許中緣，何舒岑

(中南大學(xué)法學(xué)院，湖南長沙，410006)

公共衛(wèi)生領(lǐng)域被視為大數(shù)據(jù)技術(shù)應(yīng)用中前景最好的領(lǐng)域之一。目前各國理論和立法存在對“信息”與“數(shù)據(jù)”用詞交互使用的現(xiàn)象[1]。數(shù)據(jù)通常被理解為個人信息表達的載體形式之一，在這個意義上，二者內(nèi)涵具有天然的共生性與一致性[2]。但在數(shù)據(jù)治理研究領(lǐng)域，更多觀點認為信息的外延大于數(shù)據(jù)，個人信息因其涵蓋的內(nèi)容而具有更多意義[3]。鑒于此，個人信息也是公共衛(wèi)生領(lǐng)域大數(shù)據(jù)治理中特殊的核心要素。公共衛(wèi)生領(lǐng)域相關(guān)個人信息主要由健康醫(yī)療數(shù)據(jù)組成，還包括部分個人網(wǎng)絡(luò)行為、生活習(xí)慣、行蹤軌跡及身份信息等，這些個體關(guān)聯(lián)信息共同構(gòu)成了公共衛(wèi)生治理體系數(shù)據(jù)庫的內(nèi)容。其中，健康醫(yī)療數(shù)據(jù)是涉及權(quán)利主體最多也最敏感的數(shù)據(jù)類型之一[4]。從公共衛(wèi)生大數(shù)據(jù)治理視角看個人信息利用與保護問題，表面上是對數(shù)據(jù)治理機制的探討，其實也是對具有識別性的相關(guān)敏感個人信息處理規(guī)則的研究。

相比傳統(tǒng)管理方式，通過物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等手段進行信息處理的現(xiàn)代化治理方式①，在預(yù)防和預(yù)控公共衛(wèi)生危機方面能產(chǎn)生更大的社會公共效益[5]。我國《民法典》、《刑法》修正案和《個人信息保護法》在一定程度上已增強了公共衛(wèi)生數(shù)據(jù)治理中個人信息保護的制度保障。但實踐中，在信息的收集、存儲、流轉(zhuǎn)、加工和使用等不同階段，除了治理機制效率及其有效性體現(xiàn)不足之外，還存在個人信息不當(dāng)泄露、收集或濫用等侵害風(fēng)險，以及因信息處理規(guī)則不完善造成的社會歧視、公眾恐慌等社會風(fēng)險，甚至是國家信息安全風(fēng)險。究其原因，是當(dāng)前我國公共衛(wèi)生數(shù)據(jù)治理機制在規(guī)范安排上尚呈現(xiàn)零散化樣態(tài)，數(shù)據(jù)治理理念和具體實施規(guī)則存在滯后性②，也未充分凸顯公共衛(wèi)生領(lǐng)域個人信息處理的特殊性?，F(xiàn)行網(wǎng)格化公共衛(wèi)生管理機制缺乏對個人信息處理行為的規(guī)范區(qū)分，由此產(chǎn)生了主體權(quán)責(zé)混亂及信息控制失靈的困境[6]。

基于此，本文將從公共衛(wèi)生領(lǐng)域個人信息利用規(guī)制存在的現(xiàn)實問題出發(fā)，從規(guī)范層面挖掘問題產(chǎn)生的原因，并圍繞個人信息公共性和私益性之間的價值沖突，探索理論層面的制度根源，擬為我國公共衛(wèi)生數(shù)據(jù)治理中個人信息利用與保護相關(guān)規(guī)范的進一步完善提出建議。

一、公共衛(wèi)生大數(shù)據(jù)治理中個人信息利用規(guī)制存在的問題

(一)個人信息私密性與公共性的價值沖突

在大數(shù)據(jù)治理背景下，個人信息不僅涉及個人利益，而且關(guān)涉他人和整個社會利益，具有公共性和社會性[7]。但相對而言，公共衛(wèi)生領(lǐng)域個人信息的內(nèi)容范圍更廣，隱私性、敏感性比其他領(lǐng)域更強。個人信息本質(zhì)上的矛盾在公共衛(wèi)生數(shù)據(jù)治理機制運行中尤為凸顯，實踐中的價值沖突也未得到妥善解決。

一是個人信息的保密性與公開性。對于公共衛(wèi)生領(lǐng)域相關(guān)個人信息公開或保密的界定標(biāo)準(zhǔn)，不同主體因職責(zé)或理念不同而難以達成一致。例如，對于通報制度，公共衛(wèi)生行政部門認為其首要職責(zé)在于保護公眾利益，以集體利益和科學(xué)倫理的視角來表達醫(yī)療機構(gòu)或醫(yī)生的通報義務(wù)之正當(dāng)性，必要信息通報也應(yīng)當(dāng)公開透明；多數(shù)醫(yī)學(xué)機構(gòu)或患者則認為，維護病人個體之隱私利益應(yīng)被視為首要任務(wù)，個人醫(yī)療信息應(yīng)被保密[8]。同時，公共衛(wèi)生領(lǐng)域敏感個人信息的私密程度，于不同人群的內(nèi)心感受而言存在差別，相關(guān)信息組成也有其多樣性和復(fù)雜性，使得該領(lǐng)域難以完全適用現(xiàn)行相關(guān)法律規(guī)范中原則性較強的統(tǒng)一標(biāo)準(zhǔn)。信息類型化研究與公開標(biāo)準(zhǔn)細則的缺失，使公民對于涉隱私的保密要求與社會對于涉公共安全的公開需求之間的沖突，難以充分化解，也加深了實際工作中的判斷難度。在治理實踐中，相關(guān)人員難以把握個人信息保密性與公開性的界限，會導(dǎo)致對公開信息的利用未能落實，對保密信息的保護也不到位。

二是個人信息的隱私性和共享性。大數(shù)據(jù)治理主要基于預(yù)判模式，治理成效與數(shù)據(jù)的數(shù)量和質(zhì)量關(guān)聯(lián)性較大。打破行業(yè)信息共享限制，實現(xiàn)跨部門、跨主體數(shù)據(jù)融通，有助于擴大樣本量、保障內(nèi)容有效性和真實性，促進實時動態(tài)分析、提升機制效率和決策準(zhǔn)確性。然而，個人信息雙重性質(zhì)的矛盾，也使公共衛(wèi)生數(shù)據(jù)的共享要求遭遇了挑戰(zhàn)。一方面，在當(dāng)前常態(tài)化公共衛(wèi)生規(guī)制中，不同部門間客觀上普遍存在“信息孤島”現(xiàn)象，數(shù)據(jù)共享不充分③。另一方面，實現(xiàn)數(shù)據(jù)共享意味著個人信息會在不同主體間流轉(zhuǎn)、處理和利用，在缺乏數(shù)據(jù)權(quán)屬認定和完善的共享規(guī)范的情形下，易造成共享不足、權(quán)責(zé)混亂、主體行為標(biāo)準(zhǔn)不統(tǒng)一等問題。在個人收益和公共收益并存的前提下，為了某領(lǐng)域公共衛(wèi)生項目或議程的推進，如疫苗接種計劃的推行，會因信息數(shù)據(jù)共享、開放和流轉(zhuǎn)不規(guī)范而導(dǎo)致個體隱私被侵害，甚至引發(fā)社會秩序混亂或歧視等問題。此外，新主體通過算法加工會挖掘出新的信息，產(chǎn)生二次個體關(guān)聯(lián)性，即使是匿名化后的個人信息在二次加工與流轉(zhuǎn)過程中仍存在可識別風(fēng)險，而相關(guān)規(guī)范缺失對二次共享行為的脫敏處理規(guī)則。

(二)大數(shù)據(jù)治理信息整合的主體多元

大數(shù)據(jù)技術(shù)推進多元信息控制主體成了共同治理主體，數(shù)據(jù)利益攸關(guān)者之間需相互積極回應(yīng)，鑄就相互依賴關(guān)系、共同發(fā)掘數(shù)據(jù)價值的基礎(chǔ)性架構(gòu)[9]。公共衛(wèi)生信息化規(guī)制的成效，很大程度上取決于公眾和相關(guān)參與主體對行動的整體回應(yīng)。但如今數(shù)據(jù)生產(chǎn)者與數(shù)據(jù)控制者相分離，數(shù)據(jù)被不同主體交叉持有成為一種常態(tài)[10]。而公共衛(wèi)生領(lǐng)域個人信息具有更鮮明的基層屬性，通常被分散控制于政府、醫(yī)療機構(gòu)、疾控中心、高校、企業(yè)及其他社會組織等不同主體之中。相關(guān)信息的類型復(fù)雜多樣、來源廣泛且分散，使共治實踐中存在信息整合困境。同時，多元主體對個人信息的利用規(guī)制行為還存在融合度和回應(yīng)度不高等問題，未能充分發(fā)揮各自優(yōu)勢，進一步限制了信息資源的整合。

首先，政府主體監(jiān)督力和領(lǐng)導(dǎo)力體現(xiàn)不足。共治模式需要有強監(jiān)督，如我國《傳染病防治法》第5 條確認了由各級人民政府領(lǐng)導(dǎo)傳染病防治工作，將“依靠群眾”作為防治原則。在日常公共衛(wèi)生行政工作中，這一結(jié)構(gòu)行之有效，在將基礎(chǔ)原則落實到數(shù)據(jù)治理中時，卻略顯不足。一方面，在應(yīng)對風(fēng)險時，國家是傳統(tǒng)的權(quán)威統(tǒng)計和領(lǐng)導(dǎo)組織，但在新技術(shù)應(yīng)用和共治要求面前，技術(shù)平臺和社會組織運用大數(shù)據(jù)的能力遠超傳統(tǒng)國家的統(tǒng)計功能[11]。大數(shù)據(jù)治理實踐水平在整體上呈現(xiàn)城鄉(xiāng)、區(qū)域、行業(yè)間的失衡，增加了地方政府指導(dǎo)的難度。另一方面，對政府在信息處理上的主體責(zé)任存在認知與規(guī)范欠缺。公共衛(wèi)生規(guī)制強調(diào)政府主體時，宜以“政府整體”代入治理進路，而當(dāng)前規(guī)范和實踐中大多限定于有特定權(quán)限、依授權(quán)就衛(wèi)生問題展開行動的主體，如衛(wèi)計委或特定崗位官員[12]。若焦點置于特定行政分支，反而凸顯特定主體的權(quán)責(zé)，削弱整體領(lǐng)導(dǎo)力。當(dāng)技術(shù)環(huán)境和治理環(huán)境發(fā)生變化，如果公權(quán)力運行狀態(tài)和相關(guān)規(guī)范均未能迅速作出更新回應(yīng)，則治理實效和信息安全會受到影響。

其次，社會組織主動性與積極性體現(xiàn)不足。北京市的調(diào)研發(fā)現(xiàn)，疫情期間，48.21%的相關(guān)社會組織因“沒有資金支持”“不知道做什么”“找不到服務(wù)對象”等原因完全未參與防控工作[13]。部分社會組織除了客觀上受限于醫(yī)療專業(yè)知識水平，主觀上也傾向于依賴行政部門為其提供行動框架以規(guī)避風(fēng)險，且認為自身參與日常監(jiān)測或特定防控工作缺乏直接關(guān)聯(lián)和義務(wù)，因而較為懈怠和被動。事實上，各類社會組織掌握了大量個人信息，其主動參與大數(shù)據(jù)整合與治理將產(chǎn)生積極作用。例如，數(shù)字企業(yè)擁有強大的數(shù)據(jù)資源采集和加工能力，行業(yè)組織具有較高信息更新速度，媒體在一定范圍內(nèi)能推進有效信息的發(fā)布與傳播等。社會組織在法定范圍內(nèi)，若能主動、及時地向行政主體歸集相關(guān)原始信息或加工信息，可以豐富數(shù)據(jù)類型，擴大渠道，推進信息整合。

最后，醫(yī)學(xué)專業(yè)主體能動性和獨立性體現(xiàn)不足。疾控機構(gòu)、醫(yī)學(xué)專業(yè)機構(gòu)、醫(yī)學(xué)院校及其專業(yè)人員等，對于公共衛(wèi)生領(lǐng)域相關(guān)信息的認知和把控強于其他主體。然而，政府或衛(wèi)生行政部門往往享有治理決策的主導(dǎo)權(quán)，一般不直接收集、處理一手個人信息，而疾控機構(gòu)能及時掌握并處理信息，規(guī)范上卻沒有凸顯其能動優(yōu)勢與獨立地位。在此配置下，數(shù)據(jù)治理會相對缺少科學(xué)因素的介入而影響決策理性。一方面，由于醫(yī)療數(shù)據(jù)專業(yè)性強，若缺乏有效轉(zhuǎn)化和處理的途徑，將難以被作為常識性數(shù)據(jù)加以利用，從而限制大數(shù)據(jù)應(yīng)用的范圍和效率，或造成決策者難以及時整合有效信息。另一方面，部分官員因受主觀偏好和個人動機的影響，存在隱瞞和謊報信息的行為，缺少疾控機構(gòu)獨立性監(jiān)督的介入，可能影響信息公開或決策的準(zhǔn)確性，引發(fā)信息失真或流通折扣等問題[14]。

(三)個人信息建構(gòu)性損害的救濟失范

在環(huán)境污染、公共衛(wèi)生等領(lǐng)域，侵害行為往往不會在當(dāng)下對他人造成明顯的損害，或造成難以發(fā)現(xiàn)的損害，但會使他人將來因此受到損害或增加受損害的可能性，進而導(dǎo)致社會力量的失衡，產(chǎn)生或加重損害結(jié)果，有學(xué)者稱之為“建構(gòu)性”損害[15]。例如，基于行政主體對個人信息的濫用而產(chǎn)生的疫苗分配不平等、對吸煙酗酒人群的社會歧視，或難以確定突發(fā)性公共衛(wèi)生事件風(fēng)險程度時對個人信息所作的不恰當(dāng)處理等。面對公共衛(wèi)生領(lǐng)域個人信息的公共性、交叉性和損害建構(gòu)性等特點，現(xiàn)有救濟規(guī)范針對性不足。

首先，公共衛(wèi)生領(lǐng)域個人信息侵害的私法訴訟路徑效果有限。當(dāng)前我國個人信息的法律治理路徑主要通過“告知—同意”機制來實現(xiàn)，對個人信息保護偏重于民事或刑事訴訟救濟，行政救濟路徑相對缺失[16]。而實踐中公共事項治理領(lǐng)域的信息侵害又常常存在私法追責(zé)困境。一是當(dāng)前“數(shù)據(jù)治理”作為提升行政效率和管理效能的政府管理新方向，開始被要求從國家權(quán)力運作和公共管理角度對相關(guān)工作進行整體審視和追責(zé)[17]。個別訴訟形式難以有效回應(yīng)系統(tǒng)性社會風(fēng)險治理與責(zé)任問題。二是個人信息一旦被以數(shù)據(jù)化形式存儲，就大多被掌握在政府、科研機構(gòu)及商業(yè)組織等不同數(shù)據(jù)庫中，如缺乏有效行政救濟，基于主體實力和地位不平等、訴訟成本高和信息不對稱等原因，個人很難實現(xiàn)對專業(yè)數(shù)據(jù)處理行為的維權(quán)[18]。

其次，個人信息侵權(quán)損害的識別與認定難。在司法實踐中，個人信息被侵害通過私法維權(quán)時，常因理論難點或技術(shù)認定上的障礙，較難獲得法院支持。如2017年1月至2019年9月公開的數(shù)據(jù)維權(quán)案12 件，其中9 件維權(quán)失敗，主要原因在于用戶無法完成舉證責(zé)任[19]?！秱€人信息保護法》出臺后，明確了侵權(quán)的過錯推定原則，適當(dāng)回應(yīng)了舉證難的問題，從訴訟與程序規(guī)范方面加強了個人信息維權(quán)保障力度。然而，基于公共衛(wèi)生領(lǐng)域的特殊性，對于相關(guān)利益的損害識別、損害舉證和司法認定仍存在難題。具體來說，“無損害，無救濟”彰顯了損害在救濟制度中的核心地位[20]。在損害理念影響下，民眾傾向于在實體權(quán)利受到侵害后才尋求司法救濟，而不是在察覺到存在侵害危機的當(dāng)下即尋求救濟。但一方面，相比洪澇、氣象、泥石流等自然災(zāi)害風(fēng)險治理機制，公共衛(wèi)生治理過程的階梯性更明顯、持續(xù)期間更長、治理技術(shù)與手段更復(fù)雜，尤其在面對新發(fā)疾病時，風(fēng)險判斷和利益損害的不確定性大。由于風(fēng)險起始時點模糊，個人司法維權(quán)難以追溯事前。而對于事后因濫用公共利益理由而侵犯個人信息等情形，造成損害后果，難以用證據(jù)證明。另一方面，相比交通、金融等數(shù)據(jù)治理領(lǐng)域主要基于歷史數(shù)據(jù)和經(jīng)驗進行判斷，公共衛(wèi)生治理決策因新發(fā)問題較多而更注重相關(guān)關(guān)系預(yù)判模式，不確定性更強，預(yù)判結(jié)果大多屬于經(jīng)驗或概率上的結(jié)論。公共衛(wèi)生規(guī)制存在難以避免的“決策于未知性之中”的困難，即在作出決策的緊急關(guān)頭，很難確認當(dāng)下采取的特定措施會被后來者評價為反應(yīng)過度還是不足[21]，甚至在遭遇個人信息利益被侵害后的一段時間，個人也意識不到侵害的存在。

總的來說，對于領(lǐng)域內(nèi)的“建構(gòu)性”損害，司法認定在技術(shù)認知、概念理解和規(guī)范選擇方面仍存在一定障礙，侵權(quán)法也只能為公共衛(wèi)生領(lǐng)域提供有限的助益，個人權(quán)利救濟門檻較高。

二、公共衛(wèi)生數(shù)據(jù)治理中個人信息利用規(guī)制問題產(chǎn)生的原因

(一)個人信息處理行為的規(guī)范模糊阻礙機制運作

將個人信息作為純粹私權(quán)的保護路徑，可能產(chǎn)生信息價值密度低、智能處理程度弱、信息獲得與使用結(jié)果間相關(guān)性弱等問題[22]。基于公共利益需求，公民需對個人信息隱秘性和自主性適度放松或讓位。因為通過信息環(huán)境的改變，能促進社會作出更有益于群體利益的選擇，有利于提高數(shù)據(jù)的公共價值。但讓位與保護行為之間的界限需被進一步明晰，在數(shù)據(jù)治理機制的實際運作過程中，關(guān)于個人信息雙重性質(zhì)上的現(xiàn)實沖突才能得以緩解。

首先，公共衛(wèi)生領(lǐng)域個人信息公開性與保密性的界定標(biāo)準(zhǔn)缺乏操作性強的規(guī)范細則。例如，針對疫情期間，規(guī)范上未明確限定允許采集區(qū)域內(nèi)或途經(jīng)人員信息的主體，信息通報和公開的內(nèi)容范圍及條件也未有效規(guī)范；針對日常規(guī)制，缺少可公開和禁止公開個人信息的界定標(biāo)準(zhǔn)及其認定主體等規(guī)范內(nèi)容。同時，我國涉及隱私的信息公開相關(guān)規(guī)范與個人私密信息保護規(guī)則的不一致，也會造成邊界認定的混亂。如我國《政府信息公開條例》把對政府信息是否涉及個人隱私、公開是否會侵害第三人權(quán)益或?qū)怖嬖斐芍卮髶p害、權(quán)利人不同意公開的理由是否合理等內(nèi)容的判斷權(quán)，過于寬泛地授予行政機關(guān)裁量行使，這與隱私權(quán)的法律保留原則相悖[23]。

其次，個人信息共享與開放規(guī)范不夠完善?，F(xiàn)有數(shù)據(jù)開放共享規(guī)范，層級和效力普遍不高，且相關(guān)實施細則的原則性條款較多，未能明確公私主體間信息共享的內(nèi)容范圍、條件和方式等。如《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》，旨在保障公民知情權(quán)、使用權(quán)和隱私權(quán)的基礎(chǔ)上，規(guī)范醫(yī)療數(shù)據(jù)的開發(fā)。但其并沒有在限定主體范圍、數(shù)據(jù)流轉(zhuǎn)、利用和保護方面提出具體操作規(guī)則，只有一般化的基本原則和要求，對于個人信息再利用的匿名化保護規(guī)范也存在缺失。這不僅導(dǎo)致重要數(shù)據(jù)流通和利用渠道不暢，制約個人信息公共性利用效率和治理效能，也可能使治理主體在實踐中因缺乏信息獲取和共享的依據(jù)而畏首畏尾，影響多元聯(lián)動。

(二)多元信息主體權(quán)責(zé)配置不明制約治理響應(yīng)

在高度不確定性的公共衛(wèi)生風(fēng)險治理情境下，基于大數(shù)據(jù)多重檢驗的理性決策，能適當(dāng)避免自發(fā)性行動犯錯的可能性。治理的基礎(chǔ)不是控制而是協(xié)同，是多元權(quán)力(權(quán)利)的持續(xù)互動、信任合作與協(xié)調(diào)平衡[24]。當(dāng)多元共治要求結(jié)合數(shù)字化背景時，相關(guān)治理產(chǎn)生了信息整合困境、主體權(quán)利沖突和聯(lián)動回應(yīng)不足等問題，主要原因是規(guī)范上未能厘清不同信息主體的制度定位與分工并合理協(xié)調(diào)多元主體的權(quán)責(zé)義配置。

首先，就政府主體而言，除了平臺建設(shè)、技術(shù)人才、數(shù)據(jù)能力等客觀條件略有欠缺的原因外，還在于現(xiàn)有規(guī)范未確認其在公共衛(wèi)生領(lǐng)域?qū)€人信息利用規(guī)制的領(lǐng)導(dǎo)與監(jiān)督方面的責(zé)任主體地位，沒有突出保障權(quán)責(zé)統(tǒng)一的實現(xiàn)。不論是個人信息保護法還是公共衛(wèi)生法律規(guī)范，均未設(shè)定對個人信息侵害行為的專門行政監(jiān)管機構(gòu)。同時，以“政府整體”作為責(zé)任主體的規(guī)定也不夠明確，將追責(zé)主體限定在衛(wèi)生行政部門，這對大數(shù)據(jù)多元共治背景下的個人信息損害追責(zé)明顯保障不足。除了私主體，公權(quán)力主體通過數(shù)據(jù)獨裁、濫用等行為，也可能侵犯個人信息權(quán)益。而公共衛(wèi)生相關(guān)規(guī)范僅明確規(guī)定了疾控和醫(yī)療機構(gòu)故意泄露涉及隱私的有關(guān)人員信息、資料的責(zé)任條款，未明確政府侵害責(zé)任；我國《個人信息保護法》第33 條補充了國家機關(guān)處理個人信息的活動適用本法的規(guī)定，但不夠具體。

其次，就社會組織而言，現(xiàn)有規(guī)范缺少對其在數(shù)據(jù)上報、歸集方面的義務(wù)要求，導(dǎo)致其參與治理的主動回應(yīng)度低。公共衛(wèi)生預(yù)警系統(tǒng)個人信息輸入主要來自自下而上的“報告”制度，未經(jīng)報告的重要信息無法進入基礎(chǔ)信息庫，而信息庫來源單一會導(dǎo)致與實際數(shù)據(jù)的巨大落差、評估滯后等問題[25]。多元信息渠道的擴大能助力大數(shù)據(jù)治理機制的完善。

最后，就醫(yī)學(xué)專業(yè)主體而言，數(shù)據(jù)處理權(quán)責(zé)的不確定性使其專業(yè)優(yōu)勢未得到有效發(fā)揮。一方面，醫(yī)學(xué)機構(gòu)囿于自身信息系統(tǒng)和存儲標(biāo)準(zhǔn)等缺陷，使數(shù)據(jù)可用性和處理條件參差不齊?，F(xiàn)有共享和技術(shù)規(guī)范也無法滿足數(shù)據(jù)整合應(yīng)用要求，造成公共衛(wèi)生數(shù)據(jù)處理環(huán)節(jié)薄弱。另一方面，公共衛(wèi)生相關(guān)法律沒有明確專業(yè)主體參與個人信息治理的具體權(quán)責(zé)，數(shù)據(jù)處理規(guī)則也無統(tǒng)一標(biāo)準(zhǔn)。如我國《傳染病防治法》規(guī)定疾控機構(gòu)有實施傳染病預(yù)防控制規(guī)劃及收集、分析、報告?zhèn)魅静”O(jiān)測信息等職責(zé)，明確醫(yī)學(xué)院校應(yīng)為傳染病防治提供技術(shù)支持，但相關(guān)規(guī)范較為籠統(tǒng)，未能結(jié)合不同信息處理環(huán)節(jié)作進一步細化。軟硬件條件的缺失，使醫(yī)學(xué)專業(yè)主體難以主動介入個人信息利用與監(jiān)督過程。

(三)個人信息保護行政救濟缺失限制權(quán)利救濟

如前所述，單一私法救濟路徑在公共衛(wèi)生數(shù)據(jù)治理領(lǐng)域存在舉證、技術(shù)認知和損害認定等困境。借助補強公法的保護性規(guī)范來加強實現(xiàn)私法的行為控制，似乎比貿(mào)然創(chuàng)造一個輪廓不夠清晰的權(quán)利更可靠[26]。但是，一方面，公共衛(wèi)生相關(guān)法律規(guī)范沒有對個人信息權(quán)益的事后救濟與行政追責(zé)加以具體規(guī)定，或僅是原則性義務(wù)規(guī)定。同時，實踐中的行政追責(zé)通常以行業(yè)性準(zhǔn)則為依據(jù)，對侵害行為僅有弱約束作用，缺乏高層級依據(jù)的強監(jiān)督效果。另一方面，其他有關(guān)公共衛(wèi)生領(lǐng)域個人信息保護的監(jiān)管立法，散見于《網(wǎng)絡(luò)安全法》《民法典》《數(shù)據(jù)安全法》《個人信息保護法》等法規(guī)，體系性和針對性不強。其中，《民法典》《個人信息保護法》提出了個人生物識別信息概念，但主要將其涵蓋于個人信息概念之中進行統(tǒng)一規(guī)范，分別納入“私密信息”或“敏感個人信息”范疇，沒有突出個人醫(yī)療信息的強個體關(guān)聯(lián)性下的高脫敏性需求及侵害風(fēng)險不確定性特點[27]。對于敏感個人信息，《個人信息保護法》專門設(shè)節(jié)規(guī)定了處理規(guī)則，包括生物識別、醫(yī)療健康和行蹤軌跡等類型，但將私密信息僅以知情同意或隱私權(quán)保護路徑為主進行適用，難以脫離純粹私法保護路徑的舉證和救濟難題，公共衛(wèi)生相關(guān)法律規(guī)范也未能與之適時銜接。

三、公共衛(wèi)生數(shù)據(jù)治理中個人信息利用與保護的價值沖突

(一)公共衛(wèi)生數(shù)據(jù)治理的本源價值沖突：個人隱私與公共健康

在公共衛(wèi)生規(guī)制領(lǐng)域，20世紀(jì)雅各布森案曾展現(xiàn)了社會契約論與有限政府理論之間存在的一種緊張關(guān)系，而后進一步引發(fā)了個人自由權(quán)與公共管理權(quán)的博弈。隨著大數(shù)據(jù)技術(shù)在社會治理制度中的嵌入，現(xiàn)代化公共衛(wèi)生數(shù)據(jù)治理領(lǐng)域又增加了數(shù)據(jù)科學(xué)維度與人文維度的價值判斷難題。在大數(shù)據(jù)治理與公共衛(wèi)生規(guī)制結(jié)合的實踐中，個人信息保密性與公開性、自主控制性與共享開放性的沖突，在本質(zhì)上都可歸結(jié)為個人隱私與公共健康的利益沖突。

數(shù)據(jù)治理領(lǐng)域以保障個人隱私為基本原則，公共衛(wèi)生領(lǐng)域以保障公共健康為主要目標(biāo)，這導(dǎo)致個人隱私和公共健康的利益沖突成為公共衛(wèi)生數(shù)據(jù)治理機制中最突出的核心矛盾之一。具體來說，首先，在我國的法學(xué)探討中，個人信息比個人隱私的范圍相對更廣。美國法學(xué)家將隱私權(quán)定義為“不受他人侵擾的權(quán)利”[28]，可以理解為包括兩部分內(nèi)容：一是獨處的權(quán)利，二是保有秘密的權(quán)利。相比個人信息而言，公眾對于隱私在主觀上的私密性和保密性需求更突出。盡管不同人群對隱私內(nèi)容和尺度的理解存在差異，但在公共衛(wèi)生領(lǐng)域，存在利益沖突的個人信息大多屬于具有強敏感性的隱私范疇。其次，公共衛(wèi)生并不限于單個學(xué)科問題，且是理論與實務(wù)交叉領(lǐng)域。公共衛(wèi)生領(lǐng)域事實上可以分割為諸多各自獨立的研究分支，包括煙草控制、酒精規(guī)制、肥胖問題、兒童健康、流行病防治、疫苗接種等，而保障公共健康是貫穿全部領(lǐng)域的核心宗旨。

從公共衛(wèi)生規(guī)制目標(biāo)看，某種程度上，尊重個人隱私和促進公共健康是一致的，公共健康取決于公眾的信任與合作，如不能全面有效地保護個人權(quán)益，就難以鼓勵個人參與公共健康項目[29]。然而，一方面，公共衛(wèi)生治理過程通常包含常態(tài)和應(yīng)急狀態(tài)相互轉(zhuǎn)變的過渡期，這期間常伴隨社會狀態(tài)性質(zhì)上的改變。這種狀態(tài)的轉(zhuǎn)換性會引起規(guī)制目標(biāo)也不斷地產(chǎn)生變化，從而使個人隱私、自由利益與公共利益發(fā)生矛盾。另一方面，個體健康是“個體的醫(yī)學(xué)”，關(guān)注病人個體的狀態(tài)，而公共健康強調(diào)“群體的醫(yī)學(xué)”，更注重個體于群體幸福和安全而言所具有的內(nèi)在價值[30]。公共衛(wèi)生通過多方面的規(guī)制，擬促進或限制在人群或跨人群展開的保護公共健康的活動[31]。這種服務(wù)于人群的公共健康行動，既要保護個體健康，更要防止疾病傳播、保護群體免受整體環(huán)境危害，在某些情形下，對群體利益的保護不得不放棄或侵害部分個體利益，難以避免存在群體利益需要個人權(quán)益的讓渡與個人利益需從群體保護中獲得的矛盾。

從大數(shù)據(jù)治理實踐角度看，個體隱私與公共健康的矛盾還體現(xiàn)在數(shù)據(jù)治理機制對個體信息的聚合利用要求與公民對個人信息的脫敏保護需求之間。大數(shù)據(jù)治理主要通過對多樣化數(shù)據(jù)樣本的收集與整合，在海量個人信息聚合基礎(chǔ)上，加入專業(yè)判斷和算法技術(shù)進行分析，以求形成一種鏈?zhǔn)筋A(yù)判結(jié)果。但醫(yī)療健康信息如虹膜、指紋等，會體現(xiàn)出強個體關(guān)聯(lián)性，即使是匿名化后的身份、行為或行蹤信息等，內(nèi)容上也容易顯示個體生活最私密的部分，仍可能具有高度可識別性特征。由此，加強對相關(guān)個人信息匿名化、規(guī)范化保護，在一定程度上又可能限制大數(shù)據(jù)聚合的公共利用效能。

個體與群體之間的矛盾與讓渡如何通過相應(yīng)制度加以平衡，理論界有不同觀點。西塞羅基于公共本位思想，認為公益優(yōu)于私益；孟德斯鳩提出，人們要不斷地把公共利益置于個人利益之上[32]?？档聞t更強調(diào)個人本位理念；羅爾斯認為每個人都擁有基于正義的不可侵犯性，這種不可侵犯性即使以社會整體利益之名也不能逾越[33]。隨著個人權(quán)利觀念的發(fā)展，權(quán)益沖突問題也變得越發(fā)尖銳，并且是客觀存在的?，F(xiàn)代國家政府的公共事件管理與規(guī)制理念，不應(yīng)再推崇價值擇一，當(dāng)發(fā)生權(quán)益沖突時，應(yīng)通過法律規(guī)范來合理權(quán)衡利益位階和明確具體規(guī)則，使高位階權(quán)益受到適當(dāng)傾斜保護，同時限定低位階權(quán)益的干預(yù)范圍，從而調(diào)和種種相互沖突的利益訴求。

(二)對個人信息私權(quán)益的限制：保障公共衛(wèi)生是價值基礎(chǔ)

在我國公共衛(wèi)生規(guī)制領(lǐng)域，從規(guī)范層面看，為保障社會公共利益而對個人信息的必要限制行為具有法定依據(jù)?！缎畔踩夹g(shù)個人信息安全規(guī)范》明確了“與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)”情形下的個人信息收集、使用屬于“征得授權(quán)同意的例外”，承認了公共衛(wèi)生治理領(lǐng)域基于公共利益而直接進行個人信息收集、使用的合法性；《個人信息保護法》也將“為應(yīng)對突發(fā)公共衛(wèi)生事件，或緊急情況下為保護自然人生命健康和財產(chǎn)安全所必需的情形”排除在個人信息采集必須取得個人同意的規(guī)定之外；《傳染病防治法》第12、32、33、68 和69條等，分別針對涉疫信息控制、使用行為和追責(zé)作了相應(yīng)規(guī)定。

從理論層面看，保障公共衛(wèi)生作為限制私權(quán)益的價值基礎(chǔ)也具有正當(dāng)性。公共衛(wèi)生通說定義強調(diào)群體視角，即“公共衛(wèi)生是指一般公眾或作為整體的社區(qū)處于普遍的健康狀態(tài)，而免于普遍的疾病或死亡”[34]。公共衛(wèi)生規(guī)制以社會正義基礎(chǔ)為核心使命，通過關(guān)注最弱勢群體的需求以實現(xiàn)人類共同福祉的目標(biāo)[35]。因而，公共衛(wèi)生體系的核心是增進社會整體福祉，并以保障公眾生命安全和普遍的健康為目標(biāo)。而給人類生命以及其他不可剝奪的法益提供保護，在任何地方都應(yīng)被視為法秩序的優(yōu)先任務(wù)[36]。盡管對個人信息的保護，發(fā)端于個人基本權(quán)利，保護的是人的尊嚴(yán)所派生的個人自治、身份利益、平等利益[37]，但當(dāng)物質(zhì)性人格權(quán)與精神性人格權(quán)相沖突時，物質(zhì)性人格權(quán)應(yīng)處于最高位階[38]。此外，保護自然人生命權(quán)是建立國家的重要目標(biāo)之一[39]，而保障社會整體利益也是現(xiàn)代國家政府的重要使命之一。社會整體是由個體組成的，公共福祉也是在盡力對個體利益充分保障的基礎(chǔ)上得以實現(xiàn)的。保障自然人生命安全與保障公共利益并不完全相悖。公共衛(wèi)生數(shù)據(jù)治理理應(yīng)充分尊重個人信息自主性，避免對私權(quán)利的不當(dāng)損害。但面對突發(fā)流行病危機，在全面保障公共安全之前，沒有任何個體生命是絕對安全的，過度保護某項個人私權(quán)益，反而可能降低對整體公共利益或第三人的保護程度。

總的來說，在公共衛(wèi)生治理目標(biāo)整體性視閾下，對患者個體利益的適度限制是為了保障社會集體健康與安全，公共福利是限制個人權(quán)益的價值基礎(chǔ)。因而，看待個人信息保護與公共安全保障關(guān)系的一般邏輯可以依此為原則：個人將自身部分利益分割后交由國家經(jīng)管并匯總為公共利益，同時公共利益也會對個人權(quán)利進行反限制，但應(yīng)在能夠證成出于實現(xiàn)公共利益的切實需要時，才允許對個人權(quán)利施加限制[40]?；谡w福祉目標(biāo)而對脫敏程度高、可識別性低的相關(guān)個人信息的系統(tǒng)性獲取、利用行為及私權(quán)利的適度讓步是必要且正當(dāng)?shù)摹５珜τ谏嬉邆€人敏感信息限制行為的標(biāo)準(zhǔn)，不應(yīng)止于公共利益價值目標(biāo)，還應(yīng)控制在特定情形和限度內(nèi)。

(三)限制行為的限度：結(jié)合場景化理論厘清邊界

科斯曾提出“損害相互性”觀點：社會主體總會在自行其是時相互影響，法律無論如何界定權(quán)利，都難以實現(xiàn)絕對平衡，只能就主體間的利益沖突，在特定條件下作一個定分[41]。公共衛(wèi)生領(lǐng)域的多元價值取舍，導(dǎo)致制度安排很難取得實質(zhì)性平衡。結(jié)合數(shù)據(jù)流動和多元利益的變化，完善個人信息利用與保護限度的劃分標(biāo)準(zhǔn)與規(guī)則，可以為不同價值取向確定基本界限，在一定程度上增強行為的確定性和穩(wěn)定性。

海倫·尼森鮑姆的“場景完整理論”強調(diào)個人信息保護邊界的動態(tài)性特征，構(gòu)建了適用處理數(shù)據(jù)流(data streams)的模型，有助于以更靈活的思維理解特定細分場景下的行為邊界。該理論認為隱私保護問題與不同場景相關(guān)聯(lián)，即對于同類型信息的保護要求，在不同情形下也不完全一致。對于醫(yī)療健康、教育、宗教等情境下的隱私數(shù)據(jù)，人們最關(guān)心的并不是如何簡單地限制信息的流動，而是確保它在不同場景中能夠適當(dāng)?shù)刈杂闪鲃覽42]。依據(jù)場景理論，數(shù)據(jù)處理參與者對個人數(shù)據(jù)的存儲、監(jiān)控和跟蹤行為是被允許的，但不是絕對自由的。只要在不被禁止的條件下，該行為滿足允許干預(yù)的限定要求，且是服務(wù)于場景的特定目標(biāo)，在合理規(guī)范區(qū)間內(nèi)就應(yīng)允許信息自由流動。保障公共健康福祉目的為個人信息處理行為提供了正當(dāng)性基礎(chǔ)，但要進一步界定干預(yù)行為的具體限度，場景理論的應(yīng)用為我們開辟了新的思路。

首先，解構(gòu)公共衛(wèi)生數(shù)據(jù)治理場景類型，細化不同場景下差異化規(guī)范內(nèi)容。公共衛(wèi)生規(guī)制所具有的階段性、不確定性與預(yù)防性特點，表明其也強調(diào)對區(qū)分場景類型的規(guī)范化適用方式和敏感個人信息的動態(tài)化保護形式的需求。例如，在疫情狀態(tài)和常規(guī)狀態(tài)、不同風(fēng)險等級、煙酒控制或疫苗接種等分支領(lǐng)域、數(shù)據(jù)公開與共享等不同場景下，個人信息保護力度需求存在區(qū)別。同時，在相同場景下，個人信息利用過程還包含采集、披露、加工及后疫情時期數(shù)據(jù)再利用或被遺忘等不同階段，需結(jié)合不同環(huán)節(jié)的特殊性，完善相關(guān)行為的規(guī)范內(nèi)容。

其次，應(yīng)結(jié)合場景理論，通過動態(tài)化思維與規(guī)范化方式實施對公共衛(wèi)生領(lǐng)域大數(shù)據(jù)的治理。強調(diào)動態(tài)化思維并非否定確定性，而是要注重不同場景的變化與不同治理主體的優(yōu)勢特點，加強對多元主體的回應(yīng)互動性與風(fēng)險應(yīng)對的調(diào)整靈活性的考量。一是依據(jù)場景變化，基于不同信息處理主體定位與功能的區(qū)別，設(shè)定聯(lián)動化、差異化的權(quán)責(zé)配置結(jié)構(gòu)。場景理論是在尊重關(guān)鍵信息處理者于不同場景扮演特定角色的前提下，強調(diào)數(shù)據(jù)的安全性和機密性，而關(guān)鍵參與者也有責(zé)任和義務(wù)保障數(shù)據(jù)的安全流動、處理和利用[43]。例如，為保障輿論監(jiān)督，媒體在合理范圍內(nèi)享有收集信息的自由，但沒有要求個人必須提供信息的權(quán)利；醫(yī)療機構(gòu)有屬于公共范疇的職責(zé)性質(zhì)，在特定范圍內(nèi)承擔(dān)個人信息妥善保護的義務(wù)，而在緊急場景下，也應(yīng)配合行政主體及時上報必要信息。二是在不同場景中，在滿足行為合規(guī)的前提下，應(yīng)允許相關(guān)信息和行為性質(zhì)的適當(dāng)轉(zhuǎn)化。如身份、病情、活動軌跡等信息，于個人而言屬于隱私范圍，而在疫情場景下，出于公共安全保護之需要，這類信息有了公共性意義，有必要向公眾部分公開，保證公眾對風(fēng)險狀況的知情和對風(fēng)險內(nèi)容的認知，以進一步推進風(fēng)險防控工作。

最后，當(dāng)對個人信息利益的公共性干預(yù)缺少救濟可行性時，應(yīng)禁止該個人信息利用和限制行為。在缺少有效救濟途徑的情形下，公權(quán)力介入個人私權(quán)利行為與個人維護自身利益能力是不對等的，任何場景下的限制行為都不具有正當(dāng)性。救濟可行性要求對救濟方法和救濟能力等方面有所保障，既需要明確公民個人是否存在合適的救濟工具，如對敏感個人信息的私密保護與開放共享規(guī)范如何設(shè)定，也需要保障被侵害人有足夠的可能性實現(xiàn)救濟，如當(dāng)個人司法維權(quán)難以證明風(fēng)險損害或預(yù)防性損害時，應(yīng)加強行政救濟途徑或改善風(fēng)險評估方式，提升救濟可行性。

四、協(xié)調(diào)個人信息利益保護與公共衛(wèi)生安全的建議

(一)細化公共衛(wèi)生領(lǐng)域個人信息的差別化公開與共享規(guī)則

公共衛(wèi)生界普遍倡導(dǎo)按照預(yù)防原則來管理風(fēng)險，面對科學(xué)不確定性情形下的行動，仍支持進行具有遠見規(guī)劃的主動干預(yù)[44]。不同于對既有損害的規(guī)避，面對公共衛(wèi)生風(fēng)險的預(yù)判性干預(yù)，即在無法準(zhǔn)確判斷限制行為與決策效果是否會造成社會影響以及多大程度上的消極后果時，規(guī)制的不確定性使原則性的處理規(guī)則難以完全匹配具體個案的適用。個人信息相關(guān)處理規(guī)則需結(jié)合具體場景，提升可操作性，才能被有效落實到實踐。

首先，公共衛(wèi)生領(lǐng)域相關(guān)個人信息公開規(guī)則的完善。第一，明確不得公開的“絕對敏感個人信息”內(nèi)容。如此規(guī)定可彌補現(xiàn)有規(guī)范對于涉及公共利益的隱私信息內(nèi)涵與公開邊界認定模糊的缺漏，可適當(dāng)結(jié)合不同場景的風(fēng)險程度區(qū)分劃定禁止范圍。第二，完善信息披露階段的信息主體規(guī)范內(nèi)容，包括信息公開主體和被公開主體的規(guī)范內(nèi)容。《傳染病防治法》對相關(guān)主體的疾病信息通報義務(wù)、未盡通報義務(wù)的責(zé)任以及故意泄露隱私的責(zé)任規(guī)定相對全面，但關(guān)于信息公開階段的允許披露和被披露主體的身份與條件限定不足。即便在緊急狀態(tài)下，也不是所有信息控制主體都有權(quán)擅自公開全部相關(guān)個人信息。第三，鼓勵第三方參與對個人信息是否公開的評估裁量。尤其是對個人醫(yī)療信息私密性與公開性的判斷，應(yīng)適當(dāng)弱化行政機關(guān)的獨立裁量方式，充分考慮醫(yī)療機構(gòu)與疾控中心的專業(yè)建議。第四，依據(jù)差異化和動態(tài)化要求，由政府相關(guān)部門和疾控機構(gòu)根據(jù)公共衛(wèi)生風(fēng)險分級，綜合考量對具體信息類型進行不同程度的差別化披露。

其次，公共衛(wèi)生領(lǐng)域相關(guān)個人信息共享規(guī)范的完善。一是考慮到當(dāng)前多地政府的數(shù)據(jù)平臺都處于“自成一體”的客觀局面，要形成數(shù)據(jù)全面共享，從國家立法層面一時難以實現(xiàn)，可根據(jù)區(qū)域現(xiàn)實差別，先從縣、市級以出臺、細化地方法規(guī)辦法的形式，層層推進個人信息開放共享規(guī)范的制定，并漸進落實④。二是針對數(shù)據(jù)開放層面，注重放寬上下級、同級部門間的開放內(nèi)容，除了繼續(xù)推進由下往上的數(shù)據(jù)歸集要求，更要同步推動上級對下級、不同部門間的數(shù)據(jù)開放。但在不同層級和部門間應(yīng)避免主體間無差別共享，如醫(yī)療機構(gòu)與公安部門之間通常不需要共享個人生物識別信息等。三是在數(shù)據(jù)共享層面，不僅要促進那些無法面向公眾開放的公共部門數(shù)據(jù)被專業(yè)研究機構(gòu)再利用，也要推進政府向市場主體反向的數(shù)據(jù)獲取。美國的第三方準(zhǔn)則構(gòu)建了市場主體參與疫情監(jiān)測防控的典型模式，具有可借鑒性。當(dāng)電信運營商、汽車制造零售商、電商平臺、媒體等所控制的信息具有高度公共利用性，并且其數(shù)據(jù)集合能獲得與自然災(zāi)害、疫情、恐怖襲擊等危及國家安全、社會穩(wěn)定的緊急狀態(tài)相關(guān)的預(yù)測時，應(yīng)明確相關(guān)數(shù)據(jù)經(jīng)營者主動向國家機構(gòu)及時公開信息結(jié)果的義務(wù)[45]。

(二)協(xié)調(diào)并明晰多元治理主體的權(quán)責(zé)與義務(wù)規(guī)范

現(xiàn)代民法自治有一定局限，而法定主義調(diào)整方式又容易損害自治，在該種不及與不能中，需要多元主體參與治理，采用多種方式實現(xiàn)利益的調(diào)整[46]。公共衛(wèi)生數(shù)據(jù)治理制度安排也需根據(jù)主體優(yōu)勢和定位，通過合理規(guī)范權(quán)責(zé)配置，推進多元化治理方式由獨立治理向協(xié)同共治轉(zhuǎn)變，推進治理狀態(tài)由被動適配向主動參與轉(zhuǎn)變。

其一，推進政府主體對個人信息利用規(guī)制的權(quán)責(zé)統(tǒng)一。多種社會力量的加入，給治理實踐帶來責(zé)任不明、治理混亂的問題。政府本身是具有公共目的屬性的存在，其統(tǒng)籌主導(dǎo)地位有利于協(xié)調(diào)信息不對稱、緩和市場化治理失靈。強化政府的領(lǐng)導(dǎo)與責(zé)任主體地位，并不是限制多元共治，而是促進、協(xié)調(diào)多元主體更合理地行使權(quán)利義務(wù)，緩解沖突。在公共衛(wèi)生法律規(guī)范中，首先應(yīng)確認政府對數(shù)據(jù)治理工作的領(lǐng)導(dǎo)與監(jiān)督職權(quán)，在此基礎(chǔ)上，補充對政府的個人信息處理不當(dāng)、泄露及監(jiān)督不到位等行為的責(zé)任追究，實現(xiàn)權(quán)責(zé)統(tǒng)一。同時，設(shè)立公共衛(wèi)生領(lǐng)域?qū)ｉT個人信息保護監(jiān)督機構(gòu)?！秱€人信息保護法》未增設(shè)專門機構(gòu)，有必要在特殊領(lǐng)域單設(shè)機構(gòu)作為補充。該機構(gòu)除了受理個人追責(zé)投訴，還要實時監(jiān)督常態(tài)和非常態(tài)下的個人信息處理行為。監(jiān)督對象不僅針對私主體，也包括各級政府及其部門。

其二，明確社會組織對個人信息歸集的義務(wù)規(guī)定。社會組織參與治理，能為行政決策提供科學(xué)參考和技術(shù)支撐，并發(fā)揮其在重點領(lǐng)域的驗證、監(jiān)督和糾偏作用。我國《突發(fā)事件應(yīng)對法》第38 條規(guī)定了縣級以上人民政府及其部門、專業(yè)機構(gòu)應(yīng)通過多種途徑收集突發(fā)事件相關(guān)信息，但沒有明確社會組織進行信息歸集、報告的特定義務(wù)，使得其參與的主動性與能動性體現(xiàn)不足。為增強信息來源渠道的多樣性，有必要完善相關(guān)規(guī)范。例如，將特殊情形下諸如藥店銷售特定藥品的信息、醫(yī)療機構(gòu)出現(xiàn)特殊病例癥狀的信息、急救中心的電話呼叫和出車記錄、單位缺勤記錄等，納入公共衛(wèi)生預(yù)警系統(tǒng)報告范圍，并明確相關(guān)主體的義務(wù)規(guī)定[47]。盡管多樣化信息渠道可能給預(yù)警系統(tǒng)帶來信息質(zhì)量甄別的挑戰(zhàn)，但其僅作為一種補足性方式，能在更大信息庫范圍內(nèi)促進消息的驗證。

其三，賦予醫(yī)學(xué)專業(yè)主體在個人信息披露與處理方面的獨立性地位。對于新發(fā)疾病的病源、病因、傳播方式、突發(fā)事件發(fā)展趨勢及相應(yīng)防控措施的判斷，應(yīng)從權(quán)責(zé)規(guī)范上，適當(dāng)突出專業(yè)主體在信息處理環(huán)節(jié)的能動性與權(quán)威性，及信息披露階段的獨立性。專業(yè)主體的介入有助于協(xié)調(diào)公共衛(wèi)生規(guī)制與決策方面法治化、行政化與科學(xué)化的關(guān)系[48]。醫(yī)學(xué)院校、科研機構(gòu)、疾控機構(gòu)等在與傳染病防治直接相關(guān)的研究方面，依法獨立行使數(shù)據(jù)處理職能。緊急情況下，允許其基于了解的事實向公眾披露必要的風(fēng)險提示信息，如疑似病例特征、防護信息引導(dǎo)等。但當(dāng)專業(yè)主體存在誤判或錯誤披露等行為時，也應(yīng)承擔(dān)相應(yīng)責(zé)任。同時，明確疾控機構(gòu)的監(jiān)督權(quán)，允許其與專門監(jiān)督機構(gòu)對公共衛(wèi)生個人信息處理行為進行檢閱、監(jiān)督和評估，作出正當(dāng)性與合理性判斷。賦予專業(yè)主體一定的獨立地位，行為不受行政機關(guān)、其他社會團體和個人的干涉，這對搶占危機應(yīng)對時機有重要意義，也能防止和監(jiān)督政府權(quán)力濫用或不作為。

(三)完善公共衛(wèi)生領(lǐng)域個人信息權(quán)益行政救濟路徑

第一，探索個人信息處理事后評估機制。針對突發(fā)性公共衛(wèi)生事件，規(guī)范事后評估機制，加強行政追責(zé)，有利于保障私權(quán)利。設(shè)置事后評估制度的主要目的并不在于對相關(guān)主體重新追溯責(zé)任，而是回應(yīng)公共衛(wèi)生預(yù)防要求，及時調(diào)整和彌補不確定性風(fēng)險損害。一是建議制定公共衛(wèi)生領(lǐng)域個人信息處理安全評估細則。細則應(yīng)貫穿于個人信息歸集、開放共享、利用與決策各個階段，包括算法評估和程序評估等，如傳染病申報流程、傳染病報告制度。二是除了公共衛(wèi)生領(lǐng)域個人信息保護專門監(jiān)督機構(gòu)，還應(yīng)組織疾控機構(gòu)、社會組織、媒體等主體共同參與外部咨詢會議進行評估。三是設(shè)立評估反饋機制，要求相關(guān)責(zé)任主體對評估結(jié)論作出必要回應(yīng)和制定彌補方案。

第二，適當(dāng)認可公共衛(wèi)生數(shù)據(jù)治理領(lǐng)域個人信息的風(fēng)險性損害。從立法趨勢看，《個人信息保護法》已將風(fēng)險評估作為信息處理者的重要義務(wù)，但筆者認為不應(yīng)止于評估研究。風(fēng)險性損害的認定是因應(yīng)風(fēng)險社會的現(xiàn)實需要，但從風(fēng)險社會概念中抽象意義的風(fēng)險到具體法律責(zé)任構(gòu)成要件意義上的風(fēng)險的轉(zhuǎn)化，還需深入研究[49]。在公共衛(wèi)生領(lǐng)域個人信息侵害具體認定中，建議進一步延伸與確立“風(fēng)險”的概念，認可針對個人信息的風(fēng)險性損害，并細化風(fēng)險性損害評估要求，以彌補相關(guān)損害的認定困境，使個人信息權(quán)利救濟理念從消除既有損害向預(yù)防風(fēng)險損害適當(dāng)轉(zhuǎn)變。同時，針對難以評估的個人信息“建構(gòu)性損害”，在過錯推定原則基礎(chǔ)上，進一步規(guī)定由公共衛(wèi)生當(dāng)局承擔(dān)具體論證責(zé)任，并從以下方面作出進階式系統(tǒng)評估和論證：一是規(guī)制理由，即對風(fēng)險具體情況及其嚴(yán)重程度進行必要闡述，并論證規(guī)制行為是否正當(dāng)合理；二是干預(yù)方式的有效性與手段的匹配性，應(yīng)闡述是否具有其他選擇性更優(yōu)的措施、是否采取了最小限制手段、是否盡力達到使個人利益損害最小化；三是評估公共利益與個人負擔(dān)的比例，是否在合理范圍內(nèi)；四是針對相關(guān)個人信息風(fēng)險性損害的評估意見，判斷案例是否能擴展認定為風(fēng)險性損害，并闡明考量理由。

第三，完善公共衛(wèi)生領(lǐng)域場景化敏感個人信息處理與安全保障規(guī)則。一是區(qū)分在公共衛(wèi)生常態(tài)化數(shù)據(jù)治理和緊急狀態(tài)數(shù)據(jù)治理中，對于敏感個人信息的加密和脫敏處理要求，常態(tài)化治理更注重數(shù)據(jù)存儲加密安全，緊急狀態(tài)下更注重數(shù)據(jù)流轉(zhuǎn)、共享過程中的脫敏需求，包括對數(shù)據(jù)共享中二次處理行為的脫敏要求[50]。二是加強規(guī)范疫情突發(fā)場景下，多元主體在采集、處理個人信息過程中的匿名化要求。在發(fā)展匿名化技術(shù)的基礎(chǔ)上，細化信息控制者及參與治理者的特殊義務(wù)與責(zé)任規(guī)范。三是在突發(fā)性公共衛(wèi)生事件結(jié)束后，確認個人信息權(quán)利人有權(quán)向仍然保有此類信息的監(jiān)測主體申請刪除，即個人信息權(quán)利人通過行使“被遺忘權(quán)”，請求信息控制者將不具備存在必要性的個人信息予以刪除。

五、結(jié)語

公共衛(wèi)生數(shù)據(jù)治理制度幫助預(yù)防已知疾病的流行、提防未知危險的發(fā)生或抑制危險擴散，通過機制有效運作能搶得應(yīng)對危機的先機。治理實踐中，為贏得更多的社會公共利益之保全和存續(xù)，信息治理主體可能對個人信息私權(quán)益有一定程度的限制，但不是無約束地對全部私權(quán)益都可以“公共利益”之名進行限制和剝奪，而需要遵守一定的規(guī)則。在公共衛(wèi)生領(lǐng)域，法律應(yīng)平衡個人信息的利用和保護行為之間的關(guān)系，探求個人信息保護與公共衛(wèi)生保障的價值平衡點。借助場景理論，事實上是將私人和公共領(lǐng)域的差異點放在了同一視野中進行思考，以求妥當(dāng)?shù)匕才判畔⑻幚硪?guī)則和多元主體的權(quán)責(zé)配置等。公共衛(wèi)生數(shù)據(jù)治理制度的完善，重點并不在于明晰兩個領(lǐng)域價值邊界的具體標(biāo)準(zhǔn)，而是以融合的視野去尋求不同場景下的差異化規(guī)范處理方式，以最大限度地保護個人隱私、保障公眾健康，并實現(xiàn)信息價值最大化、制度安排最優(yōu)化。

注釋：

① 例如，通過開發(fā)應(yīng)用生物識別技術(shù)，將個人基因、指紋、虹膜、面部輪廓等生物特征掃描存儲到電子設(shè)備以加強身份識別等途徑，對于風(fēng)險的可預(yù)測性和認知度將產(chǎn)生質(zhì)的飛躍，提升風(fēng)險治理效率。

② 包括《突發(fā)事件應(yīng)對法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》《傳染病防治法》《基本醫(yī)療衛(wèi)生與健康促進法》《突發(fā)公共衛(wèi)生事件與傳染病疫情監(jiān)測信息報告管理辦法》等公共衛(wèi)生領(lǐng)域相關(guān)法律規(guī)范。

③ 以2019年長沙市數(shù)據(jù)資源管理局信息化項目調(diào)研報告的數(shù)據(jù)為例，在對市級53 家單位調(diào)研后發(fā)現(xiàn)，使用自建系統(tǒng)的單位有12 家，占比23%；既使用垂直系統(tǒng)又使用自建系統(tǒng)的單位有31 家，占比58%；僅使用垂直系統(tǒng)的單位為4 家，占比8%；未使用系統(tǒng)的單位為6 家，占比11%。除了共享意識和規(guī)范的不足，各自數(shù)據(jù)平臺和系統(tǒng)本身客觀上的分割化，也進一步限制了相關(guān)數(shù)據(jù)實現(xiàn)跨主體共享。

④ 目前醫(yī)療健康數(shù)據(jù)共享立法實踐先行一步的整體現(xiàn)狀，也符合這一進路，多地地方政府已制定相關(guān)細則，如《濟南市健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展行動方案(2017—2020年)》《福州市健康醫(yī)療大數(shù)據(jù)開放開發(fā)實施細則》等。