突发公共卫生事件中,以公共利益为目的收集和使用个人信息具有合理性和正当性。在公共利益与个人权利之间的利益权衡之下,基于现代法治对于权力控制的价值追求及对公民个人基本权利保护的现实需求,收集和使用个人信息应当严格遵循安全原则、比例原则、正当程序等原则,构建个人信息保护的规制框架,以加强对个人信息的公法保护和私法救济,实现社会公共利益与个人利益的平衡。
一、公共利益豁免权的含义
《民法典》规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个人信息保护法》草案(以下简称草案)规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。
根据草案第十三条规定,为应对突发公共卫生事件对个人信息进行处理,不受“同意”原则的限制。这一规定可称为个人信息保护中公共利益豁免权。平衡保护个人信息和维护公共安全的关系是草案的重要问题之一。此前“抗疫”严峻时期,登记身份证、手机号、姓名、住址、个人行踪、医疗健康情况等是常态,有些城市地铁站采用人脸识别措施,大数据应用为联防联控和复工复产提供了有力支持。然而,这些信息构成了个人最重要的基础信息,若数据泄露则无异“裸奔”。
目的的正当性不意味着手段的任意性。草案强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。草案中对于公共利益豁免性仅作了原则性规定,易产生个人信息侵害的风险,一定程度上影响了个人信息保护豁免规定的正当性。具体而言,信息收集主体、收集范围、使用程序、保存期限、保管措施、共享规范和后续个人信息处理机制等方面均需细化。
二、知情同意原则的例外
草案规定个人信息处理需遵循“告知-同意”(知情同意)原则,即收集和使用公民个人信息应明确告知其相关情况,并征得本人授权同意;并且个人有权撤回同意;重要事项发生变更应当重新取得个人同意。该规定体现公民能够自主决定同意他人对其本人信息进行收集、储存、处理以及利用的权利,并且权利人有撤回权、变更权等,即知情同意权是选择性同意,而非概括性同意的“霸王条款”。
法律不仅仅保护知情同意权,还要对个人信息的合理使用、分享和处理加以保护。基于公益维护的现实性,不应僵化运用“同意原则”,否则将严重阻滞个人信息的收集与使用而造成公共利益的重大损害。因此,草案第十三条规定了六种个人信息使用的合法性基础,取得个人同意只是其中一种,此外还包括符合合同义务、公共利益需要等情形。公共利益豁免权是知情同意原则的例外。
为避免公共利益豁免权滥用而侵害个人法益,仍需遵循个人信息处理规则。草案明确了信息主体享有知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。当前一些管理部门过度收集信息的现象较为普遍,而管理不当经常造成个人信息泄露。今后立法要关注信息收集和使用的具体环节,切实强化信息管理措施。
公益的实现需要“看得见的方式”背书,对个人信息的保护需要正当程序保障。以维护公共利益之名收集个人信息,需遵循最低限度的正当程序要求。首先,公开并说明理由。根据行政法中目的明确原则的要求,突发事件应对中收集个人信息,应当是为了满足“预防、监测、预警、处置、救援”等特殊目的需要。所谓公开:
一是面向社会的公开个人信息收集的法律规范,实现公众知情权,接受社会监督;
二是面向收集对象说明收集主体、法律依据、信息类别、收集与使用目的、个人权利及救济方式等事项。
此外,在行政机关为减少收集成本,而从非信息主体处获得个人信息时,亦应满足正当程序要求,应当履行对信息主体的告知义务。其次,重视公众参与。信息收集环节中的公众参与表现为查询、异议与更正。公民的查询是为了知悉行政机关对其个人信息的处理、使用情况。若查询被拒绝,公民有权提出异议;若查询后发现个人信息错误或过时,公民有权进行删除、修改、完善或补正。最后,公共利益的豁免权是知情同意原则的例外,信息收集和使用不以信息主体同意为前提。在突发公共卫生事件中,维护公共利益具有正当性和合法性,通过个人信息的合理使用、分享和处理,实现信息价值和公益要求。
三、公共利益豁免权的适用
公共利益豁免权的适用,关键在于对收集使用个人信息的限度进行规制,将对个人信息的侵害控制在最小限度,实现个人信息保护和社会公共安全之间的利益平衡。
(一)收集主体
草案未明确规定信息收集主体。对于公权而言“法无授权即禁止”。根据其他法律法规,我国有权收集个人信息的主体有三类:
一是县级以上政府及其卫生行政部门(《突发事件应对法》第三十八条第一款);
二是疾病预防控制机构(《传染病防治法》第十八条第一款);
三是各类医疗机构(《传染病防治法》第十二条)。
此外,突发事件应急处理指挥机构、街道、乡镇以及居民委员会、村民委员会,根据《突发公共卫生事件应急条例》第四十条的规定,其职责仅限于“协助”有权机关收集和报告。
(二)收集范围
为避免个人信息的过度使用和泄露,收集范围应遵循最小范围原则,根据信息所涉领域的重要性、收集信息时的紧迫性,以及收集信息与其目的之间的关联性等因素综合考量。收集的个人信息的类型应与突发事件应对有直接关联:
一是收集对象方面,原则上只收集重点人群的个人信息,如确诊者、疑似者、密切接触者等重点人群;
二是收集内容方面,若不得已情形下向不特定人收集信息,如果通过使用所收集的非敏感个人信息就可以实现目标,则不应扩大个人信息收集的范围。
例如,用于收集个人信息的“健康码”,不仅包括姓名、手机号码等个人身份信息,而且还会通过手机定位等信息技术对自然人的具体位置等敏感信息进行收集,增加了个人信息安全受到侵犯的风险。
(三)使用目的
收集主体应当在确保个人信息安全的基础上,遵循收集时已经明确的使用目的,依法使用与共享个人信息。如突发事件应对中行政机关使用已收集的个人信息,原则上仅限于突发事件的预防、监测、预警、处置、救援等目的需要,但若将这些个人信息用于学术研究亦需符合公共利益目的。“目的外使用”前,行政机关应当履行告知义务,必要时征得公民的同意。
(四)安全措施
突发事件应对中收集的个人信息,有相当数量属于“敏感信息”,应当采取必要的措施,防止个人信息被未经授权访问、使用及窃取、泄漏等。根据安全原则的要求,收集主体应当采取的措施包括但不限于物理措施、组织措施和技术措施。具体包括:
一是加强培训与考核,从根本上提高公务人员的安全管理意识;
二是安全措施的适当与必要。建立“适当”的数据安全能力,落实“必要”的管理和技术措施。
还需设定与处理信息导致的风险相称的安全级别,并对被收集的个人信息进行共享的规制。
(五)信息共享
突发事件应对中个人信息共享提高了信息收集和信息分析的效率。信息共享需要借助“去识别化”的技术手段,有效切断信息与信息主体之间的连接,这有利于保持个人信息保护与公众知情权间的平衡。“去识别化”包括“匿名化”与“去标识化”两类。草案规定,匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程;去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。基于“复原”的可能性不同,个人信息经“匿名化”处理后不再属于个人信息,即不再受到个人信息保护法的调整,可以“自由流通”。但“去标识化”是建立在个体基础之上,保留了个体颗粒度,采用假名、加密等技术手段替代对个人信息的标识,故仍属于个人信息,受到个人信息保护法的严格规范。
(六)保存期限
在公共卫生事件结束后,由信息收集主体对大量个人信息进行保管,会增加个人信息的安全风险。草案第二十条规定“必要的最短期限”原则,使用目的实现后,即事件经过后,应同时触发个人信息的删除、销毁,而若有其他使用目的,如用于公益维护、科学研究、社会统计等,需恪守“目的限制原则”。
(七)补救义务
行政机关在发生信息泄露后,履行上报义务。同时通知或警示相关信息主体,具体内容包括但不限于安全事件的内容和影响;采取的处置措施;公民自主防范和降低风险的建议等。
在提升国家治理体系与治理能力现代化的征程中,突发事件的依法应对受到来自各方的广泛关注,寻求个人信息保护中公私利益的平衡是法治国家建设的重要内容。对于大数据时代的个人信息保护而言,“今天”理应成为最好的时代,但稍有不慎,也可能沦为最差的时代。《个人信息保护法》让我们对未来充满了期待。
《个人信息保护法(草案)》框架下,公共利益豁免权的边界与适用
作者:刘欣来源:兰台律师事务所

突发公共卫生事件中,以公共利益为目的收集和使用个人信息具有合理性和正当性。