关键词：数据权利  隐私权  人格权  法律对策

新冠肺炎疫情在全球范围内不断蔓延，随着信息技术的发展，人类进入了大数据时代。在这个时代，无时不刻充斥着海量的数据分析，数据化成为最主要的特征，数据也成为这个时代的新资源。新冠肺炎发生以来，中国把人民群众的生命权、健康权放在第一位，全力调配疫情防控物资、全速调动全国医疗资源。疫情防控阻击战取得了重大成果。

整个抗疫过程都是与大数据和互联网技术连接起来的，我国深圳和杭州从2020年2月上旬起利用大数据和互联网技术推出了“健康码”，苹果谷歌也将利用30亿手机联手最大“健康码”项目来筛查新冠密切接触者。不论是丁香园医务微信公众号发布的实时疫情信息，还是运用电信大数据分析、统计人员流动情况，对疫情进行研判、监测和防控部署，亦或者网购、视频会议、在线办公等疫情期发展的生活方式，都与大数据平台息息相关。目前，很多国家的数据保护机构发布了指导疫情期间收集和使用个人数据的意见。我国市场监管总局发布的个人健康信息码系列国家标准等，但传统的法律规定已无法满足涉疫中数据权利保护的需求，使目前数据权利保护困境重重。因此，本文希望通过分析目前抗疫中数据权利保护的困境和挑战，探讨抗疫中数据权利保护的新对策。

其一，数据的公开性削弱隐私权益的合理期待。“合理隐私期待”原则是美国解决隐私权问题的一个重要“法律工具”，其确立来自1967年美国联邦最高法院的一个经典判例——凯兹诉美国案。“合理隐私期待”原则在数据时代的潜在含义：当个人自愿地公开个人的隐私，那就丧失了所谓的合理期待，公开的个人隐私就无法得到保护。数据的公开性削弱了隐私权益的合理期待。

“合理隐私期待”原则是宪法解释者面对美国宪法第四修正案以及公民隐私受到政府侵犯问题最常援引的原则。法学家布兰代斯在奥姆斯特德诉美国案中提出了“隐私权”对于公民的重要性，并表现出对于未来高科技背景下的隐私保护潜在威胁的担忧。在“凯兹案”之前，主张隐私保护的前提是有形财产受到侵害，直到在“凯兹案”中，哈伦法官认为宪法第四修正案保护的是人，而不是公共电话亭这个领域。由此提出了“合理隐私期待”原则，这个原则主要包括两个方面要件：主观要件——个人对隐私有主观期待的意愿；客观要件——主观期待被社会认可为“合理的”。在美国诉史密斯案中，史密斯认为“凯兹案”中，在电话亭打电话的人对其通话之隐私不论从主观方面还是客观方面衡量都有正当的隐私期待，最终第五巡回法院认为，家里无绳电话的通讯存在合理的隐私期待，但由于史密斯无法举证他的第四修正案权利被侵犯，所以维持了对史密斯的有罪判决。

凯兹案的意义主要体现在两个方面：第一，凯兹案确立了“合理隐私期待”原则，主张隐私侵犯的依据是宪法第四修正案保护的是人，而不是某个领域。这是本案最重要的意义。第二，凯兹案强调了正当程序原则的重要性。违法搜查获取的证据应当被排除。“合理隐私期待”原则为数字时代生活在更为隐蔽监控环境下的人们，提供了更好的工具基础。生活在智慧时代，人们为了更加方便、快捷的融入数字时代的生活，会自愿地选择公开一些个人数据，但这并不意味着同意将数据用于各种商业、政治的目的，比如剑桥分析公司利用个人信息进行选民分析的丑闻。对于这些公开的数据，人们从主观上存在期待隐私被保护的意愿，并没有丧失“合理期待”。

“合理隐私期待”原则在数据时代的潜在含义：当个人自愿地公开个人的隐私，那就丧失了所谓的合理期待，公开的个人隐私就无法得到保护。在疫情防控期间，随着病例数量的增加，追踪确诊病例及密切接触者就变得尤为重要，苹果和谷歌推出内嵌在移动设备的操作系统中的专用API，从而保证每台IOS与安卓系统的手机都被覆盖。在Carpenter诉美国案中，政府声称Carpenter对提供的信息没有隐私期待，因为他是自愿将其提供给第三方。最高法院并不同意上述观点。不论是苹果和谷歌的内嵌API还是中国的“健康码”信息，以及为了疫情防控自愿提供给社群的相关个人信息，并不意味着数据主体同意数据公开，对数据的隐私保护没有了合理期待，对于这些公开的数据，人们从主观上存在期待隐私被保护的意愿，客观上这种期待也是“合理的”。个人信息也有权受到保护。

其二，数据侵权的复杂性挑战侵权归责的前提。隐私权益在信息时代遭遇的侵犯具有隐蔽性，侵权主体常常是多重的，侵权过程也更加的模糊，侵权责任的举证也异常的艰难。侵权法的适用以存在伤害或损失为前提，较为适合独立的、一次性的侵权提供救济。

传统的隐私侵权中，侵权主体多为单一主体。但数据侵权的主体更多体现出多元化的特点。正如在疫情防控期间，为了准确的排查病患、排查密切接触人群、排查高风险人群以及隔离病例、密切接触者，政府部门、社区组织、企业单位等都在收集个人信息。与此同时，数据出现了被大量泄露的情形。春节前后，武汉返乡公民信息遭到了泄露，返乡人员名单在微信群中肆意转发，大量敏感信息泄露。中国地质大学（武汉校区）大一学生吴某，在家庭微信群里看到一份“武汉回宁都人员数据表”的表格，她自己和五百多人的个人信息被曝光，她向市信访局、国家投诉受理办公室进行举报，目前尚无回复，对于泄露的源头也并不清晰。有些信息被泄露的公民也向派出所报了警，一位民警告诉他们信息发布者已经被行政拘留，但对于泄露的具体部门和人员避而不谈。因将涉及新冠病毒患者及其亲属隐私的调查报告转给无关人员，湖南益阳市赫山区卫生健康局副局长被予以党纪立案调查，另有两人被训勉谈话，一人被通报批评。不论是在欧美国家还是在中国，大数据带来的万物互联引发了各式各样的数据泄露事件，公民个人的隐私受到了侵犯。疫情期的个人信息在没有找到传播源头的情况下，已经被广泛散布，公民的私人生活受到严重侵犯，陌生人通过手机号码频繁发送骚扰信息，甚至被要求公布全家信息。这些损害可能是无形损害，亦或者很难证明伤害的程度，更有甚者存在无法举证的情况，对于隐私泄露更多地采取行政处罚或者党纪处分的方式，在这种情况下传统的侵权规则已经无法保护日益复杂的数据隐私权益。

2020年，全国人大常委会将制定两部重要的法律：个人信息保护法、数据安全法，随着国家立法层面对于数据权利保护的重视，围绕着数据权利的理论探讨成为学界的热点话题，对于个人数据的属性问题也引发了激烈的学术讨论。例如有的学者认为个人信息所要保护的是个人的人格性利益，有的学者认为个人信息所要保护的是个人的财产性利益。我国《民法总则》第111条颁布以来，在学界也受到了广泛的关注。学者们对于个人信息权（权益）的属性问题同样也进行了广泛的讨论，即个人信息权（权益）究竟是一项人格权，还是一项财产权，还是说二者兼而有之。有些学者主张个人信息权（权益）是一项人格权，需要采取人格权的保护进路对个人数据进行保护。但数据由于具有复合性的特征，所以采取人格权的保护进路难以回应数据的财产权益。

如何实现疫情数据共享与信息披露既能确保公众知情权，提升疫情防控的效能，又能保护公民的个人信息与隐私不会受到侵犯？这样一个公共利益和个人权利的平衡问题是重大公共卫生事件数据保护的又一困境。有学者认为，疫情防控的前提和基础是保护个人信息，高艳东认为在疫情防控的后半阶段，防止疫情期间收集的数据侵犯个人隐私将是重点内容。各国数据保护机构如欧盟数据保护委员会、美国、英国、法国等关于新冠肺炎的个人数据保护意见和声明中，大多数国家都要求个人数据的收集和使用应当遵守数据保护立法的要求，且很多国家对于健康数据的范围进行了详细明确。有些学者则认为数据共享以确保公众知情权是更加重要的面向。也有学者认为不能绝对化、片面化“数据开放共享对武汉疫情的作用”，必须在维护公民知情权、数据利用与社会整体性利益之间实现平衡。

欧盟GDPR在第一条第一款中就指出条例的目的，旨在确立个人数据处理中的自然人保护和数据自由流通的规范，并且在第三条中提出个人数据要以流通为原则，不流通为例外。欧盟为了保障个人数据的自由流动，将信息进行了区分，区分出了不涉及个人信息的非个人信息数据。欧盟出台的《非个人数据自由流动条例》，强调对于非个人数据以流动为前提，不流动为例外，保障数据在欧盟的自由流动，各个成员国之间不能设置障碍。GDPR注重数据权利保护与数据自由流通之间的平衡，GDPR不仅赋予了数据主体同意权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的数据权利，与此同时也强调个人数据的自由流通不得因为在个人数据处理过程中保护自然人的权利而被限制或禁止。这种平衡的立法理念具有标杆性的价值和意义，对美国和中国的数据立法产生了重大影响。

重大公共卫生事件中的数据处理原则依然要坚持个人信息处理的原则。网络安全法第41条规定网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。由此可见，个人信息处理的基本原则包括合法、正当、必要三原则。合法原则是基础，在保障合法性原则的基础上，也应充分保证正当性原则和必要性原则。

疫情防控中，数据的收集、存储、处理仍然需要有合法性基础。在重大公共卫生事件中的数据权利保护的合法性基础主要体现在以下几个方面。首先，收集信息的主体适格。在疫情期，各类APP、小区物业、居民委员会、村民委员会、商场、超市、药店、饭店都要求填写信息登记表，收集个人信息。但是并非任何人、任何组织、机构都有权以防疫的名义收集个人信息。收集信息的主体应该有法律法规的规定或者明确授权。其次，收集信息的途径合法。收集个人信息的方式和途径需按照规范性文件的规定执行；不得采用欺诈、强迫、窃取等非法方式获得个人信息。如进入办公楼需要提供疫情期间的行程查询表，如果无法提供就无法进入办公楼。在笔者看来，这是强迫同意的收集方式。最后，收集信息准确性规则。信息控制者、信息管理者应按法律规定提供删除或更正个人信息功能的行为。对于疫情期收集的违反准确性规则的信息，企业和APP持有者有义务对不准确的信息进行审查和删除。

在疫情防控中，个人信息收集除了合法性基础外，也要确保正当性原则。重大公共卫生事件中的数据权利保护的正当性原则，主要体现在以下几个方面：首先，合理告知。在收集个人信息之前，应该向数据主体公开收集信息以及使用信息的规则，明示收集、使用个人信息的目的仅用于疫情防控，对于信息收集、处理方式以及使用范围进行明确的告知。其次，确保数据安全。由于疫情防控的需要，收集的个人数据多属于个人敏感数据。被收集者对于个人数据的存储、利用、销毁存在担忧。个人信息的处理应当确保数据的完整性、安全性、保密性，应当遵守非歧视性以及防止个人信息泄露等一般规则。

必要性原则又称为“比例原则”“最小侵害原则”“平衡原则”，是公法上的帝王条款。它在行政法上的含义指行政机关行使自由裁量权时，应该在全面衡量公益和私益的基础上选择对相对人损害最小的方式，不能超过必要的限度。必要性原则在重大公共卫生事件中的个人信息保护主要体现为以下几个方面：首先，不收集与疫情防控无关的个人信息。虽然越详细的数据对于疫情的防控越有利，但对于低风险地区的无关个人信息应避免收集。其次，不收集超出必要范围的个人信息。为了疫情排查，有必要收集相关人员的姓名、身份证号码、联系方式、家庭住址、既往活动轨迹等相关信息，但对于职业、信仰、收入、政治面貌等相关信息超出了所需范围，不应收集。最后，数据存储和管理不超过必要时限。当疫情期收集的个人信息已经实现了其目的之后，对于数据的存储和内部管理，根据必要性原则应该限制非必要的访问，对于不再需要的数据应及时删除或进行匿名化处理。

基于数据的新特性，需要转换传统的法律思维模式。数据不仅仅存在于物理空间，而是存在于双重空间。法律思维的保护模式也需要从单向静态向双向动态转变。由于数据具有公共性、共享性、开放性的基本特征，数据从私有性基础转向了公共性基础。

对于疫情防控，政府的信息公开是最好的“特效药”。不论是2003年的SARS疫情还是武汉疫情，关键的转折点就是开始每天公布疫情信息。以“知情权”为基础的政府信息公开及数据开放，可以帮助人们了解新冠肺炎，及时地辟谣也能减少公众的焦虑感，建立政府与公众之间的信任。政府信息公开的同时，需要同时开放政府的数据。在获得数据主体同意或者匿名化脱敏处理的数据可以为科研机构、医药公司及科学家所使用，早日找到防治新冠肺炎的疫苗或特效药。可用于疫情防控的政府数据主要包括四类：业务数据、民意社情数据、环境数据以及分散性公共数据。在疫情防控中，需要鼓励政府数据以及各大企业平台建立一个打破数据壁垒、数据流通的开放共享的机制体系。对于政府数据的开放可以借鉴上海出台的《公共数据开放暂行办法》，采取“分级分类开放机制”，对于个人敏感数据或重要数据，需要进行匿名化的处理或者征得数据主体的授权同意之后，才可以进行开放共享。疫情期间，健康码的运用是一个打通信息孤岛的成功实践运用。2020年4月29日，由市场监管总局发布的个人信息健康码系列国家标准，对健康码的码制、展现方式、数据内容进行了统一。健康码证明数据是解决社会问题的基础资源，并且证明部门间的信息孤岛是能够打通的。在防控疫情面前，大数据的利用应该强调政府和社会共同参与、合作，鼓励互联网企业、行业协会等单位依法收集、处理、共享自由数据，建立开放共享的机制体系。

各大互联网企业是数据权利保护重要的主体，加强企业的自律机制也是数据权利保护的重要环节。2019年召开的中国互联网大会通过了国内首个《用户个人信息收集使用自律公约》，公约得到了广大互联网企业的积极响应。我国应借鉴发达国家的经验，发挥行业自主自律的灵活性优势，弥补法律法规的滞后性。与此同时对于行业自律，政府可以建立惩罚机制，强化政府的监管。采取警告、训斥、建立清单等矫正性措施促进行业的合法化、规范化的发展。在疫情防控中，大数据的保护应该强调政府和社会共同参与、合作，鼓励互联网企业、行业协会等单位依法收集、处理、共享数据，在保护数据权利的同时也促进数据的流通和利用。

结 语

新冠肺炎发生以来，全国上下一心，奋力战胜疫情，疫情防控阻击战取得了重大成果。在此次疫情中，人工智能和大数据在追踪疫情、研判疫情发展情况以及药物研发等方面发挥了积极的作用。与此同时，抗疫数据权利保护也遭遇了一系列的困境，主要表现为隐私权保护、人格权保护以及保护个人信息与促进数据自由流动之间的平衡困境。面对这个情况，在坚持个人信息处理的合法性、正当性和必要性原则的前提下应该通过转换数据保护的法律思维模式、建立公共数据开放的机制体系，并且强化政府监管与加强行业自律，平衡疫情中有关于数据收集和使用过程中个人信息权益保护与促进数据使用价值之间的关系。

责任编辑：魏广萍    王柯心