緊急狀態(tài)下個人信息保護的理論分析與制度探索
——以健康碼的應(yīng)用為契機

高潤青， 路瑞香

(1.中國政法大學(xué) 法學(xué)院，北京 100089；2.德國慕尼黑大學(xué) 法學(xué)院，慕尼黑 999035)

2020年1月23日以來，各地紛紛采取特殊時期封鎖和監(jiān)控措施，用以防止緊急狀態(tài)擴散，保障公共安全。在這場緊急狀態(tài)危機管控中，我國涉及個人信息采集和登記的措施層出不窮，記錄個人信息的健康碼逐步在全國范圍內(nèi)得到推廣和應(yīng)用。出于緊急狀態(tài)的需要，公民通常會同意這些個人信息收集行為。但是近期不斷出現(xiàn)的個人信息濫用、泄露事件讓公眾對個人信息的安全問題產(chǎn)生了擔(dān)憂，對政府在個人信息保護方面的信任度也有所下降。

此次緊急狀態(tài)再次喚起了人們對個人信息保護的關(guān)注，有關(guān)部門和專家學(xué)者呼吁在做好緊急狀態(tài)工作的同時也要保護好公民的個人信息。2020年出臺的《中華人民共和國民法典》(以下簡稱《民法典》)新增了個人信息保護的內(nèi)容，對個人信息保護做了較為詳盡的規(guī)定。但是，在緊急狀態(tài)中如何保護公民的個人信息、限制個人信息權(quán)的正當(dāng)性何在、界限何在等問題還有待解決。有鑒于此，筆者將充分借鑒此次緊急狀態(tài)中我國有關(guān)個人信息保護的經(jīng)驗教訓(xùn)，以廣泛應(yīng)用的健康碼為契點，進一步思考如何完善我國緊急狀態(tài)下的個人信息保護體系，期待本文可以為個人信息保護與公共利益的平衡問題做出貢獻。

一、個人信息與個人信息保護

在大數(shù)據(jù)時代，個人信息被收集、儲存、轉(zhuǎn)讓和使用已經(jīng)成為每個自然人被嵌入其中的社會生活常態(tài)，無法改變[1]。

因此，個人信息安全問題逐漸成為我國社會關(guān)注的熱點。2020年5月28日表決通過的《民法典》在人格權(quán)編的第六章獨立設(shè)置個人信息保護條款，可謂是我國個人信息保護發(fā)展道路上的里程碑，充分彰顯了我國對個人信息保護問題的高度重視。根據(jù)《民法典》第1034條的規(guī)定，個人信息被定義為以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

相較于2018年公布的第一版《民法典》草案,2020年正式表決通過的《民法典》中有關(guān)個人信息的定義新增了“健康信息”。筆者認(rèn)為,關(guān)于個人信息定義的這一變動,正是立法者出于對緊急狀態(tài)背景下個人信息保護問題的關(guān)注。健康碼等涉及公民個人信息的防控措施在便利收集與利用公民個人信息的同時,也會帶來一系列個人信息保護的問題。從長遠(yuǎn)來看,個人信息保護的發(fā)展伴隨著互聯(lián)網(wǎng)技術(shù)和數(shù)字時代的發(fā)展。我國頒布的《民法典》與時俱進,對個人信息的定義已經(jīng)考量到日前信息技術(shù)的發(fā)展與社會的實際情況。個人信息的范圍和種類是隨著社會發(fā)展而不斷增長的。個人信息不僅指單獨即可識別自然人的具體數(shù)據(jù),還包含可以通過與其他信息結(jié)合識別自然人的諸如健康狀況之類的抽象信息。另外，根據(jù)《民法典》第一千零三十四條的規(guī)定，“自然人的個人信息受法律保護”。因此，這里所指的個人信息保護的主體為自然人，本文所討論的也是緊急狀態(tài)下自然人的個人信息保護問題。

從健康碼應(yīng)用的具體場景和操作流程來看,雖然《民法典》中明確規(guī)定的用戶個人信息的合法權(quán)利使用主體并非是一個自然人,但是真正掌握和管理使用用戶個人信息的權(quán)利主體不僅僅是自然人,還包括網(wǎng)絡(luò)社會中的平臺企業(yè)、政府機關(guān)、醫(yī)院、學(xué)校等權(quán)利主體。這些應(yīng)用主體往往出于自身商業(yè)價值、公共安全等諸多方面的重要考慮,相對于其他自然人本身而言更容易表現(xiàn)成為公民個人信息泄露與非法濫用的主體,對公民的個人信息安全造成危害。公民對保護個人人身信息安全的嚴(yán)重?fù)?dān)憂以及對網(wǎng)絡(luò)平臺和及企業(yè)等運營主體的嚴(yán)重不信任感呈現(xiàn)明顯的上升態(tài)勢。新規(guī)范的有效推行往往是主觀性和客觀性的結(jié)合。數(shù)字經(jīng)濟時代下個人信息安全泄露違法行為的不斷增加和其他非法途徑侵犯公民個人信息受到保護權(quán)益漏洞的廣泛利用,加快了社會相關(guān)國家法律法規(guī)的完善,促成了《網(wǎng)絡(luò)安全法》與《民法總則》中接連寫入有關(guān)個人信息受到保護的法律條文。從本質(zhì)上來講,個人信息的自由保護體現(xiàn)了自然人對其自身日常生活的自主決定權(quán)。《民法典》中寫入保護個人信息的規(guī)定體現(xiàn)了我國對個人信息利用的價值的關(guān)注,反映了以人為本和意思自治的民法精神。

二、緊急狀態(tài)下個人信息保護的特點

(一)緊急狀態(tài)下個人信息保護與個體尊嚴(yán)緊密相關(guān)

緊急狀態(tài)期間，為了便于對公民的健康狀況進行監(jiān)測，全國各地陸續(xù)推行了健康碼。用戶在相關(guān)小程序、Web端應(yīng)用或App上填寫個人信息，平臺會結(jié)合用戶個人的健康記錄、行蹤軌跡等數(shù)據(jù)，最終生成反映用戶個人健康狀況的帶有顏色的二維碼。健康碼通過顏色來區(qū)分不同的風(fēng)險級別，持有“綠碼”的公民可以正常通行，而“黃碼”和“紅碼”則意味著需要繼續(xù)等待以滿足相應(yīng)的隔離要求。此種根據(jù)健康碼顏色的不同而對個體進行區(qū)別對待的做法確實在緊急狀態(tài)中減少了重復(fù)登記，避免了交叉感染，提高了政府的管理效率。

然而，在此種高效手段的背后隱藏著個體尊嚴(yán)的保障問題。從健康碼的實際使用過程來看，健康碼的背后不僅僅是個人交通出行記錄、通信記錄、就診記錄、個人登記信息等各類數(shù)據(jù)，而且還包括了大數(shù)據(jù)分析給出的個人的健康狀態(tài)的判斷，也就是健康碼的顏色，其直接關(guān)系到了用戶切身利益。緊急狀態(tài)下收集和使用的個人信息通常會涉及公民個人的健康狀況，而在公共衛(wèi)生危機面前每個公民最想守護的便是自身的生命安全。當(dāng)身邊有需要等待隔離或被隔離的人員出現(xiàn)時，每個人都避之而不及，甚至?xí)扇∫恍O端方法。我們試想一下，如果“黃碼”和“紅碼”中的公民個人信息被泄露或者濫用，那么在當(dāng)前的互聯(lián)網(wǎng)時代下，很有可能引發(fā)網(wǎng)民們對持有“黃碼”或“紅碼”的公民進行搜索或甚至攻擊。一旦出現(xiàn)這種情況，等待隔離或者已被隔離的公民將被歧視對待，其個體尊嚴(yán)必然會受到嚴(yán)重侵害。

(二)緊急狀態(tài)下個人信息權(quán)受到限制

《民法典》在人格權(quán)編的第六章獨立設(shè)置有關(guān)公民個人信息的條款，不僅體現(xiàn)了我國在數(shù)字時代下對個人信息保護的重視，也是對自然人擁有個人信息權(quán)的一種肯定。個人信息權(quán)的本質(zhì)是“個人具備權(quán)利，以自行決定何時并在何種限度內(nèi)披露其個人生活事實”[2]。換言之，個人對其擁有的各種信息享有自由支配的權(quán)利，但這種信息支配權(quán)并不是絕對的。

在緊急狀態(tài)的重大背景下,健康碼主要依附于自然人本身,與公民的個人身份信息綁定,反映我國公民個體的健康相關(guān)信息與日常活動情況。這一具有用戶個人信息的二維碼在我國的緊急狀態(tài)中不只用于用戶個人的日常生活與工作,還會被各地的政務(wù)主管部門廣泛用于加強行政區(qū)劃內(nèi)工作人員的健康管理尤其是對已經(jīng)確診或疑似感染肺炎者的健康監(jiān)測與動態(tài)追蹤上。在各地政務(wù)主管部門通過健康碼進行緊急狀態(tài)監(jiān)測、防控的工作過程中,國家的行政權(quán)在一定程度上進行了擴張,主要表現(xiàn)為可以對我國公民的個人信息權(quán)利也進行限制。而在正常情況下,國家的政務(wù)主管部門是無權(quán)對公民的個人信息及其權(quán)益安全進行任何干涉或加以侵犯的。但在緊急狀態(tài)迅速蔓延乃至波及全國的背景下,在我國公民生命健康與國家安全利益遭遇嚴(yán)重威脅的現(xiàn)實情況下,國家權(quán)力的不斷擴張勢必會以公民個人信息保護權(quán)益的減損作為代價。但是，這種對用戶個人信息所有權(quán)的限制應(yīng)是有一定范圍和限度的。

(三)緊急狀態(tài)下個人信息權(quán)的限制應(yīng)遵循法定程序

正如筆者在上文提到的，在突發(fā)公共衛(wèi)生事件面前，公民個人確實不得不讓渡部分個人信息權(quán)，以便緊急狀態(tài)工作的迅速開展。但是在現(xiàn)代法治社會中，此種在突發(fā)公共衛(wèi)生事件下的臨時需求也不能違反法定程序。有關(guān)部門須依照相關(guān)法律規(guī)定取得授權(quán)后在法律規(guī)定的情況下對公民的個人信息進行收集與使用，并且不得隨意泄露或濫用公民個人信息。只有在程序上對緊急狀態(tài)中擴大的行政權(quán)進行限制，才能實現(xiàn)對公民個人信息權(quán)益的保護。

三、緊急狀態(tài)下個人信息保護的相關(guān)法理分析

(一)健康碼收集與使用個人信息的正當(dāng)性

1.用戶的知情同意

2012年《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》首次在國家法律文件中正式確定了關(guān)于個人信息可以收集的“知情同意原則”,規(guī)定網(wǎng)絡(luò)服務(wù)提供者在收集使用公民的個人電子信息時,應(yīng)當(dāng)明示其收集、使用個人信息的目的、方式和范圍,并經(jīng)被收集者本人同意,不得違反國家法律、法規(guī)的有關(guān)規(guī)定。《網(wǎng)絡(luò)安全法》第四十一條將該使用原則進一步規(guī)范拓展涉及到用戶個人信息的后續(xù)使用環(huán)節(jié)。2020年的《民法典》第一千零三十五條也明確規(guī)定了用戶個人信息的合理收集與使用處理應(yīng)事先征得有關(guān)自然人或其法定監(jiān)護人的明確同意。在目前的此種立法模式下,用戶及其個人的合法知情權(quán)和同意條件構(gòu)成了目前我國一般認(rèn)為收集和處理用戶個人信息的合法性和正當(dāng)性基礎(chǔ)。在收集和使用公民個人信息的實踐中,健康碼的網(wǎng)絡(luò)服務(wù)提供者在收集和處理用戶的個人信息前,應(yīng)將用戶個人信息的處理狀況告知其本人,向健康碼的用戶發(fā)布個人隱私保護聲明,用戶在仔細(xì)閱讀上述聲明并做出表示同意的聲明意思后即為表示同意,此種意思表示聲明是對用戶個人信息進行收集及處理和利用的合法授權(quán)。

2.維護公共衛(wèi)生安全的需要

大數(shù)據(jù)時代下，知情同意的有效性大幅削弱，且不符合經(jīng)濟考量，忽視了公共利益，難以實現(xiàn)個人利益保護與促進信息利用的平衡[3]。在緊急狀態(tài)的背景下，知情同意模式的局限性更是日漸凸顯。如果國家衛(wèi)生部門、醫(yī)院、學(xué)校等信息掌控者，對緊急狀態(tài)工作所需要的個人信息，必須要向每一個健康碼的用戶進行履行告知義務(wù)并且獲得其同意，那么基于個人信息的緊急狀態(tài)措施將無法得到迅速開展，公共衛(wèi)生安全將無法第一時間得到有效維護。我們必須充分意識到，緊急狀態(tài)下個人信息的收集與使用是有別于正常狀態(tài)下個人信息的收集與使用的。緊急狀態(tài)下對個人信息的保護更加側(cè)重于其對社會整體的價值而非對單獨個體的價值。而且根據(jù)目前《中華人民共和國傳染病防治法》(以下簡稱《傳染病防治法》)等法律的規(guī)定，在緊急狀態(tài)的特殊情況下，為了維護國家安全和公共利益的需要，國家衛(wèi)生部門和醫(yī)院可以在未事先征得個人信息主體同意的情況下合理收集和使用我國公民的個人信息。

(二)緊急狀態(tài)下個人信息權(quán)限制的界限

與緊急狀態(tài)下個人信息保護緊密相連的問題即是個人信息權(quán)的限制問題。盡管緊急狀態(tài)下國家權(quán)力可以出于維護國家安全和公共利益的需要對公民的個人信息權(quán)進行限制，但是從規(guī)范科學(xué)的角度來看，此種限制應(yīng)該是有界限的。此種限制的界限主要表現(xiàn)為緊急狀態(tài)下公民的某些個人信息權(quán)可以受到限制，而某些個人信息權(quán)是不應(yīng)受到限制的；部分受到限制的個人信息權(quán)受限制的程度應(yīng)該是合理的，其受到的限制應(yīng)當(dāng)合乎緊急狀態(tài)下維護公共利益的正當(dāng)目的，與保護公共利益的緊迫程度成比例。

1.緊急狀態(tài)下個人信息權(quán)的限制應(yīng)限定在一定范圍內(nèi)

盡管在與緊急狀態(tài)抗?fàn)幍倪^程中公民不得已需要放棄部分個人信息權(quán)，但是這也不能作為踐踏人權(quán)的依據(jù)。與傳統(tǒng)意義上的人格權(quán)不同，個人信息權(quán)既有消極的權(quán)能，亦有積極的權(quán)能[4]。個人信息權(quán)的知情權(quán)、決定權(quán)、處分權(quán)，是個人信息權(quán)所具有的最顯著的積極權(quán)能[5]。個人信息權(quán)的消極權(quán)能表征信息主體排除侵害的可能性，僅在個人信息的完整性、準(zhǔn)確性、私密性遭破壞時才體現(xiàn)出來。它包括更正權(quán)、限制權(quán)、反對權(quán)以及刪除權(quán)(被遺忘權(quán))[6]。筆者認(rèn)為，出于緊急狀態(tài)下維護公共衛(wèi)生安全的需要，國家權(quán)力對公民個人信息權(quán)的限制應(yīng)僅涵蓋決定權(quán)、處分權(quán)等積極權(quán)能；而對主要涉及防御個人信息權(quán)受侵害的更證權(quán)、限制權(quán)、刪除權(quán)等消極權(quán)能則無限制的必要。以健康碼的應(yīng)用為例，本次緊急狀態(tài)中曾經(jīng)出現(xiàn)過公民個人注冊時填寫錯誤其個人信息或臨時離開經(jīng)常居住地，而造成健康碼突然從綠色變成紅色的情況。在這種情況下，若公民無法行使其個人信息權(quán)的消極權(quán)能，那么其基本的人身自由將受到嚴(yán)重侵害，甚至?xí)斐善湓诰o急狀態(tài)之下的基本人權(quán)無從獲得保障。因此，緊急狀態(tài)下國家對公民個人信息權(quán)的限制應(yīng)是有界限的，不能對其中的消極權(quán)能進行限制，而具體限制哪些積極權(quán)能則需要根據(jù)必要性和適當(dāng)性原則進行確定。

2.緊急狀態(tài)下個人信息權(quán)的限制應(yīng)是有限度的

在緊急狀態(tài)的特殊時期，各級國家機關(guān)權(quán)力擴張意味著公民個體權(quán)利的減損。國家權(quán)力一旦擴張過度，就必然會導(dǎo)致對公民個人信息權(quán)的嚴(yán)重侵害。國家公權(quán)力對公民權(quán)利的減損應(yīng)借鑒公法上的比例原則對其進行適當(dāng)限制,以保證其在緊急狀態(tài)下對公民的個人信息權(quán)所采取的各種限制措施手段與緊急狀態(tài)措施之目的是成比例的。公法上的比例原則具體包括三個子原則，分別是必要性原則、適當(dāng)性原則和相稱性原則。運用這三個子原則將公權(quán)力對公民個人信息權(quán)的限制限定在一定程度內(nèi)既是出于降低個人信息泄露風(fēng)險的需要，也有利于政務(wù)部門減輕負(fù)擔(dān)、做到精準(zhǔn)防控。在公民向政府讓渡權(quán)利的情況下,除了公權(quán)力可能出現(xiàn)濫用、侵犯私權(quán)的問題,我們還應(yīng)注意到政務(wù)部門的管理資源是有限的。從節(jié)約政務(wù)資源的角度來考量,政務(wù)部門對公民個人信息權(quán)也不應(yīng)采取極端的限制手段或隨意削減公民的個人信息權(quán),而應(yīng)努力將限制手段控制在必要的、適當(dāng)?shù)南薅葍?nèi)。

(三)緊急狀態(tài)下公民私權(quán)與公共利益的平衡

行文至此，筆者發(fā)現(xiàn)在緊急狀態(tài)下無論對個人信息的保護還是對公民個人信息權(quán)的限制都無法繞開一個關(guān)鍵問題即政務(wù)部門如何在突發(fā)公共衛(wèi)生事件下平衡公民私權(quán)與社會公共利益。政務(wù)部門想要平衡好個人信息保護與公共利益間的關(guān)系是非常不容易的，筆者注意到日本的民法學(xué)者提出利益衡量論以調(diào)整平等主體間的利益沖突。利益衡量論認(rèn)為，法院進行法的解釋，不可能不進行利益衡量，強調(diào)民法解釋取決于利益衡量的思考方法，即關(guān)于某問題如果有A、B兩種解釋的情形，解釋者究竟選擇哪一種解釋，只能依據(jù)利益衡量論決定，并在做出選擇時對既存法規(guī)及所謂法律構(gòu)成不應(yīng)考慮[7]。民法學(xué)者提出的利益衡量論是私法上平衡利益沖突的理論，然而在緊急狀態(tài)下的利益沖突則是私人利益與公共利益的沖突，不僅涉及私法調(diào)整，也涉及到公權(quán)力的擴張及其控制。在緊急狀態(tài)的重大背景下為平衡好個人信息保護與公共利益的關(guān)系，我們當(dāng)然可以充分借鑒利益衡量論中有關(guān)于利益衡量的思考方法，但是在利益衡量時不可拋棄既存的公法層面的法律、法規(guī)。私法領(lǐng)域秉持法無禁止皆可為的原則，而公法領(lǐng)域則奉行法無授權(quán)不可為的準(zhǔn)則。我們在運用利益衡量的方法權(quán)衡私人利益與公共利益時要充分考慮兩項基本原則，兼顧私權(quán)自治的維護與公權(quán)濫用的防止、控制。對于緊急狀態(tài)下公民私權(quán)與公共利益的平衡，可以從以下三個方面展開具體分析。

1.立法層面

根據(jù)我國《民法典》第一千零三十六條的規(guī)定，行為人為維護公共利益而處理他人信息的，不承擔(dān)民事責(zé)任。根據(jù)我國《傳染病防治法》的規(guī)定，“在緊急狀態(tài)的特殊情況下，為了維護國家安全和公共利益的需要，國家衛(wèi)生部門和醫(yī)院可以在未征得個人信息主體同意的情況下合理收集公民的個人信息”。以上立法層面的規(guī)定都體現(xiàn)了公民私權(quán)與公共利益間張力關(guān)系的考量，我國未來在完善其他法律法規(guī)或制定單獨的個人信息保護法時也應(yīng)做出此種利益衡量，以維護整個社會的公正秩序。

2.司法層面

利益衡量與司法審查活動相伴而生，是法官在對具體案件進行審查時所不能回避的問題。“‘利益衡量’一詞并非對新創(chuàng)建的一種方法的概括，而是對普遍的已經(jīng)運用著的司法方法的概括。[8]”法官在對緊急狀態(tài)下涉及公民個人信息保護的案件進行裁量時，應(yīng)運用利益衡量的方法對相關(guān)法律條文做出合理解釋，協(xié)調(diào)公民個人利益與公共利益間的沖突，確定合理的界限，為受到侵害的公民個人權(quán)利提供必要的救濟。

3.執(zhí)法層面

執(zhí)法機關(guān)在執(zhí)行有關(guān)緊急狀態(tài)的法律法規(guī)時，可以采用操作性較強的比例原則在公民私權(quán)與公共利益間尋找平衡點，使得公民個人信息的保護與公共衛(wèi)生安全的維護間形成合適的比例，做到既不因較小的的公民個人信息權(quán)益而損害公共利益，也不能因為較小的公共利益而放棄對較大的個人信息權(quán)的保護。

四、完善我國緊急狀態(tài)下個人信息保護的制度進路

(一)對我國緊急狀態(tài)下個人信息保護制度的反思

從健康碼應(yīng)用的視角來看我國目前對緊急狀態(tài)下個人信息的保護方面存在的問題如下。

1.現(xiàn)行法律規(guī)范對緊急狀態(tài)下個人信息的保護力度較弱

隨著互聯(lián)網(wǎng)時代的發(fā)展，我國不斷通過完善現(xiàn)有的法律規(guī)范體系為網(wǎng)絡(luò)中個人信息的保護提供法律依據(jù)，主要包括下表中羅列的八個法律規(guī)范。

根據(jù)下表的匯總，我們可以發(fā)現(xiàn)我國現(xiàn)行法律規(guī)范對個人信息的保護主要是從維護互聯(lián)網(wǎng)安全的角度出發(fā)，對網(wǎng)絡(luò)服務(wù)的提供者提出具體要求來保護公民的個人信息權(quán)。我國在緊急狀態(tài)下公民個人信息的保護力度是較弱的，不僅事前缺乏風(fēng)險預(yù)防機制，事中對個人信息侵害行為的制裁也是更多地依靠行政措施，事后對違法行為的懲戒也僅限于《中華人民共和國刑法》規(guī)定的泄露公民個人信息嚴(yán)重的情形下而未涉及信息濫用行為。另外，與緊急狀態(tài)密切相關(guān)的《傳染病防治法》和《突發(fā)公共衛(wèi)生事件應(yīng)急條例》的重點也沒有放在公民個人信息的保護方面，而是更多地規(guī)定了緊急狀態(tài)下公民為相關(guān)政務(wù)部門提供個人信息的義務(wù)。由此可以看出，我國現(xiàn)行法律規(guī)范是無法為緊急狀態(tài)下個人信息面臨的風(fēng)險提供全方位覆蓋，更無法對緊急狀態(tài)下的公民個人信息權(quán)進行充分保護。

序號名稱法條年份頒布機關(guān)1《民法典》第一千零三十四條、第一千零三十五條、第一千零三十六條、第一千零三十七條、第一千零三十八條、第一千零三十九條2020全國人民代表大會2《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》—2019國家互聯(lián)網(wǎng)信息辦公室3《民法總則》第一百一十一條2017全國人民代表大會4《刑法》第二百五十三條之一2017全國人民代表大會5《最高人民法院、最高人民檢察院關(guān)于親發(fā)公民個人信息刑事案件使用法律若干問題的解釋》—2017最高人民法院、最高人民檢察院6《網(wǎng)絡(luò)安全法》第二十二條、第三十七條、第四十一條、第四十二條、第四十三條、第四十四條、第四十五條、第六十四條、第七十六條2016全國人大常委會7《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》—2013工業(yè)和信息化部8《消費者權(quán)益保護法》第十四條、第二十九條、第五十條、第五十六條2013全國人大常委會

2.緊急狀態(tài)下對個人信息的保護一把抓，缺乏對敏感信息的重點保護

從規(guī)范性角度進行考量，公民的個人信息按敏感程度的不同可以被劃分為敏感信息和一般信息。敏感信息是指構(gòu)成個人隱私的信息，一般信息是指通常狀態(tài)下不構(gòu)成隱私的信息[7]。根據(jù)最高人民法院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第五條的規(guī)定，“敏感信息主要包含軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息、住宿信息、通信記錄、健康生理信息和交易信息”。我國為控制緊急狀態(tài)的蔓延利用健康碼等手段收集和處理了大量公民個人信息，其中也包含很多敏感信息。然而，令人痛心的是，近期一些省份在緊急狀態(tài)期間出現(xiàn)了敏感信息泄露的事件，這對公民的個人隱私造成了嚴(yán)重破壞。

3.“合法、正當(dāng)、必要”原則缺乏具體的判斷標(biāo)準(zhǔn)

鑒于“知情同意”原則在平衡個人信息保護與公共利益、數(shù)據(jù)利用方面的局限性，我國在實踐中不能過度依賴“知情同意”原則。而《民法典》中規(guī)定的“合法、正當(dāng)、必要”原則也缺乏具有可操作性的標(biāo)準(zhǔn)。由于具體判斷標(biāo)準(zhǔn)的缺乏，緊急狀態(tài)期間很多個人信息的收集和處理者在收集、保存和共享個人信息的過程中缺乏保密措施，造成了公民個人信息的濫用和泄露。

4.我國對緊急狀態(tài)過后個人信息的保護問題未做出規(guī)定，存在嚴(yán)重缺失

緊急狀態(tài)期間，網(wǎng)絡(luò)服務(wù)提供者和被授權(quán)的相關(guān)部門通過健康碼等小程序或App收集與處理了大量公民的個人信息。隨著緊急狀態(tài)的退散，這些被收集的個人信息是否還能被網(wǎng)絡(luò)服務(wù)提供者和相關(guān)部門使用，如果能被繼續(xù)使用，那么使用的范圍該如何限定；如果不能被使用，那么這些公民的個人信息該由誰進行處理，該選擇怎樣的具體處理方式。這些問題都亟待回應(yīng)和解決，但是我國目前對緊急狀態(tài)過后如何保護緊急狀態(tài)中收集的公民個人信息是沒有相關(guān)法律規(guī)范和政策規(guī)定的。

(二)完善我國緊急狀態(tài)下個人信息保護制度的初步設(shè)想

1.完善相關(guān)法律規(guī)范，形成私法與公法協(xié)力的保護機制

緊急狀態(tài)下對公民個人信息的保護不僅是私法領(lǐng)域的問題，也是公法領(lǐng)域中值得關(guān)注的對象。健全緊急狀態(tài)下對個人信息事前、事中和事后的保護機制是私法與公法共同承擔(dān)的任務(wù)。推動私法與公法在個人信息保護方面的協(xié)調(diào)與銜接是大數(shù)據(jù)時代發(fā)展的需要，也是平衡公民私權(quán)與公共利益的需要。私法與公法應(yīng)對緊急狀態(tài)中濫用公民個人信息、泄露公民個人信息等侵害公民個人信息權(quán)的行為分別做出民事、行政、刑事方面的制裁規(guī)定，以對個人信息的侵害者形成震懾力，為公民個人信息提供全方位的保護。

2.對個人信息實行分類保護，強化對敏感信息的保護

我國應(yīng)借鑒歐盟《通用數(shù)據(jù)保護條例》的規(guī)定，根據(jù)公民個人信息的應(yīng)用場景對其進行分類分級保護，將個人信息劃分為一般信息與敏感信息，施以不同的保護力度。在緊急狀態(tài)的背景下，姓名、出生日期、身份證件號碼、生物識別信息、住址、電話、電子郵箱、定位數(shù)據(jù)、在線活動等行蹤信息，也應(yīng)認(rèn)定為構(gòu)成隱私的敏感信息，從個人信息權(quán)的高度加以法律保護。基因數(shù)據(jù)、生物數(shù)據(jù)和健康數(shù)據(jù)等本身作為敏感信息，更應(yīng)得到重點關(guān)注和特別保護。

3.明確“合法、正當(dāng)、必要”原則的具體標(biāo)準(zhǔn)，細(xì)化個人信息收集與處理規(guī)范

緊急狀態(tài)下對公民個人信息的收集與處理涉及多個主體，只有明確“合法、正當(dāng)、必要”原則的具體標(biāo)準(zhǔn)，細(xì)化個人信息收集與處理規(guī)范，才能防范公民個人信息的濫用與泄露。首先，促進信息共享的同時應(yīng)對各方主體收集與使用信息的范疇做出具體規(guī)定；其次，可以根據(jù)比例原則對公民個人信息處理的限度問題做出明確規(guī)定；最后，應(yīng)對多方主體收集與處理個人信息的渠道進行統(tǒng)籌規(guī)劃，明確各方主體收集與使用信息的渠道。

4.制定緊急狀態(tài)過后保護個人信息的法律法規(guī)，對緊急狀態(tài)過后個人信息的處理問題進行實體規(guī)范與程序規(guī)范

隨著緊急狀態(tài)蔓延的態(tài)勢得到控制，我國應(yīng)及時制定緊急狀態(tài)過后保護個人信息的法律法規(guī)。筆者認(rèn)為，在相關(guān)法律法規(guī)中應(yīng)規(guī)定政務(wù)部門在緊急狀態(tài)下依法收集的公民個人信息，緊急狀態(tài)過后要嚴(yán)格保存或銷毀，防止公民隱私泄露和濫用；網(wǎng)絡(luò)服務(wù)提供者不得以違法或不正當(dāng)手段收集、加工、保存和利用個人信息；因業(yè)務(wù)工作而收集、保存的個人信息，要嚴(yán)防泄露或非法交易。另外，網(wǎng)絡(luò)服務(wù)提供者在緊急狀態(tài)過后收集和保存的個人信息以及處理個人信息的方式應(yīng)及時報監(jiān)管部門備案；政務(wù)部門與網(wǎng)絡(luò)服務(wù)提供者對緊急狀態(tài)過后用戶個人信息的處理情況，也應(yīng)告知個人信息主體，在程序上保障公民的知情權(quán)。