突发公共卫生事件中个人信息处理规则研究

宋丁博男

1 问题的提出

自疫情爆发以来，我国借助数字技术对个人信息的处理有效推动了联防联控、群防群治的实现。例如，利用云计算、大数据分析技术开发了“疫情数据实时更新系统”“确诊患者交通工具同乘查询系统”“健康状况申报系统”，以及“健康码”等APP工具，而且还通过建立疫情防控专题数据库，加强疫情防控数据的汇聚和共享应用。然而在此过程中，大量个人信息被收集。这其中既包括公共部门为履行法定职能或执行应急方案依职权的收集，也包括私营部门根据法律法规、行政命令或出于自我防护需要收集个人信息，并汇聚至政府大数据分析平台，辅助政府部门应急决策。

从个人信息保护的角度来说，“不论是公共部门还是私营部门，只要掌握大量的个人信息，均存在滥用或侵犯个人权利的可能”（周汉华，2006[1]）。实践中，由于大数据的风靡和云计算部署的不成熟，加之我国个人信息保护制度与公共卫生法治体系的不健全，导致疫情防控时期出现了大量个人信息泄露、滥用等情形。例如，云南文山州5名医务人员利用工作便利，私自偷拍、散布疫情防控信息，造成恶劣影响；青岛胶州6000多名涉疫人员名单信息被泄露，严重侵害公民的生活安宁和信息安全。

在突发公共卫生事件发生时，基于联防联控的目的，相关权力主体可以突破个人信息的常规保护范围对其加以处理，但这种处理应当受到一定限制。习近平总书记在中央全面依法治国委员会第三次会议上强调，要“坚持依法防控，在法治轨道上统筹推进各项防控工作”。国家卫健委、交通运输部、中央网信办、工信部也先后发文，强调疫情期间个人信息的合理依法使用。然而研究发现，尽管国内外针对个人信息法律保护的研究成果颇丰，但对于重大传染病疫情等突发公共卫生事件中个人信息保护的探讨较少，法律层面的建议也多从某一特定角度展开。例如，国外部分学者针对COVID-19疫情引发的信息管理实践困境进行了梳理与剖析（Barnes，2020[2]；Beaunoyer，2020[3]）；同时，还有学者基于平衡公共安全与个人信息自由的目的，从限制收集信息、禁止虚假信息、杜绝信息流垄断三个角度提出对策建议（Richter，2021[4]）。国内部分学者基于利益衡量的理念，对非法收集和使用涉疫个人信息的行为进行了司法层面的认定（高志宏，2022[5]；唐林垚，2021[6]；张勇，2020[7]）；同时，部分学者基于个人信息权益的限制与保障，提出了公共卫生事件中个人信息的利用规则（许中缘和何舒岑，2022[8]；周玺萱和徐亚文，2020[9]），以及相关政策的完善方案（赵宏，2020[10]；金松和张立彬，2020[11]），但是总体来看仍缺少对突发公共卫生事件中个人信息核心理论及具体处理规则的分析。

对此，本文全面剖析了突发公共卫生事件中个人信息处理工作面临的现实困境，并基于个人信息公共利益属性的凸显，结合域外先进立法经验，从个人信息保护和数据利用规制两个面向，探索突发公共卫生事件中个人信息处理的规范化路径。

2 突发公共卫生事件中个人信息处理的现实困境

《个人信息保护法》将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”，同时结合《民法典》《网络安全法》等规定，“可识别性”是个人信息的重要特征，同时也是某种信息能否聚焦特定自然人的“相对可能性（relevant possibility）”（Elvy，2017[12]）。鉴于不同类型信息的性质及重要性存在差异，同时结合突发公共卫生事件的紧迫性、隐蔽性和群体性特征，确诊者、疑似者及密切接触者等人群的个人信息一旦泄露或传播，很有可能会招致恶意骚扰、恐吓、威胁、诽谤等行为，使信息被泄露人员的身心健康受损或遭受歧视性待遇，而且还有可能会影响个人信息的正常收集，给联防联控工作带来困难。因此，该类信息具有一定的“敏感性”特征，应当给予更高程度的保护。结合《个人信息保护法》第28条和《信息安全技术个人信息安全规范》（以下简称为《个人信息安全规范》）3.2的规定，突发公共卫生事件中的敏感个人信息主要包括身份证件号码、生物识别信息、通信记录和内容、行踪轨迹、住宿信息、交易信息、健康生理信息，以及不满十四周岁未成年人（即儿童）信息等内容。

2.1 个人信息处理规则的分散立法困境

总的来看，我国目前已基本建立起突发公共卫生事件中个人信息处理规则框架，通过一系列法律文件（见表1），从信息收集、存储、使用、加工、传输、提供、公开、删除等角度，分别对政府部门、企事业组织及公民个人在突发公共卫生事件中的责任义务进行了规定，同时也为个人信息的合理合法处理提供了基本准则。其中，《民法典》和《个人信息保护法》的出台更是为行政法和刑法对个人信息的处理提供了“民事权益上的正当性基础与民事基本法的依据”（程啸，2019[13]）。

表1 我国有关突发公共卫生事件中个人信息处理的主要规定

续表

但是，我国个人信息法律保护的制度构建仍处于初步阶段，立法层面尚未明确“个人信息权”的正式法律地位，因而很难避免“因个人信息的动态性所导致的人格利益危险”（齐爱民和张哲，2019[14]）。此外，有关突发公共卫生事件中公民个人信息处理的法律规范较为分散。例如，《传染病防治法》《突发事件应对法》和《突发公共卫生事件应急条例》更多是针对信息收集、报告、发布主体的宏观规定，缺少信息使用、公开、删除等数据生命周期全流程的具体操作规范；《网络安全法》《儿童个人信息网络保护规定》主要是规范网络运营者的行为，规制对象有限，难以辐射突发公共卫生事件中多个主体的个人信息处理行为；《个人信息安全规范》虽然具有较强操作性和实践性，但法律位阶较低，不具备法律强制力，无法成为行政机关作出行政处罚、法院作出判决的直接依据，导致实践中的个人信息处理工作仍面临诸多困境。

2.2 个人信息处理者的身份认定困境

突发公共卫生事件中个人信息的处理主要是由国务院卫生健康部门依据《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》等规定授权的机构进行。例如，卫生行政主管部门和其他有关部门、医疗卫生机构、街道、乡镇以及居民委员会、村民委员会等。由此可见，突发公共卫生事件中有权收集、使用个人信息的基本都是卫生行政部门及其他授权或委托机构。然而实际情况是，突发公共卫生事件中公民个人信息的收集数量庞大，而且往往收集时限较短，使得个人信息处理者从政府部门、医疗机构扩展到了数量众多的社区、街道、物业，甚至连锁超市、购物商场等。这些部门和单位基于联防联控目的，可以协助国家机关临时收集并保管公民个人信息，信息收集效率也因此获得明显提升，但其中存在的问题也不容小觑。由于不同信息处理者之间存在专业性上的差异，而且对个人信息保护的意识程度也有所不同，导致个人信息泄露、滥用事件频发。例如，2020年1月26日，广西南丹县疾控中心办公室主任熊某某在未经审批的情况下，擅自将该县疫情防控材料发送到单位QQ工作群，工作人员区某某随即将原文转至其个人微信群，并被群内成员转发扩散，在社会上造成不良影响。此外，在突发公共卫生事件发生时，对个人信息的收集程序往往不如一般情形下那般严格，因此也就更需要对个人信息处理者的身份和职责进行明确的界定。

2.3 个人信息处理活动的范围界定困境

在突发公共卫生事件中，个人信息处理的正当性源自其蕴含的公共利益属性，因此“鼓励利用尽可能多的信息进行分析识别，然后用于实现各种社会发展目的”（高富平，2018[15]）。但是，实践中个人信息的收集、使用和公开均出现了“过度”现象，超过了为维护公共利益所必须的标准与限度。

第一，从主体角度来看，《关于做好个人信息保护利用大数据支撑联防联控工作的通知》（以下简称《联防联控通知》）明确要求“收集对象原则上限于确诊者、疑似者、密切接触者等重点人群，一般不针对特定地区的所有人群”。但实践中，为提高本地区疫情防控水平，某些政府部门对重点疫情地区但非本地区人员的相关信息进行了曝光，而不问这些人员对于本地疫情防控来讲是否具有相当的紧迫性与必要性。例如，疫情初期，无论是湖北籍人士还是疫情期间的流动人口都受到了严密监控，最终形成了“对特定地域人群的事实上歧视”；再如，介于乘客的分散性，在全国范围内公开乘坐公共交通工具的感染患者的相关轨迹信息是合法合理的，但是对居家隔离的感染患者信息进行大范围公开则是违法之举。对此，应当根据不同风险地区的人群，采取区别保护路径。

第二，从内容角度来看，虽然《个人信息安全规范》要求信息处理活动应遵循“最小必要原则”，但在本次疫情防控实践中，仍有不少单位对个人信息开展了“地毯式”收集，其中就包括家庭关系、通信记录、消费记录等非必要的防控信息；还有的则是将家庭住址、身份证号、生活轨迹等敏感个人信息未经匿名化处理直接公之于众。针对敏感个人信息的法律保护，《个人信息保护法》在很大程度上解决了传统“法律位阶较低”、“范围界定不明”等问题（胡文涛，2018[16]），并明确指出处理敏感个人信息应当“取得个人的单独同意”（第29条），“向个人告知处理敏感个人信息的必要性以及对个人的影响”（第30条），并在“事前进行个人信息保护影响评估”（第55条）。但是，该法依旧缺失对敏感个人信息具体收集规则及保护措施的规定。虽然《个人信息安全规范》对敏感个人信息的处理规则进行了详细规定，但是该规范没有法律拘束力，而且根据其标准编号“GB/T 35273-2020”中的“GB/T”所示，它属于“推荐性国家标准”，所以在实践中更多是起到了行为导向的作用。

2.4 个人信息处理程序的知情同意困境

个人信息立法所遵循的共识性原则之一，即“知情同意原则”突出的是法律对信息主体自主控制其信息资料的尊重，是人格自由的一种表现形式。但是，我国法律并未赋予信息主体对其个人信息的专有权，而是允许个人信息处理者在收集、使用与国家和社会利益相关的信息时，无需征得信息主体的授权同意。《个人信息保护法》第13条第4款明确指出，“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”的情形时，无需征得个人同意；《个人信息安全规范》第5条第6款也明确了11项须征得授权同意的例外情形，其中就包括“与公共安全、公共卫生、重大公共利益直接相关的”（第3项）、“出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的”（第5项）等情形。例如，党政机关、医疗机构、公共应急、教育教学等联防联控单位对防控信息的收集使用，从而“为数据利用的公共政策考量留出了一定的空间”（陆青，2019[17]）。但是，上述例外规定一方面并未严格区分一般个人信息和敏感个人信息，而敏感个人信息具有高度的人格属性，与个人隐私、个人行动自由等利益关系密切，因此有必要在立法层面丰富其规范层次；另一方面，其内容仍存在一定模糊性，例如，“相关”与“直接相关”的界定标准、“重大公共利益”与“重大合法权益”的基本内涵等，都有待进一步厘清和细化，以增强实践中的可操作性。

3 突发公共卫生事件中个人信息处理的法律逻辑

“法律的主要作用之一就是调整及调和各种相互冲突的利益，无论是个人的利益还是社会的利益”（博登海默，1999[18]）”个人信息兼具的人格、财产和公共利益属性决定了个人信息保护与利用之间的较量与平衡。因此，通过剖析个人信息的复合法益属性，明确突发公共卫生事件中个人信息公共利益属性的凸显，并在此基础上诠释个人信息保护与公共卫生安全、公众知情权的冲突与博弈，有助于为突发公共卫生事件中个人信息处理规则的完善提供理论参考。

3.1 个人信息的复合法益属性

个人信息具有人格利益和财产利益双重属性已是学界公认的观点，其中人格利益属性决定了个人信息的立法宗旨便是保护信息主体的精神人格利益即人格尊严、人格独立、人格自由和人格平等不受侵犯；财产利益属性决定了立法应为“合法的个人信息交易和有关的纠纷提供相应的法律规范”（刘德良，2007[19]）。但与此同时，个人信息作为人际交流和社会交往的必要工具，具有流通性和共享性，“一经产生和流传其传播过程就很难被控制”，而且往往涉及广泛的社会公共利益（关儒和吴晓祺，2020[20]）。突发公共卫生事件中对公民个人信息的处理正是基于对公共安全的保障，此时个人信息对国家和社会来说具有明显的共享属性和社会价值。公民的基本权利神圣不可侵犯，但我国《宪法》第51条对公民权利进行了概括性的限制，即不得损害国家、社会、集体利益和他人的合法权利。《民法典》第1036条第3款也指出，“为维护公共利益”处理个人信息属于免责事由。如今，信息技术的发展“使政府利用海量数据进行公共决策成为可能”（李晓楠，2020[21]）。个人信息除隐私利益外，还具有公共价值，是“可供组织或个人使用的公共资源”（Stiglitz，2000[22]）。而突发公共卫生事件关系到公众的生命健康、国家的政治稳定，以及社会的长治久安，此时个人信息的公共利益属性体现出最大价值，“满足实质层面的公益目的的检验”（赵宏，2020[10]）。因此，突发公共卫生事件作为克减个人信息权益的事由具有法理上的正当性。但是，需要说明的一点是，不论是个人信息的财产属性，还是公共利益属性，均源自其具有可识别自然人主体这一最基本的性质，而且对财产和公共利益的保护也正是出于对主体人格利益的间接维护，因此突发公共卫生事件中个人信息的人格利益属性仍居于主导地位。

3.2 公共卫生安全与个人信息保护的博弈

“挖掘巨量与健康相关的数据能提升研究、监测及传染病预防，有利于早期发现全球公共卫生威胁”（Petersen，2017[23]）。例如，卫生主管部门及疫情相关监测主体可以通过医疗机构的诊疗记录和疾病预防控制中心的监测信息，在第一时间对公民健康信息进行分析并作出判断，以尽可能快速准确地预测疫情的发生，并提前出台应急预案，采取相应的防护措施，“阻止潜在传染源转化为大规模疫情的可能”（陈琬珠，2021[24]）。如今，随着国内疫情逐步得以控制，人员跨地区流动性增加，通过公布确诊、疑似病例的活动轨迹有助于筛查工作的顺利开展，从而实现精准防控。此外，个人的病理信息、基因信息等医疗健康信息也具有重大医学研究价值，有助于疫苗和治疗药物的研发，从而促进我国医疗技术能力和医疗质量水平的提高，同时这也是个人信息保护中的公共属性和社会价值的具体体现。由此可见，当突发公共卫生事件发生时，信息主体的知情同意已不再是个人信息处理活动的首要原则。当公共卫生安全与个人信息权益发生冲突时，作为社会的基本组成单元，信息主体必须为了公共安全利益，让渡部分个人信息权益。

3.3 公众知情权与个人信息保护的博弈

在突发公共卫生事件中，基于自身生命健康的考虑，公众往往对防控信息的需求更加强烈，希望能够在第一时间准确、全面地了解自身所处环境的危险程度。例如，周围有无确诊、疑似患者或无症状感染者等信息，以便采取针对性防范措施，避免自身被感染的情况发生。而政府作为公众的委托代理人，应当在合理范围内，以合理方式公开涉疫人员的有关信息。这一方面是满足公众“知情”的诉求，提升他们对政府战胜疫情的信心，并引导其加强自我防范，避免出现公众因不了解真实信息而轻信谣言，甚至在各类社交平台转发而造成社会恐慌等情况；另一方面，也可以让公众理解、支持和配合国家基于联防联控需要而采取的一系列措施，例如，出行限制、强制隔离等，以减少不必要的矛盾与冲突，切实保障公民的生命健康安全与社会秩序的和谐稳定。由此可见，突发公共卫生事件中对个人信息的处理不仅是满足公众知情权的需要，同时也是保障公民生命健康权的必要途径。从这个角度来看，知情权作为公民一项重要的“程序性权利”，本身就是一种公共利益（王敬波，2014[25]）。由此可见，大数据时代的个人信息保护，不是以单向的维护个人信息权益为唯一追求，而是要将相关主体的复杂利益纳入综合考量，从而在这些“异质利益之间的博弈中达到平衡”（高志宏，2022[5]）。

4 突发公共卫生事件中个人信息处理的规范化路径探索

突发公共卫生事件中的个人信息不仅关系着公民的个人利益，同时也关涉国家和社会的整体利益。上文提到，突发公共卫生事件中个人信息的公共利益属性可以作为豁免信息处理者部分义务、克减信息主体部分权利的合法事由。对此，基于“大数据时代平衡信息保护与利用关系之考量”（田野和张晨辉，2019[26]），我国应采取激励相容的个人信息处理模式，使“可识别个人的数据既要能够为社会所利用，又必须确保该利用行为不侵犯个人权益”（高富平，2019[27]）。尽管《民法典》《个人信息保护法》《网络安全法》等统一立法可以为个人信息权益保护提供完整的规制模式，但由于体量限制，其很难对突发公共卫生事件中各类信息的处理规则予以周全规定，仍须通过具体可操作的规章细则或行业自治组织的指南性文件等分散立法加以补充。

国际上信息保护与利用规则较为完善的国家和地区，如欧盟、美国等均在立法或判例中确立了个人信息的处理规则。例如，欧盟《一般数据保护条例》（General Data Protection Regulation，简称GDPR）第二章明确指出，个人数据处理原则包括“合法公平透明原则”“目的限制原则”“最少收集原则”“准确性原则”“存储限制原则”“完整性和保密性原则”“知情同意原则”等。基于我国个人信息处理面临的现实困境，可借鉴GDPR的相关规定，按照《联防联控通知》要求，并参考《个人信息安全规范》标准，①《信息安全技术个人信息安全规范》第4条规定：“个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则”，具体包括权责一致原则、目的明确原则、选择同意原则、最小必要原则、公开透明原则、确保安全原则和主体参与原则等。以“比例原则”为指导，从数据利用规制和私权救济两个面向，明确并细化突发公共卫生事件中公民个人信息的处理规则，为数据利用和个人信息保护的平衡提供清晰指引与合理预期。

4.1 坚持限制收集原则，规范信息收集主体和收集手段

“开放政府数据运动”在全球范围内兴起，许多国家的公共部门不仅成为本国最大的数据资源产出者和持有人，同时也是大规模数据的原始采集者，其收集个人信息的领域和范围日益广泛，而该原则要求对个人信息的收集予以限制。

第一，限制信息收集主体。突发公共卫生事件中，个人信息处理者的身份呈现出非常复杂的情况，像医疗机构、派出所、用人单位、学校、物业公司、电信运营商以及志愿者等主体都参与了个人信息的收集和使用工作。然而除法定个人信息收集主体外，其他任何单位和个人不得以联防联控为由，未经被收集者同意便对其个人信息进行处理，其中尤其是要防止一些商业机构假借防控之名随意收集使用公民个人信息。此外，像用人单位、学校、物业公司等法条中并未直接提及的主体如果未经授权，那么其信息处理行为便存在一定的违法性。鉴于此，有必要在《传染病防治法》等相关法律文件中明确省、自治区、直辖市卫健委在突发公共卫生事件发生时，可以委托下级卫健委、街道办事处、社区居委会等组织对处理公民个人信息的主体予以明确，从源头上规避个人信息处理者的身份认定困境。

第二，限制信息收集手段。根据《个人信息安全规范》，信息收集者不得以“欺诈、诱骗、误导的方式收集个人信息”或者“从非法渠道获取个人信息”。具体而言，收集手段应符合依法行政和高效便民的原则。例如，在信息收集前至少应向被收集者阐明信息收集者的身份、信息收集的法律依据和授权来源、信息收集的目的与方式，以及所收集信息将来的处理方式和使用范围等内容。其中若还涉及敏感个人信息的处理，则应当向信息主体明确告知处理敏感个人信息的必要性以及对个人权益的影响，以促进突发公共卫生事件中个人信息的收集实现形式法治与实质法治的统一。

4.2 坚持目的明确原则，严格限定信息处理的防控目的

该原则要求个人信息处理须受到“明确、清晰、具体的个人信息处理目的”的限制。②《信息安全技术个人信息安全规范》4b。突发公共卫生事件中，个人信息处理应严格限于联防联控目的或与该目的具有直接、合理的关联，即所收集和使用的信息内容、类型、数量与使用方式对于目的实现而言是“充足”的，一旦缺少将导致该目的无法实现或无法完全实现（张新宝，2019[28]）。同时，还要做到专采专用，不能超出信息主体的合理预期，像对防控信息的商业化利用就是应当严明禁止的行为。而这就要求个人信息处理者在履行告知义务时，应尽可能明确、清晰、具体地说明信息处理的细节，使“双方能对约定目的产生一致的认识和个人信息可能使用范围的预期”，避免因不确定性而产生“风险敞口”（梁泽宇，2018[29]）。如果确需超出联防联控目的处理个人信息，应当再次履行告知义务。需要说明的是，如果防控信息是用于医学、法学、社会学等科学研究工作，属于“与收集目的具有合理关联的范围之内”，但是在对外提供学术研究结果时，“需对结果中所包含的个人信息进行去标识化处理”。③《信息安全技术个人信息安全规范》7.3a。

4.3 坚持最小必要原则，完善个人信息梯度保护体系

该原则要求“只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量”。④《信息安全技术个人信息安全规范》4d。

第一，从信息主体的梯度保护来看，收集对象原则上仅限于确诊者、疑似者、密切接触者等重点人群，一般不针对特定地区的所有人群，而且对重点人群也可按“不同风险等级”进行划分，并在此基础上合理确定个人信息的收集范围与使用方式，避免超范围、违规收集（宁立成和崔志敏，2021[30]）。

其中，针对高风险人群个人信息的处理无需经过本人同意，而且对其信息的识别应尽可能具体。这一方面是提醒公民注意防范，阻止疫情的进一步蔓延；另一方面也是基于医学研究的需要，即通过病因分析寻找病毒攻破的关键。但是，在公开范围和方式上仍应有所区别。例如，行动轨迹、经常居住地等有可能会与公众产生联系的信息应当根据实际情况在一定范围内予以公开通报，以便公众及时作出自身健康安全是否存在威胁的判断，并采取相应的防护措施；但是像姓名、联系方式、身份证号等信息原则上应只供卫生部门等联防联控单位内部使用。

对于其他类型人群个人信息处理的主要目的是在于排查和限制重点疫情地区的人员流动，因此对其信息的识别不应过于具体，而是主要集中于健康信息、轨迹信息等方面的内容。需要指出的是，为及时有效地判断危险源，对该类人群的信息收集具有目的合法性。但是，收集行为不能为公开行为提供正当性理由，因此对该类人群信息的公开应征得权利人同意，否则不属于公开范围。

此外，需要注意的是，《个人信息保护法》第31条规定了处理儿童个人信息须征得其监护人同意的特殊要求，但是本条的适用与第13条可能存在冲突。例如，“为应对突发公共卫生事件”而处理儿童个人信息是否也需要获得儿童监护人的同意？如果是，那表明条文之间已存在冲突。因此，有必要参考GDPR第8条第1款的规定，在第15条中增加“在适用本法第13条第1款第1项的情况下”的适用限制。

第二，从信息内容的梯度保护来看，及时、准确、全面的信息公开固然有利于增强公民对于突发公共卫生事件风险的认知，但个人信息的“可识别性”决定了信息公开时应对个人信息尤其是敏感个人信息予以去标识化管理和脱敏处理，使“其人格权属性减弱，不再归初始信息主体个人拥有”，降低泄露风险（张勇，2020[7]）。因此，我国立法有必要加强个人信息的类型化分析，并对敏感个人信息作出明确界定和特殊保护。日本2017年实施的《个人信息保护法》正式引入“个人敏感信息”的概念，并明确其包括疾病史、犯罪记录、种族、宗教等可能引起不合理的歧视或偏见的信息；欧盟GDPR第9条则对个人敏感数据规定了更为严格的保护标准。①GDPR第9条对个人敏感信息的保护予以专门规定，其原则上禁止该类信息的处理，除非获得信息主体的明确同意、为履行义务及行使信息主体特定权利之目的、为保护信息主体或他人重大利益的必要、基于公共卫生健康领域的公共利益等9项例外规定，但同时也对不同情形下个人敏感信息的使用规定了相应的限制措施。鉴于公共利益对个人信息权益的克减，尤其是公共利益本身在概念上的抽象性特质，因此在突发公共卫生事件中不可避免会涉及敏感个人信息的处理，一旦处理不当很容易造成公共利益与个人信息权益的失衡。

上文提到，身份证件号码、生物识别信息、通信记录和内容、行踪轨迹、住宿信息、交易信息、健康生理信息、儿童信息等均属敏感个人信息的范畴，一旦泄露很有可能损害信息主体的个人尊严和生活安宁，并引发歧视与社会的不公正对待。例如，疫情期间由于信息泄露而引发了多起“人肉搜索”“网络暴力”等违法行为，而且这种损害难以通过有效的救济手段恢复至未受侵害的状态。相较而言，个人行程信息如乘坐交通工具信息、出发地和目的地信息等，即便泄露对个人的人身权益也影响较小，可以被认定为个人一般信息。但是，大数据时代的信息本身就存在一定的复杂性，前述的生物特征、健康信息等内容单独就可构成敏感个人信息，而像位置信息、网页浏览记录等一般来说还需要一定的时间跨度才可能构成敏感个人信息。因此，对敏感个人信息的准确界定，不仅是对立法技术的考验，同时也需要在个人信息保护的法律实践中不断予以总结完善。

4.4 坚持确保安全原则，构建个人信息全程监管机制

该原则要求个人信息处理者“具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段”，从信息传输、共享、存储、销毁等环节确保“个人信息的保密性、完整性、可用性”。②《信息安全技术个人信息安全规范》4f。

第一，完善个人信息传输规则。突发公共卫生事件的有效遏制往往需要多个机关单位之间的配合，以及其防控信息系统的互联互通。然而实践中，传输过程中的不规范操作极易造成个人信息的泄露。因此有必要尽快完善个人信息的传输规则，确立更加细致的传输流程，并注意针对不同类型信息采取相应的安全保障措施。例如，针对敏感个人信息的传输，应进行加密处理；针对健康生理信息、电子医疗保健信息的跨境传输，应严格遵照国家相关规定执行，如《个人信息出境安全评估办法》等。

第二，规范个人信息共享行为。2020年12月，国家卫健委、国家医保局、国家中医药管理局联合发布《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》，要求“各地要依托全国一体化政务服务平台，落实‘健康码’信息互认机制和规则”。实现“健康码”全国互认、一码通行是完善我国突发公共卫生事件中个人信息数据共享的重要举措，有助于避免个人信息“多头采集、多方保存、多层管理”等问题。

首先，规范个人信息共享中的交易规则，原则上禁止交易，除非书面征求权利人的同意，但仍须根据交易金额对个人予以补偿，并且在共享中尽量采取去标识化的处理。其次，强化个人信息共享中的保密义务，并适用“比例原则”，通过去标识化、匿名化等措施降低信息泄露风险（张建文和高悦，2020[31]）。美国《健康保险携带和责任法案》（Health Insurance Portability and Accountability Act，简称HIPAA）就明确规定了个人信息脱敏等技术的具体操作流程，并详细列举了18项需要去除的身份识别信息，从而一方面为相关机构处理个人信息提供明确指引，统一个人信息的处理标准；另一方面也是对权力的有效制约，防止对个人信息的滥用。具体而言，突发公共卫生事件中的个人信息匿名化可以参照家事裁判文书网上公开的处理方式，即不仅模糊当事人姓名，还应当修改或处理可能识别出当事人的具体信息，以降低被认出后人肉搜索的可能性；对于确诊或疑似患者个人信息的共享，仅需公开其姓氏，如果基于公共利益需求，确有必要公开其家庭住址、行踪轨迹等敏感个人信息的，应当作模糊化处理。最后，构建个人信息共享中的协同机制。针对不同类型信息规定不同的共享规则，将政府数据分为无条件共享、有条件共享、不予共享等三类，其中与健康保障、应急维稳相关的信息资源，应当在行政机关之间有条件共享。此外，出于优先保护公共利益的目的，欧盟GDPR与美国HIPPA“第三方准则”均允许电信运营商、保险公司等第三方机构或私人机构依法向政府部门共享其掌握的个人信息。大数据时代背景下，电信运营商、汽车零售商、电商平台、社交媒体等主体所控制的个人信息具有高度的公共利用性，该类信息的共享与使用能够协助政府更有针对性地应对突发公共卫生事件。对此，建议企业等商业机构积极参与防控工作，并加快个人信息共享体系的完善，实现国家机关和企业之间在个人信息处理活动中的互联互通与共享协作。

第三，健全个人信息存储规范。信息存储期限“应为实现个人信息主体授权使用的目的所必需的最短时间”，①“《信息安全技术个人信息安全规范》6.1a。”而且在联防联控目的达成后应进行妥善处理。但是，此处的“妥善处理”并不意味着要删除所有的个人信息，对于那些具有医学研究、社会研究等价值的信息，可以在脱敏后进行流通与分享，以推动医学教育质量、药品疫苗研制能力的提升，以及公共管理与服务水平的增强。此外，建立云端互联互通的国家中心数据库，系统存储海量公民个人信息，并将其交由政府设立的专业机构监管，从而在促进个人信息整合收集和开放共享的同时，也有助于提升监管机构的行政管理效率，推动个人信息保护行政监管新秩序的构建。

第四，细化个人信息销毁标准。首先，以“谁收集，谁销毁”为标准明确信息销毁主体，经行政授权或行政委托的机关、组织在收集个人信息并完成上报后，应及时销毁，以便责任承担主体的确认。在此过程中，还可以组织专家对已经收集到的个人信息展开评估，并按照信息敏感程度分门别类处理。其次，以“防控周期”为标准合理划定信息销毁期限，确定“个人信息销毁时间表”。信息销毁是一个动态操作过程，其可根据突发公共卫生事件的实际情况具体设定。以本次疫情防控为例，信息一般追溯14天或者21天，超出该期限的个人信息没有继续留存的必要。因此，可以14天或者21天为周期定期销毁已收集信息，如有需要可再行收集。最后，以“信息收集路径”为标准细化信息销毁程序。对于通过现场纸簿登记等线下方式收集的个人信息，应当由主管行政机关负责销毁；对于社交平台或“健康码”等应用程序线上收集的个人信息，应当由《网络安全法》等规定的责任主体进行销毁，并由行政机关做好监督评估工作，以确保个人信息完全销毁。

第五，建立个人信息全程监管机制。当前网络黑灰产交易的重要标的就是个人信息，而部分联防联控单位将个人信息存储在无加密技术的一般系统中，导致个人信息很容易被黑客窃取而流入信息交易市场甚至黑灰产链条。因此，有必要建立事前、事中、事后三重监管机制（见图1）。其中，事前监管重在防范，通过专业评估，确定有关部门或单位是否具备处理个人信息的资质与能力，并事先对防控信息的收集范围、使用期限、处理办法、安全保障措施等内容予以明确。事中监管重在监控，通过实时监测掌握信息安全状况，并通过信息屏蔽、临时管制、拦截过滤等技术手段消除安全风险隐患。同时，建立网络信用评级系统，并采取分级管理模式，设定绿色、蓝色、橙色、红色四个等级，信用等级依次递减。事后监管重在问责，加大对突发公共卫生事件中个人信息侵权行为的处罚力度，对侵犯敏感个人信息的行为采用惩罚性赔偿机制，并遵循“过罚相当”原则，对在履职过程中侵犯公民个人信息的行为予以加重处罚，并追究直接责任人员的法律责任，提高其违法成本，从而增强个人信息处理者的风险意识，实现对个人信息的全方位、全过程保护。

图1 个人信息全程监管机制示意图

5 结 语

利益平衡是社会科学的基本主张，也是法学的逻辑起点和最高理念。因而当突发公共卫生事件发生时，在积极利用大数据等信息技术助力防控工作开展的同时，也要规范个人信息处理活动，保障个人信息不受侵犯，以达到“平衡法理论”所追求的公共利益和个人权益的最优权衡。但是当然，对于公民个人信息的保护，除了立法层面的完善外，还需要战略、规划、计划、司法救济一体化的制度体系构建。例如，突发公共卫生事件中个人信息保护方案的制定，以及个人信息安全规范、个人信息安全影响评估指南的完善等，都亟待进一步研究，以形成系统完整的突发公共卫生事件中个人信息处理规范，以确保数据防控工作有效进行的同时，筑牢公民个人信息安全的防护墙，加快推进我国突发公共卫生事件治理体系和治理能力现代化。