【www.zhangdahai.com--其他范文】
杨祖卿
(安徽大学 法学院,安徽 合肥 230601)
随着新冠疫情的爆发,这种突然发生的可能造成社会公众健康严重损害的公共卫生事件备受瞩目,虽然我国的疫情已经逐渐得到控制,但是外防输入和内防反弹压力仍然不容小觑。在公共卫生事件中,为了更好的掌控各省份聚集、流动以及分布情况,需要收集、利用、公开各种个人信息。个人信息兼具人格利益与财产利益,在应对公共卫生事件的过程中,个人信息被违法违规收集、个人隐私遭到泄露的情况时有发生,当事人的身份证号码、联系电话、住址等私密敏感信息被非法曝光,由此给当事人带来了极大的困扰并造成了合法权益的侵害。
我国没有专门的个人信息保护立法,对个人信息的保护主要体现在民法、刑法、行政法等法律以及其他法规、规范性文件中,规定的内容也比较简单粗线条,相互之间缺乏关联性与整体性,使得实践中的可操作性不强。《民法总则》第111条规定了自然人的个人信息受到法律保护,个人信息应当依法获取,但是这仅仅是宣示性条款,明确了法律保护个人信息,而究竟应当如何保护个人信息以及自然人享有哪些具体的个人信息权益,法律并未作出回应。《中华人民共和国刑法修正案(九)》规定了侵犯公民个人信息罪,旨在打击违反国家规定向他人出售或者提供公民个人信息的行为,然而,在具体适用中会因为情节严重的标椎以及其他非法方法的认定不明确,导致对该条款的理解比较模糊,实践中法官的自由裁量权比较大。尤其在公共卫生事件中,针对个人信息被侵犯的现象,该条款的就显得十分乏力,难以达到既定的立法宗旨,对于大范围的密集的侵害个人信息的犯罪活动,由于被害人举报的意识不强烈、证据收集难度大、信息化犯罪侦破难度大等,刑法难以轻易定罪,导致实际的保护水平比较低,个人信息难以得到有效保护。《中华人民共和国行政诉讼法》虽然规定公民可以对具体行政行为提起行政诉讼,即如果行政机关收集利用个人信息侵犯了公民的合法权益时,公民有提起诉讼的权利,但是行政机关在公共卫生事件中收集利用个人信息的违法性边界界定与侵害权益的证明是很困难的,因此通过行政诉讼方式维权的难度比较大。《中华人民共和国政府信息公开条例》为了提高政府工作的透明度,从政府信息公开服务的目的出发,实现对个人部分信息的附加性保护,由于适用范围有限以及规定零散化,本质上也无法实现真正意义上的个人信息保护。
为了做好新型冠状病毒感染肺炎疫情联防联控中的个人信息保护,积极利用包括个人信息在内的大数据支撑联防联控工作,中央网络安全和信息化委员会发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,提出各地方各部门要高度重视个人信息保护工作,明确了个人信息的收集主体、收集范围以及利用范围,坚持最小范围原则和赋予收集或掌握个人信息的机构以个人信息安全保护义务,严厉打击违法违规收集、使用、公开个人信息的行为。但是,该通知的效力位阶比较低,内容简短,仅仅规定了六条要求,对于公共卫生事件中的个人信息保护没有进行框架性构建与细致性规定,公共卫生事件中的一些实践性问题得不到解决,个人信息保护并得到较大程度的提高。
实际上,公共卫生事件中的个人信息保护具有特殊性,其中充斥着各种利益冲突与利益衡量,如何进行价值选择与利益平衡是个人信息保护工作中需要仔细考虑的重点。一方面,涉及了隐私权与知情权的冲突。一般情况下,自然人的私人信息秘密依法受到保护,不被他人非法侵扰、知悉、收集、利用,且权利主体对于自己的个人信息是否向他人公开以及公开的人群范围和程度等具有决定权。但在公共卫生事件,由于公众享有一定的知情权,例如有权知晓感染人群的居住地址、行动轨迹等信息,如何在保障公众知情权并推动公共卫生事件更快更好妥善解决的情况下保护当事人的隐私权,这是值得深思的利益衡量。另一方面,涉及了个人利益与公共利益的冲突。个人信息兼具私领域与公领域,具有个体性与公共性交叠的属性,必可避免的产生了个人利益与公共利益的冲突。比如,公众为了享有安全、健康生活的公共环境而要求知悉部分公共卫生事件当事人的个人信息,如何保护公共利益的同时避免个人信息泄露或非法利用而造成的个人利益损害,这也是利益衡量的关键。
我国公共卫生事件中个人信息保护的立法与司法实践相对比较滞后,而美国、欧盟、德国的个人信息保护的立法模式与立法技术具有很大程度的借鉴性。“它山之石,可以攻玉”,为此,有必要从比较法角度考察发达国家或地区的个人信息保护经验,通过比较分析与经验总结,探索出符合我国国情与实践情况的个人信息保护路径。
(一)美国
美国将个人信息保护纳入隐私权保护的范畴,认为公民享有信息性隐私权,为了防止国家权力对于个人隐私的涉足与干预,个人应当拥有控制自己信息流动的权利,以此保护个人信息免受国家公权力的侵害。但是,美国对于个人信息的保护是约束性不强的,因为高度保护会造成妨碍信息自由,尤其是在互联网信息技术与大数据高速发展的现代社会,美国希望在不损害信息自由发展的前提下来实现对个人信息的保护。因而,美国赋予个人对其信息的控制不是绝对性的,而是在个人信息保护与信息自由之间寻求一个平衡点。个人对于信息的控制,其正当性基础在于个人信息所蕴含的隐私性具有经济利益或财产价值,个人信息理应被包含在个人自治的范围。当然,也有学者对此存在争议。毕竟在信息社会,个人信息本身的价值显然不如信息整合后的累积与综合价值,在公共卫生事件中,很多人更在乎的是信息整合后能带来的社会效益,个人信息存储与保管以及责任承担在此情形下是受限的。
美国摒弃了传统的告知与同意规则,在个人信息保护与信息自由之间进行价值博弈的过程中,采取了相对灵活的控制风险与情景理念。传统的告知与同意规则过于追求形式化而忽略了实际,一般公民不会耐下心来看完繁杂冗长的声明,即便能看完,有些专业术语与技术性内容也不一定能理解。公民对于声明没有协商同意后的更改权,只能机械的选择是否同意,所以这种告知与同意是没有实际意义的,公民的参与感被弱化了,对后续的信息利用也丧失了知情权,难以真正保护个人信息。而在控制风险与情景理念下,公民被赋予了选择权与撤销权,信息收集方也被要求了调查义务,在公开个人信息时必须做到情景一致,即基于原始的特定情景与特定目的公开信息。这种理念规范了个人信息的授予同意以及使用范围,公民是在自身合理期待范围内、掌握可控性以及享有后续选择与救济权的情况下将个人信息授权给第三方,避开开了原有模式的机械性弊端,灵活处理信息自由与个人信息保护的冲突,在不损害整体信息自由的情形下实现个人信息的保护。
(二)欧盟
欧盟一般将个人信息称作个人数据,其对于个人信息的保护经历了隐私权到人格权的转变。个人数据包括一般数据与敏感数据,而敏感数据难以通过隐私权的方式予以保护。有些敏感数据虽然具有对自然人的识别性,但是不属于隐私权所强调的私密性,所以无法将这部分的个人数据纳入隐私权保护范畴。隐私权具有防御性、消极性的特点,往往只能在侵害发生后才能行使一定的权利,这对于个人数据起不到应有的保护作用。在公共卫生事件中,大部分个人数据通过互联网与大数据技术进行收集、存储以及利用,如果个人数据在网上遭到泄露,权利人即便主张排除妨害,但此时遭到泄露的个人数据已经进入到公共领域,互联网平台断开链接仍然无法阻止个人数据的进一步传播与扩散。因此,欧盟后来进行专门的个人数据保护立法,将个人数据加以严格区分,重视对敏感数据的保护。欧盟在《95指令》、《16条例》中提出了差异化的处理方式,根据数据的重要性程度,明确规定三类禁止处理的个人敏感数据。同时,基于数据保护与利用之间的平衡,也创设了例外,即在涉及公共利益或便利性等特定情形下,允许处理个人敏感数据。最重要的是,欧盟赋予了权利人不经过数据方同意而能够随时撤回以及行使被遗忘救济的权利,这就使得权利人拥有很大程度上的自主权与保护个人数据的主动权。此外,欧盟还设置了具有代表性的数据保护官制度,规定了详细的强制安全存储以及强制数据保护影响评估等内容。
(三)德国
德国虽然属于欧盟成员国,借鉴了欧盟的一些个人信息保护立法经验,比如也采用人格权的方式保护个人信息,但是德国的个人信息保护有其独特性,从而有别于欧盟的立法模式,值得研究借鉴。即使德国有的州制定了个人信息保护的地方法,国家也存在各行业人员信息保护的专门立法,甚至教会也会颁布促进个人信息保护的一些规则,但是不妨碍德国《联邦资料保护法》拥有个人信息保护范畴的基本法地位。德国《联邦资料保护法》对公私领域加以区分而分别予以规范,即对于公权力机关与市场主体的信息行为均分章节进行规定,从而突破了欧盟《资料保护指令》不区分公私领域而采取统一原则性规定的立法模式。一方面,德国将相关的具体个人信息保护问题统一规定在一部法律中,具有整体性与适用上的可操作性,信息收集方可以据此规范自身的信息行为,当事人也可以依据该法主张个人信息保护方面的权利。另一方面,德国这种公私区分的立法模式具有相当的周密性,照顾了公私领域信息保护的差异性,突出了个人信息保护在不同领域的个性,使得个人信息保护立法更加细致详尽。德国信息保护法坚持禁止收集原则,即只有在法律规定的例外情形下才可以收集处理个人信息。具体而言,在公领域秉持“职责必须”的条件,即如果国家机关为了履行自身职责所必须,公民同意与否都不影响对个人信息的收集;
而在私领域,则坚持“信息主体同意”的条件,即市场主体收集公民个人信息需要征得本人的同意。公共卫生事件中,信息收集方同样包括公权力机关与市场主体,这种公私区分的个人信息保护模式考虑到了信息收集方的地位悬殊,通过合理的区分有效保障了公民的信息自决权。
(一)立足于本土法律文化
美国、欧盟、德国形成不同的独具特色的个人信息保护模式,主要源于法律文化的不同,因而立法的价值取向也大相径庭。长期以来,美国社会普遍崇尚自由,对公权力机关一直是不信任的,认为公权力机关对私人领域的干预是对自由的侵害,所以美国民众重视隐私价值,通过对个人隐私的保护形成对公权力的消极对抗。当互联网技术给个人信息带来隐患时,美国立法机关自然选择将个人信息纳入到了隐私权保护路径。而欧盟、德国一直有维护人格尊严的历史传统,强调人格尊严保护的重要性,特别是二战中纳粹对人格尊严的践踏,更加激起了民众广泛呼唤人格尊严在法律文化中应有的核心价值。因此,欧盟、德国选择了个人信息的人格权保护路径。此外,德国更加注重个人信息保护的多元价值,通过区分公私领域以设置不同的保护,从而实现私人利益与公共利益的平衡。我国在完善公共卫生事件中个人信息保护的过程中,不仅需要比较借鉴国外成熟的经验,还要从法律文化着手探索不同保护经验之间的差异与共性,在立足本土法律文化的基础上,结合公共卫生事件的本土特点,逐步发展适合我国国情的个人信息保护模式。
(二)探求不同法律制度的共性
从比较法角度考察不同国家或地区公共卫生事件中个人信息保护的立法模式,除了比较不同之处,更重要的是总结不同模式的共性,这样才能研究合理的未来发展趋势。在互联网信息技术高速发展的今天,美国尽量保障不干预信息自由,对个人信息保护相对比较克制,这是其利益衡量的结果。在公共卫生事件中也是如此,由于公共卫生事件牵扯范围广、影响力大,关乎公共利益,因此美国倾向于在不损害信息自由的前提下保护个人信息。而欧盟、德国在公共卫生事件中基本的价值取向大致与美国相同,尽量在维护公共卫生事件中公共利益的基础上保护个人利益。只不过在大的框架下各自采取不同的路径,欧盟通过对个人信息分类进行不同程度保护,德国是通过区分公私领域来设置不同的保护程度,但是都考虑到了公共卫生事件中个人信息的差异化保护。我国在处理公共卫生事件时,可以借鉴他们的共性,在控制公共卫生事件大方向的前提下,对事件中所涉及的个人信息进行符合实际情况的合理化保护。
(一)构建个人信息保护的利益平衡机制
在公共卫生事件中,既需要维护公众安全健康的生存环境,保障整个社会的公共利益,比如新冠肺炎疫情中要防控疫情传播、对于确诊患者与疑似病例的医治与隔离,确保其他民众合法的知情权与维护社会的稳定运转。同时,也要保护个人信息,当公民提供个人姓名、住址、身份证件、行程等信息时,信息收集者要筛选信息公布的范围以及保障信息不被泄露,特别要考虑当个人信息利益与公共利益冲突时如何进行平衡。一方面,秉持控制风险与情景理念,信息收集方必须依据初始情景与特定目的公开个人信息,为了防控疫情的需要,经合法授权后在合理限度内公开个人信息,当个人信息存在泄露风险或被不当利用时,允许当事人行使撤回权,由此造成的损害,当事人可以行使救济权,即在保护公共利益的前提下实现个人利益的最大化。另一方面,要把握个人信息的保护限度,坚持最小范围原则,收集对象限于确症者、疑似者、密切接触者等重点人群,仅收集必须的个人信息,不能公开具有身份识别性的个人信息,在进行风险评估后根据个人信息敏感程度作不同等级的匿名化处理,平衡个人信息保护的利益冲突。
(二)对个人信息进行区分保护
个人信息的重要性影响着社会公示性程度与信息被泄露后的风险大小,所以应当将个人信息分为一般信息与敏感信息,从而进行区分保护。个人敏感信息与私人生活安宁与私人秘密密切相关,因此要提高保护程度。虽然取得这部分个人信息是基于公共卫生事件防控的合法目的,当事人需要忍受公共利益之限制,但也要取得当事人的明示同意。信息收集方获取个人敏感信息后,要遵守国家相关法律法规以及尊重当事人的隐私权,在处理利用个人敏感信息为公共卫生事件服务时,以隐私保护为要旨,坚持比例原则与非必要不公开原则。公共卫生事件中社会管理意图的实现需要受到约束控制,不能以干预触及个人敏感信息的私人领域为代价。在公共卫生事件中,国家往往需要构建囊括个人信息的大数据平台,收集的信息越多,产生的效益越大,越能促进公共卫生事件的合理解决。所以,对于个人一般信息,可以强化信息收集方的利用而相对弱化当事人的同意要求,设置较为宽松的公开条件,甚至于某些特殊情形下仅需当事人的默示同意。当信息收集方进行并非针对特定当事人的大规模一般息处理时,可以进行去个人化操作。比如,根据个人一般信息分析疫情的集中区域及发展态势时,重点在于群体性分析,因而消除个人一般信息识别要素不会对大数据分析造成阻碍,反而能降低个人信息不当利用或泄露的风险,促进信息最大化利用的同时降低潜在的危害。
(三)强化个人信息保护的监管
由于个人信息呈现出多元化的法律性质,导致个人信息保护的监管比较复杂,一直处于缺位状态。目前,中国没有专门的个人信息保护机构,在公共卫生事件中也没有特别设立个人信息保护机构,一般由工信部、市场监管局等政府部门进行监督,相互之间缺少信息共享与协调管理,不仅造成执法资源的浪费,还无法真正起到个人信息保护的作用。因此,应当单独建立统一的兼具调查权与处罚权的个人信息保护机构,强化对信息收集方的制约,让信息收集方对其信息处理行为负责,并且统一执法标椎,提高公共卫生事件中个人信息保护的力度。考虑到公共卫生事件涉及范围广,除了建立全国性的个人信息保护机构,还应当在各地建立分支机构,负责各地区信息收集与整合利用中的信息保护问题。同时,个人信息保护机构要根据各地公共卫生事件的风险等级与发展态势相应调整保护力度,督促信息收集方秉持合法性与合理性原则收集与处理公共卫生事件中的个人信息,对于已发生个人信息侵权违法行为,应当引导与帮助当事人合法维权。
猜你喜欢 公共卫生个人信息信息 公共卫生管理在传染病预防工作中的作用分析中国药学药品知识仓库(2022年9期)2022-05-23保护死者个人信息 维权要不留死角职工法律天地·上半月(2021年6期)2021-08-03敏感个人信息保护:我国《个人信息保护法》的重要内容中国军转民·下半月(2021年12期)2021-02-15浅论非法使用个人信息的刑法规制读书文摘(下半月)(2020年11期)2020-05-26主题语境九:个人信息(1)疯狂英语·爱英语(2020年9期)2020-01-07中国首个P4实验室:服务全球公共卫生安全伙伴(2018年2期)2018-05-14订阅信息中华手工(2017年2期)2017-06-06展会信息中外会展(2014年4期)2014-11-27公共卫生儿童故事画报·发现号趣味百科(2013年3期)2013-06-17医药资讯中国医药导报(2011年27期)2011-12-31本文来源:http://www.zhangdahai.com/shiyongfanwen/qitafanwen/2023/0423/588555.html
