内容摘要
关键词:数据权利 隐私权 人格权 法律对策
一、重大公共卫生事件数据保护的困境
(一)隐私权保护的困境
(二)人格权保护的困境
2020年,全国人大常委会将制定两部重要的法律:个人信息保护法、数据安全法,随着国家立法层面对于数据权利保护的重视,围绕着数据权利的理论探讨成为学界的热点话题,对于个人数据的属性问题也引发了激烈的学术讨论。例如有的学者认为个人信息所要保护的是个人的人格性利益,有的学者认为个人信息所要保护的是个人的财产性利益。我国《民法总则》第111条颁布以来,在学界也受到了广泛的关注。学者们对于个人信息权(权益)的属性问题同样也进行了广泛的讨论,即个人信息权(权益)究竟是一项人格权,还是一项财产权,还是说二者兼而有之。有些学者主张个人信息权(权益)是一项人格权,需要采取人格权的保护进路对个人数据进行保护。但数据由于具有复合性的特征,所以采取人格权的保护进路难以回应数据的财产权益。
一方面,人格权的人身性无法保护数据的复合权利。面对数据的权益保护问题,学者提出了不同的主张,主要原因是由于数据权利具有复合性的特征。采用人格权的私法保护进路无法为数据权利提供保护,数据本身具有无形性、可分享性以及公共性的特点,信息数据主要通过社群分享来实现自身价值。传统的人格权保护无法对个人数据权益进行全面保护,数据不同于传统的物,个人数据是复合权利。“随申码”已经改版升级开通了看病就医功能,市民在今后看病、买药时,可以打开“随申码”,选择医保服务,就能完成就医、付费等操作。“随申码”已经不再是临时存在的防疫登记信息,不仅仅是“人格要素”,而是就医、付费等“财产权益”相关的数据。数据具有人身权益和财产权益的复合权益。如果仅仅对数据权利(权益)采取人格权的保护思路,只能对数据权利的人身权益进行保护,将无法对数据的财产权益进行合理的保护。
另一方面,人格权的绝对性保护阻碍数据的流通价值。数据权利保护和数据流动的平衡一直以来就是数据法的核心议题。数据价值的关键是看似无限的再利用,即它的潜在价值。大部分的数据价值在于它的使用,而不是占有本身。在欧洲,数据保护最早的设立目的并不是用来保护基本人权的,数据保护设立之初的目的是实现欧盟市场的一体化,强调的是数据的自由流动。到20世纪末以前,数据保护在欧盟都是单核的。基本目标是促进贸易、促进去除关税壁垒。欧盟数据保护的法律基础是关于经济发展而不是法律保护。欧盟数据的单核保护一直持续到21世纪初,2007年里斯本协议通过第16条TFEU,明确规定了欧盟可以制定数据保护相关的立法,所谓的“双核”保护才正式形成。在此之前,数据关于保护隐私只是经济保护的一个副产品,是实现数据自由流动的一个手段。对于疫情时期的确诊或者疑似患者来说,对于涉及本人的疫情信息拥有隐私权、人格权,收集利用个人疫情信息的部门和机构拥有信息使用权,社会公众有获悉和分享个人疫情信息的知情权,行政机关有公开和发布个人疫情信息的权力。个人疫情信息不仅包括公民个人的尊严与自由利益,更是关乎社会利益和国家安全的重要信息。如果对确诊和疑似患者的个人信息给予人格权的绝对保护,会阻碍数据的使用和流通价值,会妨碍国家对于疫情的精准研判,对公共卫生健康乃至国家安全会造成不可弥补的伤害。当疫情个人信息经过加工无法识别到特定个人且不能复原的匿名化处理之后,政府部门和企业机构可以使用疫情个人数据,此时个人数据是公共管理价值的体现。
(三)数据保护的平衡困境
如何实现疫情数据共享与信息披露既能确保公众知情权,提升疫情防控的效能,又能保护公民的个人信息与隐私不会受到侵犯?这样一个公共利益和个人权利的平衡问题是重大公共卫生事件数据保护的又一困境。有学者认为,疫情防控的前提和基础是保护个人信息,高艳东认为在疫情防控的后半阶段,防止疫情期间收集的数据侵犯个人隐私将是重点内容。各国数据保护机构如欧盟数据保护委员会、美国、英国、法国等关于新冠肺炎的个人数据保护意见和声明中,大多数国家都要求个人数据的收集和使用应当遵守数据保护立法的要求,且很多国家对于健康数据的范围进行了详细明确。有些学者则认为数据共享以确保公众知情权是更加重要的面向。也有学者认为不能绝对化、片面化“数据开放共享对武汉疫情的作用”,必须在维护公民知情权、数据利用与社会整体性利益之间实现平衡。
欧盟GDPR在第一条第一款中就指出条例的目的,旨在确立个人数据处理中的自然人保护和数据自由流通的规范,并且在第三条中提出个人数据要以流通为原则,不流通为例外。欧盟为了保障个人数据的自由流动,将信息进行了区分,区分出了不涉及个人信息的非个人信息数据。欧盟出台的《非个人数据自由流动条例》,强调对于非个人数据以流动为前提,不流动为例外,保障数据在欧盟的自由流动,各个成员国之间不能设置障碍。GDPR注重数据权利保护与数据自由流通之间的平衡,GDPR不仅赋予了数据主体同意权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的数据权利,与此同时也强调个人数据的自由流通不得因为在个人数据处理过程中保护自然人的权利而被限制或禁止。这种平衡的立法理念具有标杆性的价值和意义,对美国和中国的数据立法产生了重大影响。
二、重大公共卫生事件数据保护的基本原则
重大公共卫生事件中的数据处理原则依然要坚持个人信息处理的原则。网络安全法第41条规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。由此可见,个人信息处理的基本原则包括合法、正当、必要三原则。合法原则是基础,在保障合法性原则的基础上,也应充分保证正当性原则和必要性原则。
(一)合法性原则
疫情防控中,数据的收集、存储、处理仍然需要有合法性基础。在重大公共卫生事件中的数据权利保护的合法性基础主要体现在以下几个方面。首先,收集信息的主体适格。在疫情期,各类APP、小区物业、居民委员会、村民委员会、商场、超市、药店、饭店都要求填写信息登记表,收集个人信息。但是并非任何人、任何组织、机构都有权以防疫的名义收集个人信息。收集信息的主体应该有法律法规的规定或者明确授权。其次,收集信息的途径合法。收集个人信息的方式和途径需按照规范性文件的规定执行;不得采用欺诈、强迫、窃取等非法方式获得个人信息。如进入办公楼需要提供疫情期间的行程查询表,如果无法提供就无法进入办公楼。在笔者看来,这是强迫同意的收集方式。最后,收集信息准确性规则。信息控制者、信息管理者应按法律规定提供删除或更正个人信息功能的行为。对于疫情期收集的违反准确性规则的信息,企业和APP持有者有义务对不准确的信息进行审查和删除。
(二)正当性原则
在疫情防控中,个人信息收集除了合法性基础外,也要确保正当性原则。重大公共卫生事件中的数据权利保护的正当性原则,主要体现在以下几个方面:首先,合理告知。在收集个人信息之前,应该向数据主体公开收集信息以及使用信息的规则,明示收集、使用个人信息的目的仅用于疫情防控,对于信息收集、处理方式以及使用范围进行明确的告知。其次,确保数据安全。由于疫情防控的需要,收集的个人数据多属于个人敏感数据。被收集者对于个人数据的存储、利用、销毁存在担忧。个人信息的处理应当确保数据的完整性、安全性、保密性,应当遵守非歧视性以及防止个人信息泄露等一般规则。
(三)必要性原则
必要性原则又称为“比例原则”“最小侵害原则”“平衡原则”,是公法上的帝王条款。它在行政法上的含义指行政机关行使自由裁量权时,应该在全面衡量公益和私益的基础上选择对相对人损害最小的方式,不能超过必要的限度。必要性原则在重大公共卫生事件中的个人信息保护主要体现为以下几个方面:首先,不收集与疫情防控无关的个人信息。虽然越详细的数据对于疫情的防控越有利,但对于低风险地区的无关个人信息应避免收集。其次,不收集超出必要范围的个人信息。为了疫情排查,有必要收集相关人员的姓名、身份证号码、联系方式、家庭住址、既往活动轨迹等相关信息,但对于职业、信仰、收入、政治面貌等相关信息超出了所需范围,不应收集。最后,数据存储和管理不超过必要时限。当疫情期收集的个人信息已经实现了其目的之后,对于数据的存储和内部管理,根据必要性原则应该限制非必要的访问,对于不再需要的数据应及时删除或进行匿名化处理。
三、重大公共卫生事件数据保护的对策
(一)转换疫情数据保护的法律思维模式
基于数据的新特性,需要转换传统的法律思维模式。数据不仅仅存在于物理空间,而是存在于双重空间。法律思维的保护模式也需要从单向静态向双向动态转变。由于数据具有公共性、共享性、开放性的基本特征,数据从私有性基础转向了公共性基础。
(二)建立公共数据开放的机制体系
对于疫情防控,政府的信息公开是最好的“特效药”。不论是2003年的SARS疫情还是武汉疫情,关键的转折点就是开始每天公布疫情信息。以“知情权”为基础的政府信息公开及数据开放,可以帮助人们了解新冠肺炎,及时地辟谣也能减少公众的焦虑感,建立政府与公众之间的信任。政府信息公开的同时,需要同时开放政府的数据。在获得数据主体同意或者匿名化脱敏处理的数据可以为科研机构、医药公司及科学家所使用,早日找到防治新冠肺炎的疫苗或特效药。可用于疫情防控的政府数据主要包括四类:业务数据、民意社情数据、环境数据以及分散性公共数据。在疫情防控中,需要鼓励政府数据以及各大企业平台建立一个打破数据壁垒、数据流通的开放共享的机制体系。对于政府数据的开放可以借鉴上海出台的《公共数据开放暂行办法》,采取“分级分类开放机制”,对于个人敏感数据或重要数据,需要进行匿名化的处理或者征得数据主体的授权同意之后,才可以进行开放共享。疫情期间,健康码的运用是一个打通信息孤岛的成功实践运用。2020年4月29日,由市场监管总局发布的个人信息健康码系列国家标准,对健康码的码制、展现方式、数据内容进行了统一。健康码证明数据是解决社会问题的基础资源,并且证明部门间的信息孤岛是能够打通的。在防控疫情面前,大数据的利用应该强调政府和社会共同参与、合作,鼓励互联网企业、行业协会等单位依法收集、处理、共享自由数据,建立开放共享的机制体系。
(三)强化政府监管与加强行业自律
各大互联网企业是数据权利保护重要的主体,加强企业的自律机制也是数据权利保护的重要环节。2019年召开的中国互联网大会通过了国内首个《用户个人信息收集使用自律公约》,公约得到了广大互联网企业的积极响应。我国应借鉴发达国家的经验,发挥行业自主自律的灵活性优势,弥补法律法规的滞后性。与此同时对于行业自律,政府可以建立惩罚机制,强化政府的监管。采取警告、训斥、建立清单等矫正性措施促进行业的合法化、规范化的发展。在疫情防控中,大数据的保护应该强调政府和社会共同参与、合作,鼓励互联网企业、行业协会等单位依法收集、处理、共享数据,在保护数据权利的同时也促进数据的流通和利用。
结 语
新冠肺炎发生以来,全国上下一心,奋力战胜疫情,疫情防控阻击战取得了重大成果。在此次疫情中,人工智能和大数据在追踪疫情、研判疫情发展情况以及药物研发等方面发挥了积极的作用。与此同时,抗疫数据权利保护也遭遇了一系列的困境,主要表现为隐私权保护、人格权保护以及保护个人信息与促进数据自由流动之间的平衡困境。面对这个情况,在坚持个人信息处理的合法性、正当性和必要性原则的前提下应该通过转换数据保护的法律思维模式、建立公共数据开放的机制体系,并且强化政府监管与加强行业自律,平衡疫情中有关于数据收集和使用过程中个人信息权益保护与促进数据使用价值之间的关系。
上海市法学会欢迎您的投稿
fxhgzh@vip.163.com
相关链接
罗培新:“作业帮、题拍拍”等摧毁的,或许是我们最应珍视的价值
责任编辑:魏广萍 王柯心
Go to "Discover" > "Top Stories" > "Wow"