疫情防控视角下的个人信息应用和保护

文/李国麟

随着本市疫情防控步入常态化，快速精准应对零星散发疫情离不开大数据、人工智能等技术的支撑。然而，信息化的推进和个人信息安全总是难以两全。今年5月施行的《上海市人民代表大会常务委员会关于进一步促进和保障城市运行“一网统管”建设的决定》（以下简称《“一网统管”决定》）规定“在疫情防控期间，实行个人疫情防控信息核验措施（即“场所码”或“数字哨兵”等核验措施）”。即便如此，市民对个人信息滥用的疑虑仍未消除。因此，对于个人信息应用和保护之间应当建立一些原则，确保个人信息不被滥用。

最小必要收集信息。个人信息保护法规定：“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”出于防疫目的，也应当做到只收集必要的个人信息。一是最小范围对象。政府相关部门应当严格把控获取个人信息的对象范围，如在流行病学调查过程中对核酸异常、密接、次密接人员的划定要有明确规范和标准，不能随意扩大范围，对信息收集对象也应在事后予以告知，确保其知情权。二是最小信息量。政府相关部门和管理主体应该以实现防疫目标为导向，以有限必要为原则获取信息。如通过扫取“场所码”和“数字哨兵”核验姓名、身份证号、核酸检测结果等信息足以满足防疫需要。实践中有的商场额外设置人脸拍摄设备，获取顾客面部特征信息，这是否必要值得商榷。

严格信息管理制度。个人信息保护法和《上海市数据条例》都对个人信息保护作出了严格规定。各级政府部门在开展疫情防控工作过程中，应当对如何使用、管理个人信息制定细化的制度和流程，确保个人信息安全。应当建立信息收集、传递、共享的内控制度，如可以规定对流调信息一般只提供单个查询，如需批量导出要先作脱敏处理；规定每天信息查询次数的上限，发现使用量异常要及时预警等，控制信息泄露风险。应当对信息的使用者进行严格管控，如专人专号实名制管理、离职后作竞业限制等，平衡好个人信息应用和安全的关系。

合法合理使用信息。《“一网统管”决定》规定：“信息核验中采集、处理个人疫情防控信息应当遵守个人信息保护相关法律、法规的规定，采集的个人信息仅用于疫情防控需要。”《上海市数据条例》也明确规定：“除法律、行政法规另有规定外，处理个人信息的，应当取得个人同意。”然而实践中，还缺乏具体有效的制约措施和监督制度，相关法规中的罚则也不够明确。对此，既要加强制度建设堵塞漏洞，更要加强社会监督和舆论监督，及时发现存在的问题予以纠正；对已经发生的滥用防疫信息的情形，应当从严从紧处置，并及时向社会公开，增强政府的公信力。

及时主动开展救济。一是因政府相关部门运用大数据、人工智能等技术开展决策辅助，而对当事人造成影响的应当予以救济。《上海市数据条例》规定：“通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求处理者予以说明，并有权拒绝处理者仅通过自动化决策的方式作出决定。”如有市民不认可自己被判为新冠肺炎确诊病例的密切接触者，要求疾控部门出示证据的，相关部门不能以疫情紧急等为理由拒绝，同时在制度上也应该提供事后司法救济途径。二是对一些信息时代的老年群体等，也应有一定的救济措施，为他们的生活提供便利。《上海市数据条例》规定：“在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所，以及居住小区、商务楼宇等区域……不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。”换言之，相关场所管理者应该本着更加人性化、精细化的方式处理好疫情防控和便民服务的关系，政府相关部门也应给予指导和帮助。

疫情防控下的个人信息应用和保护更像是一段“戴着镣铐的舞蹈”，这正是考验上海城市治理精细化水平的关键所在，也是大上海保卫战取得真正胜利的应有之义。