闵 婉

(湖北警官学院 湖北武汉 430000)

总体国家安全观，是指以人民安全为宗旨，以政治安全为根本，以经济安全为基础，以军事、文化、社会安全为保障，维护各领域国家安全，构建中国特色国家安全体系的国家安全理念。总体国家安全观将国家安全的内涵扩展到经济、社会、文化、网络、科技、生态、资源等涉及现代化国家发展的各个领域，大大拓展了国家安全的基本范畴。因此，在总体国家安全观视域下，无论是实现社会公共安全，还是保障个人信息安全，都是构建国家整体安全不可或缺的基石，公共安全和个人信息安全都是同等重要的安全利益，享有同等重要的安全价值，只有最大限度地协调二者之间的平衡关系，才能最终促进总体国家安全的稳步实现。

一、公共安全和个人信息安全的冲突

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。诸如自然人的姓名、身份信息、行踪信息等各类个人信息均与自然人的人格利益密不可分，赋予自然人对其个人信息的控制和支配权是对其人格自由和人格尊严的维护与尊重，也是保障其个人信息安全的必要举措。

与个人信息安全更强调信息主体的个人权利不同，公共安全则是从社会的整体利益出发，更强调社会公共秩序的稳定和社会整体的公共安全。某些特定情形下，为了实现社会公共安全利益的需要，个人需要适度地让渡其对个人信息的控制和支配权，此时，个人信息安全与公共安全之间的冲突随之产生。例如，在突发公共卫生安全事件的特殊情势下，及时精准地追踪相关当事人的身份信息、健康状况和活动轨迹是卫生防疫防控中不可或缺的重要环节，与之相应，授权疾病预防控制单位、基层群众自治组织以及有关政府职能部门收集和使用相关主体的身份信息、医疗信息、行踪轨迹等个人信息不可避免地成为了维护公共安全的必要之举。从实践中看，此类公共卫生安全事件中对个人信息的利用主要来自两个方面的需求：一是实现联防联控和精准防控的需求。要实现对传染性疾病的联防联控和精准防控，必须依托“大数据+网格化”的治理模式，即动员各级各类社会力量广泛参与群防群治，同时依托最前沿的数据技术对疾病相关信息实现精准、及时的掌控，对相关个人信息进行收集和使用是实现这一防控模式的必要条件。二是为政府防控政策的制定和调整提供决策依据。对大数据的科学分析和有效应用能大大提高政府决策能力，为政府有效处理复杂的社会问题提供数据支撑。在对公共卫生事件的治理中，政府决策部门可以通过对事件发生发展的各类数据信息进行对比分析和动态分析，为政府准确研判事件态势和风险等级，有针对性地调整防控措施提供精准的大数据支撑。在此过程中，个人为保障公共安全让渡了其对个人信息的控制和支配权，不可避免地会承担更多的个人信息安全风险[1]。

二、平衡公共安全和个人信息安全的理论基础

个人信息具有个人属性，对每个自然人个体而言，信息主体都享有个人信息不受非法侵害的私权利，这是对自然人人格尊严和人格利益的维护。另一方面，个人信息也具有公共属性，对整个社会而言，社会成员个人信息的自由利用与流动既有助于实现社会公共事务的公开、公正和透明，更好地满足社会公众对公共事务的知情权和参与权，也有助于政府更加便捷有效地行使对公共事务的管理职责，从而最大限度地促进社会公共福祉。尤其是在突发公共卫生风险的特殊情势下，对个人信息的利用事关公共健康，有利于促进社会公共利益和公共价值的最大化，此时，个人信息的公共属性表现得更为明显。实现个人信息的个人属性和公共属性的有机结合是平衡个人信息安全和社会公共安全的理论基础。

三、平衡公共安全和个人信息安全的立法保障

长期以来，我国关于个人信息安全和保护的有关制度散见于宪法、民法、刑法等各类法律、行政法规、部门规章以及司法解释之中。例如，2012年全国人大常委会颁布的《关于加强网络信息保护的决定》首次针对个人信息保护问题进行了专门的系统性立法，2013年工信部的《电信和互联网用户个人信息保护规定》对提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动进行了专门的规制，2014年修订的《消费者权益保护法》对经营者的个人信息保护义务进行了明确的规定，2015年颁行的《刑法修正案（九）》通过扩展入罪行为和增加惩罚力度的方式进一步加强了对个人信息的刑法保护，2016年颁行的《网络安全法》以专章的形式对网络信息安全问题进行了详细的规定，2019年颁布的《民法典》通过民事基本法的形式确立了个人信息的司法保护规则。但这些规定的立法导向均侧重于对个人信息的保护规则而非利用规则，尤其是针对公共安全风险事件等特殊情势下，如何规制政府及其授权的组织和机构对相关主体个人信息的利用权限和利用程序，以更好地实现公共安全和个人信息安全的平衡，此类规则鲜有涉及。我国《传染病防治法》仅原则性规定，疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料，而对相关机构使用个人信息的条件、权限和程序均没有作出任何可供参照执行的具体规定[2]。

四、平衡公共安全与个人信息安全的具体规则

（一）个人信息分级规则

个人信息是所有可以识别特定自然人身份或者反映其活动情况的信息的总称，其包含的范畴非常广泛。不同类型的个人信息对信息主体而言具有的重要性程度有所不同，一旦被非法获取和利用，对信息主体的损害程度也有所差别，因此，在对个人信息的利用制度中，应当设定信息分级规则，针对不同类型的个人信息设定不同的利用权限、程序及责任。

（二）知情同意规则

知情同意规则是指有关单位和个人在收集个人信息时应明确告知信息主体收集和使用该信息的事实及使用方式，任何单位和个人只有在信息主体同意的前提下才享有对个人信息的合法收集和使用权。这是个人信息收集和使用过程中平衡信息主体和使用主体双方权益的一项基本制度，我国《网络安全法》也明确规定了这一制度，但《网络安全法》中的知情同意制度规制的主体是网络经营者，而在公共卫生事件中需要对公民个人信息进行利用的主体则是承担国家卫生健康管理职责的行政机关及其授权的公共职能部门。对于这些主体而言，一般情况下仍应以知情同意规则为前提进行公民个人信息的收集和使用活动，这是个人信息具有的私权属性的具体体现，也是公民保障其个人信息安全的基本屏障。

（三）合理使用规则

最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中，将“为社会公共利益”在必要范围内利用网络公开自然人个人信息的行为作为承担侵权责任的除外情形。《民法典》规定“为维护公共利益”合理实施的处理个人信息的行为属于侵犯个人信息的免责范畴。这类个人信息合理使用规则为公共安全目的下的个人信息利用行为提供了必要的法律指引。但上述规定均过于原则化，缺乏实际应用层面的具体性和可操作性，只有对行使合理使用权的主体、标准和程序均作出具体明确的制度安排，才能真正实现用户个人信息安全和公共安全之间的平衡[3]。

（四）权责一致规则

任何情形下，对个人信息的利用都必须遵循合法、正当和必要的基本原则。即使是在涉及公共安全的事件中，职能部门为实现公共安全利益对个人信息的利用仍不能突破法定的职权范畴，出于公共安全防控的目的收集和使用个人信息，应当严格采取符合防控目的要求且对信息主体损害最小的方式进行，一旦发生个人信息泄露的安全事故，相关职能部门及其工作人员应当承担相应的法律责任。