数字时代突发公共卫生事件中的个人信息保护

艾 桥

(天津大学，天津 300072)

2020年1月30日,世界卫生组织宣布中国武汉的新型冠状病毒肺炎的疫情构成“国际公共卫生紧急事件”。为应对此次突发公共卫生事件,我国将大数据信息应用于ICT技术中有效提升了COVID-19疫情防控的效率、优化了防控资源调度的方式、增强了感知COVID-19疫情态势的能力。大数据应用对监测和控制新型冠状病毒肺炎的疫情至关重要,通过ICT技术可以采集、汇总、分析数据中目标人群的个人信息,可以获取目标人群的个人行动踪迹、跨区流动轨迹,绘制目标分布的热点聚集位置。数据分析与数据共享在为处理突发公共卫生事件提供及时有效的信息同时,违法违规控制个人信息的案例也发生并产生恶劣的影响。突发公共卫生事件的信息应当公开、透明、及时、准确,但其中所涉及的个人信息面临的采集授权不明、使用分析范围不清、非法公开涉及敏感信息等问题的结局同样应当及时有效。

2020年2月9日中央网络安全和信息化委员会办公室发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》),此通知表示了政府对于保护个人信息的重视,但原则性的条款依然需要相关法律法规的架构支持与细化完善。

一、突发公共卫生事件中的个人信息保护

(一)个人信息保护类型分析

在此次突发公共卫生事件中,采集大量数据通过ICT技术处理后在控制人口流动、预测疫情态势方面发挥重要作用,但在此过程中所涉及个人信息数量多、来源散、影响深,所以选择采用何种保护等级来保障个人信息的运用安全至关重要。在现行法律中,《网络安全法》第七十六条采用列举式方式定义“个人信息”,即“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,其中列举姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等均属于个人信息。在《民法典》“人格权”编中第六章同样采用列举式方式,明示增加了电子邮箱地址与行踪信息归属于个人信息。但目前现行法律法规对一般的个人信息采用原则性保护方式,而在突发公共卫生事件中,一般的个人信息在此类特殊场景下应当提升保护等级。例如,此次疫情中,如果肺炎患者或者疑似人群的上述个人具体信息被不合理公开,可能导致此类人群遭受网络暴力或者群体歧视,这将会带来不可低估的私人干扰与心理伤害。

在国家标准GB/T35273《信息安全技术个人信息安全规范》(以下简称:《个人信息安全规范》)中3.1与3.2条定义了“个人一般信息”与“个人敏感信息”,并区分了二者范围与类型的不同。从《个人信息安全规范》可知,个人敏感信息是指：“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。规范将身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等纳入个人敏感信息的范畴。此类定义采用了“列举式+场景式”方式,信息控制者能够依赖于某些信息推断出上述具体类型信息都属于敏感类,换言之,一般个人信息在突发公共卫生事件的特殊场景下可以成为敏感个人信息。

将突发公共卫生事件中的个人信息提升到敏感信息等级保护的原因，在于此类情况下的目标群体属于弱势群体，应当重点给予合理保护。这类人群的信息，结合信息控制者的类型、采集信息的目的或者民众当时的紧张情绪,很可能导致其受到人身和精神攻击。例如，据《人民日报》报道,1月28日,湖南益阳市多个小区业主微信群出现“关于益阳市第四人民医院报告一例新型冠状病毒感染肺炎病例的调查报告”电子版内容及截图,内容涉及市民章某某及其亲属等11人的个人隐私信息。此信息迅速传到了当地近百个群组中,导致这11位普通百姓的生活遭到了众多莫名骚扰,严重影响正常生活。因此,突发公共卫生事件中的个人信息应当采用敏感信息等级保护，这对疫情中的民众心理疏导与社会治安稳定具有重要意义。

(二)个人信息保护立法基础

明确突发公共卫生事件中个人信息保护的立法基础,可判断个人信息控制者获取使用信息方式的合法性与合理性。涉及突发公共卫生事件的个人信息保护文件主要有《中华人民共和国传染病防治法》和《突发公共事件应急条例》,根据我国《民法总则》第一百一十一条及《民法典》中关于个人信息保护的法律规定,在法律、行政法规的特别授权下,自然人个人信息的采集和使用可以不征得本人同意,即在突发公共卫生事件中,政府、相关行政部门、疾病预防控制机构以及经过特别授权的部门可以在个人信息主体未授权同意的情况下采集使用其个人信息。采集目标人群的个人信息是突发公共卫生事件中数据利用的重要环节,根据《传染病防治法》以及《突发公共事件应急条例》,卫生行政机构、医疗机构以及疾病预防控制机构之外的行政部门、企事业单位、相关企业个体可以经过政府授权，获取个人信息控制的权利。

面对COVID-19引起的的突发公共卫生事件的现实情况,肺炎患者、疑似人群等敏感人群的相关信息在完全征得其同意后再进行相关分析利用,将会降低疫情防控的效率，增加传播的可能。从立法保护层面上,法律、法规、相关司法解释都给予了政府以及政府授权的机关、组织、企业、个体以防控疫情为目的个人信息使用权利。从司法实践层面上,各省份积极响应国家号召重视个人信息保护工作,例如，浙江省高院发布《《关于规范涉新冠肺炎疫情相关民事法律纠纷的实施意见(试行)》,其中对于采集与新冠肺炎疫情相关的个人信息的诉讼给予了明确的司法裁判指导。

从我国保护个人信息的立法体系图以及应对突发公共卫生事件的个人信息立法可以发现,目前我国个人信息立法文件繁多,专门保护突发公共卫生事件的立法也有，但是无法有效应对大数据时代背景下的ICT技术应用,缺少数字时代高效合理处理个人信息保护问题。同时，缺乏突发公共卫生事件后采集使用个人信息有效处理的规定。因此,保护突发公共卫生事件中的个人信息需要符合大数据时代背景的技术应用。

(三)采用数据共享与保护个人信息的矛盾

数据时代采用技术手段处理突发公共卫生事件,对于控制疫情传播起到了积极的作用。在突发公共卫生事件中,利用数据信息可以了解疫情扩散状况以及追踪目标人群。目前,我国民众利用手机上网和使用app的比例高达61%,铁路交管部门、三大电信运营机构以及互联网公司拥有很多属于公民个人的信息,比如，姓名、联系方式、地理位置以及行踪轨迹都为应对突发公共卫生事件提供了数据支持。政府与相关部门企业之间的数据共享,可以监测突发公共卫生事件中危险目标人群的行为踪迹与健康动态，并预测未来动向。在此次COVID-19疫情防控行动中,利用数据共享,采用ICT技术开发出的app,可以查询确诊患者乘坐的具体交通工具、自测新型冠状肺炎病毒感染状况、快速寻找发热门诊的分布情况以及公众可以实时得到最新的相关疫情数据,这些都为稳定公众情绪、降低疫情感染起到了关键作用。然而,如何防止滥用数据共享中的的个人信息至关重要。科学技术可以加强个人信息保护,但无法彻底解决数据共享与信息保护之间的矛盾。个人信息高度依赖于社会文化与道德价值观的演变,既需要自上而下的立法建立刚性法律保护框架,也需要自下而上的社会软法规范来构建多元主体利益协调机制。[1]

突发公共事件中需要利用数据共享，分析各个渠道收集的个人信息,从而得出下一步的解决方式。结合大数据以及再处理的某些实名制个人信息,可以追踪病情传播状况。但在采集处理相关个人信息过程中,信息处理主体范围很大,例如，基层街道社区、医疗卫生机构、铁路交管部门以及互联网运营商等。最大限度实现数据共享完成病情防控,最小限度披露个人信息尊重个人隐私,能够达到的平衡值是一个期待目标。应对COVID-19疫情过程中,相关部门企业采集了大量的个人信息,同时在处理、使用过程中,也出现了个人信息泄漏、窃取事件。例如，在微信群中公开、转发肺炎患者或者疑似人群的姓名、身份证号、家庭住址、联系方式等个人敏感信息,违法利用个人信息会造成私人生活困扰甚至激发社会不稳定因素。中央网信办公示发布《通知》中，强调重视个人信息保护,要求在联防联控工作中合理使用个人信息,兼顾公共利益和私人权益保护,在一定程度上实现个人信息利用和公共安全之间的平衡,有利于推动大数据在疫情防控阻击战中发挥更大作用。[2]数据时代下保护个人信息得到了广泛的认同,但在处理突发公共卫生事件中,如何确定利用数据共享与保护个人信息的界限,如何平衡公共利益与个人权利,需要继续探讨。

二、突发公共卫生事件的个人信息保护方式分析

(一)个人信息采集阶段

在突发公共卫生事件中,利用个人信息进行有效防控的第一步是采集个人信息。根据中网办《通知》第一条规定可以看出,国家高度重视个人信息保护,首先强调采集信息主体的特殊性以及范围。我国《传染病防治法》《突发公共事件应急条例》均严格限定采集个人信息的主体,明确规定为有权机关。例如，卫生行政主管部门、疾病预防控制机构、居民委员会、村民委员会以及政府授权的单位、企业以及个人。同时,如果政府、行政单位、企业组织在突发公共卫生事件期间由于防控的需要而收集网络用户的相关个人信息,应当在《网络安全法》的合法构架下完成。《通知》第二条规定,个人信息采集的对象应当遵循最小范围原则。我国《传染病防治法》《突发公共事件应急条例》均严格限定个人信息采集的对象,严格控制采集信息的范围要符合防控目的。

(二)个人信息传输阶段

在突发卫生公共事件中,个人信息传输存储的安全性尤为重要。《通知》第四条规定，采集个人信息的相关机构应当采取严格的管理措施和技术手段，并对此类信息的存储负责。我国《网络安全法》同样规定采取必要的防护措施存储个人信息,按照个人信息的保护等级,分类分级进行存储。同时,有关部门、企业、个人在突发公共卫生事件防控中负有及时报告、合理传输所采集的个人信息义务。我国《传染病防治法》第三十一条明确规定,任何单位与个人都应当及时向有关部门报送传染病或者疑似人群的信息。其次,在传输存储敏感人群个人信息的过程中,应当采用严格的访问控制和加密措施,防止泄漏窃失。传输储存个人信息应当遵循必要性原则和最小化原则,即目标信息应当满足防控目的,个人信息范围不宜过于宽泛。此次我国在应对COVID-19疫情时,有关部门、企业、个人在传输存储肺炎患者和疑似人群的个人信息过程中应当严格控制传输途径和存储方式。传输过程中要保证对应接收单位的合法性,存储时要注意存储保密等级以及存储期限限制。

(三)个人信息应用阶段

为应对突发公共卫生事件,利用大数据技术分析使用个人信息可以高效处理冗杂的数据,切实保障公民的利益。将相关个人信息经过大数据分析可以监测疫情态势、预测发展趋势。同时在分析使用个人信息过程中,应当以处理突发公共卫生事件为目的,坚持目的性原则,严格禁止超范围使用。根据我国《网络安全法》规定,使用公民个人信息应当告知相对人，同时得到其同意。此法并不存在例外情形。而在《个人信息安全规范》中,存在授权同意的意外,其中第三条明确表述在与公共安全、公共卫生、重大利益直接相关的情况下，使用个人信息无需征得个人信息主体的同意。目前,人民政府、卫生行政部门、疾病预防控制机构均有权在突发公共卫生事件中使用公民有限的个人信息。同时,我国《传染病防治法》(第三章第三十二条,第三十三条)给予相关医疗机构为控制疫情、改变个人信息使用目的的法定授权能力。《突发公共事件应急条例》(第二章第十条,第十一条)规定，人民政府有权为处理突发公共事件将信息分析使用的权利给予有关企业、组织、个人。在我国此次COVID-19疫情防控过程中,分析使用目标人群的相关度高的个人信息,例如行程信息、住宿信息甚至支付信息,经过大数据分析可快速锁定潜在的危险源,降低疫情传播的速度。

(四)个人信息披露阶段

个人信息合理披露可以在突发公共卫生事件中安抚民众情绪、稳定社会秩序。中网办《通知》第三条规定，必须以疫情防控或疾病治疗为目的披露个人信息,严格控制披露方式。突发公共卫生事件中个人信息披露工作需要满足一般公众的知情权，同时维护特殊人群的个人权益。在危机情况下,首先，披露信息的主体应当适格,无需征得个人同意。但披露个人信息的主体应严格规范,除政府机关、医疗单位以外的其余单位个人都应当符合国家“突发事件应急预案“的规划内容。其次,披露信息的对象应当符合最小化原则,以处理突发公共卫生事件为目的，确定所披露个人信息的类型与数量。再次,披露信息的方式应当合理,以必要性为原则确定披露信息的范围。最后,个人信息主体的信息披露范围应在法律框架内，不得损害披露信息主体的个人权益。在此次应对COVID-19疫情中,人民政府、基层组织都在法律框架内披露目标人群信息,但从新闻报道中可以发现存在小区物业公司向小区住户披露新冠肺炎患者、疑似人群的具体姓名以及精准住址,甚至其亲属的个人敏感信息,造成相关群体的私生活曝光。可见,个人信息的披露范围需要谨慎,患者以及疑似人群的具体姓名以及居住门号不应当向小区全体用户披露。此类人群的具体居住栋数如果以防控疫情传播为目的,可以由适格主体进行披露,保证披露个人信息准确性的同时保护披露信息主体的个人权益。

(五)个人信息销毁阶段

合理应用大数据分析突发公共卫生事件中的个人信息，可有效控制事态发展,遏制疫情大规模扩散。当突发公共卫生事件解决后，采集的个人信息应采取合理措施销毁，有效的销毁方式属于保护个人信息。销毁个人信息专门化，可以降低信息传播率;销毁个人信息的方式及时有效可以防止信息被违法利用;将选择的个人信息匿名化销毁可以减少非法进行技术恢复的可能性。在处理突发公共卫生事件的尾声采用安全措施合理销毁个人信息,是对公民个人权益的有效保护。在此次COVID-19疫情防控中,同样应当将个人信息销毁阶段的手段规范化,规定有限处理人员进行信息销毁工作,同时采用数据技术将新冠肺炎患者、疑似人群的相关个人信息进行匿名化处理后再进行销毁,可降低个人信息违法再利用的风险,销毁阶段的个人信息保护应当得到高度重视。

三、完善突发公共卫生事件中个人信息价值保护的几点思考

(一)更新法律保护机制

突发公共卫生事件应急处理需要时效性,在相关应急管理措施中加大个人信息保护力度,同时应当加强法律、法规与数字背景、防控应急管理的一致性。我国目前需要更新突发公共卫生事件法律体系,完善个人信息保护的合法性基础。《中华人民共和国突发事件应对法》与《中华人民共和国传染病防治法》以及《突发公共卫生事件应急条例》在我国COVID-19疫情防控中对个人信息合理保护提供了法律依据,但如何协调法律、法规的关系,如何满足法律规范与数字背景的衔接都是值得深思的问题。目前更新法律体系,以规范化界定突发公共卫生事件中个人信息的性质、保护等级及相关应急处置方式,有利于更好地保护公民的个人信息。

(二)规范个人信息管理

为防控突发公共卫生事件,数字化时代的技术应用为数据样本分析提供了支持,样本分析中采集的个人信息如何规范化管理应当重点关注。对于个人信息应当科学构建纵向的阶段划分,横向职权配置的管理体制架构。[3]纵向上,个人信息采集阶段的流程必须规范化,明确信息采集的主体责任,提高违法采集成本;个人信息传输应用阶段,需要将个人信息集中统一管理,利用数据技术进行脱敏处理,同时需要谨慎把控掌握信息的机构与个人,从主体、方式、对象等多角度降低泄漏风险;在处理突发公共卫生事件尾声,关注个人信息的销毁处理同样重要,对个人信息销毁方式应当严格规范访问主体,注重加密保护。横向上,明确个人信息的管理机构与执行机构,细化涉及部门的职权范围,保证职责明确,防止权力重叠,避免互相推诿。

(三)健全个人信息公开

数字时代互联网应用率直线上升,为突发公共卫生事件的信息公开提供了平台。在此情况下,如何平衡公共利益与个人权益值得关注。突发公共卫生事件的信息公开应当客观准确,有关机关需要完善细化信息公开制度,确保其中涉及的个人信息可以得到合理的保护。目前,我国正加大个人信息方面的专项立法,健全个人信息公开,统筹规划个人信息保护的各项因素,应当关注突发公共卫生事件中个人信息的敏感度以及公共利益的重要性。

(四)细化信息利用规则

数字背景下的技术应用对于突发公共卫生事件中的个人信息保护是一项挑战,细化各种维度的信息利用规则至关重要。相关司法部门可以发布指导性案例,为突发公共事件中个人信息保护的司法实践提供更加清晰的规则指引。