突發公共衛生事件下比例原則對個人信息保護的適用研究
——以新冠肺炎疫情下健康碼的應用為視角

尹嘉希

一、問題的提出

2020 年初爆發的新冠肺炎疫情作為2003 年“非典”后又一起重大突發公共衛生事件，其規模、影響已遠超“非典”，甚至不出意外地將影響著未來世界格局的變幻。為應對及防控疫情，我國在依托大數據技術的基礎上開發和推行了“健康碼”，而浙江省杭州市作為全國首個推出健康碼模式的城市，[1]參見《定了！杭州健康碼將推廣至全國》，載浙報融媒體2020 年2 月16 日，https://baijiahao.baidu.com/s?i d=1658666610798747998&wfr=spider&for=pc，2020 年7 月11 日訪問。也是基于實現防控疫情和恢復生產生活的現實需求。一般而言，健康碼都是由各地政府會同互聯網技術企業合作開發及運營。健康碼的功能在于通過“綠碼、紅碼、黃碼”三色動態管理來實現對持碼人群是否可能攜帶病毒進行初步評估，獲取綠碼的人員憑碼通行，而獲取紅碼和黃碼的人員需按規定隔離并進行健康打卡，滿足條件后將轉為綠碼。事實上，健康碼可溯源至“非典”時期浙滬地區政府出于疫情防控需要推行的《健康申報表》，[2]參見《上海市人民政府關于對從發生傳染性非典型肺炎病例地區返滬人員實行醫學觀察、來滬人員實行健康檢測的通告》（滬府發[2003]32 號）第3 條、《杭州市政府關于對從傳染性非典型肺炎病例發生地區返杭人員、來杭人員實行健康檢測的通告》（杭政函[2003]65 號）第7 條。二者的共同之處在于皆要求市民自行填報個人信息，且都包含了個人身份證號、身體狀況、行動軌跡及住所信息等。從《健康申報表》到健康碼的變化，不僅反映出我國政府對于疫情防控一以貫之的嚴格管控理念，也能顯示政府防控手段的革新。從“非典”到“新冠”，從紙質時代到數據時代，政府在應急體制下的治理措施順應時代潮流，但是學界對于這些措施干預個人信息的擔憂并未偃旗息鼓。[3]例如，湯嘯天分析了非典期間《健康申報表》可能存在泄露個人隱私的現象后，提到各級疾控中心代表政府采集個人信息時應當承諾的五項保護個人信息的義務。參見湯嘯天：《政府應當為采集個人信息承諾相關義務》，載《上海人大月刊》2003 年第7 期，第28 頁；以及趙宏提出目前對健康碼的管理需避免對個人數據的過度采集和超目的使用。參見趙宏：《健康碼中的數據收集與信息保護》，載《檢察日報》2020 年6 月10 日，第7 版。尤其在現今大數據時代對個人信息的“無孔不入”的局勢下，我們更應對個人信息保護和諸如健康碼等新興技術手段與個人數據收集之間的矛盾施予更多的關注。鑒于新冠肺炎在全球的持續蔓延，除了國內健康碼的推廣之外，其他國家基于控制疫情和定位病患的目的也開發了類似健康碼運作機制的聯系跟蹤應用（contacting tracing apps），[4]如美國與谷歌公司合作發布新冠病毒移動報告、印度政府推出名為AarogyaSetu 的app、澳大利亞政府啟動的COVIDSafe app 等。同時不少各國學者也提出了這些應用對個人隱私信息侵犯的問題。甚至國外有學者在對各國開發的聯系跟蹤應用所運用的協議、技術、源代碼等各元素進行比對后宣稱“在西方標準中，中國政府使用的應用和技術本質上是侵犯隱私的行為”[5]See Mohammad Jabed Morshed Chowdhury et al.,COVID-19 Contact Tracing:Challenges and Future Directions,Preprints(June.24 ,2020),http://dx.doi.org/10.20944/preprints202006.0240.v1.。然而，根據北京智源人工智能研究所的一份關于人臉識別和公共健康的調查報告可發現：疫情期間，民眾在大數據和人工智能等技術對個人隱私和安全的侵入上表示擔憂，不過對于該種技術的應用依然保持樂觀的態度和較大的接受度。[6]See Yi Zeng et al.,Facial Recognition and Public Health—The First Report in Survey Series on Artificial intelligence and Healthy Society,Baai(Jun.28,2020),https://attachment.baai.ac.cn/share/aies/facial-recognition-and-public-health-en-2020-05-17.pdf.

盡管應急狀態下公共利益優先的原則不可避免地導致個人隱私和數據保護權利的克減，且人們于此情形下對個人信息控制權利的讓渡普遍出于自覺及展現了寬容態度，但是在疫情防控逐漸轉為常態化的情況下如何處理應急狀態中所收集的個人信息，如何保證個人信息采集、使用的合目的性和范圍的限定，[7]比如杭州健康碼未來可能會在關聯健康指標和健康碼顏色的基礎上探索建立個人健康指數排行榜，這一對個人健康信息超范圍的收集在互聯網中引發了較強烈的爭論。參見《未來杭州漸變色健康碼將上線》，載騰訊網2020年5 月24 日，https://new.qq.com/omn/20200524/20200524A0B2HG00.html，2020 年7 月11 日訪問。以及在疫情結束后對個人信息如何進行刪除都是值得研究的議題。應急防控向常態化防控狀態的轉變亟需政府及合作企業合法合理地對待后續個人信息的收集、利用、披露、分析。而比例原則作為約束政府權力的重要原則在應急體例下的適用已得到我國《突發事件應對法》第11條的“準入認證”，并且其他國家有關信息保護的法規也一定程度上蘊含了比例原則的理念，如歐盟在1 月發布的《個人數據保護比例原則指南》（以下簡稱《指南》）對比例原則在個人信息保護和限制措施之間發揮的平衡作用有所指涉，但比例原則是否能在我國疫情防控中通過政府限權實現對個人信息權利的充分保護需要得到規范與實踐的檢驗。不僅如此，我們還需要挖掘出比例原則在應急狀態中政府對個人信息全景式監控的背景下對個人信息保護的適用進路，不至于讓個人信息在多方權力的窺伺下無所遁形。

二、對個人信息權利的保護適用比例原則的必要性

如前所述，比例原則的重提是對《中華人民共和國突發事件應對法》（以下簡稱《突發事件應對法》）中規制政府在應急狀態下的權力有關條款的呼應。事實上，疫情中對個人信息的利用及處理方式會連接到人身自由及人格尊嚴等人權，因此比例原則也是在非常時期制約應急行政權對人權侵犯的重要手段。此外，私法及私權理念在突發事件中對個人信息保護的適用不靈、新冠肺炎期間政府采取的某些收集或利用個人信息等措施出現不合比例的現實都推使比例原則浮出水面。

（一）對個人信息的干預隱射人權保障的重要性

新冠肺炎這一突發公共衛生事件中以應急權形式出現的公權力處于更為強勢的地位，這可能導致對公民個人信息權利等個人權利的限制和剝奪，因此比例原則作為平衡權力與權利的“皇冠原則”的適用充分體現了行政法治和基本人權保障的現代憲政價值取向。[8]參見姚小林：《論我國應急法制的比例原則》，載《法學雜志》2008 年第4 期，第152 頁。政府應用健康碼等抗疫技術所收集公民的個人信息主要包括個人行蹤軌跡信息與個人健康信息，而這兩種信息恰恰是個人信息中最為隱私及敏感的部分，也是目前法律規制與保護最為薄弱的信息。政府通過健康碼的定位技術及算法分析以確定個人過去一定期間去過的地方，從而勾勒出“個人疫情物理地圖”。[9]參見王勇旗：《個人行蹤信息的法律保護》，載《檢察日報》2020 年6 月30 日，第3 版。目前對蹤跡信息的保護仍從屬于整個個人信息保護的法律框架，[10]參見邱遙堃：《行蹤軌跡信息的法律保護意義》，載《法律適用》2018 年第7 期，第48 頁。并表現為“民刑先行”的現狀：《中華人民共和國民法典》（下稱《民法典》）將其納入了個人信息的范疇，具有“最后手段性”的刑事司法解釋也對軌跡信息作出了有關規制，[11]《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1 條規定：“刑法第二百五十三條之一規定的‘公民個人信息’，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”但是個人行蹤軌跡信息的保護在行政法律中還沒有具體的框范條款，至于個人健康信息的保護條款一般散見于司法解釋或行政規章等。然而，這種行政立法保護闕如的情形卻并不影響政府在突發公共衛生事件時以迅雷手段收集個人健康信息和軌跡信息，原因在于當面臨未知傳染性病毒的非常局勢之時，將上述個人信息收集和利用等權力歸入政府符合公益優先的要求。

無論是《突發事件應對法》還是《中華人民共和國傳染病防治法》（以下簡稱《傳染病防治法》）都未明確規定政府在應急狀態下享有收集個人健康信息及軌跡信息的權力，但是觀照其他國家或地區的有關條例可以發現，個人信息保護權利在非常時期應予限制的規定絕非個例。例如歐盟的《通用數據保護條例》（GDPR）規定在關涉公共健康等公共利益事件時，成員國政府可以制定限制個人信息保護的法規以及推行相關干涉措施。[12]See General Data Protection Regulation.art23(2018).美國的《健康保險攜帶和責任法案》（HIPAA）也規定了出于公共衛生活動、避免對公共健康和安全造成嚴重威脅等目的，政府可以披露和使用受保護健康信息的例外情形。[13]See 45 C.F.R.§ 164.512(2019).此外，美國的《示范州緊急醫療衛生法》（MSEHPA）還規定了政府及有關部門對受保護健康信息的獲取和披露的條件。[14]See Model State Emergency Health Powers Act.sec.607(2001).

需要注意的是，突發公共衛生事件中政府等對個人健康信息和軌跡信息的收集及利用雖能得到公共利益需要緊迫維護的現實肯認，但是不能忽視對收集以上信息所連接到的自由遷徙等人權的影響。上文對健康碼的運作機制有所提及，政府運用大數據手段收集包括體溫、是否出現咳嗽發燒癥狀等關聯到個人健康的信息，及包含個人近期活動軌跡如所到場所、所接觸人員等個人行蹤軌跡信息，而這兩種信息之所以敏感在于其能直接決定持碼人是否需被采取隔離措施以及隔離的期限。政府對已經發生疫情的場所及特定區域的人有權實施隔離可由《傳染病防治法》第41 條佐證。由于新冠病毒具有潛伏期長、傳播性強、毒性較大等特點，在目前的疫情防控中，政府對可能攜帶病毒或從疫區往來的人員設置了14 天的隔離期間。隔離作為限制自由遷徙這一憲法性權利的一種手段，其施行的正當性也需要得到比例原則的檢視。例如，美國的Jacobson 案為政府的隔離措施確立了標準并為隔離法律提供了憲法框架：公共衛生當局剝奪自由是否合憲取決于個人風險評估，用以表明隔離是限制性最小的手段且滿足了程序正當性的要求。[15]See Jacobson v.Massachusetts,197 U.S.11,25(1905).

因此，在公共衛生緊急狀態之下，比例原則的適用既是對個人信息保護的出發點，更是彰顯人權保障這一價值取向的落腳點。

（二）個人信息保護私法權利的被迫退讓

2020 年5 月28 日，《中華人民共和國民法典》于十三屆全國人大三次會議表決通過，設置在人格權編第六章的“隱私權和個人信息保護”得到了學界廣泛的關注，這也表明個人信息保護獲得了我國私法層面系統性的重視。盡管民法學界對于個人信息的確權、權屬界定以及對個人信息保護采何種理論的觀點依然莫衷一是，[16]關于個人信息是否為一種民事權利，盡管個人信息的規制條款被納入《民法典》人格權編，但是其并未如生命權、健康權等被確定為具體的個人信息權，而以王利明為代表的學者不僅為個人信息確權，還將個人信息權界定為獨立的人格權。參見王利明：《人格權的積極確權模式探討——兼論人格權法與侵權法之關系》，載《法學家》2016 年第2 期，第7 頁。至于個人信息權的權屬之爭，梅夏英對學界三種主流觀點進行了梳理，即人格利益說、個人信息權說和人格權兼財產權說。參見梅夏英：《在分享和控制之間 數據保護的私法局限和公共秩序構建》，載《中外法學》2019 年第4 期，第846-850 頁。個人信息保護采何種模式目前為學界討論的重點話題，高富平認為不應忽視個人信息具有公共性和社會性的特征，因此對個人信息保護應舍棄個人控制論，而采用社會控制模式。范為則主要側重對美國和歐盟個人信息保護立法模式進行分析，并提出建構場景與風險導向的個人信息保護新路徑。參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018 年第3 期，第84-101 頁；參見范為：《大數據時代個人信息保護的路徑重構》，載《環球法律評論》2016 年第5 期，第92-115 頁。但是《民法典》依舊承認和沿用了傳統個人信息保護架構確立的知情同意權與個人享有的信息決定權。具體而言，《民法典》第1035 條明確了個人信息的知情同意權及處理的原則：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；……”，并且第1037 條也規定了自然人擁有對個人信息查閱、復制、提出異議和要求刪除等個人信息自決的權利。一般說來，在突發事件中，政府基于公共利益的考量所擁有收集和處理個人信息的公權力極有可能與個人在私法層面上享有的私權利產生抵牾，特別是在新冠肺炎這類突然爆發的傳染病事件發生的初期階段，公共利益遠遠高于個人利益，個人的信息權利應當在一定程度上克減。這種個人信息權利的讓位也得到國外學者的認可：當公共利益的優勢高于個人所受損害的風險時，不論個人信息利益對公眾有何潛在好處，都不應允許個人否決共享其個人信息。[17]See Lawrence O.Gostin & James G.Jr.Hodge,Personal Privacy and Common Goods:A Framework for Balancing under the National Health Information Privacy Rule,86 Minnesota Law Review 1439 (2002).

其實，個人信息權利的被迫退讓不僅是公共利益優先以及應急行政權強調效率優位的要求，更重要的是，個人對信息享有的知情同意權和信息決定權也難以在應急狀態下行使和實現。自1 月23日武漢封城到2 月9 日健康碼的發布不過僅僅半個月的時間，而健康碼的出現正好契合當時政府管控疫情的行政需求和撫慰民眾對于自身周圍環境的恐懼心理，于此情形下，公眾在啟用健康碼前鮮少會點開長長的《隱私政策》或《用戶服務協議》仔細閱讀，即使閱讀后存有異議也由于復工復產以及無碼則無法自由流動的緊迫現實而不得不同意使用健康碼。此外，由于病毒傳播范圍廣且疫情持續時間長，公眾對于政府收集的個人信息也難以提出刪除的要求。這種看似有所選擇實則沒有選擇的情況使得個人擁有的知情同意權形同虛設。

正因傳統的知情同意權和個人自決權的行使困囿在應急狀態下強硬的公權中，且鑒于不少學者提出應“基于公共利益來對個人數據信息的使用目的和方式加以公法上的規制”[18]吳偉光：《大數據技術下個人數據信息私權保護論批判》，載《政治與法律》2016 年第7 期，第116 頁。“個人信息保護的私法進路忽視了個人信息保護法的目的”[19]梅夏英：《在分享和控制之間 數據保護的私法局限和公共秩序構建》，載《中外法學》2019 年第4 期，第858 頁。等觀點，那么比例原則作為公法上衡平公私利益的適用既能迎合《民法典》所提到對個人信息處理的“必要原則”，更是節制應急狀態下無限擴張的公權力對個人信息權利侵益的肯綮之舉。

（三）個人信息權利所受侵益不合比例

疫情期間發生的一些政府及有關部門對個人信息過度采集、披露以及致使個人信息的泄露也呼喚著比例原則的約束。首先是發生在疫情初期的大量信息泄露的情況，比如武漢返鄉人員的個人信息在網上流傳開來，這些信息精確到個人姓名、身份證號碼、戶籍地址、家庭住址、手機號、車牌號，甚至車票航班信息等；[20]參見《武漢返鄉人員的個人信息被泄露接到辱罵電話》，載新浪網2020 年1 月27 日，http://news.sina.com.cn/c/2020-01-27/doc-iihnzhha4887955.shtml，2020 年7 月12 日訪問。以及某地人民醫院的職工利用工作便利，私自用手機拍攝醫院電腦記錄的新冠病毒感染患者的姓名、家庭詳細住址、工作單位、行程軌跡、接觸人員、診療信息等基本情況并公開散布。[21]參見《云南文山州5 名醫院工作人員泄露患者個人信息被處置》，載環球網2020 年2 月7 日，https://www.sohu.com/a/371283662_162522，2020 年7 月13 日訪問。這些信息泄露主要原因在于作為信息采集者的相關部門未能履行保密的義務，并且疫情中有關部門對于個人信息的超范圍收集，而這種超范圍的信息收集實質上已經超過了防控疫情蔓延的目的。除此之外，個人信息的大量泄露也反映出政府對個人信息的披露不當，且這種披露不當會對個人的日常生活產生極大困擾乃至損害其個人人身利益：如前述的武漢返鄉人員受到不明人員的電話辱罵，以及由于政府向公眾披露確診病例的與疫情無關的個人生活和軌跡信息可能會為患者招來網絡輿論的非議。又次，疫情期間對病例的個人信息公開存在回復的可能，但是個人受到的損害卻是難以回復，值得思索的是政府因其披露不當對相對人造成損害的救濟在實踐中存在缺位的情形，如武漢返鄉人員雖然受到了派出所“發布者被行拘”的反饋，但是派出所對于信息泄露的部門和人員卻避而不談，[22]參見《那些信息被泄露的武漢返鄉人員，后來怎么樣了？》，載鳳凰網2020 年4 月28 日，http://news.ifen g.com/c/7vVjeX3H4sj，2020 年7 月13 日訪問。更遑論對返鄉人員的救濟。相比而言，有的國家在疫情期間對于政府泄露個人信息的行為為相對人提供了相關救濟措施。[23]參見《日政府官網泄露490 余名確診患者信息，道歉后擬每人賠4 萬日元》,載搜狐網2020 年5 月29 日，https://www.sohu.com/a/398564683_114778，2020 年7 月13 日訪問。

綜觀疫情期間政府對個人信息權利的侵害情形，縱使比例原則的適用應當放寬，[24]參見林鴻潮、趙藝絢：《突發事件應對中的個人信息利用與法律規制——以新冠肺炎疫情應對為切入點》，載《華南師范大學學報（社會科學版)》2020 年第3 期，第130 頁。但是疫情不應是擠壓比例原則對應急行政權力約束的充分理由，而正是通過比例原則規范行政權力以此最大程度保障疫情期間個人信息權利的良好時機。

三、比例原則對個人信息保護的適用情況與問題檢視

上文從三個方面說明了比例原則對個人信息保護適用的必要性，但學理所構建的比例原則“三階論”卻在應然與實然層面上遭遇了適用困境，以下將從比例原則現實的適用境況與存有問題兩部分分別進行闡述。

（一）比例原則對個人信息保護的適用情況

突發公共衛生事件作為典型的一類一般緊急狀態，比例原則具有洵足適用的空間。[25]參見梅揚：《比例原則的適用范圍與限度》，載《法學研究》2020 年第2 期，第70 頁。盡管如此，比例原則的現實適用情況卻不容樂觀，具體表現為：其一，《突發事件應對法》及有關規范主要著重規制“二階”的比例原則；其二，個人信息被有關政府部門等過度收集和披露；其三，以健康碼為代表的大數據技術對個人信息帶來的潛在風險。下將結合目前法規內容和實踐詳述之。

1.應急法規僅創制了二階的比例原則

我國《突發事件應對法》第11 條確立了政府在應急狀態下實施措施所要遵循的比例原則：“有關人民政府及其部門采取的應對突發事件的措施，應當與突發事件可能造成的社會危害的性質、程度和范圍相適應”對應傳統比例原則中的適當性原則；而“有多種措施可供選擇的，應當選擇有利于最大程度地保護公民、法人和其他組織權益的措施”則對應必要性原則。但是該法并未繼續延用規定傳統比例原則中的狹義比例原則，即政府采用的措施對相對人造成的損害應當小于欲實現的公共利益目的。

除卻《突發事件應對法》對比例原則所作出的具體闡釋，國家網信辦的《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》（下稱《通知》）第2 條明確了在疫情期間收集信息的“最小化范圍”原則，《中華人民共和國網絡安全法》（下稱《網絡安全法》）規定了“網絡運營者收集、使用信息，應當遵循合法、正當、必要的原則”，以上兩個條款大致勾畫了在疫情防控下比例原則對個人信息保護的具體樣態，進而確證了我國應急法律中對個人信息保護適用的比例原則主要強調的是適當性原則和必要性原則。

概而言之，在現有可適用于個人信息保護的應急法規范中，基本僅承認了“二階”的比例原則，其既未對狹義比例原則進行規定，更未對目的正當性原則做任何書面表達。

2.個人信息的過度收集和不必要披露

在本次新冠疫情中個人信息泄露的事件頻發，而最為核心的原因即為個人信息的過度收集。本文的第二部分對個人泄露事件造成的后果已有討論，茲不贅述。之所以會出現過度收集的局面，一方面是由于在抗疫期間收集個人信息的主體眾多，但卻沒有統籌的機制整合各自收集的信息，容易導致個人信息的泄露；另一方面在于所采集的很大一部分個人信息與疫情無關，沒有必要納入抗疫的數據庫中。

首先，關于收集主體的收集個人信息的法規依據主要集中在《突發公共衛生事件應急條例》《傳染病防治法》以及《通知》等。《突發公共衛生事件應急條例》第39 條與第40 條明確了醫療衛生機構和衛生行政主管部門、街道、鄉鎮、村委會、居委會等各級政府部門及基層組織幾乎都擁有收集和報告個人疫情信息的權力。從《通知》第5 條“鼓勵有能力的企業在有關部門的指導下，積極利用大數據，分析預測確診者、疑似者、密切接觸者等重點人群的流動情況，為聯防聯控工作提供大數據支持”，還可得出技術企業同樣擁有收集個人信息的權力。當然，在抗疫實踐中，其實遠不止上述得到法規賦權的信息收集主體，還有諸如用人單位、學校以及類似健康碼的應用程序開發者等都享有這種權力。而這種信息收集主體的林總情況若稍有不慎將導致個人信息的莫名泄露，也正因主體眾多難以通過建立相關機制來管理信息。其次，關于收集與疫情無關的個人信息，主要體現在有些社區組織對個人信息的收集包括文化程度、政治面貌、宗教信仰、兵役狀況等等與防疫根本無關的信息。

除了個人信息過度收集情況的存在，還應注意超范圍披露不必要信息的局面。以北京市7 月3日公布石景山確診女子的流調情況為例，披露的主要是該女子一個月內的行蹤軌跡，但是在披露信息中還有“待業”“流產”“破壞門禁外出”等信息，[26]參見《石景山萬達女子為無癥狀感染者 官方通報詳細行動軌跡》，載中國小康網2020 年7 月3 日，http://news.chinaxiaokang.com/shehuipindao/minsheng/20200703/996591.html，2020 年7 月14 日訪問。這些信息也許是政府部門流調所需要收集到的信息，但是不應全部披露給大眾，否則很可能會為確診人員招致不必要的網絡暴力。此外，很多地方衛生行政部門對確診或疑似病例的披露信息包括戶籍、年齡甚至家庭關系，盡管披露信息時對人員的基本信息做了脫敏處理，但是當地人員依循這些披露的信息較容易知曉是何地的何人，從而確診或疑似病例的“個人畫像”不僅被有關部門所掌握，甚至也變相地被無關人員所追蹤掌握，而這為病例帶來的后果極有可能不符信息披露的出發點。

3.健康碼技術帶來的過高風險

疫情期間健康碼技術的廣泛應用對個人信息招引了一定風險，以“人臉識別”的應用為例，有些地方的健康碼（如“北京健康寶”）使用資格的獲取首先需要人臉識別認證，并且人臉識別技術靈敏度由于疫情的原因逐漸提高，即使戴著口罩僅露出部分臉部信息也能識別出個人身份。

雖然人臉識別技術的采納是為了提高行使行政權的效率，比如對出入公共場所人員用人臉識別可迅速得出個人的基本信息和健康狀態，從而提升管理效率、幫助減輕工作人員負擔，但是這一技術應用對個人帶來的風險與公共利益的有效實現之間的相稱性是值得考量的。一方面人臉識別并非識別身份、追蹤軌跡的唯一手段，健康碼本身便擁有收集個人基本信息的功能，且各大通信運營商等技術公司都能對個人行蹤軌跡進行查尋，甚至僅通過手機的定位、藍牙功能都能有效的追蹤密切接觸者；另一方面，人臉作為人們重要的生物信息，一旦相關部門或公司獲取這種信息對于個人帶來的風險基本是不可逆的，也就是說，人臉信息根本難以更改、消除，且目前都能做到僅通過“眉眼識別”來識別個人，而這將會并發新的風險以及帶來更多的安全隱患。

（二）比例原則對個人信息保護的問題檢視

現下的大數據防疫不免已使個人信息的曝露天窗開致最大，個體的隱私信息也逐漸流于冰冷的數據表達，因此不可避免地帶來個人信息是否能夠在當前機制下得到恰如其分的保護這一隱憂。對適用現狀的梳理有助于檢視現實存有的問題。首先就比例原則本身來說，目的正當性原則的規制缺漏與傳統三階比例原則遭受的適用困境皆說明了理論與實踐的脫鉤；此外，常態化防控的轉變還需重新審視應急防控下限制措施的應用條件和目的，從而理清未來可能存在的問題，以此消弭公眾憂慮，盡力避免公民個人信息完全淪為政策的工具。

1.目的正當性原則規制不敷

比例原則系行政法上的舶來品，因此學界目前普遍沿用了德國所確立的比例原則中的三個子原則。但隨著學界研究的深入和司法實踐對比例原則的適用增多，有學者提出要在三個子原則前增補一個“目的正當性原則”，繼而創制比例原則的“四階層”適用路徑。[27]參見劉權：《目的正當性與比例原則的重構》，載《中國法學》2014 年第4 期，第133-150 頁。遺憾的是，無論是在2007年頒布的《突發事件應對法》，抑或是目下新冠疫情期間中央網信辦所發布《通知》中確定的“收集聯防聯控所必需的個人信息應參照國家標準《個人信息安全規范》，堅持最小范圍原則”都表明在應急狀態下對目的正當性的忽視，而這便反映出至少在法規范層面中，政府在突發公共事件下為維護公共利益所采取措施的目的皆被默認為正當的。事實上，在此次新冠疫情中，有些地方行政機構或部門采取對相對人的限制措施的目的很難完全被認定為正當，如疫情剛爆發時某地“硬核”封門照片、視頻在網上流傳甚廣，但是所謂的“硬核防疫”采用的是直接用木板、鐵鏈封門，且措施實行的對象多為未確診的“武漢返鄉人員”。[28]參見《誰都沒有給對“武漢返鄉人員”封門的權力》，載新浪網2020 年2 月1 日，https://k.sina.com.cn/art icle_6710158762_18ff4e5aa00100p85i.html?from=news&sudaref=www.baidu.com&display=0&retcode=0，2020 年7 月1 3 日訪問。此種防疫措施是否合法都值得商榷，但是就其目的而言并未考慮到被封人員的正常生活需求，也未考慮到該舉措造成的心理壓力與損害。“硬核封門”貌似出于防疫現實的緊迫目的，然而其也具有放任被封人員“自生自滅”的目的，因而其防疫目的并不純粹，不符目的正當性原則。

總體而言，目的正當性原則在應急法規中的規制不敷，以及其在應急狀態下的當然退卻不僅肇端于立法者對目的正當性原則的忽略，也恰合緊急情況下行政權力展現出急遽擴張的天然本質。

2.三階比例原則遭遇適用困境

適當性原則、必要性原則與狹義比例原則業已成為比例原則的核心，同時“適當性—必要性—狹義比例”的三階適用順序也為學理所采。然而，當前法規塑造的個人信息保護的二階比例原則帶來了三個子原則在理論適用上銜接不當、在實踐應用中貫徹不足的問題。

第一，理論適用的銜接不當。

通過上述對目的正當性原則在法規層面的制定疏漏的解讀，還可推出其影響了狹義比例原則的適用。狹義比例原則在個人信息保護中的適用情況如何，主要需考量政府采取的限制個人信息權利的措施在多大程度上滿足了公共利益的需要，如果對個人造成的損害超出了預期實現的公共利益，那么干預措施應被認為是不合比例的。一般而言，狹義比例原則也可被認為是“目的必要性原則”，但只有在明確政府采用所有措施的目的皆為正當時，才有可能繼續對目的與手段之間的關系進行價值判斷。而應急法規未明確規定狹義比例原則，進一步使得比例原則理論遭遇適法困境。

就此而言，對目的正當性原則及狹義比例原則的忽視將難以充分運用“目的必要性”對限制措施進行判斷，并且也會致使三階比例原則適用邏輯的銜接不暢。

第二，實踐應用的貫徹不足。

前文對比例原則的適用現狀進行了初步介紹，其暴露出的問題不可謂不多，尤其能反映出比例原則在實踐現況的貫徹“力道”不足：

首先，實踐當中各地政府都出臺了本地的健康碼，但是在疫情初期，有些地方政府不承認其他地方推行的健康碼，從而對異地人員的復工復產和正常生活造成不利影響。所以手段（互不相認健康碼）與目的（不影響疫情防控的復工復產）呈現不適當的景象，也即此種手段不能推動目的的實現。

其次，最小侵害原則未能足夠貫徹，典型表現為有關部門或組織對個人信息的過度收集，這明顯違反了《通知》第2 條倡導的信息收集的“最小化范圍”原則，同時對個人信息的超范圍和不必要披露也與最小侵害原則嚴重悖反。

最后，通過分析健康碼中“人臉識別”技術的風險，還可發現這一技術手段雖能在某種程度上防控疫情，但是其風險遠遠高于所需實現防疫的公益目的，不合狹義比例原則的內在要求。特別在所謂疫情防控常態化的局勢下，人臉識別技術的作用須重新推敲。

3.期限安排不當、退出機制缺失將引發個人信息權利空心化

國務院聯防聯控部門于5 月7 日發布的《關于做好新冠肺炎疫情常態化防控工作的指導意見》中為疫情常態化防控定好了未來的基調，同時在該《指導意見》中的第16 條“依托全國一體化政務服務平臺，全面推動各地落實‘健康碼’互通互認‘一碼通行’”中再次明確了健康碼在未來防控中的地位。于此背景下，杭州政府繼而發布了《關于印發杭州健康碼開發運行規范管理辦法的通知》將健康碼的運營納入規范化管理的軌道。然而，杭州市政府這份規范健康碼運營操作的文件中并未有創新性的規定，對個人享有的知情同意權、信息收集主體所要依循的原則以及個人在面臨個人信息泄露或使用不當的情形下擁有的救濟權利都遵照的是之前《網絡安全法》及《通知》的統攝規定。且無論是這部地方規范性文件，或是健康碼開發企業的《用戶服務協議》都未規定健康碼收集個人信息的期限，也并未提及疫情結束后如何處理在應急情勢下所收集的大量信息。

對比國外的一些應用程序如德國和挪威政府推出的“新冠預警”應用程序，德國應用程序的使用完全尊重民眾自愿的心理，[29]參見《德國確診逼近二十萬 新冠預警APP 上線半月上報約三百例》，載東方網2020 年7 月4 日，http://n ews.eastday.com/eastday/13news/auto/news/world/20200704/u7ai9370210.html，2020 年7 月14 日訪問。挪威衛生當局出于隱私保護的考量停止使用新冠病毒追蹤軟件，并將刪除所有新冠接觸者追蹤應用程序數據，[30]See Norway Ends Coronavirus Tracing App Over Privacy Concerns,AP News(Jun.15,2020) https://apnews.com/a417361886e0e26b9341a373dde48352;參見《30 秒丨挪威將刪除所有新冠接觸者追蹤應用程序數據》，載封面新聞2020 年6 月16 日，https://view.inews.qq.com/a/20200616V0AOZQ00?tbkt=D&uid=100127291237，2020 年7 月14日訪問。而我國健康碼等大數據技術應用的使用期限、退出機制處于缺失狀態。值得注意的是，這種缺失的狀態將會影響到個人在應急狀態下所讓渡權利的回復（roll back），因為在疫情期間大量被收集的個人健康和軌跡信息若無退出機制的保障將會造成個人信息的完全裸露，個人信息權利進而被挖空（hollowed out），當下一次危機來臨時我們的個人信息甚至會變得無關緊要。[31]See Andrej,Z.,& Gstrein,O.J,Big data,privacy and COVID-19– learning from humanitarian expertise in data protection,5 Journal of International Humanitarian Action 6 (2020).

4.警惕對個人信息保護的法律功能潛變

法律功能潛變（legislative function creep）意指一項措施不能夠真正解決問題，反而呈現與先前不同的目的。這一概念的提出可追溯到歐盟數據保護主管（EDPS）2017 年發布的《關于在自由、安全和司法領域中信息系統的互操作性的反思文件》，在該文件中EDPS 對歐盟委員會即將出臺的立法提案提出了有關建議：“其應明確規定在其未來的互操作性計劃中將處理哪些類別的個人數據。”[32]See Reflection paper on the interoperability of information systems in the area of Freedom,Security and Justice,EDPS(Nov.17,2017) https://edps.europa.eu/sites/edp/files/publication/17-11-16_opinion_interoperability_en.pdf.申言之，對于個人數據保護采取的各種采集、處理等措施都應當符合最初的目的，否則會造成個人信息權利損失擴大化，而這也不合比例原則。我國《網絡安全法》第41 條對個人信息的收集、使用的目的給出了立法的約束：“網絡運營者收集、使用個人信息，應當……明示收集、使用信息的目的、方式和范圍”，同時在新冠疫情背景之下出臺的《通知》第3 條也提到“為疫情防控、疾病防治收集的個人信息，不得用于其他用途”。這兩條能夠表明在疫情期間收集的個人信息應當僅僅出于防疫的目的，而不能再有其他的用途或目的。

然而，隨著疫情防控由應急狀態轉入常態化，一些在疫情期間推行的收集、使用個人信息的措施卻超越了其最初的防疫目的，典型表現為健康碼向“全能碼”的轉向趨勢。杭州市政府提出要將現有的健康碼升級為“漸變色健康碼”，而“除了健康碼已經獲取的個人健康信息較敏感外，漸變色健康碼集成電子病歷、生活方式管理等設想更引發了公眾隱私被進一步掌控、甚至進行公開排序的擔憂”。[33]《疫情后，健康碼可否升級“全能碼”？》，載財經網2020 年6 月5 日，https://news.caijingmobile.com/art icle/detail/417535?source_id=40&share_from=weixin，2020 年7 月14 日訪問。這種轉變將悖離當初健康碼為防控疫情而應用的目的，并且“全能碼”的應用將會固化政府或大數據企業等在應急狀態下對個人信息權利干預的權力，而這極不利于保護個人信息，該技術也在轉變過程中顯現“法律功能潛變”的痕跡，遠超出防控疫情的目的。

因此，在未來持續防控疫情的情形下應當警惕可能存在的功能潛變，畢竟“任何新的或經過修改的數據處理都需要在相關法律文書中明確定義，并且相對于其明確規定的目標同樣必要且相稱”。[34]See Reflection paper on the interoperability of information systems in the area of Freedom,Security and Justice,EDPS(Nov.17,2017) https://edps.europa.eu/sites/edp/files/publication/17-11-16_opinion_interoperability_en.pdf.

四、比例原則對個人信息保護的適用建議

比例原則在新冠疫情下對個人信息保護的適用不佳、應急狀態向常態防控之轉變為個人信息招致的未來風險等困境為比例原則的操作路徑提供重構機遇，有必要將比例原則分別嵌入應急法規、適用程序、司法救濟，從而為個人信息保護提供三重保障。

（一）前提保障：完善個人信息保護的應急法規

即使在國際規章中比例原則于突發公共衛生事件下對個人隱私保護的適用也能找到依歸，如隨著全球大流行傳染病不斷增多而逐漸完善的世界衛生組織的《國際健康規章》（the WHO International Health Regulations）中表明所有干預隱私權的健康措施都必須遵守比例原則?。[35]See Andra? Zidar, WHO International Health Regulations and human rights:from allusions to inclusion,19 The International Journal of Human Rights 513 (2015).比例原則對應急狀態下個人信息的保護發揮著舉足輕重的作用，而真正能保障個人信息權利的尺度在于為應急情況下信息收集主體對個人信息的存儲及利用劃定期限。畢竟應急狀態不同于常態，緊急狀態的設定是為了能盡快遏制危機的發展以及快速恢復為常態，因此在應急法規中應當設定有關應急狀態結束的日期或應急措施行使的期限，有學者稱此類條款為“日落條款（sunset clause）”[36]所謂日落條款就是設定了過期日的條款。See Ronan Cormacain,Keeping Covid-19 emergency legislation socially distant from ordinary legislation:principles for the structure of emergency legislation,Taylor&Francis Online(Jul.22,2020),https://doi.org/10.1080/20508840.2020.1786272.。并且日落條款分屬兩種：一為設定了具體的過期日，如英國出臺的《新冠疫情法案2020》（The Coronavirus Act 2020，以下簡稱《法案2020》）第89 條“該法案自通過之日起2 年內結束”；二為立法中的一項條款規定了其到期日的程序，如《法案2020》第98 條規定了為期6 個月的議會審查程序，即每六個月議會都需審查臨時法案是否應繼續施行，如果議會否決了“《法案2020》的臨時規定尚未到期”的議案，則應遵循適用終止該法的程序。[37]See Coronavirus Act 2020 part 2 sec.89&98(2020); See Ronan Cormacain,Keeping Covid-19 emergencylegislation socially distant from ordinary legislation:principles for the structure of emergency legislation,Taylor&Francis Online(Jul.22,2020),https://doi.org/10.1080/20508840.2020.1786272.上文提到目前對于健康碼等技術使用期限的規定處于缺位狀態，并且我國應急法律基本未設置真正有效的日落條款。阿特金勛爵曾在二戰時期的Liversidge v.Anderson 案中發表了一段著名的言論：“即便今天的英國戰火紛飛,但法律并不因此沉默。戰時的法律雖然可以進行修改，但沒有修改的法律在戰爭時期與和平時期的用語是完全相同的。”就此而言，在應急狀態中涉及到個人權利保護的法律不能長期付之闕如，否則既有違“無法律則無行政”的行政合法性原則，也不符對個人權利的侵犯維持在程度最小、時間最短的比例原則。

因此本文建議需完善個人信息保護的應急法規，且可采用兩種立法或是修法方式：

第一，在專門性的個人信息保護法中規定在緊急情況下對個人信息權利的限制也需規制一定的期限，可參照歐盟GDPR 第23 條的安排，即第1 款規定限制個人信息權利措施實行的具體情況，其中包括了維護公共衛生的需要，第2 款則是對第1 款限制措施的限制，即任何措施都至少包含“f)……存儲期限和適用的保障措施”；

第二，加強保障個人信息權利的應急行政立法，比如由國務院、國家衛生行政部門或省級地方政府頒布較高位階效力的行政法規或規范性文件，其中應包含在疫情期間大數據技術使用的期限、信息收集主體保存個人信息的期限以及賦予個人信息刪除權等規定。

當然，兩種立法方式可采納包含規定了具體的期限、自動過期日或經過一定程序而到期等多種靈活條款。

（二）程序保障：構建比例原則對個人信息保護的適用進路

比例原則作為法益平衡的重要機制，對于個人信息的保護具有較強的可操作性，比如國外學者Lawrence 雖并未明確提出運用比例原則來平衡個人健康隱私與公共利益的關系，但是他采納了相似的理論即通過“平衡測試”（balancing test）力求在個人隱私至關重要時最大化保障隱私利益，而在公共利益更重要時最大化公共利益。[38]See Lawrence O.Gostin & James G.Jr.Hodge,Personal Privacy and Common Goods:A Framework for Balancing under the National Health Information Privacy Rule,86 Minnesota Law Review 1441 (2002).同時歐盟數據保護主管在2020 年1 月發布了《指南》，[39]指南全名為“Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data”.該指南旨在為評估新的立法措施的比例性提供一種精確實際的方法，也就是在評估任何涉及處理個人數據的建議措施的合法性都應當進行比例測試（proportionality test）。《指南》中所設對限制措施進行的比例測試順序其實遵照的是《歐盟基本權利憲章》（Charter of Fundamental Rights of the European Union）中的第52 條第1 款：（1）限制措施必須由法律所規定；（2）該措施必須尊重實質性權利；（3）其必須真正達到歐盟認可的普遍關心的目標或者滿足保護他人權利和自由的需要；（4）其必須是必要的；（5）其必須具有相稱性。《指南》還對這一條款作出了深入解釋并提出（4）的必要性和（5）的比例性具有先后適用順序，以及對如何適用比例原則以評估新立法措施通過清單的方式明確下來。[40]See Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy a nd to the protection of personal data,EDPS(Jul.17,2020) https://edps.europa.eu/sites/edp/files/publication/19-12-19_edp s_proportionality_guidelines_en.pdf.下文也將以此為鑒，并在指南所列清單的基礎上稍作改良，為應急狀態下比例原則對限制個人信息權利措施的適用構建進路，從而為個人信息權利提供程序保障。

圖一 比例原則對個人信息保護的適用進路簡圖

上圖第一步和第二步于形式上舍棄了指南中的前三點，該進路在引入目的正當性原則的基礎上沿用傳統的“三階”比例原則。其中第一步需評估限制措施是否目的正當，雖然應急狀態具有區別于常態情況的特殊性，但部分基本人權如生命權等依然不能克減，這里的評估主要需判斷限制措施是否有悖于基本人權。第二步則是初步判斷采取限制個人信息權利的措施是否能達到目的。第三步的必要性測試則是首先對限制措施及其目的作出事實性的描述，其次確定采取的措施是否構成了對個人信息保護權的限制，然后對采取措施的目的給出具體的界定，完成以上三點后，應在所有措施中選擇對權利侵害最小的手段。第四步的狹義比例測試需要對目的重要性進行評估，一般來說限制措施的目的應當是良好的。該測試還需評估限制措施對個人信息權利造成何種程度、規模以及強度的損害，并需考量措施的成本與收益。評估需比較個人風險與社會收益、個人收益與社會風險之間的關系，就人臉識別技術而言，由于其在疫情期間對記錄個人行蹤軌跡的作用不大且可用其他技術手段來代替，因此其社會收益一般，但鑒于其應用具有不可回復性，其對個人產生的風險較大、收益較低，綜合來看人臉識別技術不能通過狹義比例測試。

以上僅是在借鑒歐盟《個人數據保護比例原則指南》確立的比例測試的基礎上引述出的比例原則適用進路初步構想，目的在于希望通過這一套層層推進、精細量化的程序機制，對疫情應對措施所維護的公共利益和個人信息權利可能遭受的損害之間是否成比例進行比較，盡可能最大限度地減少對個人信息權利的不必要損害。

（三）救濟保障：引入事后比例原則司法審查機制

我國針對應急行政行為的司法審查制度依然存于缺漏狀態，原因在于不論是《突發事件應對法》或是《中華人民共和國行政訴訟法》都未對這一行為作出法律規制，而這既會導致行政主體對突發事件的應急處置行為嚴重危及行政相對人的行政訴權，也不能切實地保障行政相對人的合法權益，[41]參見高軒：《行政應急權對當事人行政訴權的威脅及其司法規制》，載《法學評論》2016 年第2 期，第56頁。至于運用比例原則來進行司法審查更無從談起，但這并不代表任由應急行政權對相對人進行侵害。盡管我國目前無此類案例，但是在此次疫情期間英國高等法院運用比例原則審查了一起關閉禮拜場所對公民宗教權利的干預與一般公共衛生利益之間的關系的案件，[42]See Hussain v.Secretary of State for Health and Social Care [2020] QB 1846.并且歐盟在《指南》中列舉了諸多歐盟法院運用比例原則對各部門擬議措施對個人數據權利的侵害程度的案件。

除了應急行政行為司法審查的空白，目前我國關涉個人信息保護的行政案件也寥寥，表現為“在個人信息類司法案件中，行政案件數量遠低于民事、刑事的現狀”[43]李帥：《個人信息公法保護機制的現存問題及完善對策——基于295 份行政判決書的定量研究》，載《浙江社會科學》2018 年第8 期，第59 頁。。而筆者以“傳染病”“信息”等為關鍵詞在中國裁判文書網進行檢索，發現近年來有關傳染病在行政訴訟中引發一定波瀾的是2017 年湖南省桃江四中發生肺結核病突發公共衛生事件，在此事件中大量的利益相關人主要以湖南省政府拒不公開有關疫情處理的信息構成行政不作為為由提起訴訟，[44]蔡米良訴湖南省人民政府行政不作為案，湖南省長沙市中級人民法院（2019）湘01 行初第55 號行政裁定書。由此可見公眾更關心在突發公共衛生事件中政府的疫情管控及信息公開工作是否到位。

本文認為，有必要對突發公衛事件中應急行政措施對個人信息權利所致損害進行司法審查，更重要的是運用比例原則來進行審查。由于現下的新冠疫情中政府大量運用大數據技術進行防控，該技術不僅引發關于個人信息權利的較大風險，更有可能對人權造成侵害。在事后引入比例原則司法審查能有效地比較行政措施對個人信息權利帶來的限制與所增進的公共利益是否相稱，而這也是相對人遭受權利侵害之后尋求救濟的最后手段。此外，運用比例原則進行司法審查的強度應達致最大，因為對個人信息權利的限制也關涉到對個人基本權利的限制，在此可引入德國比例原則審查的強力審查標準，[45]參見楊登峰：《從合理原則走向統一的比例原則》，載《中國法學》2016 年第3 期，第100 頁。一旦審查出行政權對個人信息權利的干預不當，應判定行政行為無效并對相對人給予賠償救濟。

結 語

新冠疫情下大數據技術被政府廣泛的采納及運用為我國抗疫成果的取得提供了巨大的貢獻，但是在急速發展的大數據技術、愈發精確的算法技術以及政府膨脹的行政權所鑄造出的密不透風“全景式監控”的空間中，個人信息應該何去何從？正如《人類簡史》作者赫拉利所言：“當下的流行病可能將是人類監控史上一個重要的分水嶺。”[46]尤瓦爾·赫拉利：《冠狀病毒之后的世界》，載澎湃網2020 年3 月26 日，https://www.thepaper.cn/newsDet ail_forward_6683941，2020 年7 月21 日訪問。在非常變為常態的局勢下，應當采用比例原則對個人信息權利的限制措施進行評估，并且此種評估方式應當遵循一定的進路。適用程序借鑒了由歐盟發布的《指南》所構造的比例原則適用清單，這不是一味模仿、追逐潮流的“削足適履”之舉，而是量化風險、避免個人信息權利受到損害的“量體裁衣”。而比例原則司法審查中對限制措施進行事后目的性審查和相應的比例審查將為無限擴張的行政權力劃定最后一道防線，以此防范短期限制變為長期限制、應急防控轉為常態監控的趨勢。