安徽警官职业学院学报Journal of Anhui Vocational College of Police Officers
No.2,2021 General No.113,Vol.20
2021年第2期
第20卷(总第113期)
公共卫生事件中个人信息保护的
比较法研究
杨祖卿
(安徽大学法学院,安徽合肥230601)
【摘要】应对公共卫生事件离不开个人信息的收集与利用,但是我国的个人信息保护现状令人堪忧,个人信息得不到有效保护。为此,可以从比较法角度考察美国、欧盟、德国的立法经验,从而总结共性并立足于本土法律文化进行创新发展。完善我国公共卫生事件信息保护,需要构建个人信息保护的利益平衡机制、对个人信息进行区分保护以及强化个人信息保护的监管。
【关键词】公共卫生事件;个人信息保护;利益平衡;区分保护
【中图分类号】D923;D922.16【文献标识码】A
一、我国公共卫生事件中个人信息保护的现状
随着新冠疫情的爆发,这种突然发生的可能造成社会公众健康严重损害的公共卫生事件备受瞩目,虽然我国的疫情已经逐渐得到控制,但是外防输入和内防反弹压力仍然不容小觑。在公共卫生事件中,为了更好的掌控各省份聚集、流动以及分布情况,需要收集、利用、公开各种个人信息。个人信息兼具人格利益与财产利益,在应对公共卫生事件的过程中,个人信息被违法违规收集、个人隐私遭到泄露的情况时有发生,当事人的身份证号码、、住址等私密敏感信息被非法曝光,由此给当事人带来了极大的困扰并造成了合法权益的侵害。
我国没有专门的个人信息保护立法,对个人信息的保护主要体现在民法、刑法、行政法等法律以及其他法规、规范性文件中,规定的内容也比较简单粗线条,相互之间缺乏关联性与整体性,使得实践中的可操作性不强。《民法总则》第111条规定了自然人的个人信息受到法律保护,个人信息应当依法获取,但是这仅仅是宣示性条款,明确了法律保护个人信息,而究竟应当如何保护个人信息以及自然人享有哪些具体的个人信息权益,法律并未作出回应。[1]《中华人民共和国刑法修正案(九)》规定了
车船税新标准【文章编号】1671-5101(2021)02-0027-05
侵犯公民个人信息罪,旨在打击违反国家规定向他人出售或者提供公民个人信息的行为,然而,在具体适用中会因为情节严重的标椎以及其他非法方法的认定不明确,导致对该条款的理解比较模糊,实践中法官的自由裁量权比较大。倒尤其在公共卫生事件中,针对个人信息被侵犯的现象,该条款的就显得十分乏力,难以达到既定的立法宗旨,对于大范围的密集的侵害个人信息的犯罪活动,由于被害人举报的意识不强烈、证据收集难度大、信息化犯罪侦破难度大等,刑法难以轻易定罪,导致实际的保护水平比较低,个人信息难以得到有效保护。《中华人民共和国行政诉讼法》虽然规定公民可以对具体行政行为提起行政诉讼,即如果行政机关收集利用个人信息侵犯了公民的合法权益时,公民有提起诉讼的权利,但是行政机关在公共卫生事件中收集利用个人信息的违法性边界界定与侵害权益的证明是很困难的,因此通过行政诉讼方式维权的难度比较大。《中华人民共和国政府信息公开条例》为了提高政府工作的透明度,从政府信息公开服务的目的出发,实现对个人部分信息的附加性保护,由于适用范围有限以及规定零散化,本质上也无法实现真正意义上的个人信息保护。
为了做好新型冠状病毒感染肺炎疫情联防联控
【收稿日期J2020-12-24
手机怎么查高考成绩【作者简介】杨祖卿(1997-),女,安徽池州人,安徽大学法学院2019级经济法学专业硕士研究生。
安徽警官职业学院学报2021・2]27
中的个人信息保护,积极利用包括个人信息在内的大数据支撑联防联控工作,中央网络安全和信息化委员会发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,提出各地方各部门要高度重视个人信息保护工作,明确了个人信息的收集主体、收集范围以及利用范围,坚持最小范围原则和赋予收集或掌握个人信息的机构以个人信息安全保护义务,严厉打击违法违规收集、使用、公开个人信息的行为畀但是,该通知的效力位阶比较低,内容简短,仅仅规定了六条要求,对于公共卫生事件中的个人信息保护没有进行框架性构建与细致性规定,公共卫生事件中的一些实践性问题得不到解决,个人信息保护并得到较大程度的提高。
实际上,公共卫生事件中的个人信息保护具有特殊性,其中充斥着各种利益冲突与利益衡量,如何进行价值选择与利益平衡是个人信息保护工作中需要仔细考虑的重点。一方面,涉及了隐私权与知情权的冲突。一般情况下,自然人的私人信息秘密依法受到保护,不被他人非法侵扰、知悉、收集、利用,且权利主体对于自己的个人信息是否向他人公开以及公开的人范围和程度等具有决定权。但在公共卫生事件,由于公众享有一定的知情权,例如有权知晓感染人的居住地址、行动轨迹等信息,如何在保障公众知情权并推动公共卫生事件更快更好妥善解决的情况下保护当事人的隐私权,这是值得深思的利益衡量。另一方面,涉及了个人利益与公共利益的冲突。个人信息兼具私领域与公领域,
具有个体性与公共性交叠的属性,必可避免的产生了个人利益与公共利益的冲突畀比如,公众为了享有安全、健康生活的公共环境而要求知悉部分公共卫生事件当事人的个人信息,如何保护公共利益的同时避免个人信息泄露或非法利用而造成的个人利益损害,这也是利益衡量的关键。
二、个人信息保护的比较法考察
我国公共卫生事件中个人信息保护的立法与司法实践相对比较滞后,而美国、欧盟、德国的个人信息保护的立法模式与立法技术具有很大程度的借鉴性。“它山之石,可以攻玉”,为此,有必要从比较法角度考察发达国家或地区的个人信息保护经验,通过比较分析与经验总结,探索出符合我国国情与实践情况的个人信息保护路径。
(一)美国
美国将个人信息保护纳入隐私权保护的范畴,认为公民享有信息性隐私权,为了防止国家权力对于个人隐私的涉足与干预,个人应当拥有控制自己信息流动的权利,以此保护个人信息免受国家公权力的侵害。[5]但是,美国对于个人信息的保护是约束性不强的,因为高度保护会造成妨碍信息自由,尤其是在互联网信息技术与大数据高速发展的现代社会,美国希望在不损害信息自由发展的前提下来实现对个人信息的保护。因而,美国赋予个人对其信息的控制不是绝对性的,而是在个人信息保护与信息自由之间寻求一个平衡点。个人对于信息的控制,其正当性基础在于个人信息所蕴含的隐私性具
有经济利益或财产价值,个人信息理应被包含在个人自治的范围肿当然,也有学者对此存在争议。毕竟在信息社会,个人信息本身的价值显然不如信息整合后的累积与综合价值,在公共卫生事件中,很多人更在乎的是信息整合后能带来的社会效益,个人信息存储与保管以及责任承担在此情形下是受限的。
美国摒弃了传统的告知与同意规则,在个人信息保护与信息自由之间进行价值博弈的过程中,采取了相对灵活的控制风险与情景理念。传统的告知与同意规则过于追求形式化而忽略了实际,一般公民不会耐下心来看完繁杂冗长的声明,即便能看完,有些专业术语与技术性内容也不一定能理解V公民对于声明没有协商同意后的更改权,只能机械的选择是否同意,所以这种告知与同意是没有实际意义的,公民的参与感被弱化了,对后续的信息利用也丧失了知情权,难以真正保护个人信息。而在控制风险与情景理念下,公民被赋予了选择权与撤销权,信息收集方也被要求了调查义务,在公开个人信息时必须做到情景一致,即基于原始的特定情景与特定目的公开信息。这种理念规范了个人信息的授予同意以及使用范围,公民是在自身合理期待范围内、掌握可控性以及享有后续选择与救济权的情况下将个人信息授权给第三方,避开开了原有模式的机械性弊端,灵活处理信息自由与个人信息保护的冲突,在不损害整体信息自由的情形下实现个人信息的保护。
(二)欧盟
欧盟一般将个人信息称作个人数据,其对于个人信息的保护经历了隐私权到人格权的转变。个人数据包括一般数据与敏感数据,而敏感数据难以通过隐私权的方式予以保护。有些敏感数据虽然具有对自然人的识别性,但是不属于隐私权所强调的私密性,所以无法将这部分的个人数据纳入隐私权保护范畴。隐私权具有防御性、消极性的特点,往往只能在侵害发生后才能行使一定的权利,这对于个人
28安徽警官职业学院学报2021-2
数据起不到应有的保护作用。在公共卫生事件中,大部分个人数据通过互联网与大数据技术进行收集、存储以及利用,如果个人数据在网上遭到泄露,权利人即便主张排除妨害,但此时遭到泄露的个人数据已经进入到公共领域,互联网平台断开链接仍然无法阻止个人数据的进一步传播与扩散。因此,欧盟后来进行专门的个人数据保护立法,将个人数据加以严格区分,重视对敏感数据的保护。欧盟在《95指令》、《16条例》中提出了差异化的处理方式,根据数据的重要性程度,明确规定三类禁止处理的个人敏感数据肿同时,基于数据保护与利用之间的平衡,也创设了例外,即在涉及公共利益或便利性等特定情形下,允许处理个人敏感数据。最重要的是,欧盟赋予了权利人不经过数据方同意而能够随时撤回以及行使被遗忘救济的权利,这就使得权利人拥有很大程度上的自主权与保护个人数据的主动权。此外,欧盟还设置了具有代表性的数据保护官制度,规定了详细的强制安全存储以及强制数据保护影响评估等内容。
(三)德国
德国虽然属于欧盟成员国,借鉴了欧盟的一些个人信息保护立法经验,比如也采用人格权的方式保护个人信息,但是德国的个人信息保护有其独特性,从而有别于欧盟的立法模式,值得研究借鉴。即使德国有的州制定了个人信息保护的地方法,国家 也存在各行业人员信息保护的专门立法,甚至教会也会颁布促进个人信息保护的一些规则,但是不妨碍德国《联邦资料保护法》拥有个人信息保护范畴的基本法地位。[9]德国《联邦资料保护法》对公私领域加以区分而分别予以规范,即对于公权力机关与市场主体的信息行为均分章节进行规定,从而突破了欧盟《资料保护指令》不区分公私领域而采取统一原则性规定的立法模式。一方面,德国将相关的具体个人信息保护问题统一规定在一部法律中,具有整体性与适用上的可操作性,信息收集方可以据此规范自身的信息行为,当事人也可以依据该法主张个人信息保护方面的权利。另一方面,德国这种公私区分的立法模式具有相当的周密性,照顾了公私领域信息保护的差异性,突出了个人信息保护在不同领域的个性,使得个人信息保护立法更加细致详尽。德国信息保护法坚持禁止收集原则,即只有在法律规定的例外情形下才可以收集处理个人信息。具体而言,在公领域秉持“职责必须”的条件,即如果国家机关为了履行自身职责所必须,公民同意与否都不影响对个人信息的收集;而在私领域,则坚持“信息主体同意”的条件,即市场主体收集公民个人信息需要征得本人的同意。公共卫生事件中,信息收集方同样包括公权力机关与市场主体,这种公私区分的个人信息保护模式考虑到了信息收集方的地位悬殊,通过合理的区分有效保障了公民的信息自决权。
三、个人信息保护的比较法启示
(一)立足于本土法律文化
美国、欧盟、德国形成不同的独具特的个人信息保护模式,主要源于法律文化的不同,因而立法的价值取向也大相径庭。长期以来,美国社会普遍崇尚自由,对公权力机关一直是不信任的,认为公权力机关对私人领域的干预是对自由的侵害,所以美国民众重视隐私价值,通过对个人隐私的保护形成对公权力的消极对抗。当互联网技术给个人信息带来隐患时,美国立法机关自然选择将个人信息纳入到了隐私权保护路径。而欧盟、德国一直有维护人格尊严的历史传统,强调人格尊严保护的重要性,特别是二战中纳粹对人格尊严的践踏,更加激起了民众广泛呼唤人格尊严在法律文化中应有的核心价值。㈣因此,欧盟、德国选择了个人信息的人格权保护路径。此外,德国更加注重个人信息保护的多元价值,通过区分公私领域以设置不同的保护,从而实现私人利益与公共利益的平衡。我国在完善公共卫生事件中个人信息保护的过程中,不仅需要比较借鉴国外成熟的经验,还要从法律文化着手探索不同保护经验之间的差异与共性,在立足本土法律文化的基础上,结合公共卫生事件的本土特点,逐步发展适合我国国情的个人信息保护模式。
(二)探求不同法律制度的共性
从比较法角度考察不同国家或地区公共卫生事件中个人信息保护的立法模式,除了比较不同之处,更重要的是总结不同模式的共性,这样才能研究合理的未来发展趋势。在互联网信息技术高速发展的今
天,美国尽量保障不干预信息自由,对个人信息保护相对比较克制,这是其利益衡量的结果。在公共卫生事件中也是如此,由于公共卫生事件牵扯范围广、影响力大,关乎公共利益,因此美国倾向于在不损害信息自由的前提下保护个人信息。而欧盟、德国在公共卫生事件中基本的价值取向大致与美国相同,尽量在维护公共卫生事件中公共利益的基础上保护个人利益。只不过在大的框架下各自采取不同的路径,欧盟通过对个人信息分类进行不同程度保护,德国是通过区分公私领域来设置不同的保护程度,但是
安徽警官职业学院学报2021-229
都考虑到了公共卫生事件中个人信息的差异化保护。我国在处理公共卫生事件时,可以借鉴他们的共性,在控制公共卫生事件大方向的前提下,对事件中所涉及的个人信息进行符合实际情况的合理化保护。
四、我国公共卫生事件中个人信息保护的完善路径
(一)构建个人信息保护的利益平衡机制
在公共卫生事件中,既需要维护公众安全健康的生存环境,保障整个社会的公共利益,比如新冠肺炎疫情中要防控疫情传播、对于确诊患者与疑似病例的医治与隔离,确保其他民众合法的知情权与维护
社会的稳定运转。同时,也要保护个人信息,当公民提供个人姓名、住址、身份证件、行程等信息时,信息收集者要筛选信息公布的范围以及保障信息不被泄露,特别要考虑当个人信息利益与公共利益冲突时如何进行平衡。一方面,秉持控制风险与情景理念,信息收集方必须依据初始情景与特定目的公开个人信息,为了防控疫情的需要,经合法授权后在合理限度内公开个人信息,当个人信息存在泄露风险或被不当利用时,允许当事人行使撤回权,由此造成的损害,当事人可以行使救济权,即在保护公共利益的前提下实现个人利益的最大化。另一方面,要把握个人信息的保护限度,坚持最小范围原则,收集对象限于确症者、疑似者、密切接触者等重点人,仅收集必须的个人信息,不能公开具有身份识别性的个人信息,在进行风险评估后根据个人信息敏感程度作不同等级的匿名化处理,平衡个人信息保护的利益冲突。[11]
(二)对个人信息进行区分保护
个人信息的重要性影响着社会公示性程度与信息被泄露后的风险大小,所以应当将个人信息分为一般信息与敏感信息,从而进行区分保护。个人敏感信息与私人生活安宁与私人秘密密切相关,因此要提高保护程度。虽然取得这部分个人信息是基于公共卫生事件防控的合法目的,当事人需要忍受公共利益之限制,但也要取得当事人的明示同意。[12]信息收集方获取个人敏感信息后,要遵守国家相关法律法规以及尊重当事人的隐私权,在处理利用个人敏感信息为公共卫生事件服务时,以隐私保护为要旨,坚持比例原则与非必要不公开原则。公共卫生事件中社会管理意图的实现需要受到约束控制,不
能以干预触及个人敏感信息的私人领域为代价。在公共卫生事件中,国家往往需要构建囊括个人信息的大数据平台,收集的信息越多,产生的效益越大,越能促进公共卫生事件的合理解决。所以,对于个人一般信息,可以强化信息收集方的利用而相对弱化当事人的同意要求,设置较为宽松的公开条件,甚至于某些特殊情形下仅需当事人的默示同意。当信息收集方进行并非针对特定当事人的大规模一般息处理时,可以进行去个人化操作。比如,根据个人一般信息分析疫情的集中区域及发展态势时,重点在于体性分析,因而消除个人一般信息识别要素不会对大数据分析造成阻碍,反而能降低个人信息不当利用或泄露的风险,促进信息最大化利用的同时降低潜在的危害。
(三)强化个人信息保护的监管
由于个人信息呈现出多元化的法律性质,导致个人信息保护的监管比较复杂,一直处于缺位状态。问目前,中国没有专门的个人信息保护机构,在公共卫生事件中也没有特别设立个人信息保护机构,一般由工信部、市场监管局等政府部门进行监督,相互之间缺少信息共享与协调管理,不仅造成执法资源的浪费,还无法真正起到个人信息保护的作用。因此,应当单独建立统一的兼具调查权与处罚权的个人信息保护机构,强化对信息收集方的制约,让信息收集方对其信息处理行为负责,并且统一执法标椎,提高公共卫生事件中个人信息保护的力度。考虑到公共卫生事件涉及范围广,除了建立全国性的个人信息保护机构,还应当在各地建立分支机构,负责各地区信息收集与整合利用中的信息保护问题。同时,个人信息保护机构要根据各地公共卫生事件的风险等级与发展态势相应调整保护力度,督
促信息收集方秉持合法性与合理性原则收集与处理公共卫生事件中的个人信息,对于已发生个人信息侵权违法行为,应当引导与帮助当事人合法维权。
【参考文献】
[1]宋亚辉.个人信息的私法保护模式研究——《民法总则》第
111条的解释论[J].比较法研究,2019(2):86-103.
[2]丁国民,连浩琼.我国在个人信息保护模式上的价值选
择—
—以美、德比较法为视角[J].北京邮电大学学报(社会科学版),2019(3):1-9.
[3]肖卫华,戴蕾.论疫情防控中个人信息保护——以CoviD-19突发公共卫生事件应急为视角[J].南华大学学报(社会科学版),2020(1):36-40.
中国好声音华少广告词[4]靳海婷.美、德个人信息宪法保护路径比较及启示——以个
人信息的双重属性切入[J].重庆邮电大学学报(社会科学
(下转第70页)
30安徽警官职业学院学报2021・2
诉讼法学
王扬,张伟:非征收拆迁补偿协议效力认定的司法裁判及反思版社,2019:236.苏社会科学,2020(2):119-127.
[5]张向东.论行政协议合法性审查与合约性审查的关系[J].江
Judicial Judgment and Reflection on the Validity Identification of Non-expropriation Demolition
Compensation Agreement
指纹支付Wang Yang,Zhang Wei
(Jiangsu Mainland Law Firm,Suzhou Jiangsu215000)
[Abstract]Due to the complexity of the implementation procedures and the harshness of the starting conditions of expropriation and demolition,housing demolition in China has gradually formed a dual p
ath of coexistence of agreement demolition and expropriation demolition.The"non-expropriation and compensation agreement”signed during the demolition process should be regarded as an administrative agreement.The judicial review of this kind of agreement should not be regarded as illegal as a violation of the expropriation procedure.Therefore,the two-stage review standard of the administrative agreement should be adhered to,and the legality and contractuality of the agreement should be fully reviewed.
[Keywords]expropriation;administrative agreement;non-expropriation demolition
(责任编辑:唐世业) (上接第30页)
版),2018(4):46-55.
[5]王秀哲.大数据时代个人信息法律保护制度之重构[J].法学
论坛,2018(6):115-125.
⑹高富平.个人信息保护:从个人控制到社会控制[J].法学研
究,2018(3):84-101.
[7]张林鸿,周小扬.大数据时代个人信息保护的法律路径[J].
守株待兔的意思贵州大学学报(社会科学版),2019(2):64-72.
[8]陈骞,张志成.个人敏感数据的法律保护:欧盟立法及借鉴
[J].湘潭大学学报(社会科学版),2018⑶:34-38.
[9]蒋舸.个人信息保护法立法模式的选择——以德国经验为
视角[J].法律科学(西北政法大学学报),2011(2):113-120. [10]张新宝.从隐私到个人信息:利益再衡量的理论与制度安
排[J].中国法学,2015(3):38-59.
[11]时诚.重大疫情防控中个人信息的法律保护[J].中国矿业
大学学报(社会科学版),2020(2):63-74.
[12]王利明.数据共享与个人信息保护[J].现代法学,2019(1):
45-57.辽阔
[13]袁泉.论个人信息的私法定位与保护[J].大连理工大学学
报(社会科学版),2020(2):90-95.
A Comparative Study on the Protection of Personal Information in Public Health Events
Yang Zuqing
(Law School,Anhui University,Hefei Anhui230601)
[Abstract]Responding to public health incidents is inseparable from the collection and use of personal information.However,the personal information cannot be effectively protected in China.Therefore,the legislative experience of the United States,the European Union and Germany can be studied from the perspective of comparative law,so as to summarize the commonalities and carry out innovative development based on the local legal culture.In order to improve the protection of information on public health events in China,it is necessary to build an interests balance mechanism for the protection of personal information,distinguish the protection and strengthen the supervision of personal information protection.
[Keywords]public health incidents;protection of personal information;balance of interests;differentiate
d protection
(责任编辑:陶政) 70安徽警官职业学院学报2021・2
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论