文/意見領袖專欄機構 北京和昶律師事務所

　　本文作者：王亮亮

　　病毒從不含情脈脈，以排山倒海之勢影響人類生活。人們從中不僅深刻體會到健康、安全之寶貴，更有對信任的殷切期待，要求政府依法履職。中國政府應對疫情的表現，成績有目共睹，其中一大亮點就是技術賦能帶來的信息收集能力，例如全國互聯互通的健康碼，對疫情防控，復產、復工等立下了汗馬功勞。病毒終受控制，因疫情防控而收集的個人信息何去何從，仍是個未知數。

　　近日，杭州市衛健委給出回答：計劃實現健康碼常態化，通過集成電子病歷、健康體檢、生活方式管理數據，關聯健康指標和健康碼顏色，形成數值為0到100的漸變色健康碼，進而推行個人健康指數排行榜。同時，通過大數據對樓道、社區、企業等群體健康進行評價、排名。“杭州方案”一出，引發熱議。這是個人信息使用的常態還是“變態”？對這個問題的回答，除了常識判斷，還需法律定性。

　　一、政府收集個人信息的合法性基礎

　　“新冠病毒”肆虐，政府為了公共安全和傳染病防治的需要，收集個人信息；民眾出于對政府的信任和理解，掃碼填表，積極主動提供相關信息；雙方互信互動，使得疫情防控成效顯著。但民眾理解配合不是收集合法的依據，否則就有“因果倒置”的危險。“法無授權不可為”，法治政府的底色是依法行政，政府因疫情收集個人信息需遵循兩個原則：

　　一是，比例原則。為了公共利益，政府及授權機構依據《傳染病防治法》的規定，對個人信息進行采集、調查，必要時對個體采取控制、隔離等措施。但公共利益是一個模糊不清的概念，極容易限制甚至侵犯個人權利，因此需要結合具體情景限縮，只有為了某個特定的、具體的公共利益犧牲個體權利才具有合法性的可能，而不能漫無邊際的以公共利益為由涉足私權領域。

　　本次“新冠”病毒傳播場景下的公共利益，就是疫情防控。對相關個人信息收集有利于疫情防控，才具有正當性。如果收集個人信息所獲得的利益與疫情防控這一公共利益無關，或對個體隱私的損害遠超過這一公共利益，就失去了合法性。這就是目的與手段要協調的“比例原則”，權力行使不僅要有法律依據，還必須選擇對公民權利侵害最小的方式進行。

　　二是，合法、正當、必要原則。政府或者政府授權的其他機構，因新冠疫情，開發相關網絡系統，采集個人信息，承擔著網絡運營者的角色。根據《網絡安全法》，對于網絡運營者收集個人信息，要遵循合法、正當、必要原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。此外，不得收集無關的個人信息；不得違反法律規定和雙方約定使用個人信息。包括健康碼在內的個人信息收集系統，主要依托微信或支付寶等軟件采集信息，在采集時系統均會提示收集信息的目的和范圍，并經被收集者同意。

　　由此，政府基于新冠病毒爆發、防控疫情這一公共利益的需要，基于比例原則與合法、正當、必要原則，對相關個人信息采集，履行了基本的告知義務，因而具有合法性。

　　但是，收集個人信息的合法性不代表長期存儲個人信息的合法性，防控疫情收集個人信息的合法性也不代表把已收集個人信息“挪作他用”具有合法性。隨著新冠疫情逐漸得到控制，疫情防控常態化，這一公共利益必然逐漸限縮，乃至最后消失。這些收集的個人信息就面臨合法性危機，如何善后是值得嚴肅對待的問題，非常時期的非常手段能否“自愿退出”，考驗著相關機構對法治的態度與智慧。

　　二、《民法典》對個人信息保護提出的要求

　　個人信息保護也是今年“兩會”的熱議話題，原因至少有二，一是疫情期間大范圍收集個人信息的非常情形，這一話題不可回避。二是《民法典》不僅在總則編民事權利章設置了個人信息保護專條，還在人格權編設置了“隱私權和個人信息保護”專章。法律的生命在于實施，以“法典”命名的法律若沒有“牙齒”，則難免尷尬。

　　《民法典》是民事權利的“宣言書”，具有“類憲法”性質，法典對依法行政提出了更高要求，即行政權力必須尊重個體權利，無法（憲法、法律）定事由，不得任意克減。《民法典》第111條，確認了自然人的個人信息受法律保護，任何組織或個人應依法取得個人信息并確保安全，不得非法收集、使用、加工、傳輸個人信息，不得非法買賣、提供或者公開他人個人信息。第1034、1035條對個人信息保護作出了具體規定，個人信息中的敏感（私密）信息適用隱私權條款，其他個人信息，適用個人信息保護條款。這不僅肯定了網安法對個人信息保護的基本原則，還特別強調不得過度處理個人信息，不得違反雙方約定使用個人信息。

　　“杭州方案”或許有千萬好處和便民利益，但當你因為抽煙、喝酒、熬夜被健康碼“拉黑”的時候，當你的居住地被定義為“不健康”社區的時候，甚至當你相親、找工作、購買保險、銀行貸款都要出示健康碼的時候，法律上的那個“人”就消失了，只有呈現出各種顏色背后的歧視。

　　更為重要的是，誰才能擁有這樣的“健康定義權”？算法嗎？誰的算法？法律從未賦予任何人這樣的定義權，與此相反，法律的存在就是為了抵制這樣的定義權，從而使得個人自由、平等、安寧地活著。依法行政要求對公民“無罪推定”，也就是說政府不經法律授權和比例原則檢驗，不得對個體權利干涉，對個體自由限制，對個體選擇干預，對個人信息窺視。

　　個人信息收集因疫情而起，自然應隨疫情而終。這不是政府管理效率衡量的單方選擇，而是數據背后的每個人，權利是否被尊重的法律問題。收集個人信息的目的、方式和范圍都是圍繞疫情防控這一公共利益展開，公共利益不存在，個人信息也就無所依附，應被刪除，這是法律的底線，甚至無需討論。個人信息在疫情之后“挪作他用”或許能帶來更大的管理效益乃至經濟利益，問題在于一旦出于功利考量，個人就不再是作為法律目的而存在，而成為效益或利益的手段。

　　如果說《民法典》提供了私權堡壘，那么個人信息保護條款就再一次砌高了堡壘的高墻。高墻外圍，群敵環伺，個人信息的巨大商業價值使得企業不斷挖掘灰色地帶，甚至違法犯罪。這一現代性的治理難題，治理還未有起色，政府更應該做好表率，做砌墻的磚，而非攻城的箭。濃厚的“家長主義”興趣背后，不僅隱藏著對公民權利淡漠的心，還有若隱若現的“全景敞式主義”的影子。

　　三、警惕“全景敞式主義”

　　英國法學家、功利主義哲學家杰里米·邊沁，在1785年提出了“全景敞式建筑”（panopticon）的概念，它有一個更通俗的名字“圓形監獄”。panopticon一詞源于希臘神話中的“百眼巨人”阿耳戈斯（Argus Panoptes）。傳說中他擁有一百只眼睛，遍布渾身上下，即使在睡著的時候，也有兩只眼始終警惕地睜著。

　　“圓形監獄”的構造原理十分簡單：四周是環形建筑，被分成很多囚室，中心是一座瞭望塔。瞭望塔有一圈大窗戶，對著環形建筑。各個囚室都有兩個窗戶，一個對著里面，與瞭望塔的窗戶相對，另一個對著外面，使光線從囚室的一端照到另一端。在環形監獄里，人徹底地被觀看，但不能觀看到監視者；在中心瞭望塔，監視者監視著一切，但不會被觀看到。按邊沁的設想，瞭望塔的窗戶還應裝上百葉窗，這樣就使得監視者更加神秘莫測，由于罪犯不知是否被監視以及何時被監視，所以不敢輕舉妄動，長此以往，就實現了被監視者的“自我監禁”。

　　這一故事被法國哲學家米歇爾·福柯在《規訓與懲罰》一書中發展為“全景敞視主義”，他認為現代文明社會中有無處不在的“圓形監獄”，我們正像在環形建筑中的“囚犯”，我們在“囚室”里的一舉一動都有人在中間的瞭望塔上監視著：上班途中乘坐地鐵無數的攝像頭注視著你，來到單位測量體溫、人臉識別、釘釘打卡定位。坐在辦公桌前，無數垃圾短信出現在手機屏幕上，還時不時地有電話打進幾個貸款廣告，打開微信壓壓驚，文章推薦“朋友在看”，朋友圈廣告直指你用完的洗發水。下班地鐵太擠，滴滴打車，行蹤軌跡一覽無余……，我們已經生活在幾乎透明的房子里，無可遁形地被窺視。

　　如果你抽一支煙，或者深夜因工作難以入眠，都會影響健康碼顏色，導致你健康排位靠后，甚至拖單位后腿時，我們無疑就更進一步地實現了“自我監禁”。新冠病毒一定會被控制，因疫情被大量收集的個人信息，乃至被克減的隱私能否恢復如初，是我國個人信息保護狀態的一個表征。如果在抗擊新冠病毒的同時，仍不忘個人信息保護，《民法典》中宣告的權利就落實為生活中“鮮活”的權利。

　　(本文作者介紹：北京和昶律師事務所是一家以刑事辯護和刑事風險防控為主的專業型、研究型律師事務所)