以重大突發(fā)公共衛(wèi)生事件為背景談《個(gè)人信息保護(hù)法》的若干適用性問題

南京工業(yè)大學(xué)法政學(xué)院 黃宇軒

在重大突發(fā)公共衛(wèi)生事件的防控期間，對個(gè)人信息的使用有其特殊性和必要性。但由于當(dāng)下個(gè)人信息的使用界限模糊，出現(xiàn)了諸多例如濫用個(gè)人信息、個(gè)人信息泄漏、人肉搜索曝光等嚴(yán)重問題。如何在諸如重大突發(fā)公共衛(wèi)生事件防控這樣的特殊時(shí)期，對個(gè)人信息的使用權(quán)限進(jìn)行明確的規(guī)定和說明，對人民群眾就個(gè)人信息問題展開普及與教育，并對違法違規(guī)利用個(gè)人信息的行為進(jìn)行處理，是亟須解決的問題。而此前，我國在個(gè)人信息保護(hù)的立法層面始終處于空白的狀態(tài)。因 此，在2020年10月13日 和2021年4月26日，《個(gè)人信息保護(hù)法》的前后兩版草案先后提請了全國人大常委會進(jìn)行審議，并最終于2021年8月30日舉行的第十三屆全國人大常委會第三十次會議上表決通過。伴隨著重大突發(fā)公共衛(wèi)生事件防控政策的不斷調(diào)整，對于個(gè)人信息的使用仍然需要密切關(guān)注，而《個(gè)人信息保護(hù)法》在這段時(shí)期內(nèi)也暴露出了一些適用性上的問題。

一、現(xiàn)狀分析

由于我國幅員遼闊，人口眾多，重大突發(fā)公共衛(wèi)生事件防控較之大多數(shù)國家而言更加困難。目前我國對于確診病例主要采取的是“行程摸排”的處理方式，即將確診病例近期所到的地點(diǎn)和確定的時(shí)間段在網(wǎng)絡(luò)上進(jìn)行公開，告知民眾確診病例近期的行動軌跡，并對與確診病例有過接觸的人群進(jìn)行隔離觀察。這種方式的好處在于較易發(fā)現(xiàn)可能被傳染的密切接觸者，便于盡快對其采取隔離措施，避免密切接觸者再接觸更多的人群，產(chǎn)生更大的影響和更壞的結(jié)果。同時(shí)，這樣的公開也可以對民眾的心理產(chǎn)生警誡作用，民眾會自然而然地減少前往涉及的地點(diǎn)或范圍，加強(qiáng)自我防護(hù)，盡可能地避免病毒的蔓延和擴(kuò)散。但就像上文的案例所反映的情況一樣，這種方式可能產(chǎn)生的問題在于，重大突發(fā)公共衛(wèi)生事件防控期間對于個(gè)人信息和個(gè)人軌跡的使用服務(wù)于防范擴(kuò)大化，因此并不會也并不能足夠考慮到確診病例的隱私保護(hù)問題。當(dāng)確診病例的完整行程軌跡在網(wǎng)絡(luò)上被公開時(shí)，對于確診病例而言，其近段時(shí)間內(nèi)的行程就已經(jīng)沒有個(gè)人隱私可言。同時(shí)，以娛樂場所為例的行程軌跡在民眾心中存在刻板印象，而確診病例在重大突發(fā)公共衛(wèi)生事件防控期間已然是無辜的受議論對象，因此，各式各樣的惡意評價(jià)接踵而來，甚至上升到了人肉搜索的地步。這已經(jīng)超出了防控期間對于個(gè)人信息的合理利用范圍，甚至涉及了個(gè)人隱私權(quán)保護(hù)的法律問題。而由于重大突發(fā)公共衛(wèi)生事件防控的需要，類似“健康碼”“行程碼”等采用手機(jī)掃碼的方式來進(jìn)行個(gè)人信息統(tǒng)計(jì)的現(xiàn)象在全國各地都非常普遍，而這其實(shí)也很有可能被一些不法分子利用，造成個(gè)人信息泄漏和個(gè)人信息濫用情況的發(fā)生，甚至滋生各類網(wǎng)絡(luò)犯罪，對居民的人身和財(cái)產(chǎn)安全產(chǎn)生極大的影響。

誠然，個(gè)人信息和個(gè)人行程記錄等內(nèi)容的公開是在重大突發(fā)公共衛(wèi)生事件防控的大背景下確診病例必須做出的理解和配合，是保證我國確診病例逐步減少的必要措施。但對于個(gè)人信息的濫用和人肉搜索等一系列違法違規(guī)的行為其實(shí)是對確診病例的二次傷害。實(shí)際上，在符合重大突發(fā)公共衛(wèi)生事件防控要求下的人員流動是完全符合規(guī)定的。并沒有人會希望自己被感染，大多數(shù)確診病例的日常出行也并沒有違反任何要求。然而，在重大突發(fā)公共衛(wèi)生事件防控期間，這樣的人肉曝光行為像是披上了正義的外衣一般，實(shí)則內(nèi)核性質(zhì)依舊不變，其反映的是我國一直以來都存在的個(gè)人信息使用界限較為模糊的問題。在重大突發(fā)公共衛(wèi)生事件防控期間，如何平衡公眾知情權(quán)和個(gè)人信息保護(hù)，如何權(quán)衡確診病例管理和對其人權(quán)的尊重，對于有關(guān)部門都是很大的難題。而在常態(tài)化防控背景下，除了對確診病例個(gè)人信息的保護(hù)，更亟須解決的是“全民掃碼”帶來的信息爆炸化下的保護(hù)難題。

目前我國正處于關(guān)鍵的常態(tài)化防控階段。全國人大代表、廣州市第八人民醫(yī)院感染科主任蔡衛(wèi)平在2020年的兩會期間提出了“常態(tài)化防控下應(yīng)加強(qiáng)公民個(gè)人信息保護(hù)”的議題，而全國人大代表、臺盟上海市委副主委、上海市閔行區(qū)副區(qū)長劉艷則提出，在常態(tài)化防控下，也要捍衛(wèi)個(gè)人信息安全，必須加強(qiáng)數(shù)據(jù)信息安全保護(hù)。相比起重大突發(fā)公共衛(wèi)生事件爆發(fā)期間，常態(tài)化防控背景下的個(gè)人信息保護(hù)顯得更加重要，也更有講究。在《個(gè)人信息保護(hù)法》出臺后，對于個(gè)人信息處理主體的要求更加寬松，這就對管控和規(guī)制提出了更高的要求。目前主要存在的問題是，相關(guān)法律和規(guī)定并沒有針對實(shí)際操作過程當(dāng)中可能出現(xiàn)的情況和需要解決的問題制定出詳細(xì)的操作方法及流程，也無法實(shí)現(xiàn)大數(shù)據(jù)從采集到使用，從披露到清除這一整套執(zhí)行過程當(dāng)中的規(guī)范化、體系化。

二、現(xiàn)行規(guī)定

（一）對于“合理”的界定

根據(jù)《個(gè)人信息保護(hù)法》第十三條的規(guī)定，當(dāng)個(gè)人信息處理者“為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息”時(shí)，以及“依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息”時(shí)，個(gè)人信息的處理行為不需要取得個(gè)人的同意，并且擁有合法性的基礎(chǔ)。這在一定程度上有利于減少一些爭議和不確定情況的發(fā)生。此前，在《民法典》第一千零三十六條的規(guī)定當(dāng)中，“合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息”僅僅是“行為人不承擔(dān)民事責(zé)任”的一種事由。相當(dāng)于在這樣一種情況下，行為人處理信息的行為并不被認(rèn)定為合法，僅僅是不需要承擔(dān)法定責(zé)任。且后續(xù)還有“但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外”作為補(bǔ)充。在這種情況下，假設(shè)自然人對自己個(gè)人信息的被處理保持拒絕的一種狀態(tài)，但實(shí)際上為了公共利益卻出現(xiàn)了必須執(zhí)行公開的情況，無論是對于政府機(jī)關(guān)，還是新聞媒體，抑或個(gè)人來說，在他們執(zhí)行了公開行為后，行為的合法性判斷過程上都是頗有難度的。因此，《個(gè)人信息保護(hù)法》在該層面上相較于《民法典》是更具有合理性的。因?yàn)樗喈?dāng)于直接給予了在特定條件下處理個(gè)人信息的一種合法的權(quán)利一般，而不至于因自然人個(gè)人的拒絕和否定就陷入僵局。但問題在于，“合理的范圍”應(yīng)當(dāng)如何進(jìn)行界定？在什么樣的限度內(nèi)才能被判定為是“合理”？超過怎樣的限度又應(yīng)當(dāng)被判定為是“不合法”？這仍然在立法上留下了很大的不確定性。而立法上存在如此的不確定性，就相當(dāng)于在實(shí)踐操作層面給予了人民法院自由裁量的權(quán)利，這就很有可能導(dǎo)致判斷標(biāo)準(zhǔn)不一致甚至是同案不同判的情況發(fā)生。在重大突發(fā)公共衛(wèi)生事件防控的過程當(dāng)中，政府機(jī)關(guān)為了阻擊擴(kuò)散，公開確診病例的行蹤軌跡及個(gè)人情況顯然應(yīng)當(dāng)被認(rèn)定為“合法公開信息”的行為，但網(wǎng)民在此基礎(chǔ)上繼續(xù)深入調(diào)查患者的個(gè)人信息并在網(wǎng)絡(luò)上進(jìn)行公開和傳播又是否是“合理處理已經(jīng)合法公開的信息”呢？答案顯然是否定的。因此，在立法層面僅僅用“合理”二字雖不至于站不住腳，但顯然為判斷和適用層面留下了很大的疑慮。未來若要在立法層面解決該問題，不僅僅在個(gè)人信息處理的主體上仍需進(jìn)行細(xì)化，對于合法性行為“度”的規(guī)定也仍有更加具體的空間。

（二）個(gè)人信息處理的責(zé)任承擔(dān)問題

如上文所述，從《個(gè)人信息保護(hù)法》第十三條來看，給予了個(gè)人信息處理主體在一定條件下不需要經(jīng)過個(gè)人同意即可處理的合法性基礎(chǔ)。但從《民法典》第一千零三十六條來看，對于“合理處理自然人自行公開的或其他已經(jīng)合法公開的信息”，倘若自然人“明確拒絕或者處理該信息侵害其重大利益”之時(shí)，個(gè)人信息處理主體是需要承擔(dān)民事責(zé)任的——這顯然出現(xiàn)了矛盾的問題。在同樣的條件下，《個(gè)人信息保護(hù)法》不僅沒有對責(zé)任的承擔(dān)做出免責(zé)性的規(guī)定，甚至直接對其冠以合法的頭銜，且第十三條第二款的“有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意”更像是一種加碼；而《民法典》則是在特定條件排除的情況下仍對責(zé)任的承擔(dān)做出了保留的規(guī)定，明確給予了自然人拒絕的權(quán)利和對自己重大利益進(jìn)行保護(hù)的權(quán)利。同時(shí)，從《個(gè)人信息保護(hù)法》來看，為公共利益和在合理范圍內(nèi)處理已合法公開的信息屬于并列的關(guān)系，即都是具有合法性的，都可以不需取得個(gè)人同意即進(jìn)行處理。但從《民法典》來看，前文也提到過，在合理范圍內(nèi)處理已合法公開的信息是可以被自然人拒絕的，而為公共利益和自然人合法權(quán)益卻并非如此。這里就出現(xiàn)了為公共利益是否可以無條件處理個(gè)人信息的問題，而這恰恰就是重大突發(fā)公共衛(wèi)生事件防控背景下對于個(gè)人信息處理的真正目的，即維護(hù)公共利益。從阻擊重大突發(fā)公共衛(wèi)生事件的方面來看，為了社會利益和公共利益公開確診病例的個(gè)人信息顯然具有必要性，但倘若不給予個(gè)人任何的周旋余地顯然又不利于其自身權(quán)益的維護(hù)。在這樣一種矛盾之下，最好的解決辦法是對某一部分關(guān)鍵信息，如行程軌跡、停留時(shí)間、確診時(shí)間等進(jìn)行公開，僅對如密切接觸者和時(shí)空伴隨者等進(jìn)行篩查，并對重點(diǎn)地區(qū)進(jìn)行封控，而不對公民個(gè)人的任何個(gè)體情況進(jìn)行透露。這在立法層面需要更多的細(xì)化規(guī)定，而在信息公開層面也需要更多的技術(shù)手段對信息進(jìn)行保護(hù)和選擇性公開。實(shí)際上，從目前來看，對于確診病例的性別、年齡、職業(yè)等信息的公開是沒有太大的價(jià)值的，未來也可以考慮做出更多的取舍。

（三）“過錯”的法律認(rèn)定

在《個(gè)人信息保護(hù)法》第一版審議稿面世的時(shí)候，對于其中第六十五條（第二版審議稿第六十八條）的爭議相當(dāng)之大。原因在于，不僅沒有明確個(gè)人信息處理者應(yīng)當(dāng)承擔(dān)的責(zé)任類型，對于何時(shí)應(yīng)當(dāng)承擔(dān)責(zé)任也規(guī)定得比較籠統(tǒng)。由于沒有證明責(zé)任倒置的存在，受害者需要對其主張的個(gè)人信息處理者侵權(quán)行為進(jìn)行舉證，而這方面侵權(quán)行為證據(jù)收集難度是相當(dāng)大的，且成本也比較高。在這樣的情況下仍舊堅(jiān)持“誰主張誰舉證”實(shí)際上更不利于受害者保護(hù)自己的合法權(quán)益。而該條文目前被規(guī)定在了《個(gè)人信息保護(hù)法》第六十九條。相比較而言，將個(gè)人信息處理者所需要承擔(dān)的具體責(zé)任明確為了侵權(quán)責(zé)任，也減輕了受害者對于個(gè)人信息侵權(quán)行為的主體責(zé)任。論證義務(wù)較大的一方成了個(gè)人信息的處理者，對于個(gè)人信息處理者過錯推定的原則更加有利于受害者的合法權(quán)益保護(hù)，反推回來也更容易使個(gè)人信息處理者在處理他人個(gè)人信息之時(shí)更加注意。但目前來看，對于個(gè)人信息處理者究竟在什么樣的一種情況和尺度下屬于“存在過錯”，界限仍然存在著一定的模糊。在重大突發(fā)公共衛(wèi)生事件防控的背景下，政府機(jī)關(guān)對確診病例個(gè)人信息進(jìn)行公開后，其他個(gè)人信息處理來著對這部分合理合法公開的信息進(jìn)行處理似乎是受到上文提到的《個(gè)人信息保護(hù)法》第十三條允許的。但假如這些個(gè)人信息處理者添油加醋地進(jìn)行編造和杜撰，或是對確診病例進(jìn)行人肉搜索，這樣的行為又應(yīng)當(dāng)如何定義？同時(shí)，正常的個(gè)人信息使用行為和使用個(gè)人信息“存在過錯”的行為應(yīng)該如何進(jìn)行劃定？當(dāng)前我國的新聞環(huán)境令人擔(dān)憂，許多媒體以曝光度和吸引研究為目的出發(fā)進(jìn)行新聞報(bào)道，很容易使得確診病例的個(gè)人信息被進(jìn)一步加工甚至是濫用。而《個(gè)人信息保護(hù)法》對于這部分行為并沒有足夠的規(guī)制力度，也沒有周全的條文規(guī)定，看起來并不足以應(yīng)對現(xiàn)實(shí)生活中屢見不鮮的類似行為。只有對類似的行為過錯進(jìn)行明確的規(guī)定，結(jié)合上文提到的對確診病例的個(gè)人信息進(jìn)行有選擇性的公開，才能更好地平衡重大突發(fā)公共衛(wèi)生事件防控期間的信息公開和信息保護(hù)。

三、結(jié)語

信息公開與信息保護(hù)猶如蹺蹺板的兩邊，而個(gè)人信息的法律保護(hù)就猶如維持兩邊平衡的標(biāo)尺。在重大突發(fā)公共衛(wèi)生事件防控的背景下，對于確診病例個(gè)人信息的公開有其現(xiàn)實(shí)需要和實(shí)際意義。但不能忽略的是，重大突發(fā)公共衛(wèi)生事件是暫時(shí)的，對于個(gè)體權(quán)益的保護(hù)和個(gè)人隱私的尊重卻將伴隨其一生一世。如何平衡國家利益和個(gè)人利益，如何界定使用和保護(hù)之間存在的矛盾，如何更好地在重大突發(fā)公共衛(wèi)生事件防控的前提下對公民個(gè)人信息進(jìn)行更好的保衛(wèi)，仍然是一條漫漫長路。突發(fā)公共衛(wèi)生事件和社會整體利益下個(gè)人與公共的權(quán)衡本就是很大的課題，當(dāng)涉及公民個(gè)人最基本的信息和隱私之時(shí)，還需要更周全的法律法規(guī)以及更人性化的處理方式。