文思捷

（安徽大学法学院 安徽合肥 230601）

公共卫生事件中的个人信息保护较之于正常情况具有其特殊性，主要在于个人利益与公共利益、个人信息权益与公众知情权益、个人数据价值与整合数据价值的矛盾会被激化。在全球公共卫生事件的大背景下，国际国内对此的态度趋向于个人利益应当向公共利益让步，优先保障公众的知情权，整合数据价值将远远大于个人数据价值。但是，这并不意味着个人信息权益将被无条件让渡，在公共利益面前，全然得不到保护。我们应当在保障集体利益的前提下尽快完善个人信息保护的路径，从而平衡各方权益。

一、提出问题：我国个人信息保护的现状与困境

（一）立法层面。在民法领域，《民法典》第111条沿用了《民法总则》的规定，总领性地规定了个人信息保护规则。“自然人的个人信息受法律保护，任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”这一条款宣示性地表明对个人信息权益的保护意图，并象征性地规定了要以合法方式收集个人信息，但是并没有规定配套的惩罚措施以及个人信息受到侵害以后的救济途径。《民法典》在“人格权编”的“隐私权和个人信息保护”中用6个条文更为细致地规定了个人信息的保护问题。由此可见，我国欲将个人信息归属于具体人格权项下，但个人信息还未成为一个独立的权利。

（二）司法层面。在此次新冠肺炎疫情期间，个人信息被侵犯的案件层出不穷，现举一例进行说明：赵某诉重庆某营销策划有限公司侵犯公民隐私权纠纷案。

案情概要：2020年7月14日，由于被告重庆某营销公司下的进口白虾被检测出新冠病毒核酸呈阳性，于是该公司便将购买白虾的顾客名单发布在其公众号并提供下载，名单包括原告赵某在内的一万多名顾客的姓名、身份证号、住址、手机号等个人信息。原告赵某便起诉该公司侵犯公民隐私权，要求公开道歉并赔偿精神损害赔偿金1元。

渝北法院认为，本案虽处疫情公共卫生事件的非常时期，但被告未经相关权威机构授权及原告等名单当事人同意，且明知侵犯相关当事人隐私的情况下，以“目前是非常时期，没有什么东西比安全和生命更重要”为借口擅自将原告姓名、家庭住址等个人信息的公开。原告隐私严重泄露，情节恶劣。故判令被告赔偿精神损害赔偿金1元。

首先，值得注意的是，该案的案由使用的是“隐私权纠纷”，但是实质上被告侵犯的却是公民的个人信息权益，显然司法上对于隐私权和个人信息的范围界限也是不清的。其次，详读裁判理由可以看出，该案在新冠肺炎疫情的背景下，充斥着个人权益与公共利益的剧烈冲突中，对于这两者的权衡法院并未给出一个明确的适用规则。实际上，这类案件的发生不仅是公司的责任，还有监管方职责不明，立法上对个人信息保护存在缺失等方方面面的问题。这些理论和实务上的问题亟需我们通过对域外立法的比较分析，探寻适合我国国情的个人信息保护路径。

二、比较分析：美、德个人信息保护的立法模式

（一）美国的隐私权保护路径。美国的个人信息是归属于隐私权项下的，早在20世纪70年代，美国便颁布了第一部个人信息保护的法律《隐私权法》。在“大隐私权”的背景下，美国认为隐私权和人格尊严具有同质性，[1]个人信息是人格自由和人格尊严的体现，而美国并没有人格权这一说法，故而个人信息便顺理成章地归属至隐私权的保护体系之中。

从美国对隐私权及个人信息权的整体保护框架来看，主要在两个方面，分为公私两个领域。一方面，在公领域，主要对公权力进行规制，采取分散化的立法模式，仅对联邦政府处理个人信息具有规范效力，并不能规制各州的官方或者非官方的机构。另一方面，在私领域，通过设置行业规范来约束私主体，政府负责引导行业自律，形成一种自下而上的规范模式。最具代表性的就是美国在1997年颁布的《全球电子商务架构报告》，这都是与美国本身崇尚自由、个体化的立法价值理念相契合的。但是公权力分散的立法缺乏统一性，为司法带来困难，私行业自律模式则欠缺强制力的监管。这两种模式都不适合当下的中国，因为中国还未形成统一规范的行业组织，分散立法也不符合我国立法的发展趋势和整体框架。

（二）德国的人格权保护路径。准确来说，德国的个人信息是在一般人格权项下的，也是在20世纪70年代初，德国颁布了《德国黑森林个人资料保护法》，这是全球第一部个人信息保护法。德国作为大陆法系的成文法国家，但是对于隐私权的概念没有在民法中明确规定。德国根据《德国基本法》，通过德国联邦法院与宪法法院创设了一般人格权（allgemeinespersolichkeitrecht）的概念[2]，以一般人格权模式来对个人信息进行保护规范，其内涵主要是对私人领域进行保护。依据德国宪法（《德国基本法》）创设一般人格权也意味着个人信息保护上升到宪法层面，侵害个人信息的行为可能会带来违宪的后果。《德国基本法》第一条规定：“人之尊严不可侵犯，尊重及保护此项尊严为所有国家机关之义务。”可见，德国主张个人信息保护就是对人格尊严的维护。

为加强在新冠疫情期间个人信息安全的保护，德国明确收集和处理相关个人信息时应遵循的数据保护规则。一是依法收集处理个人数据；二是加强对个人敏感数据的保护，针对健康信息和行动轨迹等敏感信息只有在确有必要的情况下才能适当披露；三是严格遵守最小化处理原则。企业在收集和披露个人信息时应遵循必要原则，并明确收集和披露个人信息的原因以及合法性依据。这些要求与美国的相关规定有许多相同之处，都强调在收集、处理各个环节加强对个人信息的保护以及坚持最小化处理原则。不同之处在于德国对于个人信息有一个区分，即对个人敏感数据的处理更加严谨，行动轨迹是涉及人身安全性的信息，因此非必要不披露，必须披露的情况下也要遵循适当性标准。德国一直是非常重视人格尊严保护的国家，其立法体系也较为先进，与中国同为大陆法系国家，笔者认为，德国的一些立法举措对于中国来说还是非常具有可借鉴性的。

三、完善路径：构筑我国个人信息保护的法律体系

（一）确立个人信息为一项独立的权利。首先，个人信息能否成为一项独立的权利，这在世界范围内都是具有争议的。因为个人信息与隐私权之间具有千丝万缕的联系，一项利益之所以能够独立成为权利是在于其有明确的保护范围。美国的个人信息是在隐私权的保护范围之下的，并没有个人信息权的概念。而德国则提出了“个人信息自决权”的概念，笔者认为，这一概念的提出可以为我们区分个人信息与隐私权提供一个新的思路。隐私权更多地是保护完全私密的，不涉及公共社会的一些信息静态的安全；而个人信息权则是更多地保护那些牵涉公共领域中的信息的动态的安全，这也是在大数据时代下赋予了个人信息新的内涵。正如有学者曾说，“个人信息与个人密切相关，蕴含着深刻的人格利益，人的尊严只有在社会群体中才有其意义和价值。”[3]王利民教授在论及隐私权和个人信息权之间的关系时便指明，我国未来的人格权法中不能用隐私权来完全替代个人信息权。[4]

再者，个人信息权作为一项权利，从美国和德国的立法来看，无论是美国的隐私权范畴还是德国的一般人格权范畴，其本质上都是对人格尊严的保护，这与中国人格权的立法意旨是相符合的，为了确立个人信息在法律上的重要地位，故笔者认为，应当确立属于具体人格权范畴的个人信息权，从而明确个人信息权救济的权利基础，避免司法上案由不清的现象持续发生，形成对个人信息完整的立法与司法保护链。

（二）制定一部专门的个人信息保护法。纵观域外立法趋势，制定一部专门的个人信息保护法还是具有必要性和深远意义的。我国当下个人信息保护法律法规仍然处于分散、无序的状态，但是对于个人信息的法律保护，不应当是孤立的、分散的法条集合，而应当是一套完整、规范的法律体系，各个条款之间的内在逻辑应当是相互融合贯通的。在公共卫生事件中，个人信息的保护问题被广泛热议，其重要性可见一斑，相较于美国分散立法的模式，德国统一的立法模式更加符合我国。因此，我国应当尽快出台一部专门的个人信息保护法。

借鉴美国、德国的相关规范以及我国出台的《个人信息保护法（草案）》的内容，笔者认为可以大致包括以下几个方面内容：个人信息的概念、处理规则与原则、信息主体的权利、信息处理者的义务、监管部门的监管责任等等。具言之，个人信息的概念与国际上相统一即着眼于“可识别性”，个人信息的处理规则原则要合法、正当，遵循必要性原则，不能超出处理目的所必须的范围处理个人信息。还要遵循公开、透明原则，在收集、处理个人信息时明示信息的范围、用途、储存期限，并征得信息主体的同意。信息主体具有控制个人信息的权利，信息处理者具有保护信息安全的义务。可以效仿德国设立专门的监督管理部门或者机构对个人信息的收集、利用、存储、流通等各环节进行监督，并且与行政法等法律相配合规定监督部门失职后所应承担的行政责任。尤其需要注意的是在涉及诸如此次新冠肺炎疫情等公共卫生事件的社会公共利益时，对个人信息的保护需要适当加以限制，在紧急的情况下，可以在信息主体不同意的情况下采集个人信息以维护人民的生命健康安全，当然还需要注意方式方法，不能无限制地造成信息肆意传播，还要在疫情结束后及时删除个人信息并消除不良影响。

（三）在个人信息保护中引入“被遗忘权”。“被遗忘权”（“righttobeforgotten”），是在互联网普及之后出现的新型权利。美国一直有“被遗忘权”的相关规定，在这次新冠疫情公共卫生事件中，美国的被遗忘权也对个人信息的保护问题发挥了重要作用。“被遗忘权”的实质，“是站在保护人格利益的立场，对以信息网络传播权为代表的知情权所实施的矫正行为。”[5]即要求信息处理人删除个人信息并防止信息被二次传播的请求权。笔者认为，被遗忘权是个人信息保护的重要内容，可以最大程度上减少个人信息泄露的风险，也是处理社会利益和个人利益之间矛盾的桥梁。

“被遗忘权”体现了信息主体对个人信息的一种全面控制，这样的权能需要一个独立权利的承载，因此，要想引入“被遗忘权”，还需要明确个人信息权的独立法律地位。我国在《网络信息安全法》中也有“删除权”的相关规定，但是始终停留在违法或者错误的前提下才能行使删除权，离真正确立被遗忘权制度还有距离，况且仅仅规定删除权实际上是无法满足信息主体对个人信息控制的需要的。当然，“被遗忘权”也要注意行使的边界，例如在公共卫生事件中，还是应当以社会公共利益为先，适当限制其行使范围和条件。

结语

在这个信息爆炸的时代，个人信息的价值已无法停留在以前的层次。在大数据技术的广泛应用下，整合信息价值远超想象，迎面而来的便是个人信息被肆意侵犯的混乱局面。在这次新冠肺炎疫情的影响下，侵犯个人信息的争端由经济价值层面上升至社会利益的高度。因此，笔者从我国个人信息保护所面临的立法和司法两个层面的问题出发，通过比较分析美国、德国关于个人信息保护的法律规定与制度政策，再立足中国本土原有的法律框架，构建出个人信息保护初步的路径安排。