公共卫生事件防控中的大数据应用及其法律保护

文/彭德雷（华东理工大学 法学院/商学院，上海 200237）

一、问题的提出

互联网、物联网、云计算等快速发展不断拓展了大数据在实践中的应用。2017 年5 月，《经济学人》便刊文指出，“世界上最重要的资源不再是石油而是数据”。①The Economist，“The World’s Most Valuable Resource Is No Longer Oil，But Data，”May 6th 2017，https：//www.economist.com/leaders/2017/05/06/the-world's?-most-valuable-resource-is-no-longer-oil-but-data.当前，大数据不仅在经济、技术领域得到广泛应用，公共卫生领域的治理也越来越依赖于大数据。2020 年2 月14 日，习近平总书记在中央全面深化改革委员会第十二次会议中指出，“要鼓励运用大数据、人工智能、云计算等数字技术，在疫情监测分析、病毒溯源、防控救治、资源调配等方面更好发挥支撑作用”。事实上，此次新型冠状病毒肺炎疫情的有效防控，很大程度上得益于大数据的应用。

一方面，在我国推进国家治理体系和治理能力现代化的背景下，需要不断提高公共卫生事件处置和应急管理能力，其中大数据的辅助功能不容忽视；另一方面，在数字经济蓬勃发展的今天，如何合法地利用和保护个人数据信息，权衡公共利益与个人权利，划定个人信息保护与利用边界等，是当前经济社会发展关注的一个重要命题。在公共卫生事件中，如何防止个人数据信息不被泄露，防止在公共卫生事件之后引发网络安全事件，更是需要密切关注的问题。为此，联合国专门发布了一份《COVID-19 应对中的数据保护与隐私的联合声明》，特别指出：“此类用于数字接触追踪和一般健康监测的数据收集和处理，可能涉及收集大量个人和非个人的敏感数据。如果采取此类措施的目的与应对COVID-19 没有直接或具体的关系，就可能导致对基本权利和自由的侵犯。”①UN：“Joint Statement on Data Protection and Privacy in the COVID-19 Response，”18 November 2020，https：//www.un.org/en/node/112200.

二、公共卫生事件防控中的大数据应用与风险

（一）公共卫生事件防控中大数据应用及特征

《国际卫生条例（2005）》从全球范围内对公共卫生事件进行了界定。根据其规定，“国际关注的突发公共卫生事件”是指按该条例规定所确定的不同寻常的事件，包括：（1）通过疾病的国际传播构成对其他国家的突发公共卫生危害；以及（2）可能需要采取协调一致的国际应对措施。②世界卫生组织：《国际卫生条例（2005）》，2005 年。例如，2009 年H1N1 流感大流行、2014 年西非埃博拉疫情、2020 年新冠肺炎疫情等都属于国际范围内有一定影响力的公共卫生事件。我国在2003 年颁布的《突发公共卫生事件应急条例》（中华人民共和国国务院令第376 号）对突发公共卫生事件也进行了规定，它是指突然发生，造成或者可能造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒以及其他严重影响公众健康的事件。③《突发公共卫生事件应急条例》（中华人民共和国国务院令第376 号），第二条。

当前，公共卫生事件的预测和防控正越来越依靠大数据的应用。这包括：（1）公共卫生事件防控中的大数据监控与干预；（2）公共卫生事件防控中大数据的舆情分析；（3）公共信息安全（传统与非传统安全）的监测；（4）公共卫生事件防控中后期的信息归集与管理等。④此外，大数据在公共事件中的应用还包括物资供应，流言、谣言的应对与管控，公共管理中的纠错机制等。周中华：《大数据在重大公共事件中的应用》，人民数据研究院，http：//www.peopledata.com.cn/html/NEWS/Dynamics/187.html，访问日期2021 年6 月30 日。例如，国内搜索引擎公司提供春运客流分析，美国谷歌公司开发流感、登革热等流行病预测等。①王融：《大数据时代数据保护与流动规则》，人民邮电出版社，2017 年，第2-3 页。以此次新冠肺炎疫情为例，大数据在公共医疗卫生领域内得到广泛应用。借助大数据分析，有关方面可以追踪、绘制病患的行动轨迹，并推断出病患密切接触者。“互联网+”医疗平台推出在线问诊服务有效缓解疫情期间医疗资源紧缺，避免了人员聚集和交叉感染。大数据服务为疫苗接种提供高效保障工作等。与此同时，大数据应用（如电子商务、在线教育、互联网审判等），为居民日常生活保障、企业复工复产、公共教育、政务服务等提供了整体解决方案，保障了疫情期间的正常社会秩序。

基于疫情期间对大数据应用的观察，我们发现存在以下特征。第一，数据信息来源面广、收集主体多样化。以此次新冠肺炎疫情为例，大数据的应用涉及领域十分广泛，涵盖医疗、交通、教育、企业复工复产等。收集主体呈现多样化特征，例如公路、铁路、航空等交通部门对旅客实名信息的收集，基层组织对本地人员的信息登记等。第二，数据应用范围广、频率高。在疫情期间，“健康码”被广泛使用，应用范围覆盖全国主要城市和主要人群。例如，我国高校作为人员集中的场所，云计算和大数据应用在本次高校疫情防控中发挥了重要作用。②胡宝国：《构建校园安全共同体：从疫情防控的角度思考高校校园安全机制的健全和完善》，《华东理工大学学报》（社会科学版）2020 年第3 期。第三，数据信息流动性强、泄露风险高。公共卫生事件对数据共享性和流动性都有一定要求，但是如果保护措施不当，数据也极易被泄露。由于疫情防控的需要，目前各机构的出入都需要信息登记或人脸识别，但是这些机构对于数据保护的能力存在差异，存在个人信息被泄露的风险。第四，数据信息覆盖周期长、影响群体广。由于大量数据涉及个人的敏感信息，具有很强的个人属性，例如姓名、家庭住址、身份证号、手机号等均属于个人长期有效的信息，影响的周期长。从数据涉及的主体来看，公共卫生事件与每个人相关，为做好公共卫生事件防控，各地开展有关人员的信息申报登记工作，涵盖庞大的学生群体、企业劳动者、消费者、患者等。总之，利用大数据应对公共卫生事件，我们需要充分评估可能存在的各种数据泄露、侵犯隐私的风险，确保大数据在公共卫生事件中得到负责任的利用，不断提高数字社会的治理水平。

（二）公共卫生事件防控中的大数据风险

1986 年，德国学者贝克系统地提出了“风险社会”的理论。“风险社会”也成为描述当代社会最常用的概念。③[德]乌尔里希·贝克：《风险社会：新的现代性之路》，张文杰、何博闻译，译林出版社，2018 年。大数据风险治理是当前全球治理关注的一个重要领域。近年来，大数据泄露的事件屡见不鲜。例如，2018 年3 月，Facebook 超过5000 万用户信息的数据被“剑桥分析”公司泄露，为此扎克伯格赴国会参议院接受质询；2020 年3 月，新浪微博App 数据泄露而被工信部约谈。此次新冠肺炎疫情期间，也发生个人信息泄露的案例，不法分子利用疫情实施各类诈骗。④郝成：《海量涉疫情个人信息泄露 两地公安做出行政拘留处罚》，新浪网，http：//news.sina.com.cn/o/2020-02-05/dociimxyqvz0398976.shtml，访问日期2021 年6 月30 日。世界经济论坛发布的《2020 年全球风险报告》统计，数据欺诈或窃取、网络攻击分别排在全球十大风险的第六位和第七位，网络安全形势极为严峻。①World Economic Forum，The Global Risks Report 2020，p.12.公共卫生事件期间，需要特别防范各种数据泄露和侵犯个人隐私事件的发生。

1. 就外部而言，网络诈骗与网络黑客等引发大数据风险

在发生公共卫生事件期间，一些不法分子利用其掌握的信息，实施各类诈骗。例如，他们利用民众对疫情防护用品的迫切需求，通过冒充防疫工作人员、发布虚假防控信息等方式套取个人信息。此次新冠肺炎疫情发生以来，一些不法分子以使馆发放“健康包”的名义，要求当事人提供信用卡号码、支付邮寄费用，实施诈骗。有不法分子通过虚构包机回家、团购防疫物资等实施诈骗。还有不法分子冒充卫生防控部门或者医学研究机构推广特效药骗取钱款，甚至冒充慈善机构进行钱款诈骗。

在发生公共卫生事件期间，一些网络黑客利用与公共卫生相关的题材实施网络攻击。根据有关研究机构报告，在此次疫情期间，监控到国内外诸多网络犯罪团伙通过疫情热点信息，传播病毒木马恶意程序，并冠以“新型肺炎”“口罩厂家名单”等涉及疫情的关键词；有黑客团伙借机向一些政府部门、医疗机构的网站发起攻击，受到类似黑客攻击的国家还包括美国、日本等。②⑤中国信息通信研究院安全研究、中国卫生信息与健康医疗大数据学会卫生信息安全与新技术应用专业委员会、数据保护官（DPO）社群：《2020 数字医疗：疫情防控期间网络安全风险研究报告》，http：//www.100ec.cn/detail--6549056.html，访问日期2021 年6 月30 日。我国在医疗信息化的推进过程中，医疗机构、电子病历、智能终端等数据健康数据采集已初步成型，医疗数据量日趋庞大。③马化腾：《数字经济：中国创新增长新动能》，中信出版社，2017 年，第153 页。国家卫生健康委员会官方网站统计数据显示，截至2019 年11 月，全国医疗卫生机构数达101.4 万个，其中公立医院有11 891 个、民营医院有22 081 个，这些医疗机构日常工作中涉及大量的个人信息。④国家卫生健康委员会：《2019 年11 月底全国医疗卫生机构数》，http：//www.nhc.gov.cn/mohwsbwstjxxzx/s7967/202001/d73a47fbda0e4ea4bbb8d 20387992871.shtml，访问日期2021 年6 月30 日。相比而言，民营医院在安全漏洞修复、防范黑客攻击等方面，措施有待完善，相应的安全隐患和风险也更多。同时，对于很多企业来说，远程办公意味着部分内部业务系统需要开放互联网访问权限，这给黑客攻击提供了机会。

2. 就内部而言，数据保护措施和数据主体安全意识欠缺引发大数据风险

在发生公共卫生事件期间，如果数据使用方式不当，容易引发个人数据信息泄露。一些数据控制主体擅自将个人数据信息上传至互联网或二次转发至微信群等公共区域，导致数据泄露。有些平台网站数据安全保护措施不足，容易导致数据安全风险。当前，一些App 软件存在漏洞。国内有研究团队对健康医疗行业App 进行漏洞扫描，发现大量的漏洞记录，平均每款App 存在19 个漏洞。有些平台由于缺少或简化安全评估流程，致使数据安全保障能力缺失，为数据泄露埋下隐患。⑤

数据主体安全意识不足也容易引发风险。在发生公共安全事件期间，数据主体需要借助互联网来实现正常工作和学习，由于安全意识不足，甚至随意登录相关的网络平台，个人数据被不当收集和利用。如果安全防护手段不到位，缺乏可靠的安全接入平台，接入通道和传输通道都存在较高风险。以此次新冠肺炎疫情为例，人们的一些工作和学习都需要通过网络进行，这些都需要进行个人信息的登记和注册，如果通过一些不正规的网站进行，那么很可能导致个人数据信息的泄露。

三、公共卫生事件防控中的大数据信息法律保护

1.现有法律对公共卫生事件中的信息保护

数据是信息的具体表现形式，信息则往往依靠各类数据的整合、加工。2021 年8 月，我国颁布的《中华人民共和国个人信息保护法》，成为个人信息保护领域的“基本法”。关于公共卫生领域的个人信息保护，《中华人民共和国传染病防治法》第十二条规定，疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料；第六十九条规定，医疗机构故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的，将视情节追究不同的行政责任或刑事责任。①《中华人民共和国传染病防治法》，第十三条、第六十九条。不过该法仅是从医学角度，对疾病预防控制机构、医疗机构的主体责任做了规定，事实上，公共卫生事件涉及的数据控制主体远远超过上述范围。2021 年6 月通过的《中华人民共和国数据安全法》规定，应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。②《中华人民共和国数据安全法》，第二十九条。上述立法都为公共卫生事件中的信息保护提供有效保障，表1 是我国目前与个人数据信息紧密相关的法律。

表1 个人信息法律保护立法

除了通过已有法律加强信息保护外，由于公共卫生事件具有突发性特征，国家还需要在政策层面进一步加强个人信息保护。2020 年2 月，中央网络安全和信息化委员会办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，要求高度重视个人信息保护工作，除依据有关法律授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息；收集个人信息应参照国家标准《信息网络技术个人信息安全规范》（GB/T 35273-2020），坚持最小范围原则，相关个人信息不得用于其他用途，采取严格防护措施，防止被窃取、被泄露，针对违规违法收集、使用、公开个人信息的行为，将依法处理。③《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，http：//www.gov.cn/xinwen/2020-02/10/content_54767 11.htm，访问日期2021 年6 月30 日。此外，一些地方政府还专门出台了有关规定。甘肃省要求各教育行政部门、各学校要高度重视个人信息保护工作，除依法授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息。①甘肃省教育厅：《关于做好个人信息保护利用大数据做好疫情联防联控工作的通知》（甘教体函〔2020〕5 号）。

2.欧盟在公共卫生防控中对数据信息的法律保护

早在2013 年，欧盟便通过了《关于严重的跨境健康威胁的决定》（从下简称《决定》）。《决定》第16条（个人数据保护）规定，在适用本决定时，应按照95/46/EC①Decision No 1082/2013/EU of the European Parliament and of the Council of 22 October 2013 on Serious Crossborder Threats to Health and Repealing Decision No 2119/98/EC，https：//ec.europa.eu/health/sites/default/files/preparedness_ response/docs/decision_serious_crossborder_threats_22102013_en.pdf.指令以及45/2001/EC 法规②Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data，https：//eur-lex.europa.eu/legalcontent/EN/TXT/?uri=OJ：L：1995：281：TOC.处理个人数据。应采取适当的技术和措施保护此类个人数据免遭意外或非法破坏，以及意外丢失或未经授权的访问和任何形式的非法处理。③Regulation （EC）No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the Protection of Individuals with Regard to the Processing of Personal Data by the Community Institutions and Bodies and on the Free Movement of Such Data，https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ：L：2001：008：TOC.同时，欧盟在成员国层面建立了针对严重健康威胁的早期预警和响应系统（Early Warning and Response System，EWRS），为欧盟委员会和各成员国机构之间建立了信息互通共享渠道。④宁宣凤、吴涵、陈胜男、高锐：《政务数据资源共享与公开》，https：//www.chinalawinsight.com/2020/02/articles/compliance/24626，访问日期2021 年6 月30 日。《决定》第6 条第2 款、第16 条第5 款规定，早期预警和响应系统，针对暴露于健康威胁、存在感染危险或已经感染的人可以采取接触追踪措施。早期预警和响应系统应该包括选择性的消息传递功能，该功能仅允许将个人数据传递给参与接触者跟踪措施的国家主管部门。该选择性消息传递功能应确保安全合法地交换个人数据。《决定》同时规定，包含个人数据的信息，应该自信息发布之日起12 个月后自动从选择性消息功能中删除。⑤Decision No 1082/2013/EU of the European Parliament and of the Council of 22 October 2013 on Serious Crossborder Threats to Health and Repealing Decision No 2119/98/EC，https：//ec.europa.eu/health/sites/default/files/preparedness_ response/docs/decision_serious_crossborder_threats_22102013_en.pdf.这些规定有效地保证了数据传播的最小范围和限时利用。

2018 年欧盟通过的《通用数据保护条例》（以下简称《条例》），进一步加强了欧盟域内对数据信息的保护。《条例》以全球最严个人信息保护法著称，但也保留了一些例外，例如“为履行数据控制者承担法定义务所必须”“为保护数据主体重大利益或其他自然人重大利益所必须”“为执行公共利益之目的任务或数据控制者行使法定职能所必须”。序言第46 段明确传染病监测除构成公共利益之外，还构成“重大生命利益”，依据第6 条1（d）规定，当个人数据处理为“保护数据主体或其他自然人的重要利益所必要”时，可不征得数据主体的同意。序言第52 段明确传染病预防和控制构成第9条2（i）中所述的公共利益。序言第54 段还进一步指出，在公共卫生领域未征得数据主体同意而进行特殊类型数据处理可能是必要的，上述例外规定也充分体现了公共利益保护和个人数据保护的平衡。⑥Regulation（EU）2016/679 of the European Parliament and of the Council of 27 April 2016，on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data，and Repealing Directive 95/46/EC（General Data Protection Regulation）.

这些例外规定，为疾病防控机构、医疗机构等利用个人信息开展卫生防疫工作提供了合法性基础。当然，在此前提下，《条例》要求具体的数据处理要遵循以下基本原则：合法、公正、透明，目的限制，数据最小化，准确性，存储期限限制，完整性、保密性和问责制等。①General Data Protection Regulation，Article 5.对于变更初始目的的个人信息处理行为，《条例》第13 条第3 款规定，当数据控制者进行个人数据处理的目的与初始收集的目的不一致时，应对变更后的数据处理目的向数据主体进行告知。

3.公共卫生防控中数据信息的国际法保护

与公共卫生事件最相关的国际条约是《国际卫生条例（2005）》。《国际卫生条例》第四十五条（Treatment of Personal Data，个人数据的处理）规定：（1）按照国家法律，缔约方根据本条例从另一缔约方或从世界卫生组织收集或收到的、涉及身份明确或可查明身份的个人的健康信息，应保守秘密并匿名处理。（2）虽然有第1 款的规定，缔约方为了评估和管理突发公共卫生事件危害，可透露和处理个人数据，但是缔约方和世界卫生组织必须确保个人数据：1）得到公平、合法处理，并且不以与该目的不一致的方式予以进一步处理；2）与该目的相比充分、相关且不过量；3）准确且在必要时保持最新；必须采取一切合理措施确保删除或纠正不准确或不完整的数据；4）保留期限不超过必需的时间。②世界卫生组织：《国际卫生条例（2005）》，2005 年。此外，世界卫生组织应当在可行的情况下向个人提供相应的数据，无不当延误或收费，且在必要时允许予以纠正。

同时，针对本次疫情，联合国发布的《COVID-19 应对中的数据保护与隐私的联合声明》特别指出，在新冠肺炎疫情期间，联合国组织体系的任何数据收集、使用和处理，应当充分考虑适用的国际法律、数据保护和隐私原则，包括联合国个人数据保护和隐私原则。在数据收集的范围和时间上合法，有节制，有必要；确保对数据进行保密与保护，有时限地保留和适当销毁或删除数据；确保任何数据交换都符合适用的国际法、数据保护和隐私原则，并进行适当的尽职调查和风险评估；确保数据使用采取的措施符合上述原则和目的，并在不再需要此类措施时立即停止。③UN：“Joint Statement on Data Protection and Privacy in the COVID-19 Response”，18 November 2020，https：//www.un.org/en/node/112200..

四、公共卫生事件防控中大数据法律保护的政策建议

1.完善公共卫生事件中的个人信息保护

首先，推进公共卫生事件中个人信息保护立法。尽管我国诸多法律涉及个人信息的保护，但是仍在完善之中，且国家层面尚无针对公共数据管理的立法。《中华人民共和国个人信息保护法》第十三条规定“符合下列情形之一的，个人信息处理者方可处理个人信息：（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”①《中华人民共和国个人信息保护法》，第十三条。，这为今后公共卫生事件中的个人数据收集提供了法律依据。

国家互联网信息办公室于2019 年发布了《网络信息内容生态治理规定》《个人信息出境安全评估办法（征求意见稿）》，全国人民代表大会常务委员会第二十九次会议于2021 年通过了《中华人民共和国数据安全法》。国家互联网信息办公室于2019 年发布的《数据安全管理办法（征求意见稿）》规定，对于个人敏感信息，要求网络运营者以经营为目的收集重要数据或个人敏感信息的，应向当地网信部门备案。②国家互联网信息办公室：《数据安全管理办法（征求意见稿）》，第七条、第十五条，http：//www.gov.cn/xinwen/2019-05/28/content_5395524.htm，访问日期2021 年6 月30 日。上述立法的完善，将有助于数字时代的个人信息保护。

其次，加强公共卫生事件中个人数据信息的程序管理和执法监督。在实践中，有关部门需加强个人数据收集的程序管理，确保数据收集实践合法。在发生公共卫生事件期间，在保障公众知情权的同时，有关部门要做好个人信息保护工作。建立个人信息保护评估制度，制定完整的个人信息采集、上报、处理、保管方案，并组织专家对方案进行安全评估，确保疫情防控各环节个人信息的安全。明确具有收集使用相关个人信息权力的指挥机构、执行机构，建立统一集中管理机制，采用严密的访问控制、审计、加密等安全措施，防止数据泄露、丢失、未授权的使用。③中国信息通信研究院安全研究、中国卫生信息与健康医疗大数据学会卫生信息安全与新技术应用专业委员会、数据保护官（DPO）社群：《2020 数字医疗：疫情防控期间网络安全风险研究报告》，http：//www.100ec.cn/detail--6549056.html，访问日期2021 年6 月30 日。在实践中，需要强调基于公共卫生需要收集的个人信息，不得用于其他用途特别是商业用途。同时，加强数据信息安全保护执法，通过一些专项行动，对侵犯个人数据信息的犯罪行为加大刑事手段打击力度，确保公共卫生事件防控中的信息安全。目前，我国尚未建立起较为明确的、专门的个人数据机构，金融、电信和医疗等部门都只是在传统职责中延伸管理个人数据保护，而日本、韩国、新加坡等国家都设立了独立的信息监管机构。④京东法律研究院：《欧盟数据宪章——〈一般数据保护条例〉（GDPR）评述及实务指引》，法律出版社，2018 年，第158页。

2.加强行业数据合规制度建设与行业自律，有效保障公共卫生事件中的数据安全

首先，加强企业内部数据合规制度建设。加强应对数据风险的组织人员制度、数据保护制度、风险评估制度、合作监督制度以及意识教育制度等。⑤惠志斌：《数据经济时代企业跨境数据流动风险管理》，社会科学文献出版社，2018 年，第176-177 页。2015 年，国务院办公厅发布了《关于运用大数据加强对市场主体服务和监管的若干意见》（国办发〔2015〕51 号），但是还需要从制度层面不断完善。互联网公司等机构参与疫情防控的渠道与模式应通过制度建设加以规范，要设计相应的个人信息安全影响评估方案，对其商业行为获取的数据和参与疫情防控获取的数据实施双轨隔离管理制度，禁止将参与疫情防控获取的数据进行商业化利用，并将其设为红线。这既是对个人信息的保护，也是对互联网公司等商业机构的保护。①李亚娟：《数字化疫情防控如何保护个人信息》，《学习时报》，2020 年3 月6 日。行业主体在设计数据合规方案时，应充分听取专业人士建议，确保采集信息遵循合法、正当和必要的原则，充分认识涉及数据安全的相关民事责任、行政责任和刑事责任，重视数据合规。

其次，加强安全培训，增强安全意识。在公共卫生事件防控期间，特定领域的网络安全保护等级需要升级。个人数据信息的安全隐患，都直接或间接与人员网络安全意识不足有关。建立健全医疗机构内部网络安全管理规章制度，规范内部安全操作流程，切实增强相关人员的网络安全意识，落实网络安全责任，势在必行。②中国信息通信研究院安全研究、中国卫生信息与健康医疗大数据学会卫生信息安全与新技术应用专业委员会、数据保护官（DPO）社群：《2020 数字医疗：疫情防控期间网络安全风险研究报告》，http：//www.100ec.cn/detail--6549056.html，访问日期2021 年6 月30 日。尤其是健康医疗行业，应提升自身网络数据安全综合防护能力，加大在网络数据安全领域的投入，建立系统化安全保障体系。③中国信息通信研究院安全研究、中国卫生信息与健康医疗大数据学会卫生信息安全与新技术应用专业委员会、数据保护官（DPO）社群：《2020 数字医疗：疫情防控期间网络安全风险研究报告》，http：//www.100ec.cn/detail--6549056.html，访问日期2021 年6 月30 日。一些数字行业企业应有专门的数据合规部门或团队，构建全生命周期的数据保护合规方案。

最后，完善行业标准，加强行业自律。当前，我国尤其需要加强医疗、教育和金融等行业领域的数据保护，因为上述领域尤其是一些App 软件的使用，涉及个人敏感信息。2020 年年初，中国移动发布了《重大突发公共卫生事件网信安全法律风险合规指引》，针对运营商在重大突发公共卫生事件中如何合规发布公益信息、如何在利用数据支撑联防联控的同时保护个人隐私等重点问题，系统梳理了现有法律法规要求，并提出潜在法律风险和相应的可操作性合规建议，这对特殊时期的数据信息保护起到了示范作用。在行业标准方面，2019 年8 月30 日，国家市场监督管理总局、中国国家标准化管理委员会联合发布《信息技术数据交易服务平台通用功能要求》（GB/T 37728-2019）、《信息安全技术数据交易服务安全要求》（GB/T 37932-2019）两项国家标准，并于2020 年3 月1 日起正式实施。中国国家标准化管理委员会发布的《信息安全技术个人信息安全规范》（GB/T 35273-2020）于2020 年10月1 日起生效实施。这些国家标准的制定和完善，有助于个人数据信息的保护。

3.借鉴国外信息保护法律制度，加强国际合作，确保公共卫生事件中的跨境数据安全

首先，借鉴欧盟《通用数据保护条例》的设计，在一些特殊公共领域设置数据保护官。当前，全球数据治理日趋走向规范，中国在完善自身数据治理体系的进程中，可以借鉴一些国际经验。在公共医疗、教育等服务领域内设置数据保护官，加强有关机构的内部数据合规培训。数据保护官这一制度在欧洲的大学中普遍存在，但是目前国内的大学很少有这一机制设计。④在国际交流的实践中，笔者就多次碰到类似的困境。在与欧洲的一些大学签署合作协议时，对方提供的协议范本都有关于个人数据保护的专门规定，同时要求中方院校提供数据保护官人员名单。在商业领域，《通用数据保护条例》第37 条是关于数据保护官的规定，实践中已经成为欧美大型企业和互联网公司的标配，它们普遍设有由外聘人员或内部员工担任的数据保护官或隐私官（Chief Privacy Officer，CPO）。《通用数据保护条例》要求数据保护官以独立的方式履行职责，确保企业的一些行为符合有关法律规定，监督企业内部的数据处理活动，强化员工的数据保护意识，并负责对接数据保护监督执法机构等。①王融：《大数据时代数据保护与流动规则》，人民邮电出版社，2017 年，第192-193 页。

其次，借鉴韩国等国家的数据保护实践，建立数据泄露通知制度。韩国法律要求在发生大规模（涉及超过1 万个数据主体）、严重的数据泄露事故时，企业应当向用户以及韩国行政安全部、韩国互联网安全院等主管部门报告。②同上书，第70-71 页。

最后，加强国际合作。在后续的个人数据保护过程中，我国需要加强个人数据保护的国际合作，因为公共卫生事件尤其是一些传染性的疾病没有国界，需要各国共同应对。正如《国际卫生条例（2005）》所规定，在公共卫生事件中应该考虑到个人信息保护以及跨境数据流动的安全性问题。与此同时，各国还应该加强在应对网络黑客或网络恐怖主义等领域的反恐合作，保护国家数据安全。

4.加强公共安全事件后的信息安全管理

有关机构需要制定公共卫生事件发生后的个人信息安全保障方案，对个人数据及时删除或进行匿名化处理。已经开始实施的《信息安全技术个人信息安全规范》（GB/T 35273-2020）要求“个人信息存储时间最小化”，具体而言，“个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间，法律法规另有规定或者个人信息主体另行授权同意的除外；超出上述个人信息存储期限后，应对个人信息进行删除或匿名化处理”。③中国国家标准化管理委员会：《信息安全技术 个人信息安全规范》（GB/T 35273-2020），第6 条。由于公共卫生事件涉及面广，为此，事件结束后仍需警惕数据窃取事件。在疫情之后，如相关数据确无必要继续保存，对疫情科学研究没有价值，出于对公民个人信息的安全负责的态度，相关部门应将这些数据销毁。

做好留存数据的保密措施。公共安全事件中的一些数据信息，尤其是公共卫生信息往往具有一定的科学研究价值，需要继续留存。例如，《通用数据保护条例》序言第65 段规定，“当为了在公共健康领域执行有公共利益的任务或者行使控制者被授予的官方权利时，进一步保留个人数据是合法的”。这体现出在公共卫生事件中，个人数据的利用与公共卫生、重大公共利益的价值平衡。因此，如果相关数据需要保存，那么应采用加密存储等技术进行封存，以免产生数据泄露，并警惕黑客可能发动的盗取攻击。

五、结论

全球正进入“数据驱动”的时代，数据流动创造价值但也蕴藏风险。大数据分析在公共卫生中得到普遍应用并发挥重要作用，但与此同时，需要防止公共卫生事件之后发生网络安全事件，保护好个人数据信息。党的十九届四中全会提出推进国家治理能力和治理体系现代化，要求“建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则。推进数字政府建设，加强数据有序共享，依法保护个人信息”。①《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》，新华社北京2019 年11 月5 日电。因此，我们要推进网络安全治理体系和治理能力现代化，完善公共领域网络安全标准化体系建设。当前，在大数据治理体系建设中，我国仍需加强数据信息保护顶层立法设计，加强程序管理和执法监督，积极推进行业数据合规制度、标准建设与行业自律，借鉴国外数据法律规制的先进实践，加强公共安全事件后的数据安全管理，尤其是需要防止在公共卫生事件中获取的个人信息事后被商业化利用，为后续的信息收集提供保障。

公共卫生事件防控中的数据利用与实践经验，为完善个人数据信息保护提供了新的观察视角，对后续数据管理制度的完善具有特殊意义。大数据产业在公共卫生事件中的价值得到进一步体现，因此当前在加快数字经济发展的同时，我们需要不断提升数字经济治理能力，将数字经济发展能力和水平纳入国家治理能力和治理体系现代化的范畴。同时，全球性公共卫生事件没有国界，需要秉持人类命运共同体理念，加强跨境数据保护的国际合作。在大数据时代，各国如何做好公共卫生事件防控既是对国家治理的挑战，也是提升治理能力的重要契机。总之，公共卫生事件防控中的大数据应用与个人信息保护，是数字经济发展与社会公共安全领域中值得继续关注的一项重要课题。