一、问题的提出

中国人民大学一名硕士毕业生马某某利用在校期间作为系统管理员的身份，非法盗取了2014年至2020年期间的本硕博学生的个人信息，包括照片、姓名、学号、学院、籍贯、生日等，并于2023年6月在自建打分平台上对这些学生进行颜值打分。这一事件于2023年7月1日被曝光。事发后，中国人民大学官方在7月2日晚发布情况通报并第一时间联系了警方。警方随后发布通报，证实马某某涉嫌非法获取该校部分学生个人信息等违法犯罪行为，现已被刑事拘留。

这个事件蕴含的法律问题是：在行政主体（包括被授权的高校）出于公共利益对公民个的信息进行掌握和利用时，可能涉及到公共利益与个人信息权益间的冲突。一方面，行政机关及其被授权组织掌握信息是为了提高行政管理效能。例如每个大学都有一个学生的数据库，用于学生的日常管理。另一方面，这种信息的大量集中存储可能会对公民隐私权产生威胁。当个人信息由于处理不当、安全措施不完善或恶意行为而被泄露，就会导致公民的个人信息权益受到侵害。这种威胁在突发公共事件中往往会得到强化。因此，需要动态平衡公共利益与个人权益，厘清关联主体间的权利义务关系、适时适用不同的归责原则，进而提升公共利益与个人信息权益在法益上的兼容度，合理解决因限制个人信息权所衍生出的一系列有关正当性、合理性和合法性的问题，这是当前公民个人信息保护的关键。

二、突发公共事件中公民个人信息保护的法律困局

（一）个人信息采集范围不明确

在应对突发公共事件期间，公民的个人信息泄露的情况时常发生。以政府为主导的各类主体（包括政府委托的第三方商业机构）通过大数据等方式收集公民的个人信息，包括姓名、身份证号码、家庭住址，以及与应对突发公共事件没有直接关联的个人学习经历或者宗教信仰等信息。

之所以产生这种情况，原因在于当前对“公共利益”的解释过于宽泛，也就是说，行政机关在采集公民个人信息时，其范围不够明确。新出台的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》）虽然将突发公共事件规定为收集、处理公民个人信息的法定事由，但并未对其中的公共利益作出清晰的界定。为了充分贯彻行政决策，执法人员倾向于尽可能多地收集信息，甚至是与案件无关的信息。此外，《个人信息保护法》第六条第2款规定：“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”在应对突发公共事件中，这条规定赋予行政执法者较大的自由裁量权，但也容易造成公民个人信息权益的减损。即，执法者倾向于将“合目的性”进行扩大解释，收集和处理大量不涉及突发公共事件应对的信息，这扩大了公民个人信息泄露的风险。

（二）关联主体权利义务关系不明确

个人信息采集的法律规则具有双重特征，既包含行政法律关系，又包含民商事法律关系。个人信息采集规则是为了防止行政主体滥用行政权力的规范，同时也是私法规范。公民个人信息的所有者、处理者，这些关联主体的权利义务关系有所区分，这也是应有之义。

尽管《民法典》规定了个人信息所有者、处理者的各项权利（权力）和义务，但是在民事责任承担和举证责任等方面，并未对不同的主体作出区别规定。这样过于粗线条的规定，势必影响到公民个人信息的细化保障。个人信息保护的法律规定应以个人信息权益为先，但是在细节方面赋予信息主体类似行政相对人的法律地位，这与法律的价值理念相矛盾。在应对突发公共事件时，基于各方掌握信息的不对称导致的主体地位不对等情况，依旧在法律规定上赋予个人信息所有者和处理者同等的权利（权力）义务，这不符合国家保障公民个人信息的立法目的。因此，有必要进一步厘清各关联主体的权利（权力）义务关系。

三、突发公共事件中公民个人信息保护的法律对策

（一）按应急时点界分信息收集范围

在收集公民个人信息的方面，我国以“知情同意原则”为主，辅之以列举式的例外规定，但这不足以满足应对突发公共事件的阶段性需要。[ 《中华人民共和国个人信息保护法》第十三条。]知情同意原则是指相关主体在收集个人信息时，应当事先向信息主体明确告知收集的目的、方式、范围，并获得信息主体的明确同意。根据知情同意原则，个人信息处理者应当向信息的所有者提供充分、明确的信息收集通知。同时，为了满足突发公共事件发生时的信息采集需要，《个人信息保护法》第13条第4项将“公共卫生事件”以及紧急避险作为知情同意原则的例外规定。

一般而言，突发公共事件的发展可分为早期突发阶段、中期平稳阶段以及后期的消退阶段。在第一阶段，事件发展迅速，应对较为困难。因此，在这一阶段对可能涉及到的公民个人信息尽可能全面地囊括，这不仅是管理所需，而且也是保障公民人身或者财产安全的需要。所以在早期阶段，不应对收集的信息做特定的范围限制。到中期以及后期阶段，应对的难度降低，以“避险”作为规避知情同意原则的理由不再成立。“信息主体出于类似于‘提前避险’‘拖后避险’或‘延迟避险’的需求而收集个人信息的，仍应遵循一般收集规则。”

（二）应急行政机关概括性承受行政责任

突发公共事件发生时，政府直接采集公民个人信息的行政权得到扩张，因此义务也应得到增加。通常，政府会成立直接的领导小组以应对突发事件，小组成员由与应急事项相关的部门抽调人员组成。如果涉及行政争议，就应当按照《中华人民共和国突发事件应对法》第7条的规定，由本级人民政府作为行政复议和诉讼的被申请主体。

另外，参与公民个人信息收集和处理的第三方商业机构的责任，也应当由委托该机构的行政机关概括性承受。其一是因为第三方机构只是受委托机构，尽管其参与了这一过程，但是并非直接的当事人。其二是被侵犯的个人信息权客体具有内在地公益性。如果第三方机构因故意或重大过失使受委托保存的个人信息泄露，这不同于民事或者商事的争议，而是自动进入了行政法规制的范畴。其三，将参与处理公民个人信息的第三方机构作为被授权机构，其责任由授权其实施处理信息的行政机关承受，这也有利于限缩行政权的扩张。

四、结论

突发公共事件中，对公民个人信息的采集具有采集范围不明确、关联主体权利（权力）义务关系不明确以及侵权归责的原则间不协调的问题，因此有必要采取适当的措施加以应对。首先，基于突发公共事件具有阶段性特征，应当按不同的应急时点界分信息收集范围。在事件的早期突发阶段，为了快速应对，可全面收集关联公民的个人信息。但在中期以及后期阶段，应当按照“合目的性”对收集范围进行限缩，并遵循一般的知情同意原则。其次，应当将参与处理公民个人信息的机构的侵权责任设定由委托行政机关概括性承受。

参考文献

[1]隐私权的比较研究[M]. 张民安, 主编.中山大学出版社.2013.

[2]赵宏.从信息公开到信息保护:公法上信息权保护研究的风向流转与核心问题[J].比较法研究, 2017(02).

[3]陈风润,郑成良.突发公共卫生事件中个人信息保护规则的适用困境与消解路径[J].贵州社会科学, 2023(04).