后疫情时代公民个人信息公开与保护机制建设研究

◆徐博强

（吉林财经大学 吉林 130107）

1 问题的提出

截止到2022年3月29日的统计，目前全球新冠肺炎累计确诊病例达59493284例，死亡人数达6151645例，累计治愈417675783例；全球累计接种疫苗112.1亿剂。虽然目前世界范围内疫情总体趋向缓和，但在一些国家和地区仍旧严峻，多地不时出现波动与反弹。这是近百年来人类所面临的最严重的公共健康危机，也是对人类社会文明与秩序的最大挑战。总体上看，国际社会已经步入后疫情时代（After Corona，A.C.）。就中国来说，中国政府与人民在经历了艰难困苦并付出巨大牺牲的情况下，在疫情防控上取得重大战略成果，已率先进入后疫情时代。面对疫情防控常态化与国民经济、社会生活的恢复与保障，个人信息的公开与保护显得尤为重要。一方面，个人信息的公开有着正当性基础，在常态化疫情防控中个人信息的收集与使用发挥着数据报告、人员流动行踪轨迹追踪与在线医疗服务的作用；另一方面，个人信息的保护对于国民经济正常秩序恢复也有促进作用。在后疫情时代，随着抗击疫情这一主要矛盾的化解，关于个人信息安全、隐私保护、涉疫情个人信息再利用等矛盾逐渐暴露出来。常态化疫情防控中如何应对上述问题、如何释放大数据、人工智能技术巨大潜能的同时最大限度降低技术异化带来的伦理风险，成为亟待解决的问题。

2 常态化疫情防控中个人信息公开与保护面临的挑战

2.1 信息收集主体多元化

各地在疫情防控中对涉疫个人信息的收集按照《传染病防治法》与《突发公共卫生事件应急条例》的规定，形成了以地方政府为主导，卫生行政部门授权疾控部门和医疗机构收集、公布疫情相关监测信息的分工模式。具体而言，（1）疾控部门，依职权主动向个人或单位收集、分析、调查、核实涉疫情相关信息。（2）医疗机构，通过前来就诊的患者被动收集和掌握其健康信息。（3）其他相关部门。2020年1月，国家卫健委发布《关于加强新型冠状病毒感染的肺炎疫情社区防控工作的通知》，部署实施网格化、地毯式管理的管理，进行信息收集。在此履行信息收集职能的主体包括但不限于：街道、乡镇的社区居民委员会、村民委员会；交通管理部门，如铁路、民航、海关等；电信运营商；互联网公司；经由政府疫情防控部门授权的其他组织。

疫情防控中大量部门、单位被授权行使个人敏感信息的收集职能，多元化的信息主体为个人信息的保护带来压力，也增加了国家治理、管控的负担。主体过于分散导致涉疫情个人信息存储于不同空间，受到的保护程度也因收集主体而异，居委会、村委会等基层组织对其采集的信息实施保护的措施，如数据加密、脱敏等技术，显然与大型网络运营商相比不可同日而语。在信息收集上分权、层层转授权环节过多，不仅会导致线上线下重复采集而增加成本，还会引发社会公众对于信息安全与疫情防控效率的质疑。

同时，由于信息收集主体过于分散，导致收集与排查过程中由于疏忽与不规范，出现了一些损害信息主体合法权益的事件。但是，不论《传染病防治法》还是《突发公共卫生事件应急条例》，均未对信息收集、发布、利用与保护权力如何行使予以细化。权责不明确的情况下，各级授权主体都有信息泄露的风险，一旦发生信息泄露，几乎不可能溯源追责。

2.2 信息范围广泛无限制

在涉疫个人信息的采集过程中未能遵循最小必要原则。最小必要原则，即处理个人信息的活动对于实现个人信息处理的目的而言是必要的，不必要的信息处理行为都不应当进行。具体到涉疫情个人信息的收集，最小必要原则要求控制的范围应当以能够满足疫情防控的需要为标准，不应当获取超出疫情防控需求范围的信息。但在个人信息收集主体多元、权力分散的情况下，具体获取的信息范围并没有明确的规定与限制，加之疫情防控任务十分艰巨，一旦漏报、瞒报，主体将承担的责任非常严重，这使得大部分授权主体都尽可能获取更大范围的信息以求稳妥，超过必要范围收集信息的情况比比皆是。在网格化管理系统中，交通枢纽（机场、车站、地铁站）设立个人信息强制登记节点，进入辖区的人员都必须扫二维码完成信息填报。而所填报的信息往往包括但不限于：姓名、身份证号、电话号码、工作单位、来源地区、住址、紧急联系人等。这样使得信息主体所到之处都会留存其个人信息，而且范围没有限定。数据采集方式的多样和个人信息采集的广泛性也给个人隐私造成重大威胁。青岛某小区物业设计的居民信息登记表中，除了上述所列的基本信息以外，居民还要求填报民族、政治面貌、学历、婚姻状况等。这显然已经超出疫情防控的必要限度，增加了不必要的个人信息暴露风险。

2.3 信息使用目的不明确

2020年2月9日中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，明确规定为疫情防控收集的个人信息，不得用于其他用途，但对于数据保存的期限并无规定。现实情况是，各地区各部门在信息采集与披露的过程中，也少有对采集数据的目的限制性规定以及采集后数据的处理流程。例如行踪轨迹、就诊记录等信息在14天或21天后就失去了疫情防控的意义，但这些数据如何处理，删除或销毁并无规定。因此这些包含了个人隐私的行踪轨迹信息长期保留并不符合疫情防控的目的。疫情期间采集的个人信息后续如何处理，只有云南省等少数地区给予了明确答复，绝大多数地区与部门均未明确说明。

另外，涉疫个人信息的采集主体不仅包括疾控部门、医疗机构等公共主体，还包括了电信运营商、互联网公司、个体经营者等。互联网公司通过其APP，个体经营者通过扫二维码登记而获取的大量个人身份信息、行程记录等为了疫情防控需求而填报的数据，面临着非法商用或者被倒卖的风险。这是当前技术层面隐私政策、加密措施不完善所致，更是涉疫情个人信息使用目的不明确的漏洞所致。

3 后疫情时代个人信息公开与保护的路径选择

3.1 构建多方协作的信息治理生态，明确各方权责

（1）不同主体设定不同权限

在重大疫情期间的网格化管理中，由于信息收集权限不明和信息广泛共享，使个人信息遭泄露的风险增加。因此设定明确的责权范围，是对涉疫情个人信息保护的基础。2020年2月中央网信办《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第1条即明确，除法律、行政法规授权的机构外，其他单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意使用个人信息。根据上述规定，有权收集发布公民个人信息的主体包括政府机关；医疗机构；社区基层组织；承担特殊社会职能的相关部门与企业组织（如电信运营商、互联网公司、交通运营部门等）；常态化疫情防控报备部门，如信息主体的工作单位、公共场所等。

上述主体对信息控制的权限递减：政府机关作为疫情防控统筹部门，职责包括政策、命令、决定的发布与调整，统筹疫情监测与排查，其在涉疫情信息控制中享有最大权限，掌握和使用的信息范围最广，因而其信息控制责任也需最为严格。而医疗机构承担救治职能，在其履职过程中接触到患者的医疗健康信息，这涉及个人隐私保护职责。其他三类主体职责包括登记、排查、核实、报送等。其职责的履行应以授权的辐射范围为依据，遵循最小限度原则，并明确具体的信息收集控制范围与方式。

上述几类主体，因其自身性质与信息收集职能不同，在信息获取的方式上也存在差异。其中基层社区、村委会、居委会因其授权的层级较低，对信息的使用限制也应当更多，如不应当通过共享获取个人信息、不得对其自身的权限进行转授权等。而承担信息收集、数据分析等职能的企业，因其自身具有数据市场化能力，因此应严格控制，附加更重的义务，例如不得对信息做出与疫情防控目的不符的再利用，避免借疫情防控收集个人信息，带来巨大风险。

另外，也可采用分散型信息收集方式。可视主体权限不同，对其收集的信息加以区别，并分段脱敏、去识别化，再汇总到本地区疫情防控行政机关。例如，社区收集的信息只统计信息主体的住址、联系方式；交通运营部门（铁路、民航）只统计主体姓名、联系方式，乘坐班次，而不涉及其他。通过分散主体收集信息的内容与范围，可在一定程度上减弱个人信息的识别性、进而降低个人信息被泄露、滥用的风险。

（2）整合个人信息采集平台，形成各方协同框架

各部门、各地区之间的信息壁垒限制了个人信息的收集与利用，也影响了疫情的预测的及时有效性。各地各部门要求居民注册申领电子健康码，在信息主体到达特定区域、交通枢纽、公共场所时进行扫码，完成信息采集。这是常态化抗疫的基本措施，对疫情防控有研判预警作用。但不同地区所依托的平台不同，各平台之间不能实现互通，往往需要重复申领，实际上各平台所收集的信息大同小异。为减少重复收集、无序使用，疫情防控指挥部门应统筹规划。在此过程中就需要形成政府、企业及其他组织建立协同框架，形成协同机制，构成数据治理的生态系统，提升政府的数据治理能力。并由政府主导，依托先进技术，制定统一标准，统一存储格式，从源头上规范个人信息的采集，消除地区、部门与层级间的信息壁垒，缩小与消除信息鸿沟，实现个人信息的顺畅流通与共享。

3.2 明确信息使用的目的与标准，增强信息使用的公开透明

（1）明确信息使用目的与标准

结合2020年下半年至2021年上半年东北地区、2021年上半年江苏、湖南等地的防疫情况，可得出结论：后疫情时代具有周期性、区域性和基础性全民防疫并行的特征。具体来说，每年年底至次年年初疫情较为严峻，具有周期性特征；疫情在个别省区集中爆发、预警升级并在本区域内全区抗疫；而在非涉疫地区则持续稳定开展基础防控工作。此种情况下需要重新考量疫情防控需要与个人信息保护的协调与平衡问题。区域性疫情防控环境下，个人信息的公开与使用需要更加明细，而非更广的范围。针对以往疫情防控中个人信息使用目的不明确、无统一标准的问题，疫情防控指挥部门应统筹制定常态化疫情防控之下的收集、存储、使用和公开的标准与规范。遵循目的限制原则，根据不同信息使用主体的职权，明确该主体收集使用信息的目的，以此为依据划定信息收集的范围。相关信息使用主体遵循最小必要原则，按照授权权限控制访问级别。

不同信息使用主体具有不同的信息控制目的，继而获得不同的授权适用范围。而在不同授权主体实现信息共享时，也应明确共享目的，限定并细化具体的疫情防控目的。同时，不同授权主体之间的信息共享应避免全面无差别的共享，应根据授权主体的信息控制目的，提出不必要、不应共享的信息，例如医疗机构、疾控中心与公安机关共享信息时应剔除彼此不必要的信息（如人脸、指纹等生物识别信息等）。

疫情防控期间收集的个人信息，其最终去向有两个路径：遗忘与再利用。根据数据控制的基本原则以及相关立法，信息主体对其信息的最终去向有决定权。因而在疫情防控结束之后，各授权主体应对收集的个人信息进行安全处置，保护个人隐私，避免信息泄露。

（2）增强信息使用阶段的公开透明

这主要是在信息收集、使用与公开阶段，围绕知情同意原则而展开。信息披露是满足公众知情权的重要乃至唯一手段，应当在保护信息安全的基础上做到公开、透明。公开透明原则首先要求告知个人信息主体收集、使用、公开信息的目的、方式、范围、内容。相关法律赋予政府疫情防控部门、医疗机构以及其他授权主体在疫情防控背景之下不经主体同意收集其个人信息的权力，但这一权力应有边界。告知是信息主体知情权的重要组成部分，也是信息控制主体应履行的义务，在此也是对信息控制主体的约束。另外，公开透明原则要求以明确、直观、简单易懂的方式向信息主体告知，避免因公众的恐慌、猜忌而给信息主体带来在再次伤害。

在明确主体权责、整合采集平台、对不同授权主体分散授权的基础上，更加细化“明示告知与个人授权”的具体规定及平台责任，使信息主体能够了解到有谁访问了其数据，对自己提供的个人信息拥有决定权。这一规则，在后疫情时代，面对疫情防控常态化的必要信息公开与个人信息保护的双重保护显得尤为重要。

3.3 限定信息公开的范围，不同类别信息分层保护

这个问题主要围绕最小必要原则展开，基于这一原则，授权主体在收集与公开个人信息时应采取对信息主体损害最小的方式进行。

首先，公开的内容要尽量限定在最小范围。对于涉疫情个人信息可以有选择性地公开。例如确诊病例详细住址进行公开，可精确到小区单元、楼层；其行踪轨迹非常详细；但疑似病例、密切接触者等其他人员的个人信息是否公开、详细程度如何，要视疫情防控的需要而定，此处即为最小必要原则的要求。同时，可建立向特定相对人公开制度，以限制个人信息公开的范围。以往发现确诊病例后，疫情防控部门会公布其行踪轨迹信息以寻找密切接触者。可参考英国健康保护机构Health Protection Agency在2010年防控脑膜炎疫情中所采取的措施，采取更加直接有效的方式，选择地向相对人发送的模式。即根据确诊患者的行踪轨迹，根据此时此地在此扫码注册登记的信息、第三方支付平台的支付信息，直接与信息主体取得联系，从而大大降低信息公开潜在的风险。

其次，基于疫情防控需要收集的个人信息，还要进行去识别化处理。去识别化是对个人信息进行技术处理，使其在不借助其他信息的情况下，无法识别到信息主体的过程。去识别化实质上是有效屏蔽了数据中所包含的人格权属性的成分，将信息与特定个人之间的关联实现阻断，从根源上降低隐私风险的同时，保留信息利用的价值，从而可以安全合法进入信息流通领域，实现信息的合理利用。个人信息的去识别化是实现政府信息公开与公民个人信息利益保护之平衡的有效手段。无论涉疫情个人信息的公开或是疫情之后的数据共享，均应坚持去识别化原则。

另外涉疫情个人信息不仅包含个人基本信息，还包括个人敏感信息，这两种信息的控制手段保护力度应有差异。根据疫情防控要求授权主体除了对姓名、电话号码、身份证号、住址等基本的个人信息进行收集之外，对GPS定位、行踪轨迹、生物识别信息以及健康医疗信息使用的都很频繁。此类信息在立法上与实践中均被划为敏感信息，其一旦泄露风险极大，会导致个人名誉、人格尊严乃至人身安全受到严重损害。事实上个人信息的敏感程度可进一步细化为不同等级。根据不同等级制定不同的管理规程，包括保密范围、授权范围、授权流程、责任追究机制等，不同级别对应不同的保护力度。