突发公共卫生事件中个人信息保护问题探究

大连海事大学 刘爽

随着科技的发展，大数据在突发公共卫生事件的应对治理中发挥了至关重要的作用。健康码、核酸码、流调报告、人员登记表等当前已经成为数字化精准防疫的必需品，其中包含大量联系方式、活动轨迹、就医情况、家庭背景、社会关系等个人信息，也带来了严重的违法违规风险。据不完全统计，自从2020年起，因突发公共卫生事件引发的个人信息泄露案件，已经超过几十起，涉嫌违法的主体包括个人、医护工作人员、政府部门人员等。对于公民而言，出于防控需要向国家提供个人信息是个人利益向社会利益的让步，但若泄露事件频出，会使国家公信力弱化，因此突发公共卫生事件下个人信息保护应当予以高度重视。

一、概述

分析突发公共卫生事件下个人信息保护首先需要明确的几个定义。

（一）突发公共卫生事件

根据《突发公共卫生事件应急条例》第二条：“本条例所称突发公共卫生事件（以下简称突发事件），是指突然发生，造成或者可能造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒以及其他严重影响公众健康的事件。”可见，突发公共卫生事件是关乎社会公共利益的，是与国民生命健康密切相关的。在该特殊背景下的个人信息保护不仅仅应当遵循一般原则，更应该遵循公共利益优先原则。

（二）个人信息

根据2021年颁布的《个人信息保护法》第四条：“个人信息是以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”其中“匿名化”在第七十三条作出了相应解释，是指“个人信息经过处理无法识别特定自然人且不能复原的过程。”该规定相较于之前《网络安全法》《民法典》对“个人信息”的定义，结合了欧盟《一般数据保护条例》，进一步扩大了“个人信息”的范围，更有利于公民个人信息的保护。

（三）个人信息与个人隐私的区别

值得注意的是，个人信息并不完全等于个人隐私。根据我国《宪法》及《民法典》，公民享有一系列个人权利，其中包括名誉权、言论自由、财产权、生命健康权以及隐私权等。

对于个人信息与个人隐私的关系，学界有多种看法，个人信息可以侧重识别到个人，个人隐私侧重不愿为他人知晓和打扰。个人信息保护除了保护个人信息主体的权益以外，还包括了规范个人信息处理的一整套制度设计，所以单纯违法收集个人信息已经涉嫌违法，不需要公开泄露。而对相关人员进行网络人肉，并公开其私密信息可能会同时侵犯其隐私权，且违反个人信息保护规定，如果产生网暴行为，还有可能会侵犯其名誉权。

二、当前突发公共卫生事件个人信息保护存在的困境

（一）个人信息保护法律体系不够完善

突发公共卫生事件下的个人信息保护对公权力与私权利的平衡提出了更高的要求，以“告知同意”要求为例，根据一般原则，处理个人信息应当以取得个人同意为前提，但突发公共卫生事件等例外情形下，该要求可被豁免，政府及其指定机构也需承担相应的安保责任。因此需要完整具体、可操作强的法律体系对个人信息进行统一的规范保护。目前，我国《网络安全法》《数据安全法》《个人信息保护法》《传染病防治法》等法律以及《突发公共卫生事件应急条例》《深圳经济特区数据条例》《上海市数据条例》等法规均对突发公共卫生事件防控背景下的个人信息保护作出了特殊规定，虽然可以初步应对个人信息的保护问题，但仍暴露出相关规定碎片化、分散化的问题，各部门法规之间衔接性不强、适用标准不一致的弊端，且存在以下问题：

1.信息收集权利主体不明确，法律规定间存在冲突

当前，我国法律对于突发公共卫生事件下信息收集主体尚未作出明确、统一的规定，造成不同规律法规之间存在矛盾冲突，信息收集主体混乱。根据《传染病防治法》第二十条和第三十三条，仅县级以上人民政府以及疾病预防控制机构被赋予了收集信息的权利，其他机构仅能通过授权或者指定的形式获取该权力。而《突发公共卫生事件应急条例》第四十条规定传染病暴发、流行时，街道、乡镇以及居民委员会、村民委员会也有协助卫生行政主管部门和其他有关部门、医疗卫生机构进行信息采集的权力，但其并不属于《传染病防治法》中的授权主体，法律条文间的矛盾造成信息收集过程中主体不明、权力冲突问题，给信息收集的实践过程增加了困难。

2.个人信息收集方式缺乏统一规定

面对严峻的突发公共卫生事件，每天都有大量的个人信息通过各类渠道被收集汇总，但是现有法律法规并未对个人信息收集方式作出统一规定，实践过程中各级政府信息收集的方式各不相同，具有随意性，也因此增加了个人信息泄露的潜在风险。例如，工作人员为了寻求便利在收集和传递信息的过程中选择微信等方式，造成包含公民个人信息的聊天记录截图在微博、朋友圈等社交媒体被广泛传播，侵犯公民权利的案件多次发生，给相关人员的身心造成伤害。

3.收集后的个人信息保存与处理不规范

对于收集后的海量个人信息，我国采取粗放型的管理模式，对个人信息的保存与处理没有规范性措施，缺少应对突发公共卫生事件的专门性信息管理系统。突发公共卫生事件下的个人信息采集多数依赖于人工方式的原始数据采集、录入、汇总、分析和上报，个人信息在各个环节的保护更多考验的是操作人员的自觉性和职业操守，因此明确个人信息保存处理的规范措施显得十分必要。而现实是收集上来的大量个人信息不加区分被当作普通工作资料与其他工作资料混合管理，忽略了个人信息相较于其他信息的特殊性、重要性，造成个人信息在保存处理过程中发生泄露。

（二）数据收集存在“去隐私化”“去标识化”问题

根据《信息安全技术个人信息安全规范》规定，个人收集者应该通过对个人信息的技术处理“使得个人信息无法被识别或者被关联，且处理后的信息不能被复原”或“使其在不借助额外信息的情况下，无法识别或者关联个人信息”。在防控过程中，各级政府借助包括大数据在内的现代科技手段掌握公民个人信息，对疫情防控的应对水平不断提高，但同时大数据技术的应用也导致“去隐私化”“去标识化”问题出现，比如未经个人允许的情况下暴露特定地区及人员的隐私信息，以及政府对个人信息的过分收集。

2021年两会期间全国人大代表曾力群表示，在突发公共卫生事件防控中，个人信息被过度处理或泄露的情况时有发生，造成部分相关人员遭受网络暴力的伤害。建议加强对防控中个人信息被过度处理或泄露的监管，规范个人信息公开内容、范围。依法追究个人信息被过度处理或泄露的组织或个人的法律责任。可见我国当前信息收集中隐私暴露问题严重，为民众所困扰，“去隐私化”“去标识化”水平偏低，信息泄露后很容易对相关人员造成舆论上的二次伤害，应当予以重视。

（三）信息收集与使用缺乏有效监管

突发公共卫生事件背景下，个人信息收集、使用的过程主要涉及的主体有三方，包括行政机关、企业与个人。其中，行政机关除了各级疾控机构，还有经授权的基层管理组织等。而企业方面则除了指定机构以外，其他任何组织、个人均无权处理涉疫相关个人信息。但是现实实践中，出于防控需要，很多未经法律授权的主体也在行使着信息收集的权力。如商场、电影院、饭店等场所，会主动收集其员工、顾客的姓名、电话、住址等个人信息。在突发公共卫生事件中私权利确实需要向公权力让度，但是复杂而繁多的信息收集主体给公民个人信息安全造成了威胁，然而现行法律却未将该类主体纳入监管的范围，也未对其权利与义务作出明确规定，在法律放任状态下权责不统一、权力被滥用现象频出，导致近年来个人信息侵权案件屡屡发生。

此外，由于缺乏完善有效的监察机制，行政机关在行使法律授予的职权过程中存在违反法定程序，滥用权力的行为。虽然《传染病防治法》等法律规定了行政机关不得随意泄露涉疫人员相关隐私信息、资料，但在实际操作中仍存在个别行政机关工作人员滥用职权，超越法定权限，随意对外传阅内部文件或非法公示在疫情中所收集的个人信息，严重侵犯了个人信息安全。如2020年1月发生在湖南省益阳的案例，涉疫人员章某及其亲属的个人信息以病例调查报告的形式出现在多个居民住宅小区的业主微信群，对章某在内的11人造成了恶劣影响。经调查，系益阳市某区卫健局副局长舒某通过微信群转发属于内部工作文件且涉及多人隐私的调查报告给无关人员，造成信息泄露并传播，侵犯了公民权利且带来严重的社会影响。

三、突发公共卫生事件个人信息保护问题解决对策

（一）完善突发公共卫生事件中个人信息保护的法律体系

1.明确信息收集主体，完善相关法律

对于现有法律条文中的冲突，可以遵循法律冲突解决的一般原则，作出相应的调整修改，形成完善的突发公共卫生事件下个人信息保护的法律体系。

如前文提到的《传染病防治法》和《突发公共卫生事件应急条例》中对于信息收集主体的不一致，由于《传染病防治法》作为法律属于上位法，应当以该法律为准，对下位法《突发公共卫生事件应急条例》进行补充修改，明确只有经过县级以上人民政府以及疾病预防控制机构授权或指定街道、乡镇以及居民委员会、村民委员会才有权作为信息收集主体。

2.统一信息收集方式

对于现今随意性的信息收集方式应当通过立法予以完善，同时对于收集对象、收集范围等实践性问题也有必要在突发公共卫生事件防控背景下个人信息保护的特殊规定中做进一步明确，使个人信息收集真正做到“有法可依，有法必依”，为个人信息收集提供法治保障，真正保护人民的切身利益。

同时在个人信息采集过程中应该遵循“最小化”原则，即能不收集就不收集，能少收集就少收集，能不收集个人敏感信息就不收集个人敏感信息，从源头上将个人信息泄露的风险降低。

3.规范收集后的个人信息保存与处理

为了满足防控需要，采集后的公民个人信息一般会由很多工作人员经手分析调查。以流调报告为例，流调溯源组接到卫生检测机构的信息后，会立即安排相应的工作组赶赴现场进行现场流调。现场流调结束后4小时完成首次流调核心信息上报，第一时间将病例核心信息推送给公安系统核查确诊病例在一定时间范围内的活动轨迹。流调工作人员根据前期流调结果尽快摸清楚能够核查到密接的基本信息，将信息及时推送给市级卫健委，市卫健委按照密接所在县区分配到辖区卫健委落实管控。由于整个过程涉及众多部门，工作人员操作缺乏规范性，且目前对个人信息储存、使用、公开、销毁的管理上都存在漏洞，导致信息泄露可能性增加。当务之急是加速相关立法，细化从收集到销毁所有环节的处理规定，为收集后的个人信息规范化管理提供法律上的指引，进而更安全、妥善地管理公民个人信息，降低信息泄露风险。

（二）对特定个人信息进行“匿名化”“去标识化”处理

作为信息处理与保护的必要技术措施，个人信息“匿名化”和“去标识化”技术通过数据符号替代了个人信息的标识，使得个人信息满足《信息安全技术个人信息安全规范》中无法被识别或者关联的要求。通过“匿名化”“去标识化”处理过的个人信息大大降低了被识别或者被复原的风险，契合了我国《民法典》第一千零三十八条的规定以及《个人信息保护法》的相关规定，不仅保障了个人的信息安全，也实现了突发公共卫生事件下的公众知情权等公共利益，从而解决了个人利益与社会利益的对立问题。

（三）建立有效的个人信息保护监督机制

1.明确监管对象

根据《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第一条规定“各地方部门要高度重视个人信息保护工作，除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集人同意收集使用个人信息。法律、行政法规另有规定的，按其规定执行。”但现实中从各级政府到菜市场、电影院等公共场所，个人信息收集主体多元而复杂，且缺乏有法有效的监管。明确监管对象是实现有效监管从而为个人信息保护提供保障的第一步，因此有必要在现有法律基础上，结合现实需要进一步明确监管对象，扩大监管范围，并对非法收集、传播个人信息应承担的侵权责任与处罚措施作出规定，做到权责一致、错责相当。

2.构建监察体系

突发公共卫生事件中的依法行政不仅离不开行政机关的自觉履行，还需要建立完善的监察机制，依靠内外部多层监督的力量，才能让权力在阳光下运行。首先，立法机关即各级人大及其常委会应当依法履行监督职责，认真听取审议政府的专项报告，对人民群众关切的事项进行调查问询，督促行政机关依法行政；第二，各级人民政府要发挥内部监督的作用，同级政府之间以及上下级之间相互监督，及时发现个人信息收集、使用过程中的违法和不当行为，并迅速作出调整和纠正；第三，司法机关要为个人权利被侵犯的公民提供救济手段，对个人信息侵权案件作出公正审理，落实侵权责任；最后，还要发挥新闻媒体和社会公众的力量，依靠其广泛性、标志性、启动性的特点，保障行政机关合法合理地收集使用个人信息，切实保障人民的权利与利益。