摘要：在突发公共事件下，基层个人信息保护问题亟待解决。本文着力从理论上对个人信息的界定进行探讨，对所涉及的法益和类型进行讨论；探析了个人信息处理存在的现状和困境；最后从法律体系、权益保护和处置主体提出基层个人信息保护的路径。
关键词：突发公共事件；个人信息保护；基层
一、问题的提出
长期以来，基层个人信息保护问题一直容易被忽视，这导致个人信息违规收集和处理的案件频发，特别是在突发公共事件发生期间，已发生多起密切接触者个人信息泄露的事件。信息的不当泄露结果不仅会影响个人的生活安宁，而且也会破坏国家、社会的正常秩序，因此在突发公共事件下，基层个人信息保护是个不容小觑的问题。
二、突发公共事件下个人信息的界定
（一）个人信息所涉法益分析
1、个人信息的固有法益
个人信息需要识别特定人的信息，是作为特定主体参与社会交流的载体，也是自然人人格表现和人格发展的载体。它不仅涉及自然人的人格尊严、人格自主和人格平等，而且也会触及到自然人私生活的私密空间，属于身份和人格利益中的一部分。另外，个人信息也关联着财产利益。尽管个人信息本身不具有直接的财产性质，它却间接关联着财产利益，比如手机号码、银行账号等。因此在充满危险源的社会中，个人信息的保护显得更为重要。
2、个人信息的超个人法益属性
随着国家推进数字中国战略，网络格局在变革，每个人均可作为信息的生产者引发信息高度碎片化传播。与此同时，那些受法律保护的个人信息广泛存在于现实与网络空间，尤其是在突发公共事件中，网络攻击和虚假信息层出不穷。个人信息的及时有效管理，不仅有利于维护公共秩序和社会安全，也有利于相关机构作出更加反映民意的决定。因此，个人信息并不是纯粹的私法益，它背后蕴含着国家积极维护公共秩序、国家安全的态度。
（二）个人信息的类型
《个人信息安全规范》首次明确规定个人信息认定的定义。不容争辩的是，身份信息、居住地址等与自然人紧密结合的信息均属于法律保护的个人信息。尤其是生物识别信息承载着众多使用和交换价值，一旦发生泄露，不再仅仅是简单的人格法益侵害，可能对主体造成财产乃至精神的侵害。
此外，为了有效实现对个人信息的保护，个人信息通常会依照信息处理的情境被细化为个人敏感信息和个人一般信息。泄露、滥用以及非法提供个人敏感信息会导致个人名誉和身心等遭到伤害或其他风险。因此相较于一般信息，基层在面对突发事件时更不能任意公开公民的敏感信息，更应当严格界定敏感信息的范围，并通过法律途径予以强力保护。目前国内外对于公民个人信息的判断争议较多。部分学者认为应当根据“信息的敏感度”和“信息的可获取性”来判断识别性，并考虑辅助参考“信息是否利用非法手段进行识别”、“识别成本”和“可能的关联性”。
目前，可识别性的标准存在着不确定和模糊性，此种边界不清的现状对基层乃至司法实践的信息识别工作产生困扰，并引发窘境。个人信息在进行识别的时候需要考虑什么标准，如何合理地识别信息，仍是个需要思考的问题。一般来说，若为敏感度较高的信息，自然容易识别至特定的自然人身上，但是若为普通信息且数量少，就很难识别。而且数据时代的快速发展，使得信息的潜在外延逐步扩张，界限不明以及社会生活的多样化现实只会使得识别工作丧失可操作性，这一切都给个人信息的保护工作带来了一个巨大的难题。
三、个人信息的保护困境
1、立法尚有缺位
法律法规不够完善。一般来说，我国关于个人信息保护的法律法规有很多，但尚未形成一个比较完整的体系。从具体法律角度看，民法典对于个人信息与隐私保护存在重叠部分，对患者隐私与个人信息无明确的界定。^[1]我国对于发布权仍然没有完整明确的规定，由此导致信息发布的冲突和混乱，不利于明确责任主体。更重要的是，突发事件中个人信息保护的法律规范参差不齐，难以形成完整、可操作性强的法治化体系。
2、权益保护失位
1）公民具体权益受到侵犯。这里的具体权益主要包括公民的人身权益和财产权益。首先，在大数据运用不合理的情况下，容易给公民信息安全带来隐患，侵犯到公民的人身权益，其中最为主要的当属隐私权。其次，商家登记个人信息后并未采取措施保护而是进行商业利用，使得公民信息在数据流通中被泄露。
2）个人权益与超个人法益的冲突。一般情况下，在个人权益与超个人法益相冲突的情况下，适用超个人法益优先的原则。在紧急防控中，若利用个人信息仍坚持“信息权人同意或授权”的原则，无疑会大大降低大数据分析在防控中的作用。如何协调个人权益与超个人法益的冲突，是亟待解决的问题。
3）权利救济存在困难。在民事救济方面，信息所有者应当证明自己遭受损害以及损害程度。但在民事诉讼中，少有原告胜诉的案例。主要原因有以下几点：第一，信息所有者难以证明自己遭受实际损害、损害程度以及侵权人因此获得的利益，受害人难以得到恰当的赔偿；第二，侵害主体难以确定，在突发事件发生时，能接触到的个人信息的主体过多，以致难以确定侵害主体；第三，举证困难，由于突发公共卫生事件的特殊性，个人信息的流通涉及多个方面，信息主体难以知晓具体的泄露环节，为此难以进行举证。^[2]
3、处理主体越位
1）个人信息发生泄露。某些政府工作人员故意将自己在工作中收集到的个人信息表格，在网络、微信群中完整传播，泄露他人隐私和个人信息，明显违反法律中的强制性规定。另一方面，某些地区公布的确诊病例信息过于详细，在实质上并没有达到“脱敏处理”的要求，造成了侵害权利的后果。
2）信息主体缺乏信息知情权。在个人信息保护中，告知同意原则虽然被认为是普遍规则。但是在突发事件中，信息主体既不知道自己提供的信息被使用和传播，也不知道其传播范围，同时由于对突发事件的恐惧及对公权力的敬畏让其无法或难以判断此行为及其后续行为的合法、正当和必要性，信息主体对其个人信息的未来一无所知。^[3]
四、保护路径探究
（一）规范法律体系
一是要规定公民的个人信息保护权利。具体来说，要根据时代发展趋势来确定个人信息的内容、发展程度和影响，同时明晰个人信息包含的复杂关系的性质，对于特定情况下特殊群体的个人信息和隐私在内容上也要有明确划分，从而更好地保护特殊群体的隐私。二是明确个人信息的收集利用主体和重大疫情防控的保护范围。在突发事件应对法和传染病防治法中，要完善个人信息的收集主体以及收集相关的具体事由。完善并统一突发事件应对立法关于信息收集主体与收集对象、收集范围的规定，为突发公共卫生事件的治理提供明确、科学、合理的法律依据。如收集主体的范围不应限于防控机构、医疗机构，在收集事由上，要进一步规范收集内容与权限；要明晰个人信息使用的法律依据，包括为国家和社会利益、履行合同、信息主体利益等使用个人信息的行径。除此以外，任何组织和个人不得非法使用个人信息；同时需要明确规范有关疫情个人信息的发布权，协调好相关规定的信息发布权主体，并明确相应的法律责任。
（二）加强权益保护
1）加强政府对网络空间个人信息的治理力度。一方面要求政府自身主动监管、打击恶意泄露个人信息的行为。必要时，政府可协同其他部门，联合遏制信息泄露事件。另一方面要求明晰权责、完善问责机制，避免出现推诿扯皮，及时纠正防控中“既吹哨、又踢球”的错误观念。
2）建立统一的全方位监管制度，使得产业信息使用规范化。我国仍没有统一的监管机构的规定，而我国法律对个人信息的界定散落在不同法律法规之中，甚至司法解释中尚未形成一个统一的界定方法，那么许多模糊地带就存在缺乏监管或者多头监管的情况，这比较容易产生监管不当的问题。另外，政府也应当鼓励、支持、引导信息行业规范使用个人信息，同时进行必要的监督管理。
3）运用法益衡量和价值位阶比较的法治思维调节冲突。一般来说，社会秩序和国家安全等超个人法益优于个人法益的保护。尽管个人信息属于个人法益，但是一旦出现特殊重大的事件时，个人信息不再是单纯的个人信息，更重要的是它上升成为了涉及公共安全的信息。这些数据涉及到社会公共安全高度相关的个人信息在国内突发事件的发生中，其本身就极有可能上升到国家安全问题。一旦考虑到公共利益，国家机关及其他授权单位便能够对公民个人信息进行合理的收集、处理等以维护稳定的社会公共秩序乃至国家安全。正因为如此，在面对可能危害公共安全甚至国家、社会公共秩序时，个人信息保护应当有所克减。但是这种克减并不代表个人信息在突发事件中丧失了保护的价值，若出现他人恶意泄露或者窃取信息的情况，同样需要追究法律责任。
（三）规范处置主体
1）明确可公开信息的范围和标准。法律应明确界定突发事件防控中可被公开的个人信息，坚持“最小范围”原则，将对公开信息范围的规定纳入法律。收集、使用、公开个人信息对于应对突发情况目的而言应是适当必要的，但不能对信息主体造成过度负担。我国联防联控通知有最小范围原则要求。首先，明确收集数据的范围：对确诊患者、疑诊患者、医学观察期内的接触者的信息收集，对其财产状况、籍贯等无关信息禁止收集；其次，明确数据使用、公布、共享的范围：应该将所收集的个人信息进行分类，非必要情况不公布敏感度较高的个人信息，在公布信息前也要先进行脱敏或匿名化处理。
2）贯彻“知情同意”原则。自然人要具备完全控制其个人信息的能力，同时在收集信息时应该遵循“知情同意”原则。虽然在突发公共卫生事件下，公民有义务接受有关机关的调查等措施，但不得未经患者同意进行信息收集和处理，患者对收集、处理的目的、方式和范围享有知情权，须通过明确的法律规定来解决。
五、结语
个人信息的收集与利用为我国基层提供了诸多便利，但处理过程中暴露出的种种问题令人担忧。因此需要对突发公共事件下的个人信息进行界定，分析信息处理的现状与困境，以法治思维不断探求保护路径，以构建完备、科学、高效的突发治理体系。
参考文献：
[1] 任文璐.大数据时代背景下的个人信息保护——兼评《民法典(草案)》人格权编关于个人信息保护的规定[J].市场周刊,2020(05):152-154.
[2] 金松,张立彬.突发公共卫生事件下的个人信息保护研究——以新型冠状病毒肺炎疫情为背景[J].情报理论与实践,2020,43(06):16-22.
[3] 李鑫,崔大阳.人权视角下政府个人信息的利用及限制——以政府应对突发事件为切入点[J].人权研究(辑刊),2020,23(01):65-77.
作者简介：黄稳（2000-），男，汉族，湖南邵阳市人，学生，本科在读，单位：长沙学院法学院；研究方向：民商法学。
基金项目：湖南省教育厅高等教育处大学生创新创业项目：突发公共事件视阙下湖南农村基层社会治理法治化的路径创新研究 (项目编号：S202011077041)