重大公共卫生事件中的个人信息保护与利用研究

（北京市社会科学院 法学研究所，北京100000）

一、问题提出

2020年新冠肺炎疫情的应对是对国家治理能力和治理现代化的考验。各级政府部门、医疗机构、企业运用数字技术上线一系列应用，为精准防控提供有效支撑。但由于个人信息保护不足等因素，导致大量返乡人员信息泄露、新冠肺炎患者被网暴等现象，对个人的私生活、人格尊严、人身自由造成了不同程度的影响。如何在充分利用大数据支撑疫情防控的同时实现对个人信息的保护是迫切需要解决的问题。

针对公共卫生事件中个人信息存在的问题，国内许多学者从理论层面进行探讨，研究主要聚焦于公共卫生事件个人信息保护与利用的法律问题和健康码两个角度展开。从法律问题的角度，一些学者认为应加强公共卫生事件中个人信息的法律保护，例如陈兵认为，面对重大公共卫生事件，个人数据的规范化和法治化状况不容乐观，要在法治思维框架下，综合考量不同主体的多元需求，实现大数据应用与公民全面发展的和谐共赢[1]。时诚、张勇则认为应采用公法与私法并重的综合性保护方式对相关的法律制度进行完善[2]，加强法律的整体性与适用性[3]。还有学者从公共卫生事件中个人信息保护的合法性视角展开研究，唐彬彬采用利益相关者理论来探讨个人信息保护限缩的正当性及边界[4]。针对健康码的研究，主要围绕健康码的合法性与正当性展开。许可认为，健康码的治理规则是应急状态下的数据规则，一旦疫情防控从急性、超常规转向常态化，相关治理规则甚至健康码的存废即需要重新评估[5]。宁园则认为，健康码的推行是公权力对私权利的限制，其正当性不仅建立在优先维护公共卫生安全、公众生命健康的价值选择上，还建立在公权力须克制至合比例性程度的基础上[6]。目前研究多集中于公共卫生事件中个人信息保护的法律规则和法律制度研究，虽有涉及健康码等技术工具应用的研究，但研究多侧重于法律规制层面，对不同国家数字技术支撑抗疫的对比研究较少，对健康码相关的技术规则研究也有所欠缺。

因此，本文首先探讨重大公共卫生事件中个人信息保护与利用存在的现实问题及原因，从技术路径和法律规则双重视角来分析公共卫生事件中域外主要国家进行个人信息治理的做法，将其与我国实践对比并提出改进建议。

二、重大公共卫生事件中个人信息保护与利用存在的问题及原因

（一）公共卫生事件中个人信息保护不充分与利用不足

从个人信息流动全生命周期不同环节来看，包括以下几个方面。

1.在信息收集存储阶段

一是存在信息收集主体混乱和授权问题。参与收集个人信息的主体杂乱繁多，大量企业、物业、超市、商店等不具有合法授权的组织机构也收集个人信息，且没有明确规范的保护措施。二是存在信息收集对象的扩张和所收集信息范围的扩张问题。大量普通个体的信息在各种场景下被强制收集，收集的信息种类超过法律规定防疫所需的信息范围。三是未明确告知所收集信息的用途、去处和流转情况，收集过程不规范。一些“健康码”小程序、在线诊断平台等应用收集用户个人信息但是没有完善的隐私政策或没有征得用户同意。四是个人信息存储存在安全风险，有些政府机构或营业性场所将收集的个人信息未进行匿名化处理便在网上传播。

2.在信息利用披露阶段

一是同时存在信息披露不充分不及时和信息过度披露的问题。二是存在个人信息处理技术和标准不统一等问题。不同省市、地区开发了不同的“健康码”小程序，收集处理个人信息的技术标准不统一，不利于信息的互联互通和个人信息的保护。三是存在数据质量和数据壁垒的问题，且信息处理规则不透明。

3.在信息销毁阶段

对疫情结束后个人信息该如何处理没有给予交待，缺少有效的退出机制，没有建立统一的个人信息销毁程序，容易造成“次生灾害”。

基于以上分析，在大数据支持疫情联防联控的过程中，主要存在个人信息保护不充分与个人信息利用不足的现实问题，如何协调平衡个人信息保护与利用之间的关系，构建疫情防控常态化背景下的个人信息治理路径，成为迫切需求。

（二）造成公共卫生事件中个人信息保护不充分与利用不足的原因

1.个人信息治理的复杂性

由于公共卫生事件的突发性、紧迫性和广泛性，其有效应对是与病毒的传播抢时间，需要在短时间内利用大数据分析病毒的传播路径并加以阻断，这意味着用于公共卫生事件中的个人信息治理更加多元复杂。

（1）公共卫生事件中所涉信息类型的复杂性。一是收集使用的个人信息种类繁杂、涉及的信息面广且信息量大。收集的个人信息包括但不局限于个人基本信息、通信信息、位置信息、医疗健康信息、交易信息等几大类。二是收集使用的个人信息敏感程度更高。大量涉及个人行踪轨迹、健康生理信息等敏感信息直接指向特定个体，呈现出极强的主体特征。三是个人信息的应用场景丰富。出行、购物、返工等日常生活场景几乎都需要扫码。在线问诊、医疗便民服务等智慧医疗应用场景增加了个人信息的管理难度。四是收集使用的个人信息关联性强，处理后的信息蕴含巨大的、多元的价值。单个信息所能发挥的价值有限，但将某一地区、某一群体的大量信息整合起来，将会产生巨大的医学价值、商业价值和社会价值。

（2）公共卫生事件中个人信息治理的复杂性。一是个人信息利用呈现出数据密集型实践[7]，强调时效性和紧迫性。公共卫生事件中单个个体的信息或少部分人的个人信息的作用和影响是比较有限的，只有信息的数量规模达到一定程度才能体现出实际应用价值。二是个人信息分层分类及差异化治理需求显著。不同领域的个人信息需要分类管理，不同层级的责任主体也应根据不同工作需求来限定其个人信息收集使用的范围和程度。三是个人信息治理凸显隐私设计和技术安全的重要性。可以预见政府部门的流调工作需要存储、调取、授权大规模的公民个人信息，健康码等工具在系统开发设计之初就应将隐私保护考虑其中，保证数据流动、数据传输和内部管理等各个环节都安全可靠和可信赖。四是个人信息流通环节有待进一步疏通。此次疫情防控初期数据分散割据、数据利用跨越行政层级、数据流通环节不畅等问题大大降低了数据利用的效率，增加了数据流转的难度。

2.数字技术应用的不确定性

进行大规模的核酸检测和接触者追踪成为被世界各国认可的应对新冠大流行并保持经济开放的有效方法。但接触追踪工具的广泛应用一方面存在短期隐私入侵的风险，另一方面存在长期更改社会监视规则的可能性。开发出一款可用有效的应用而不让它成为监视工具，是一个选择，更是一个挑战。这种选择和挑战暴露出公共卫生事件中数字技术应用的不确定性。

（1）信息收集技术的不确定性。精确判断用户之间的接触情况是接触追踪程序要解决的首要问题。获取不同用户之间的位置关系有两种技术实现方式，一是通过GPS、基站数据和WI-FI 等底层技术直接获取用户精准的位置信息，二是通过使用蓝牙信标技术测算比对用户之间的相对距离来判断接触情况。位置数据可以对用户进行高效精准定位，但存在较大的隐私风险和数据安全风险。蓝牙信标技术根据蓝牙信号强度的识别来判断人与人之间的物理距离，被公认最有利于个人信息保护和隐私安全的技术。但是蓝牙信号存在可以穿越物理障碍的“天然缺陷”，可能导致身处两个房间、隔着一道墙的用户，由于其中一个房间内有确诊者，另一个房间的用户收到提醒的“假阳”情况。如果这种情况出现的概率过高的话，追踪就变得没有意义。

（2）信息处理技术的不确定性。影响隐私和安全的另一个关键问题是，数字接触追踪工具选择采用集中还是分散的技术路径。一是数据处理方式的选择，即进行追踪所采集的个人信息是存储在由政府职能部门或公共卫生机构集中部署管理的数据库中统一进行分析处理，还是分布在作为网络节点的用户自身的手机终端设备上进行分散化处理。中央的数据库存储不仅存在政府监控的隐私风险，而且更容易遭受猛烈的网络攻击，分布式的数据处理方式则更利于个人信息和隐私的保护。二是用户参与方式的选择，即是否赋予用户自主决定如何处理感染情况的权利，通常更加分散的技术方案对应着用户对参与接触追踪的方式享有更加广泛的选择空间。

（3）接触追踪技术效果的不确定性。针对采用蓝牙信标和分布式的存储技术实施的接触追踪，有学者研究提出，只有接触追踪工具使用的覆盖率达到该地区人口数量的60%以上，才能发挥其作用。而即便是采用精确的位置信息来进行接触追踪也并不意味着更高的准确性，这还取决于使用智能手机的人口比例，个人上报信息的准确率，以及对比数据库的准确率等各种影响因素。

3.法律规则的不完善

法律规则制度的缺失和不完善也是造成公共卫生事件中个人信息保护不充分的重要原因。

（1）涉及疫情防控等公共利益情形的个人信息保护法律缺乏整体性和系统性。法律规范体系应该是一个相互关联、相互衔接、相互协调的整体，具有系统性、整体性的功能。由于我国个人信息保护法律发展的相对滞后性，个人信息保护的法律法规呈现碎片化状态，缺少整体性的布局规划，法律规范之间衔接不足，难以自洽。

（2）存在法律和规范相冲突的情形。例如，针对个人信息收集的情景，《网络安全法》第22条规定，“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”依据此规定，获取个人信息的基本前提是“告知”+“同意”。《个人信息安全规范》第5.4条，规定了征得授权同意的例外，即与公共安全、公共卫生、重大公共利益直接相关的情形，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意。但是该规范没有规定“告知”的情形，即仅豁免了信息主体的“同意”，而没有豁免信息控制者的“告知”。

（3）有关个人信息保护的法律边界还需进一步厘清。我国现行法律还未统一个人信息概念的界定，也未明确个人信息的内涵和外延。可识别的个人信息与不可识别的个人信息之间正在变得模糊，而且加密技术也不是完全可靠的。政府部门为了实现更快更精准的防控，与电信、互联网等企业合作，采取地毯式、网格化的方式，广泛收集处理公民的包括位置轨迹、家庭关系、交通出行、健康等个人信息甚至是个人敏感信息，收集信息的主体也扩展到居委会、街道办、物业、商场、消费场所等许多法律未明确授权的主体。即使在以公共利益为重的紧急情况下，个人权益也不能无限压缩，如何调整个人信息收集使用的法律边界还有待考量。

三、重大公共卫生事件中个人信息保护与利用的域外实践

基于以上对问题原因的分析，下面主要从技术路径和法律规则双重视角分析欧美主要国家地区在公共卫生事件应对中进行个人信息保护与利用的具体做法，以与中国实践形成对比。

（一）欧美主要接触追踪工具的技术路径

1.苹果&谷歌公司联合开发的API 端口

苹果和谷歌公司联合发出声明，在遵守现有法律框架的前提下，选择更加有利于保护公民个人隐私的技术方法，来开发一款用于进行新冠肺炎接触者追踪排查的API 接口。

（1）该接触追踪工具采用蓝牙信标技术和分布式的数据处理方式。苹果和谷歌公司推出的接触追踪工具，在设计之始即践行“隐私设计”的理念，选择使用蓝牙信标检测用户之间的距离来判断接触情况。其采用滚动接近标识符和临时暴露密钥，并定时更新。该方案不存储任何个人信息，带有接触用户隐私信息的临近标识符仅在用户设备上进行处理，不会上传或存储到中心化的数据库。此外，该方案还赋予用户对是否加入暴露通知以及对其采取何种态度以极大的自主选择权。

（2）API 端口的使用限定在公共卫生部门。苹果和谷歌公司的协议是一种混合的方法，只有公共卫生机构才能利用该API 端口来构建接触追踪应用程序。基于隐私保护的考量，其技术规范禁止政府访问已确认感染的联系人的完整列表。苹果公司的iOS 系统和谷歌公司的Android 系统在美国手机市场中拥有占绝对优势的占有率，其合作开发的API 端口可以通过实现互操作性构建到手机操作系统中。由于公共卫生事件的特殊性，接触者追踪通常是基于政府部门主导或以政企结合的方式展开。互联网企业作为接触追踪工具的实现者和执行者，在减少用户顾虑的同时，也需要应对来自政府机构和智能部门的行政压力。苹果公司和谷歌公司在可能面临政府要求利用接触追踪APP 进行社会监控或开展政治活动的情况下，采用隐私设计和分布式的技术手段来事先规避风险，是更好的选择。

2.欧盟的“接触追踪APP 共同工具箱”

欧盟于2020年4月发布了抗击Covid-19 接触追踪移动应用程序的共同工具箱。该共同工具箱旨在在欧盟内部，寻求一种受到各个国家认可和互认的技术标准，既有助于保护公民的隐私和数据安全，又有助于打破欧盟各个国家之间因疫情而互相封闭的状况，实现欧盟境内各个国家之间的流通与开放。

该工具箱同样采用蓝牙信标和分布式的数据存储技术，来完成对移动设备的近距离测量，执行数据保护、匿名化、GDPR 合规和安全性等技术标准，实现基础架构的可扩展，并不断根据技术和研发进展情况更新迭代。基于共同工具箱开发的应用程序由公民自愿选择是否安装并保证一旦不再需要，即立即删除。欧洲公民对此类工具并不信任，在很多国家，追踪接触应用APP的安装率都十分低，以至于可能还达不到有效追踪的程度。

质言之，基于欧美国家长期的尊重人权和保护个人隐私的传统，强制要求公众安装数字接触追踪程序并同意将个人信息提交给职能机构分析使用以遏制新冠大流行是不切实际的。在自愿安装追踪程序的前提下，如果一个程序过度使用个人信息或泄露过多个人信息，都将导致用户选择拒绝安装应用。而数字接触追踪技术的有效性是建立在大规模范围的人口安装使用应用程序的基础之上的。因此，许多欧美国家试图在现有法律框架下，通过寻求技术解决方案的最优解，来开发旨在分散处理、存储和系统控制的隐私协议，并尽可能地减少用户对应用程序及其背后机构（实体）进行投资所需的信任度。

（二）欧美主要国家公共卫生事件中个人信息处理的法律规则

1.公共卫生事件中个人信息处理活动仍需遵守现行的数据保护框架

在世界各国发布的有关疫情期间处理个人数据的声明和指南中，都明确表明疫情防控措施与目前的数据保护法并不冲突。欧盟数据保护委员会主席安德里亚·耶利内克（Andrea Jelinek）表示：“数据保护规则并不妨碍为对抗冠状病毒大流行而采取的措施。”[8]GDPR 是一项广泛的立法，其规定了适用于在与Covid-19 相关的情况下处理个人数据的规则。意大利数据保护局则指出，“即使在疫情期间，个人数据处理活动也必须完全符合GDPR和意大利本国境内相关的法律要求。”西班牙数据保护局在其发布的公告中声明，“当前的数据保护法规适用于目前的情况，对公共利益与个人权利进行了调和权衡。”[9]爱尔兰数据保护专员同样说明，“数据保护法并不妨碍疫情期间提供医疗保健和公共卫生问题的管理。”[10]因此，即使在公共卫生紧急事件的情况下，仍需要考虑数据保护法律规范的适用性，保障公民的个人权利。

2.在一些具体的场景下，个人信息处理活动获得豁免，个人权利遭遇一定程度的克减

欧美等国家的数据保护框架将公共卫生安全列入个人数据保护规则的例外情况，未经同意的个人数据处理可以获得豁免。其中，GDPR 第6条对“未经同意的处理”进行规定，保护数据主体或其他自然人的重大利益，执行公共利益任务的情况下，未经同意的处理个人数据是合法的。美国卫生与公共服务部在其发布的与Covid-19和HIPPA 相关的公告中明确表示，在全国性的公共紧急事件中，民权办公室将在执法过程中行使自由裁量权，对HIPPA 隐私规则中的某些规定给予有限豁免[11]。声明指出，针对在疫情期间提供远程医疗服务但不完全符合HIPAA 规则的医疗服务提供者以及其商业伙伴给予豁免，免除其违反HIPAA 隐私规则的处罚。英国数据保护保护局同样在《冠状病毒与个人数据保护指南》中说明，在疫情期间疫情期间，对个人的知情权要求的响应会延误或变慢，对一些数据保护措施达不到通常标准的情况会给予豁免。

3.将个人信息处理的主体主要限定在公共卫生部门，并遵循最小化和必要性的基本原则

根据GDPR的规定和欧盟数据保护委员会的声明，雇主和公共卫生主管部门可以在流行病情况下处理个人数据，而无需征得数据主体的同意。西班牙数据保护局在指南中说明，公共卫生部门在紧急情况下有权采取必要的措施来维护公共利益。并且在紧急状况下个人数据的处理仍然要依法进行，要遵循个人数据处理的基本原则。给予豁免是出于公共事件的紧迫性、迫切性和便利性，但是不能与必要性混为一谈。个人数据的处理仍然要限定在最小化、必要性和相称性的范围。所处理的数据必须限于预期的目的，而不能扩大范围。爱尔兰数据保护专员同样指出，针对冠状病毒采取的包括使用个人数据（包括健康数据）在内的应对措施应该是必要且适当的。

四、重大公共卫生事件中个人信息保护与利用的中国路径

（一）中国版健康码的技术路径

1.健康码采取主动填报与大数据相结合的数据收集方式实现用户定位

健康码是中国在抗疫过程中推出的方便民众出行的电子凭证。健康码的运行主要利用包括个人基本信息、个人健康信息、个人传染疾病信息和个人位置信息在内的四类个人信息。健康码获取个人信息的途径主要源于三方面：个人自主填报的信息、相关公共部门和防疫部门提供的信息、以及电信运营商和网络平台服务提供商监测的信息。在健康码生成阶段，通过用户主动填报信息并与国家政务平台、居民身份网络可信凭证平台和出入境身份认证平台相比对，进行身份验证后制成健康码。在行程追踪阶段，则采取对用户自主上报的信息，交通客运、出入境、社区等公共场所监测信息，以及GPS、基站数据、WI-FI 等定位信息形成的用户轨迹进行综合比对的方式。在信息收集方面，健康码采用自主填报、线下采集、线上监测和数据库比对相结合的综合方式，实现对防疫信息的实时、动态化分析。

2.健康码运行的前提是利用生物特征信息对用户进行可信身份认证

健康码在制码之前收集用户的姓名、手机号、身份证号和人脸信息，并将这些信息与由出入境身份认证平台和居民身份网络可信凭证平台组成的一体化平台进行统一身份认证。2020年4月29 日，由市场监督总局发布的《个人健康信息码》系列国家标准之一——《个人健康信息码参考模型》（GB/T 38961-2020）第6.2条规定，“健康码的出示应以用户实人认证为前提，健康码服务对接的个人健康信息服务及其对用的应用程序应先设法取得认证后的凭证数据，再以其为主要参数向健康码服务申请制码。”并在第8条“健康码应用要求”中规定“健康码在出示前应先进行用户实名实人认证，相关认证宜通过至少一种用户生物识别特征识别。”不管是基于国家统一平台还是分散建设的健康码应用系统都应实现实人认证并进行系统对接，采取统一的规范化管理。

3.健康码运行背后采取中心化+分级管理相结合的信息处理模式

基本上每个城市都建立了自己属地的健康码系统和信息平台。由于不同地方的标准规范存在差异，导致不同城市之间的健康码互不相认，进而影响了人口流动和复产复工。国家相关政府部门联合电信运营商，腾讯、阿里巴巴等企业推出了全国一体化的健康码信息平台，并制定统一的数据格式标准、技术要求和内容要求，各地方平台向全国一体化平台汇聚本地区防疫健康信息目录，实现全国绝大多数健康码互认互通。基于此，健康码形成了一个中心化的分层信息系统，所有地区或区域性的健康码应用系统都要与全国一体化平台实现互信互认，并向统一平台汇集健康信息目录；由国务院办公厅依托一体化平台数据共享系统汇聚各地的防疫健康信息，由国务院相关部门提供防疫相关信息服务和接口进行数据比对分析；各个地区负责本地区健康码的业务管理和风险管理。中国版健康码的推行不仅统一了信息收集渠道和收集标准，而且简化了过关检测手续，提高了公众的出行效率。但其通过人脸识别进行身份认证，政企合作开发运行健康码系统，综合利用防疫数据、电信运营数据、居民身份证数据、互联网平台数据进行分析比对的基本事实引发了公众对隐私的极大担忧。

（二）我国公共卫生事件中个人信息处理的法律规则

在我国，个人信息保护和数据安全还是比较新的领域，暂时还未形成系统完善的个人信息保护和隐私保护法律体系框架，《个人信息保护法》虽已经提请审议，但仍尚未出台。从现行的立法来看，能够对公共卫生事件中个人信息保护与利用的各方利益关系进行具体调整的法律法规主要有《网络安全法》《传染病防治法》《突发公共卫生事件应急条例》《民法总则》《刑法》等。

1.我国相关法律法规规定了公共卫生事件中个人信息处理的一般性条款

其中，《民法总则》第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”《网络安全法》第42条规定：“网络运营者不得泄露、篡改、损毁其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。”此外，《刑法》第253条之一设置了侵犯公民个人信息罪，对向他人出售或提供公民个人信息的情节进行了规定。

2.我国现行法律对公共卫生事件中个人信息处理的主体进行了规定，并做了一定的延伸

其中，《传染病防治法》第12条规定：“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。”《突发公共卫生事件应急条例》第36条规定：“国务院卫生行政主管部门或者其他有关部门指定的专业技术机构，有权进入突发事件现场进行调查、采样、技术分析和检验，对地方突发事件的应急处理工作进行技术指导，有关单位和个人应当予以配合；任何单位和个人不得以任何理由予以拒绝。”信息收集处理的主体除了以上规定的卫生行政主管部门、疾病预防控制机构、医疗机构和相关专业机构之外，还将主体范围扩展到了居委会，赋予基层组织收集信息的权利[12]。《突发公共卫生事件应急条例》第40条规定：“传染病暴发、流行时，街道、乡镇以及居委会、村民委员会应当组织力量、团结协作、群防群治，协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作，向居民、村民宣传传染病防治的相关知识。”

3.规范疫情期间的个人信息处理活动，以应对现有法律制度的不足

为了应对疫情期间暴露出的有关个人信息收集处理的问题，中央网络安全和信息化委员会发布了《关于做好个人信息保护利用大数据支持联防联控工作的通知》，对个人信息收集的主体、范围、原则、安全措施等进行了规定。《通知》对疫情期间收集个人信息的主体进行了进一步的限定，除了国务院卫生健康部门授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息，且个人信息的收集要坚持最小范围原则、用途限定原则和安全原则。

五、对比分析与对策建议

（一）公共卫生事件中个人信息治理实践的对比分析

1.个人信息治理所采取的数字技术尝试和法律规则调整是为了应对公共卫生事件暴露出来的社会矛盾和社会冲突

公共卫生事件中暴露出大数据应用和个人信息保护的问题，反映三个层面的冲突：一是官方与民间的冲突。前期官方信息披露不充分、不及时与公众希望了解疫情信息的迫切心理和应对疫情的恐慌心理形成了强烈对比和鲜明的冲突，导致大量信息泄露、传播，造成一系列极端行为，严重侵犯了个人隐私和人身自由等基本人权。二是需求与供给的冲突。公共卫生事件应对迫切需要以大量个人信息为底层基础数据的大型数据库给予支撑，但现有数据利用不充分、利用效率低，数据价值和潜能还有待充分释放。三是技术与规则的冲突。数字信息技术支撑疫情防控，但与之相适应的规则体系却存在缺位。在公共利益暂时高于其他个人利益的情况下，个人权利遭遇压缩，个人信息权益和隐私权遭到挤压。

2.不同国家所采取的具体技术方式和法律规则主要与国家经济社会发展水平、互联网发展水平以及个人信息保护法律制度的发展水平相关

从技术路径的角度，不同国家对接触追踪技术的使用会综合不同利益集团的角力、技术实现的可能性、投入回报比等因素来选择综合性的解决方案。作为拥有大量个人信息和实施接触追踪技术的互联网企业，一方面要获取公众的信任，另一方面要承受政府以公共利益之名过度调取数据的压力；作为政府要将公共利益和公共安全作为优先目标，在疫情防控中有所作为，又存在以防疫为名实施更深刻社会控制和政治操纵的可能性；作为个体的公众，既希望公共部门采取有效措施遏制疫情传播保障自身生命安全，又不希望相关措施对个人的自由和私生活产生不良影响。此外，作为企业和政府，要同时考虑投入和效率的问题，企业会对技术投入的成本、获得的收益与其所承担的社会责任进行测算，政府同样要考虑应对公共卫生事件的财政投入效率问题。

从法律规则的角度，许多司法管辖区部署了相对成熟完善的法律框架来规范个人信息处理的基本规则，例如欧盟的GDPR、美国的HIPAA、加拿大的PIPEDA 等。在制度设计中，许多法律将公共卫生紧急事件作为未经授权访问的例外，但适当安全的目标是始终如一的[13]。不同地区对例外和安全的平衡体现出不同制度体系所具备的弹性空间，并且与该国的经济发展水平、互联网等信息技术和数字技术的发展水平以及个人信息保护法律制度的发展程度和完备程度有关。

3.各个国家在公共卫生事件应对中所采取的技术路径和法律规则归根结底是反映了不同国家对不同价值的衡量和取舍

一是个人权利与公共利益的取舍。欧美国家将人的尊严和自由视为神圣不可侵犯的权利，即使是面对生存威胁，也应尽可能少地干涉基本权利。有西方学者认为，不需要利用中央数据库收集存储大量数据，也可以快速有效地进行接触追踪[14]。基于许多紧急措施具有持久保持下去的惯性，西方社会始终对新技术的应用保持警惕。对比中国、韩国、新加坡等东亚国家与欧美国家之间的抗疫实践，基于数字信息技术的接触追踪和新技术新应用在东亚国家的疫情防控中发挥了重大作用。Solove 教授指出，在特定情景中，隐私的价值取决于其所属实践的社会重要性。面对公共卫生事件，更应重新审视个人隐私与公共安全之间的权衡取舍，构建以寻求社会公共福祉为归依的隐私理论，或者加速开展可以保护两者的技术创新和政策制定。

二是社会监控与精细化治理的衡量。数字接触追踪技术的应用引发了人们对政府可能实施过度监控，甚至是政企合谋实施控制的担忧。个人权利的界限、企业责任的边界和政府权利的边界如何划分，精准治理还是更深层次的社会控制取决于不同的价值选择。有学者对新加坡的接触追踪提出批评，认为其允许政府重建社会内部联系的“社会图谱”，因为该协议要求所有用户向中央服务器注册，并且在用户的设备上存储附近设备的数据[15]。数字技术和接触者追踪对监视和镇压边缘群体开辟了一个危险的新领域，并可能发展成为政治斗争或打压异己的新工具，如何实现社会的精细化治理而不至于沦为社会监控的工具将成为其获得合法性的基础。

（二）对策建议

综上所述，对于如何在公共卫生事件应对中发挥大数据技术优势的同时实现个人信息保护，提出以下建议。

1.加强数字技术支撑疫情防控的确定性

一是制定规范统一的个人信息处理技术规范，制定完备的技术规则，规范个人信息的处理活动。对个人信息收集处理的格式和标准等内容进行细化统一，提高信息的准确性和可用性。对个人信息的处理范围、技术要求等内容进行明确，统一个人信息的处理标准。对个人信息进行分级分层管理，规范匿名化、假名化等信息去标识化、脱敏技术。

二是着力保障技术安全和系统安全。对个人信息收集主体的资质标准和要求进行规定和认证。在系统设计之初便将隐私和安全考虑其中，实现隐私设计功能。统一信息系统安全等级标准，保障数据安全和信息安全。利用区块链等技术建立个人信息泄露溯源机制，对数据的存储设置时效限制。

2.完善公共卫生事件中个人信息保护的法律制度

一是完善个人信息保护的具体原则。修订《突发公共卫生事件应急条例》《传染病防治法》等法律，将公共卫生事件中个人信息收集处理的基本原则吸纳进去，对原有法律进行细化修正，对公共卫生紧急情况下的个人信息活动进行系统规范。明确限定公共卫生事件下个人信息收集处理的主体、所收集处理信息的范围和种类以及信息保护的限度，明确规范政府、公共卫生部门、居委会等不同主体的责任，并对不同主体的权利边界进行严格限定。

二是构建系统健全的个人信息保护法律体系。尽快出台《个人信息保护法》，采取公法与私法相结合的模式实现对个人信息的综合性保护。实现不同层级法律的衔接，保证法律适用的完整统一。发挥民法、刑法、行政法等不同法律在个人信息保护中的作用，对目前个人信息保护中重视行政、刑事手段的状态进行适当调整，完善民法支撑信息主体进行权利救济的途径，为信息主体提供更加充分全面的保护。