区长刘艳则提出,在常态化防控下,也要捍卫个人信息安全,必须加强数据信息安全保护。相比起重大突发公共卫生事件爆发期间,常态化防控背景下的个人信息保护显得更加重要,也更有讲究。在《个人信息保护法》出台后,对于个人信息处理主体的要求更加宽松,这就对管控和规制提出了更高的要求。目前主要存在的问题是,相关法律和规定并没有针对实际操作过程当中可能出现的情况和需要解决的问题制定出详细的操作方法及流程,也无法实现大数据从采集到使用,从披露到清除这一整套执行过程当中的规范化、体系化。
二、现行规定
(一)对于“合理”的界定
根据《个人信息保护法》第十三条的规定,当个人信息处理者“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”时,以及“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”时,个人信息的处理行为不需要取得个人的同意,并且拥有合法性的基础。这在一定程度上有利于减少一些争议和不确定情况的发生。此前,在《民法典》第一千零三十六条的规定当中,“合理处理该自然人自行公开的或者其他已经合法公开的信息”仅仅是“行为人不承担民事责任”的一种事由。相当于在这样一种情况下,行为人处理信息的行为并不被认定为合法,仅仅是不需要承担法定责任。且后续还有“但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”作为补充。在这种情况下,假设自然人对自己个人信息的被处理保持拒绝的一种状态,但实际上为了公共利益却出现了必须执行公开的情况,无论是对于政府机关,还是新闻媒体,抑或个人来说,在他们执行了公开行为后,行为的合法性判断过程上都是颇有难度的。因此,《个人信息保护法》在该层面上相较于《民法典》是更具有合理性的。因为它相当于直接给予了在特定条件下处理个人信息的一种合法的权利一般,而不至于因自然人个人的拒绝和否定就陷入僵局。但问题在于,“合理的范围”应当如何进行界定?在什么样的限度内才能被判定为是“合理”?超过怎样的限度又应当被判定为是“不合法”?这仍然在立法上留下了很大的不确定性。而立法上存在如此的不确定性,就相当于在实践操作层面给予了人民法院自由裁量的权利,这就很有可能导致判断标准不一致甚至是同案不同判的情况发生。在重大突发公共卫生事件防控的过程当中,政府机关为了阻击扩散,公开确诊病例的行踪轨迹及个人情况显然应当被认定为“合法公开信息”的行为,但网民在此基础上继续深入调查患者的个人信息并在网络上进行公开和传播又是否是“合理处理已经合法公开的信息”呢?答案显然是否定的。因此,在立法层面仅仅用“合理”二字虽不至于站不住脚,但显然为判断和适用层面留下了很大的疑虑。未来若要在立法层面解决该问题,不仅仅在个人信息处理的主体上仍需进行细化,对于合法性行为“度”的规定也仍有更加具体的空间。
(二)个人信息处理的责任承担问题
如上文所述,从《个人信息保护法》第十三条来看,给予了个人信息处理主体在一定条件下不需要经过个人同意即可处理的合法性基础。但从《民法典》第一千零三十六条来看,对于“合理处理自然人自行公开的或其他已经合法公开的信息”,倘若自然人“明确拒绝或者处理该信息侵害其重大利益”之时,个人信息处理主体是需要承担民事责任的——这显然出现了矛盾的问题。在同样的条件下,《个人信息保护法》不仅没有对责任的承担做出免责性的规定,甚至直接对其冠以合法的头衔,且第十三条第二款的“有前款第二项至第七项规定情形的,不需取得个人同意”更像是一种加码;而《民法典》则是在特定条件排除的情况下仍对责任的承担做出了保留的规定,明确给予了自然人拒绝的权利和对自己重大利益进行保护的权利。同时,从《个人信息保护法》来看,为公共利益和在合理范围内处理已合法公开的信息属于并列的关系,即都是具有合法性的,都可以不需取得个人同意即进行处理。但从《民法典》来看,前文也提到过,在合理范围内处理已合法公开的信息是可以被自然人拒绝的,而为公共利益和自然人合法权益却并非如此。这里就出现了为公共利益是否可以无条件处理个人信息的问题,而这恰恰就是重大突发公共卫生事件防控背景下对于个人信息处理的真正目的,即维护公共利益。从阻击重大突发公共卫生事件的方面来看,为了社会利益和公共利益公开确诊病例的个人信息显然具有必要性,但倘若不给予个人任何的周旋余地显然又不利于其自身权益的维护。在这样一种矛盾之下,最好的解决办法是对某一部分关键信息,如行程轨迹、停留时间、确诊时间等进行公开,仅对如密切接触者和时空伴随者等进行筛查,并对重点地区进行封控,而不对公民个人的任何个体情况进行透露。这在立法层面需要更多的细化规定,而在信息公开层面也需要更多的技术手段对信息进行保护和选择性公开。实际上,从目前来看,对于确诊病例的性别、年龄、职业等信息的公开是没有太大的价值的,未来也可以考虑做出更多的取舍。
(三)“过错”的法律认定
在《个人信息保护法》第一版审议稿面世的时候,对于其中第六十五条(第二版审议稿第六十八条)的争议相当之大。原因在于,不仅没有明确个人信息处理者应当承担的责任类型,对于何时应当承担责任也规定得比较笼统。由于没有证明责任倒置的存在,受害者需要对其主张的个人信息处理者侵权行为进行举证,而这方面侵权行为证据收集难度是相当大的,且成本也比较高。在这样的情况下仍旧坚持“谁主张谁举证”实际上更不利于受害者保护自己的合法权益。而该条文目前被规定在了《个人信息保护法》第六十九条。相比较而言,将个人信息处理者所需要承担的具体责任明确为了侵权责任,也减轻了受害者对于个人信息侵权行为的主体责任。论证义务较大的一方成了个人信息的处理者,对于个人信息处理者过错推定的原则更加有利于受害者的合法权益保护,反推回来也更容易使个人信息处理者在处理他人个人信息之时更加注意。但目前来看,对于个人信息处理者究竟在什么样的一种情况和尺度下属于“存在过错”,界限仍然存在着一定的模糊。在重大突发公共卫生事件防控的背景下,政府机关对确诊病例个人信息进行公开后,其他个人信息处理来着对这部分合理合法公开的信息进行处理似乎是受到上文提到的《个人信息保护法》第十三条允许的。但假如这些个人信息处理者添油加醋地进行编造和杜撰,或是对确诊病例进行人肉搜索,这样的行为又应当如何定义?同时,正常的个人信息使用行为和使用个人信息“存在过错”的行为应该如何进行划定?当前我国的新闻环境令人担忧,许多媒体以曝光度和吸引研究为目的出发进行新闻报道,很容易使得确诊病例的个人信息被进一步加工甚至是滥用。而《个人信息保护法》对于这部分行为并没有足够的规制力度,也没有周全的条文规定,看起来并不足以应对现实生活中屡见不鲜的类似行为。只有对类似的行为过错进行明确的规定,结合上文提到的对确诊病例的个人信息进行有选择性的公开,才能更好地平衡重大突发公共卫生事件防控期间的信息公开和信息保护。
三、结语
信息公开与信息保护犹如跷跷板的两边,而个人信息的法律保护就犹如维持两边平衡的标尺。在重大突发公共卫生事件防控的背景下,对于确诊病例个人信息的公开有其现实需要和实际意义。但不能忽略的是,重大突发公共卫生事件是暂时的,对于个体权益的保护和个人隐私的尊重却将伴随其一生一世。如何平衡国家利益和个人利益,如何界定使用和保护之间存在的矛盾,如何更好地在重大突发公共卫生事件防控的前提下对公民个人信息进行更好的保卫,仍然是一条漫漫长路。突发公共卫生事件和社会整体利益下个人与公共的权衡本就是很大的课题,当涉及公民个人最基本的信息和隐私之时,还需要更周全的法律法规以及更人性化的处理方式。