魏瓊 徐俊暉

摘? ? ? 要：應急狀態(tài)下對于個人信息權的克減具有正當性基礎，讓渡的個人信息能為應急防控和政府治理提供便利，但也存在克減過度侵犯公民固有權利的風險。應從“權利克減”過程理論出發(fā)，堅持法律保留、目的適當、最小必要、狹義比例、本質(zhì)保護原則，限定克減主體、范圍、方式、強度、對象，厘清應急狀態(tài)下克減個人信息權的邊界并轉(zhuǎn)化為立法實施規(guī)范，實現(xiàn)公共利益與個人信息權的平衡。同時，充分發(fā)揮個人信息權“客觀價值秩序功能”和“防御權功能”，通過嚴格安全保護義務、堅持正當程序約束、設置保護監(jiān)管機構等規(guī)范約束行政應急權，通過暢通救濟監(jiān)督渠道、厘清法律責任主體、明確案件審裁規(guī)則、健全行政賠償救濟制度等完善救濟與監(jiān)督，構建應急狀態(tài)下完整的個人信息權保障體系，以助力國家治理體系和治理能力現(xiàn)代化。

關? 鍵? 詞：應急狀態(tài);個人信息權;客觀價值秩序;防御權功能

中圖分類號：D923? ? ? ? 文獻標識碼：A? ? ? ? 文章編號：1007-8207（2021）07-0118-11

收稿日期：2021-05-14

作者簡介：魏瓊，華東政法大學法律學院教授，博士研究生導師，研究方向為行政法與行政訴訟法;徐俊暉，華東政法大學憲法學與行政法學碩士研究生，研究方向為行政法與行政訴訟法。

基金項目：本文系2020年國家社科基金重大委托項目“中華法系與中華法律文化問題研究”的階段性成果，項目編號：20@ZH038。

應急狀態(tài)是指面對發(fā)生或即將發(fā)生的重大突發(fā)事件，需要國家行政機關按照法律法規(guī)的授權行使緊急權力予以控制、消除其社會危害和威脅，保障公民生命、財產(chǎn)安全和恢復正常社會秩序的一般緊急狀態(tài)，如2020年初發(fā)生的“新型冠狀病毒肺炎疫情”（以下簡稱疫情）。在這一狀態(tài)下，個體權利會因行政應急而受到必要克減，包括《中華人民共和國民法典》（以下簡稱《民法典》）和《中華人民共和國個人信息保護法（草案二次審議稿）》（以下簡稱《草案》）所確認的個人信息權。

疫情防控期間，讓渡的個人信息被用于監(jiān)測預警、應急決策等領域，在提高抗疫科學性、有效性和精準性的同時，也存在個人信息權被過度侵害的風險。因管理疏忽、使用不當、防控不到位導致個人信息泄露或非法披露，如疫情初期地方政府無限度曝光武漢返鄉(xiāng)人員信息，[1]有的基層組織過度收集學歷等與防疫無關的個人信息，[2]個別衛(wèi)生健康局干部將承載患者及其親屬等個人隱私信息的電子內(nèi)容在微信平臺傳播，等等。[3]本文以疫情防控為切入點，從法理和法規(guī)范的角度分析應急狀態(tài)下個人信息權克減的正當性基礎，結(jié)合“權利克減”理論勾勒個人信息權克減的邊界，希冀為行政機關在應急狀態(tài)下合法、適度克減個人信息權，保護公民個人信息權免受侵害提供參考。

一、應急狀態(tài)下個人信息權克減的正當性基礎

法律中的“克減”指國家因某些情況可減損對基本權利的適用。[4]“克減”是權利限制的特殊形式，一般適用于國家社會面臨嚴重險情時必要限制公民權利，[5]其本質(zhì)為公權力對私權利的限制。應急狀態(tài)下對個人信息權的克減超越傳統(tǒng)限度，容易造成對個人權利的不法侵犯，有必要進行正當性論證。

（一）應急狀態(tài)下克減個人信息權的法理分析

權利克減的正當性理論解決的是權利克減的目的與理由，權利克減的目的是為了更好地保障權利，克減的理由是“國家的、社會的、集體的利益”與“他人合法的權利與自由”。正當克減公民個人信息權只能基于“權利與權利沖突”和“公共利益需要”兩種情形。[6]個人信息與人格尊嚴、精神利益緊密結(jié)合，兼有人格、財產(chǎn)利益。我國現(xiàn)行法律法規(guī)中雖未出現(xiàn)“個人信息權”字眼，但從《民法典》人格權編中可推導出個人信息權包含人格尊嚴、隱私等權利。而疫情防控中維護的公共衛(wèi)生安全本質(zhì)上指向的是個人最基本、最重要的權利——生命權。新冠病毒具有高傳播性、災難性，若不加以控制將導致公民的生命權遭受大范圍毀滅性的損害。生命權在人格權排序中具有優(yōu)先地位，沒有生命權，個人信息權、隱私權、人格自由、人格平等、財產(chǎn)權等其他一切權利的保護也將毫無意義。

基本權利保障必須讓渡部分自由給公共利益，公共利益反哺基本權利保障，這是公共哲學的內(nèi)在邏輯。應急狀態(tài)下，為了公共安全、公共秩序、社會治理等需要，政府可不經(jīng)個人同意甚至強制收集、使用個人信息。個人信息的披露、公開也是合理正當?shù)模兄诰徑夤娨蛑卮笸话l(fā)事件威脅生命產(chǎn)生的恐慌和焦慮。從功利主義的角度看，能夠促使國家治理效益的最大化。如疫情防控中，確診患者以及疑似患者的信息幫助國家及時判斷危險源、劃定病毒傳播區(qū)域，應對病毒的高傳播性，能夠提高防疫效率。

（二）應急狀態(tài)下克減個人信息權的規(guī)范解讀

如果說公益目的條款強調(diào)的是國家對基本權限制的“目的許可性”，形式標準則要求國家限制基本權的“工具許可性”。[7]我國《憲法》第51條規(guī)定：“中華人民共和國公民在行使自由和權利的時候，不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權利?！边@為行政機關因公共利益限制個人信息權提供了依據(jù)，同時個人信息權的行使也受到基本權利濫用禁止原則約束，數(shù)據(jù)控制主體在應急狀態(tài)下為公共利益需要規(guī)制權利的行使。如《中華人民共和國突發(fā)事件應對法》（以下簡稱《突發(fā)事件應對法》）規(guī)定縣級以上人民政府及其有關部門、專業(yè)機構收集突發(fā)事件信息的義務。《中華人民共和國傳染病防治法》（以下簡稱《傳染病防治法》）規(guī)定個人提供傳染病情況和報告信息的義務?！缎畔踩夹g個人信息安全規(guī)范》和《草案》都規(guī)定了應對突發(fā)公共衛(wèi)生事件或緊急情況下保護自然人生命健康和財產(chǎn)安全時，可克減個人信息權。若是為保護“與公共安全、公共衛(wèi)生、重大公共利益”的需要，個人信息主體沒有“拒絕”的權利;即使未經(jīng)個人的“同意”，政府機關、授權機關和履行法定義務的主體也有權收集法律、行政法規(guī)規(guī)定的個人信息。可見，國家機關處理個人信息、克減個人信息權的正當性基礎包括履行法定職責或者法定義務和維護公共衛(wèi)生以及重大公共利益。此外，《草案》還規(guī)定了緊急情況下處理個人信息的告知義務的延后履行，對程序約束進行了適當放寬。

二、應急狀態(tài)下克減個人信息權的邊界

上述法理與法規(guī)范，為應急狀態(tài)下行政權力的擴張與個人信息權的克減提供了合法正當性支撐，對于應急管理的進行具有顯著成效。然而，《草案》就應急狀態(tài)下和一般狀態(tài)下對于個人信息權克減僅規(guī)定了同意權的限制和告知義務的放寬，并未具體規(guī)定應急狀態(tài)下如何科學、準確地克減個人信息，對行政機關的應急克減行為指引性不夠。《突發(fā)事件應對法》也只規(guī)定了相關主體的報送、收集信息義務，存在著行政機關行為失范極易侵犯個人信息權之虞。若應急狀態(tài)下無底線地克減個人信息權，勢必有違憲法關于人權的保障，而現(xiàn)代法治也絕不允許政府任意地行使權力。因此，克減個人信息權的邊界急需進一步厘清與明確，做好群體公共目的與個人自由之間、保障人權與維護秩序之間的平衡，確?！爸贫鹊幕\子”牢不可破。根據(jù)“權利克減”的過程理論，[8]應急狀態(tài)下個人信息權的克減宜從克減主體、克減理由、克減范圍、克減強度、克減對象等方面進行限定。

（一）法律保留原則限定克減主體

在疫情防控中，根據(jù)《傳染病防治法》和《突發(fā)公共衛(wèi)生事件應急條例》，法定克減主體包括衛(wèi)生行政主管部門、疾病預防控制機構、醫(yī)療機構。在風險存在但尚未爆發(fā)時期，此類主體為預測、消除各種類型風險而收集個人信息也是履行其法定職責的一種常態(tài)化表現(xiàn)。但在風險已經(jīng)爆發(fā)階段，考慮到應急管理的緊迫性，僅僅憑借法律授權的克減主體難以完成對個人信息的及時收集。所以，宜擴大克減主體，壯大基層應急力量，如鄉(xiāng)鎮(zhèn)街道辦、村（居）委會、派出所等，打通治理“最后一公里”?；谛姓毙?，立法宜規(guī)定政府可授權或委托其他主體開展個人信息收集工作，明確權限內(nèi)容和實施程序，避免概括式的陳述，同時應盡可能告知公眾，以確保行為主體的權力來源在實體和程序上是合法的，否則極易造成對個人信息權的過度克減。

（二）目的適當原則限定克減范圍

目的適當原則須貫穿于應急狀態(tài)下個人信息處理（包括收集、使用、存儲等）的始終，要求個人信息的處理應當符合立法規(guī)定，不得違反禁止性條款，且須具有辨識度，[9]不得空泛地訴諸公共利益。同時，克減主體收集的個人信息必須對實現(xiàn)應急目的是充分必要的，個人信息處理不能超出目的范圍。如疫情防控期間處理的個人信息應當與疫情防控的目的相關聯(lián)，個人信息范圍宜限定在基本信息（姓名、聯(lián)系方式等）和相關監(jiān)測信息（體溫、活動軌跡、接觸史等），不得處理超出目的范圍的個人信息（民族、學歷、性別、財產(chǎn)信息等），也不得強制處理無關群體的信息。

應急狀態(tài)下，突發(fā)事件的處理存在監(jiān)測預警、應急管理與事后恢復等若干個階段。不同階段所面臨的風險差異會導致應急目的的不同，不同的應急目的、不同程度的公共利益所對應個人信息權克減的范圍也是不同的。[10]具言之，在疫情防控中，疫情監(jiān)測預警階段的公益目的是預測風險態(tài)勢，防止疫情爆發(fā)。此時收集利用個人信息的主體應限于法定主體，范圍應限定在實現(xiàn)“可預測預警”的范圍內(nèi)，主要為確診或疑似患者的個人信息。疫情全面爆發(fā)階段的公益目的是發(fā)現(xiàn)并切斷疫情傳播路徑。這一階段，疫情危及公眾生命健康的范圍較廣，為了實現(xiàn)快速有效的疫情防控，可以擴大收集利用個人信息的主體，調(diào)動社會基層力量進行網(wǎng)格化管理，授權主體可通過委托特定單位收集個人信息。范圍應達到能夠發(fā)現(xiàn)傳播路徑的標準，與個人行蹤軌跡相關的信息均應納入。[11]疫情消退階段的公益目的是防止疫情的二次擴散，主體應以基層力量為主，做好日常行程和體溫的上報，及時發(fā)現(xiàn)疑似患者，以防疫情再度爆發(fā)。

（三）最小必要原則限定克減方式

最小必要原則要求僅限于收集為實現(xiàn)上述特定目的所必要的個人信息，需在數(shù)種可能達到克減權利目的的手段中選擇最低限度的克減方式，并且在目的實現(xiàn)之后刪除所涉信息?！白钚　卑ㄌ幚韨€人信息的頻率最低、數(shù)量最少、期限最短，個人信息權損害最輕;“必要”的判定則以是否為實現(xiàn)目的所必須為標準，滿足“不當聯(lián)結(jié)之禁止”[12]要求，克減方式必須是可靠、具備實效的，裁量不得隨意濫用，明顯超越限度。

具體地說，個人信息不應重復收集，應打破各行政區(qū)域的防控壁壘，實現(xiàn)“一碼通行”。根據(jù)組織、專業(yè)技術人員、有關專家學者確定風險存在的時間、空間跨度，對于風險解除的，應對其個人信息進行刪除或匿名化處理，如新冠病毒的潛伏期一般為14天，個人信息保存的期限也宜為14天。應急狀態(tài)下，相關行政主體具有公布突發(fā)事件信息的義務，個人信息的披露應當選擇能達成目的的最小方式，避免侵犯個人信息主體的隱私權，如疫情防控中信息的披露應是確診患者的行蹤軌跡，但不應事無巨細地披露確診患者的行動內(nèi)容及原因，更不應披露患者的基本信息和家庭住址等，而對于居家隔離的人員，宜進行最小范圍的公開，限于社區(qū)（小區(qū)、行政村），做到“只提地點不提人”，避免產(chǎn)生個人信息挖掘的可能導致個人安寧受侵害。因為身份信息只是用于監(jiān)控，對疫情的化解與公眾的安全并無關系。在收集方式上，不應強制收集個體的生物信息，避免手段與目的之間的不當聯(lián)結(jié)，因為生物信息收集與否并不必然導致追蹤失敗、防控目的無法達成，[13]也不應將個人信息登記表放至公共場合或公共平臺（如微信群），否則極易損害個人信息權。

（四）狹義比例原則限定克減強度

狹義比例原則指手段相對于相關法益的達成具有均衡性和合比例性。應急狀態(tài)下，克減主體行使職權所需實現(xiàn)的公共利益和為實現(xiàn)該目的發(fā)生的一系列個人信息處理對公民個人信息權減損的后果被放置在天平的兩端，進行衡量。如前述法理分析，具有人格尊嚴屬性的個人信息權減損讓位于更高位階的生命權組合成的公共安全利益，是正當合理、合乎比例的。

在實際的運用中，狹義比例原則需要較多的價值判斷，應當根據(jù)具體的情境明確個人信息權減損程度和公共利益內(nèi)容解讀進行具體衡量，宜對個人信息種類和應急階段進行區(qū)分，形成個人信息權克減的強弱梯度。如應急狀態(tài)下高度敏感的個人信息會涉及特定人的安寧權，應將其作為“砝碼”放置于上述個人信息權與公共利益的衡量天平中。不同應急階段所承載的公共利益的輕重量級是不同的，疫情全面爆發(fā)階段對應的公共利益具有極大的緊迫性和重要性，對個人信息權的克減自然最強，對象不限于確診患者還包括其他健康群體，程序限制進行放寬，個人信息可以被直接調(diào)取或強制收集。同時，也要注意區(qū)分個人信息二次利用的目的。應急狀態(tài)下，考慮到信息的價值和操作的靈活性，收集到的信息很可能被用作其他用途，此時個人信息調(diào)取要有程序上的限制。若是繼續(xù)為應急防控的其他地區(qū)提供信息，其涵蓋的仍是生命權、健康權等高位階權利，追求的目的仍是最強的;若是用于政府或科研機構基于科學、歷史研究目的或統(tǒng)計目的提供數(shù)據(jù)，公共利益涉及的個體利益包括長期的健康權，但不具有緊迫性，其克減個人信息權的程度也應更弱，需進行告知;若是用于常態(tài)行政執(zhí)法的活動，側(cè)重的是個人日常生活中的財產(chǎn)權等較低位階，應采取匿名化、加密等限制措施，對個人信息分別儲存，共享使用時應獲得政府的合法授權。[14]針對其他承載較輕的目的，行政機關在個人信息處理前應履行告知義務，必要時征得個人的同意，同時保有公眾參與的適用空間，使目的與權益減損程度合乎比例。

（五）本質(zhì)保護原則限定克減對象

本質(zhì)保護原則指在任何情況下都必須保障公民固有權利中“不可克減的權利”不受侵害，這為行政機關行使行政應急權設定了底限，是個人對抗政府行為的工具手段。根據(jù)《公民權利和政治權利國際公約》，“不可克減的權利”主要包括生命權、人道待遇、不得使為奴隸或被強迫役使、法律人格的權利以及思想、良心和宗教自由等。因此，應急狀態(tài)下公民個人信息權會受到限縮，但公權機關在應急管理中也絕對不能觸碰個體權利本質(zhì)，如不得公開可識別的個人信息，不得泄露涉及權利主體隱私的信息。

此外，就權利內(nèi)容而言，個人信息權內(nèi)容豐富，包含知情權、同意權、訪問權、刪除權、修改權、拒絕權、限制自動化決策權等，應急狀態(tài)下對個人信息權的克減并不代表對其中所有內(nèi)容的克減。如為提高疫情防控的行政效率，同意權可克減但應當保留對錯誤個人信息的修改權等。就克減的權利主體對象而言，個人信息收集的對象應是與突發(fā)事件密切相關的重點人群。如疫情防控中，原則上限于確診者、疑似者、密切接觸者等，可對其進行強制收集。但在個人信息的處理中不得產(chǎn)生具體的歧視表現(xiàn)，因聯(lián)防聯(lián)控公開的個人信息必須經(jīng)過脫敏化處理，避免不平等對待。

三、應急狀態(tài)下個人信息權保護機制的完善

應急狀態(tài)下，國家利益、社會公共利益、個人信息權益之間的關系始終處于緊張狀態(tài)?；谕话l(fā)事件的緊迫性、公共性、危害性等特點，應急狀態(tài)下的權利克減界線始終偏向于公共利益，公民權利面臨被突發(fā)事件與行政行為雙重侵害的危險，因此界內(nèi)的個人信息權尤其需要保護。雖然《草案》對于個人信息權保護作了具體規(guī)定，但并未對應急狀態(tài)下的保護作指引性規(guī)定，而《突發(fā)事件應對法》對于個人信息的保護也是涉及較少。應急狀態(tài)下個人信息權的保護急需一個整體且具象的完善思路。對此，需要明晰個人信息權的基本性質(zhì)。德國聯(lián)邦憲法法院認為，個人信息屬于基本法中“一般人格權”與“人性尊嚴”條款的保護范圍?；谖覈稇椃ā返娜藱鄺l款和人格尊嚴條款在憲法解釋的框架下可以推導出將個人信息權視為一項基本權利，具有“主觀權利”和“客觀法”雙重屬性，富含“客觀價值秩序功能”和“防御權功能”，[15]這在母法上具有全局統(tǒng)籌意義。從個人信息權的雙重屬性切入，可使應急狀態(tài)下個人信息權保護機制在整體上得到全面、有效的完善。

（一）客觀價值秩序功能：約束克減個人信息權的行政應急權

“客觀價值秩序功能”強調(diào)其本身就是約束國家公權力的“法律”，主要包括制度性保障、組織與程序保障、狹義的保護義務。[16]在應急狀態(tài)下個人信息權的保護中，制度性保障要求對個人信息的保護進行專門的立法，宜將上述應急狀態(tài)下克減個人信息權的邊界納入其中，明確克減的主體、范圍、方式、對象等，指引行政機關在應急狀態(tài)下正確規(guī)范地克減個人信息權。在組織與程序保障上應建立個人信息保護監(jiān)管機構和設置程序約束行政應急權的行使。狹義的保護義務要求國家保護公民免受侵害，行政機關在應急狀態(tài)下應嚴格做好個人信息的安全保障。

⒈嚴格安全保護義務。安全原則是個人信息保護的基本原則，應急狀態(tài)下個人信息權讓渡于公共利益，一些敏感性信息被廣泛處理，涉及個人隱私。這一時期個人信息的法益也更具有綜合性和公共性，甚至關乎國家信息安全。為此，行政機關應在全過程中切實履行對個人信息的安全保護義務。在信息采集過程中，應嚴格要求紙質(zhì)材料不被拍照、復印、統(tǒng)一回收、妥善保管，電子信息須責任到人，保存在特定終端。在信息公開環(huán)節(jié)，除滿足目的適當原則和最小必要原則限定個人信息公開的范圍外（如僅公開涉疫人員的流動統(tǒng)計數(shù)據(jù)以及確診日期、發(fā)病癥狀等非個人敏感信息），滿足“去識別化”要求，避免通過信息整合確定到個體而影響其安寧。在信息儲存管理中則采用更嚴密的訪問控制、審計、加密等安全措施相對集中管理和處理個人信息，嚴格遵守儲存期限的要求，對于超出時限的信息應當予以及時清理。長期保留疫情數(shù)據(jù)會帶來個人敏感信息在未來遭受非法泄露的危險，疫情信息的儲存量越大，儲存時間越久，這種風險的程度就越高。[17]總之，應急狀態(tài)下對個人信息的安全保護應更為嚴格，有必要提高保密級別。與此同時，安全保護義務還要求行政機關應當保障公民的刪除權。如超出目的正當原則和最小必要原則處理的個人信息，公民有權要求責任主體進行刪除;實現(xiàn)預期目的后應及時刪除，二次利用則需授權同意。此外，從技術層面上，行政機關應定期檢測和維護個人信息處理系統(tǒng)，并采用必要的風險防控技術保障個人信息的安全。從組織管理層面上，對公務人員進行培訓指導，提高安全管理意識，避免產(chǎn)生在公眾平臺傳播個人信息等事件。

⒉堅持正當程序約束。應急狀態(tài)下，權力的行使要求快速便捷，不能采用正常時期復雜冗長的行政審批、征求意見、聽證等行政程序，需要放寬、簡化行政應急權的程序，宜適用簡易程序和特別程序。但若對此不進行適當?shù)某绦蚣s束，容易出現(xiàn)權力濫用。其中，程序性正當旨在規(guī)范克減個人信息權行為、步驟等程序的正當性，實體性正當則要求應急狀態(tài)克減個人信息權須自證其正當目的和充分理由。公開和說明理由是正當程序的基本要素，要求行政主體公開權力運作的過程和結(jié)果，以保障權力行使的正當性，這也是保障公眾知情權的重要途徑。知情同意原則是個人信息保護的基本原則，鑒于突發(fā)事件應對中信息持有主體的多元性、信息的海量性以及防控措施及時性、高效性需求，宜削弱同意權，加強保護知情權。因此政府在遵循克減程序的同時要確保信息處理的公開透明，具體包括：政府應當確定應急狀態(tài)下克減個人信息權的合法主體;政府應當就個人信息權克減的必要性和權限范圍進行列舉說明;政府應當對個人信息處理的目的進行具體說明，如因何種目的用于何種情形;政府應當對個人信息管理的方式、期限進行詳細說明;政府應當充分說明其所采取的個人信息保護措施及權利受侵害時的救濟路徑;對于為應急防控而采取的技術性手段（如健康碼），政府也應當向全社會公布算法內(nèi)容和解釋，做到技術上的透明。[18]說明理由要求基層網(wǎng)格化的“觸角”在實施具體的行為時，向相對人說明有權主體、事實依據(jù)、法律依據(jù)、信息內(nèi)容、處理目的、個人權利及救濟方式等事由。事實依據(jù)應具備風險要素，須達到清楚、明白程度，行政機關可用收集、科學論證后得到的風險狀況作為依據(jù)，法律依據(jù)應當有效、明確、具體、與克減措施相對應。正當程序旨在實現(xiàn)程序參與方之間的良性互動，并確保受到權力影響的權利主體擁有表達意見的渠道。[19]公眾參與表現(xiàn)為公民在應急狀態(tài)下有權查詢知悉行政機關對其個人信息的處理情況，公民受到不利影響的異議更正個人信息的權利，公民對自動化決策技術系統(tǒng)適用的選擇權以及應急目的達成后個人信息的退出權。需要指出的是，對于緊急情況下為保護自然人的生命健康和財產(chǎn)安全，須直接從相關組織獲取個人信息并在機關內(nèi)部進行信息流通，如疫情爆發(fā)初期需要確定高風險交通工具中乘客的個人信息，行政機關應當在處理后及時履行告知義務。對于信息發(fā)生泄露的亦應及時告知，以便相對人采取能減少損害的措施。

⒊設置保護監(jiān)管機構。目前，我國個人信息監(jiān)管部門分散區(qū)隔，易引發(fā)相互推諉或重復監(jiān)管問題，[20]需要設置權威、有效的監(jiān)管機構。《草案》雖規(guī)定了國家網(wǎng)信部門和地方政府有關部門個人信息保護和監(jiān)督管理職責，但仍未充分反映個人信息監(jiān)管機構應有的“獨立性”和“專業(yè)性”。[21]實際負責個人信息保護的機構仍須依存于各有關部門，即便在應急管理的機構內(nèi)部設置專門的個人信息監(jiān)管部門也于事無補，無法化解相互推諉、逃避職責的風險，且網(wǎng)信部門的工作中心更偏向網(wǎng)絡安全治理和互聯(lián)網(wǎng)內(nèi)容信息管理，無法保證對應急狀態(tài)下個人信息保護和克減監(jiān)督的有效性。對此，宜借鑒德國、英國、澳大利亞建立“聯(lián)邦數(shù)據(jù)保護專員”“信息保護專員”“數(shù)字衛(wèi)生局”等做法，設置從中央到地方實行垂直領導的專門獨立的機構，由其統(tǒng)一進行個人信息保護監(jiān)管，將監(jiān)督貫穿于個人信息保護的全過程，負責個人信息保護的調(diào)查、調(diào)解、執(zhí)法等工作，引導行業(yè)自律，為相關機關或組織提供咨詢、建議，妥善辦理有關個人信息處理的投訴、舉報。具體地說，該機構在疫情防控中應負責個人隱私的保護，監(jiān)督評估應急狀態(tài)下個人信息的收集、披露、處理和共享等處理行為及主體的合法性，有權采取必要的包括調(diào)查、行政強制和行政處罰等執(zhí)法手段，限制應急狀態(tài)下數(shù)據(jù)控制主體的不當處理行為。[22]同時，有權向疫情防控指揮部門和數(shù)據(jù)控制主體提供政策咨詢、指導;制定個人信息權克減邊界內(nèi)的操作指南;推廣升級安全保護技術。對一般情況下個人信息保護的監(jiān)督，應從事前、事中、事后進行全面監(jiān)管?？紤]到疫情防控應急狀態(tài)的緊迫性，可放寬事前監(jiān)督，加強事中、事后監(jiān)督，及時對應急狀態(tài)下行政機關的不當行政行為進行糾錯，追究責任，清除已公開的相對人個人信息。

（二）防御權功能完善：應急狀態(tài)下個人信息權受侵害的救濟

從立憲主義精神看，防御權功能在個人信息權中處于絕對優(yōu)先和中心地位。[23]當國家在應急狀態(tài)下侵害個人信息權時，個人可請求國家停止侵害，得到司法上的支持。因此，應急狀態(tài)下個人信息權保護，應當發(fā)揮防御權功能，使得個人信息權可以對抗行政應急權，以獲得有效的補救。鑒于行政機關在應急狀態(tài)下的主導性存在較大的權利克減裁量空間，尤其應當發(fā)揮行政救濟功能，完善此類案件的行政復議與行政訴訟，救濟行政相對人遭受損害的合法的個人信息權，并監(jiān)督行政機關在應急狀態(tài)下合法、合理克減個人信息權。

⒈暢通救濟監(jiān)督渠道。實踐中，因應急狀態(tài)下的信息泄露通常只具有潛在危險或者實際損害僅體現(xiàn)為間接的精神損害（人肉搜索、言語攻擊、歧視等），故提起訴訟的可能性幾乎為零?！恫莅浮分皇呛唵翁峒芭e報途徑與回復要求，并未明確規(guī)定個人可針對履行個人信息保護職責的部門怠于履行保護職責行為起訴。對于司法救濟，僅有《傳染病防治法》規(guī)定公民享有對相關主體提起訴訟的權利。為此，應當暢通公民救濟監(jiān)督途徑，將此類行政案件納入行政復議、行政訴訟受案范圍，確定原告（申請人）資格和起訴（申請）條件。緊急狀態(tài)（應急狀態(tài)）的確定是國家行為，不具有可訴性，而行政機關在該時期實施的具體行政行為具有可訴性。應急狀態(tài)下克減個人信息權具有合法正當性，司法救濟保護的是行政機關濫用權力違法處理個人信息侵犯的權益。從我國的《行政復議法》和《行政訴訟法》的受案范圍看，將行政機關侵犯他人合法權益列入受案范圍之內(nèi)，則具有人格和財產(chǎn)雙重權利屬性的個人信息權若受到侵害，應當可以提起行政救濟，有權請求相應責任主體停止違法行為、賠禮道歉、恢復名譽、消除影響、行政賠償、要求監(jiān)管機構履行相關職責（執(zhí)法監(jiān)督、安全保護）、確認違法等。為更好地保護個人信息權，筆者建議將行政機關侵犯個人信息權明確納入受案范圍?？紤]到應急狀態(tài)中的風險具有不確定性，不宜賦予行政相對人面對輕微潛在風險的救濟權，否則將導致司法審判資源的浪費，加速行政案件辦案壓力。申言之，應急狀態(tài)下與正常時期相比，政府治理中的上下聯(lián)動和協(xié)調(diào)合作更為密切與緊迫，政府需要處理好“掌舵”與“劃槳”的關系，行政復議可通過上級監(jiān)督，對下級機關行政行為進行及時的糾錯、糾偏與指導，這樣能更好地實現(xiàn)應急管理的法治化。對于原告或申請人資格，個人信息權被行政機關侵害的個人有權請求。鑒于應急狀態(tài)下處理的個人信息具有公共性，受害主體具有眾多性與特定性，行為具有違法同質(zhì)性，損害結(jié)果具有社會性，為大規(guī)模侵權，可由其中一人或數(shù)人代表全體進行集體訴訟，也可賦予保護監(jiān)督機構、檢察機關、合乎法律規(guī)定的其他非營利組織依法提起公益訴訟的權利。檢察機關作為監(jiān)督公權力行使的重要力量，可通過訴前檢察建議、約談等方式敦促行政機關及其他衛(wèi)生主管部門及時履責。

⒉厘清法律責任主體。應急狀態(tài)下，行政機關在處理個人信息過程中，應建立“人——事——權——責”一體化的責任追究制度，強化行政機關的履責擔當，接受批評并根據(jù)指導予以糾正。具體到行政機關內(nèi)部工作人員利用職務之便故意泄露信息，嚴重侵犯個人信息權的，應追究刑事責任。侵害個人信息權的行為包括非法收集個人信息（違反正當程序或超越權限、目的、方式和范圍過度收集）;泄露、毀損、丟失個人信息（未采取應有安全保障措施）;非法利用個人信息（未經(jīng)同意或不符合目的二次利用）;非法披露或公開個人信息（違反目的適當和最小必要原則公開）等。理論上實施侵害個人信息權行為的行政機關理應成為該類行政案件被告或行政復議被申請人。但在具體的疫情防控過程中，個人信息處理牽涉的主體較多，場景的復雜性和組織的多元性易產(chǎn)生責任主體不清的問題，如醫(yī)療機構、具有協(xié)助義務的基層群眾性自治組織、概括授權或委托單位的責任主體問題均需進一步界定。傳染病防控期間，存在醫(yī)療機構的民事主體與行政主體之爭。[24]筆者認為，醫(yī)療機構獲得法定授權，代表國家行使應急管理權，視為行政權的行使，與公民之間并非簡單的平等民事法律關系。就行政復議而言，則由醫(yī)療機構的主管行政機關（衛(wèi)生行政部門）作為行政復議機關。對于有協(xié)助義務的機關組織，其行為所起的輔助作用，配合主行為實施，亦可提起行政訴訟。對于合法概括授權和委托的組織單位，應當由概括授權和委托的主體承擔法律效果。對于前述合格主體以外的其他組織、個人侵犯個人信息權的行為，可通過民事訴訟解決。

⒊明確案件審裁規(guī)則。就歸責原則而言，政府是最大的數(shù)據(jù)控制者和管理者，個體無論是財力、技術還是舉證、訴訟能力，都無法與代表公權力的機構抗衡。對此，行政機關宜適用無過錯責任，由其證明在個人信息處理過程中實體與程序的合法正當性，否則承擔相應責任。

在審理過程中，法院和行政復議機關應注重程序?qū)彶榕c過程審查，淡化結(jié)果審查。[25]程序?qū)彶殛P注的是在整個個人信息處理過程中行政機關是否遵守克減程序、是否充分保障了信息主體的知情權、是否履行告知義務等;過程審查關注的是行政機關采取的克減措施與應急狀態(tài)下的風險情境是否相適應，個人信息處理主體是否有合法授權，行政機關處理個人信息的行為是否符合事先聲明的目的，是否超越規(guī)定的權限范圍，所依據(jù)的法律規(guī)定是否明確合理，行政機關是否盡到安全保護義務;結(jié)果審查應當關注應急狀態(tài)下不可克減和不應克減的權利是否受到侵害。而行政復議還要關注行政機關對個人信息權克減裁量的合理性。對于行政機關因違法行為實施而造成相對人財產(chǎn)和精神損害的情形，由原告或申請人進行舉證更為妥當。

在案件裁決中，應綜合個人信息權受到行政機關侵害的具體情況及實際影響、原告的訴訟請求和行政機關在應急狀態(tài)下違法處理個人信息的理由等作出不同類型的裁決。如行政機關在處理個人信息時突破了克減邊界超越了職權、濫用個人信息、違反克減過程或處理個人信息的程序，法院應當作出撤銷判決，刪除收集的個人信息，但若撤銷會給國家、社會造成重大損害的，則作確認違法判決。如行政機關未盡職履行安全保護義務使得個人信息泄露、未滿足原告因合理理由請求修改或刪除個人信息，法院應當作出履行判決，責令行政機關履行安全保護義務和對個人信息進行處理，若行政機關的履行對個人權益的保護已無意義，則做確認違法判決。如行政機關合法合理處理個人信息，符合上述克減邊界、程序、職責，法院應當駁回原告訴請，而行政復議中不同類別決定的作出考量也與之相似。

⒋健全行政賠償救濟機制。應急狀態(tài)與正常時期不同，需要同時做好公共安全的維護與基本權利的保護。公民不可能在任何時候、任何權利受到行政機關侵害后都有權提起行政賠償，只有在行政應急權被行政機關及其工作人員違法濫用且侵害了憲法上規(guī)定的不可克減的基本權利時，才有權提起精神損害、財產(chǎn)損失的行政賠償。但在應急狀態(tài)下個人信息權的侵害中，實際損失難以取證并得到準確的計算，精神損害更是難以鑒別。筆者認為，對于因信息泄露而導致嚴重干擾權利人安全安寧生活的，應認定為因侵害個人信息權而造成的明顯精神痛苦，對此，需引入法定賠償制度進行分類分級的規(guī)定，以此降低證明個人信息主體所受損害的難度，使公民的個人信息權在行政機關的侵害下得到有效救濟。

綜上，應急狀態(tài)下對公民個人信息權的克減，其實質(zhì)是對不同情境中公益與私益之間的平衡。我國目前的個人信息保護制度尚不健全，公共利益優(yōu)先的思維容易導致對公民個人信息權的忽視。政策性的應急管理并不意味著個人信息權的無限讓渡，應兼顧公共安全保障與個人信息保護的平衡，對個人信息權的克減邊界進行明確，將其放置于法治的框架之內(nèi)予以具體的制度性設計。同時，應立足于個人信息權“客觀價值秩序功能”和“防御權功能”，從組織、程序、安全、救濟等方面延伸，構建完整的個人信息權保障體系，約束指導應急狀態(tài)下行政應急權的行使。而從疫情防控中公益與私益的平衡看，政府治理正面臨嚴重的信任困境、責任困境和協(xié)調(diào)困境。立足于當前不確定性增強的風險社會，國家治理現(xiàn)代化體系中個人信息的保護，也需公私主體在公法和私法的框架下共同努力。

【參考文獻】

[1]鐘煜豪.石家莊井陘礦區(qū)懸賞舉報武漢歸來漏登人員：落實一人獎兩千元[EB/OL].澎湃新聞網(wǎng)，https：//www.thepaper.cn/newsDetail_forward_5660856，2020-01-28.

[2]南都社論.疫情要防，個人信息泄露也要防[N].南方都市報，2020-03-22.

[3]何勇.湖南一區(qū)衛(wèi)生局副局長泄露患者隱私被查處[N].人民日報，2020-01-30.

[4]石文龍.論我國基本權利限制制度的發(fā)展——我國《憲法》第51條與德國《基本法》第19條之比較[J].比較法研究，2014，（5）：168.

[5]王禎軍.從權利限制看不可克減的權利及其功能[J].大連理工大學學報（社會科學版），2009，（3）：95.

[6]梅揚.比例原則的適用范圍與限度[J].法學研究，2020，（2）：60.

[7][12]趙宏.疫情防控下個人的權利限縮與邊界[J].比較法研究，2020，（2）：12-17.

[8]李衛(wèi)海.緊急狀態(tài)下的人權克減研究[M].北京：中國法制出版社，2007：61-62.

[9]張新寶.個人信息收集：告知同意原則適用的限制[J].比較法研究，2019，（6）：13.

[10]王秀哲.大數(shù)據(jù)時代公共安全領域個人信息保護的政府責任[J].理論探討，2017，（4）：52-56.

[11]陳琬珠.重大疫情防控中個人信息的利用與限制[J].華南理工大學學報（社會科學），2021，（2）：88.

[13][18]寧園.健康碼運用中的個人信息保護規(guī)制[J].法學評論，2020，（6）：114.

[14]鮑坤.健康碼數(shù)據(jù)常態(tài)化應用的比例原則限制[J].電子政務，2021，（1）：38-39.

[15][16]張翔.基本權利的雙重性質(zhì)[J].法學研究，2005，（3）：25-28.

[17]陳龍.數(shù)字化防疫中公民個人信息安全面臨的風險之維[J].青年記者，2021，（4）：108.

[19]崔淑潔，張弘.數(shù)據(jù)挖掘?qū)€人信息的侵害與保護路徑[J].西安交通大學學報（社會科學版），2020，（6）：142.

[20]鄧輝.我國個人信息保護行政監(jiān)管的立法選擇[J].交大法學，2020，（2）：143-144.

[21]楊帆，劉業(yè).個人信息保護的“公私并行”路徑：我國法律實踐及歐美啟示[J].國際經(jīng)濟法學刊，2021，（2）：65.

[22]李曉楠.“數(shù)據(jù)抗疫”中個人信息利用的法律因應[J].財經(jīng)法學，2020，（4）：117-118.

[23]龔向和，袁立.勞動權的防御權功能與國家的尊重義務[J].北方法學，2013，（4）：35.

[24]詹振運，張朝霞.論傳染病防治中人身自由即時強制制度之優(yōu)化[J].行政與法，2019，（11）：125.

[25]牧宇.緊急狀態(tài)下的法治界限——以風險為內(nèi)容的緊急規(guī)范重構[A].載上海市法學會.《上海法學研究》集刊（2020年第19卷總第43卷）——東南大學文集[C].上海市法學會，2020：10.

（責任編輯：苗政軍）

On Derogation and Protection of Personal

Information Right in Emergency

Wei Qiong，XuJunhui

Abstract：The derogation of personal information right in emergency has a legitimate basis.The transferred personal information can provide convenience for emergency prevention and control and government governance，but it also has the risk of excessive infringement of citizens' inherent rights. Starting from the process theory of “right derogation”，we should adhere to the principles of legal reservation，appropriate purpose，minimum necessity，narrow proportion and essential protection，limit the subject，scope，mode，intensity and object of derogation，clarify the boundary of derogation of personal information right under emergency situation，and transform it into legislative norms，so as to realize the balance between public interest and personal information right.At the same time， we should give full play to the “objective value order function” and “defense right function” of personal information right，restrict the administrative emergency right through strict security protection obligations，adhere to due process constraints，set up protection regulatory agencies and other norms，clear relief and supervision channels，clarify the subject of legal responsibility，clarify the rules of case adjudication，strengthen the supervision of individual information right In order to realize the modernization of national governance system and governance capacity，we should improve the administrative compensation relief system，improve the relief and supervision， and build a complete protection system of personal information right in emergency.

Key words：emergency state;personal information right;objective value order;the function of defense right