薛家熙

（吉林大学法学院，辽宁鞍山 114000）

知情同意原则是个人信息保护的基本原则，即数据控制者在处理个人信息时，应当履行告知义务，获得个人信息主体明确、具体的同意。[1]2020 年初，新冠疫情爆发并迅速蔓延，我国采取及时发现患者并对其有效隔离的手段控制疫情，为此政府机关、基层自治组织以及企事业单位等收集处理大量个人信息。正是这种对疫情实时监测并及时预防的手段使得我国在防疫过程中表现出色。然而在此期间也引发了诸多个人信息安全问题，尤其是信息处理者如政府机关往往以维护公共利益等为由未履行告知义务并不征得信息主体的同意而直接处理个人信息，导致知情同意原则被严重限缩。基于此信息安全与人性尊严面临遭受严重侵犯的风险，如此现象也引发了部分争议与讨论。①

《个人信息保护法》第13 条规定，为应对突发公共卫生事件或者紧急情况下为保护自然人生命健康和财产安全所必需的情形下，无需取得个人同意即可处理个人信息。在立法上将突发公共卫生事件作为个人信息处理中适用知情同意原则的例外情形存在必要性与合理性，但这种限制并非绝对。本文将以《个人信息保护法》中的相关规范为中心，围绕突发公共卫生事件中知情同意原则应如何适用问题予以探讨。

一、突发公共卫生事件个人信息处理中知情同意原则的规范构造

（一）突发公共卫生事件：作为知情同意原则的法定例外情形

依《个人信息保护法》第13 条之规定②，该法对处理个人信息的情形采取了列举的表达方式：首先作出总体性的规定，凸显知情同意原则在个人信息处理中作为基本规则的重要地位，即取得同意是原则，不需要取得同意是例外；随后列出了不需要取得同意即可处理个人信息的例外情形，其中便包括为应对突发公共卫生事件所必需。

知情同意原则作为信息处理者处理个人信息重要的合法性基础，其原因在于个人信息是可以直接或间接识别特定信息主体的信息，与信息主体的人格尊严以及个人自治密切相关。[2]故为保护其信息权益，处理个人信息的方式与范围等需要得到信息主体的同意与确认。但知情同意原则并非处理个人信息中唯一的合法性基础，为维护公共利益往往作为适用知情同意原则的法定例外情形之一。如于2018 年生效的欧盟《一般数据保护条例》（以下简称“GDPR”）第6 条之规定③。新冠疫情期间美国卫生部门发布“迫在眉睫危险令”，规定在卫生服务部门认定存在迫在眉睫的危险时，有权要求个人作出降低或消除危险的相关动作，包括无需征得信息主体同意而获取其健康信息。[3]

（二）应对突发公共卫生事件“所必需”：适用知情同意原则的可能空间

《个人信息保护法》对突发公共卫生事件作出了例外规定，并不意味着在突发公共卫生事件期间个人信息处理者处理个人信息可绕过知情同意原则完全无视信息主体的信息权益。第13 条在“为应对突发公共卫生事件”后添加了“所必需”，即意味着在非必需情形下，知情同意原则仍需在个人信息处理中被遵循，这在立法上为知情同意原则在突发公共卫生事件中适用预留了空间。

此类规定在世界范围内并非例外。GDPR 第6条在规定为维护公共利益可以作为处理个人信息的合法性基础之一的同时，也规定：“欧盟国家在针对该条款进行立法时，应当满足公共利益的目标，且应当与实现正当目的成比例。”GDPR 这一条款说明在为了公共利益的情形下可以不取得信息主体同意处理个人信息，但其处理行为应满足公共利益的目的，手段与目的应成比例。由此可见，欧盟立法并未因为维护公共利益而将知情同意原则绝对化限制，而是预留出了适用的空间。

二、突发公共卫生事件中知情同意原则适用与否的理论依据

（一）排除适用之法理依据

1.基于维护社会公共利益的需要

依欧盟、美国以及我国相关法律法规，维护公共利益往往作为限制知情同意原则的事由之一。知情同意原则代表信息主体能够自主控制其个人信息，实现个人信息自治，侧重保护的是个人利益。然而个人具有社会性，个人信息本身不仅蕴含个人利益，其处理过程中也往往伴随着公共利益。[4]如此次疫情防控中，政府机关、医疗机构、基层自治组织以及其他社会团体对于个人信息的处理便具有控制疫情蔓延，保障不特定人生命健康的目的。若严格遵循知情同意原则，可能导致基于公共利益的个人信息处理无法展开，无法达成维护公共利益的目的。[5]

在突发公共卫生事件这样的紧急情况下，其紧迫性使得进行利益衡量过程中，必要时需要有所取舍，即放弃一部分利益以满足另一部分高位阶利益的需要。公共利益相对于个人利益的优先性早已成为人类社会的共识。[6]因此在突发公共卫生事件中为了满足公共利益的需要，需提高处理相关个人信息的效率以及信息流通的速率，故应对知情同意原则予以限制。

2.生命健康的价值位阶高于信息安全

在突发公共卫生事件中，知情同意原则所守护的信息安全与个人自治便难以对抗信息主体的生命权等基本权利。根据马斯洛的需求理论，生命健康属于生存需求，即处于最基础的需求层级，而个人信息属于社交需求层级。因此当生命健康与个人信息发生冲突时，个人信息必然要克减。信息主体掌控个人信息只是个人信息保护的手段，通过保护个人信息使信息主体基本权利免受信息处理者不法侵犯才是目的。突发公共卫生事件中政府等信息处理者通过收集、公开、传输相关个人信息，才能彻底排查潜在的感染者，尽快控制疫情，并保障信息主体的生命健康。严格遵循知情同意原则在突发公共卫生事件中存在“舍本逐末”之嫌，难以保障生命健康等价值位阶较高的权益。

（二）弹性适用之正当事由

1.公共利益不具有至上性

尽管社会公众对于公共利益相较于个人利益具有优先性有普遍认知，在突发公共卫生事件的危机下让渡部分个人权利与利益以换取更大的公共利益是疫情防控期间的基本共识，但在维护公共利益的同时应兼顾对个人权益的保护。公共利益地位高并不必然推导出公共利益具有至上性，即个人利益必须无条件服从公共利益。[7]防疫实践中出现过多起因“防疫过当”而对个人人身自由和个人信息等利益造成严重侵害的例子。

因此突发公共卫生事件中患者或疑似感染者个人信息所包含的个人利益与公共利益之间的权衡并非简单的利益排序问题。“应该如何对其取舍，是法律文本以及理性的思维在不同的场域中，针对不同主体的利益冲突，需要作出的选择。”[8]即应在特定背景下对何种利益更加重要进行比较、均衡，即使在紧急情况下也不能忽略对个人权益的保护。

2.为应对突发公共卫生事件处理个人信息方可限制知情同意原则

《个人信息保护法》第13 条规定“为应对突发公共卫生事件”，信息处理者方可处理个人信息，即限制知情同意原则处理个人信息应具有很强的目的性——为应对突发公共卫生事件。

信息主体的个人信息纷繁复杂，并非所有个人信息均有利于抑制疫情蔓延。患者与密切接触者的行踪轨迹自然有利于预测可能发生疫情的地区与人群，但其姓名、身份证号码、联系方式、家庭住址、面部信息等显然与疫情防控无关。若政府或其他组织对此类个人信息进行处理，自然需要告知信息主体并征得其同意。但在此次新冠疫情中，发生了数起患者的私密信息如家庭住址、联系方式等被泄露的事例，使患者受到大量骚扰并遭受精神损失。④由此可见在防疫实践中，处理个人信息时对于知情同意原则的限制过严，部分信息处理并非以应对突发公共卫生事件为目的，导致部分信息主体的信息权益以及人格尊严遭受侵犯，公共利益的增长与个人利益的减损未成比例。因此，单纯在时间跨度上处于突发公共卫生事件并非是限制知情同意原则的合法事由，为应对突发公共卫生事件处理个人信息方可限制知情同意原则。

三、构建突发公共卫生事件中知情同意原则的适用体系

如前所述，《个人信息保护法》第13 条第4 项对突发公共卫生事件中的知情同意原则的适用进行了总体性规定，即非“一刀切”式地限制。而知情同意原则在突发公共卫生事件中应如何具体适用于实践则需要进一步细化分析。

（一）坚持部分限制：知情权的充分保障

“知情同意原则包含‘知情’与‘同意’两个层面，前者要求信息控制者必须向个人信息主体明示信息处理的范畴、方式、目的等影响个人信息主体作出同意决定的内容，后者则要求信息控制者的处理方式必须征得个人信息主体的同意。”[9]在此次突发公共卫生事件中，我国政府及其他组织对个人信息的处理一方面未征得信息主体的同意，另一方面在如健康码等程序中也未将所收集到的如行踪轨迹等个人信息的处理方式范围等对信息主体予以告知使其知情。

突发公共卫生事件中排除知情规则的适用不存在合法性与合理性。首先《个人信息保护法》第7条⑤体现了知情规则在个人信息处理中的重要地位。由于第7 条处于总则部分，依据体系解释，法律文本总则中的立法目的条款和法律原则条款具有统率全法的地位，因此该条所约束的范围原则上应为《个人信息保护法》所涵盖的所有个人信息处理活动。故即使在突发公共卫生事件中，知情规则仍应被保留。其次，知情规则的适用在保障信息主体知情权以及监督信息处理者处理个人信息行为等方面具有积极正向效用。从效率角度分析，即使在突发公共卫生事件中，告知信息主体信息处理的范畴、方式、目的等行为所耗费的时间成本远低于征得信息主体同意所耗费的时间成本；从权利保障的角度分析，为保障信息主体的知情权，保留知情规则的适用更为合适；从监督权力的角度分析，通过知情规则的约束信息主体能够为信息处理者的个人信息处理行为提供实时监督，以便保证个人信息处理活动公开透明，预防个人信息泄露等严重危害信息主体个人信息权益的情形出现。

（二）明确例外标准：个人同意的有效保障

适用知情同意原则意味着认同信息主体对个人信息的控制，代表个人利益；政府及其他社会组织限制知情同意原则处理个人信息则出于尽早控制疫情，保障不特定多数人生命健康之考虑，即代表公共利益。为确定何时限制知情同意原则而进行利益衡量时应贯彻比例原则。

1.适当性原则之检验：确立合理目的标准

适当性原则是指“公权力行为的手段必须具有适当性，能够促进所追求的目的的实现”。[10]该原则要求限制公民权利之行为须与所追求的目的有实质性关联。[11]适当性原则与个人信息处理中的目的限制原则相契合，此原则也体现在《个人信息保护法》第6 条第1 款。⑥故突发公共卫生事件中限制知情同意原则应确立合理目的标准。

为满足合理目的标准，突发公共卫生事件中限制知情同意原则处理个人信息如收集公开信息主体的行踪轨迹、姓名、家庭住址等行为必须与应对突发公共卫生事件这一目的有实质性关联。比如在新冠疫情防控初期，防疫形势非常严峻，我国政府推出了能够表征主体是否到达过中高风险地区的“健康码”用来控制疫情蔓延。因“健康码”处理个人信息能够促进应对突发公共卫生事件这一目的的实现，故信息处理者处理生成“健康码”所需的行踪轨迹等必要信息这一过程无需遵循知情同意原则。而在新冠疫情形势逐渐明朗阶段，部分地方政府推出的“文明码”、“变色码”⑦等其他程序用以管理社会活动，其使用目的与“健康码”相比已发生变化，不再是为了应对突发公共卫生事件，故不满足合理目的标准，收集使用个人信息时不能以《个人信息保护法》第13 条第4 项为根据限制信息主体的知情同意原则。

2.必要性原则之检验：确立最小损害标准

必要性原则又称最小损害原则，是指“行政权只能在必要的限度内行使，使人民的权利尽可能遭受最小之侵害”[12]。《个人信息保护法》第6 条第2 款⑧便是必要性原则在个人信息保护处理中的体现，故突发公共卫生事件中限制知情同意原则应满足最小损害标准。

然而最小损害标准不应简单依字面意思理解为个人信息处理中选择对信息主体权力侵害最小的手段方式。若单纯强调最小侵害，则只能选择不侵害公民权益的方式手段，即从保护信息主体个人信息权益角度考虑不处理其任何个人信息，这显然难以适应当下信息高速流通、信息化高度发展的时代。比例原则的逻辑基础之一便在于个人权利与公共利益之间的可权衡性，一方面公共利益不具有非至上性，另一方面个人权利也不具有绝对性。[13]因此仅仅选择对公民的侵害程度最小的手段难以权衡个人权利与公共利益，关键在于选择对公民权利侵害最小的手段的前提在于不同手段对目标的实现的有效性相同。在突发公共卫生事件中，严格限制知情同意原则与对个人信息进行分类并对知情同意原则进行有针对性的限制所造成的防疫效果自然不同。因此如何比较具有不同有效性的手段是必要性原则所面临的难题。

针对这一困境，有学者指出利用成本收益方法，通过科学的计算，将运用手段所产生的损害与产生的收益予以对比，从而找到相对损害最小的手段。通过利用相对损害计算公式计算相对损害大小，即相对损害值=手段的绝对损害大小/手段实现目的所带来的收益，[14]同时设定一个最低可接受收益值与最高可接受侵害值，以免出现相对损害值最小的手段收益过小或侵害过大的情形。这种在原本较为抽象的必要性原则中加入较为科学客观的成本收益方法予以辅助的方法较为合理，但于极具紧迫性及对公共利益存有巨大威胁的突发公共卫生事件中，信息处理者若即时运用成本收益方法衡量利益可能导致行政效率过低，对于应对突发公共卫生事件或存在负向效用。故将必要性原则作为一种事后救济的审查标准较为妥善，[15]突发公共卫生事件中若信息主体认为信息处理者处理其个人信息时过度限制知情同意原则导致信息权益与人格尊严受损，可以依法向法院提起诉讼，法院可在利益衡量过程中适当运用成本收益方法判断限制知情同意原则的手段是否符合最小侵害标准。

四、结语

片面追求信息流通速率很可能导致对信息主体信息权益的过分限制。在突发公共卫生事件中由于信息处理者相较于信息主体往往处于优势地位，应利用比例原则明确限制知情同意原则的标准，即合理目的标准和最小损害标准。另外在限制的同时也应保留知情规则以保障信息主体知情权以及对突发公共卫生事件中信息处理者处理个人信息行为予以实时监督。

注释：

①如有学者认为机械教条地将公共利益保护作为知情同意原则的例外，难以满足个人信息保护的多样性需求。

②《个人信息保护法》第13 条中规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；……（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人生命健康和财产安全所必需；……处理个人信息应当取得个人同意，但有前款第二项至第七项规定情形的，不需取得个人同意。”

③欧盟《一般数据保护条例》（以下简称“GDPR”）第6 条之规定：“只有满足至少如下一项条件时，处理才是合法的，且处理的合法性只限于满足条件内的处理：(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理；……(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的；……”

④央视评成都确诊女孩信息遭泄露：她的个人生活不该是公共话题，防疫才是。https://news.china.com/socialgd/10000169/20201209/39055026.html.

⑤《个人信息保护法》第7 条规定：“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”

⑥《个人信息保护法》第6 条第1 款规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。”

⑦杭州“变色码”是在集成个人电子病历、健康体检等数据的基础上，以不同颜色表征个人健康状况的升级版健康码，其推广的初衷在于为个人自我健康管理和企业监控员工健康状况提供参照。苏州“文明码”则是嵌入“苏城码”（苏州市健康码）的新功能。“文明码”以一定的指数指标（主要涉及交通指数和志愿服务指数）为评价基准，对公众的文明程度进行赋分，构建文明积分信息识别体系，以鼓励、督促公众提升文明素养。

⑧《个人信息保护法》第6 条第2 款规定：“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”