重大疫情防控中个人信息保护研究

□文/郑阔实

（中共吉林省委党校 吉林·长春）

［提要］ 随着个人信息对重大疫情防控工作的支撑作用愈发凸显，如何在合理利用个人信息开展疫情防控工作的同时确保个人信息安全已成为一道亟须破解的治理难题。本文引入信息生命周期理论，主张在个人信息生命周期中的不同阶段，根据疫情防控工作实际制定相应的策略和技术手段，从而实现个人信息的规范性管理，确保个人信息安全，推动疫情防控工作顺利开展。

个人信息的合理利用是重大疫情防控中政府决策的基础，但涉疫情相关个人信息泄露事件却多发、频发，不仅会暴露个人信息主体隐私，造成社会歧视，也会引发公众对数字监控社会的忧虑，导致公共利益与个人权利的紧张冲突，影响疫情防控效果。因此，须依法严格保护公民个人信息安全，避免出现个人信息滥用、泄露事件。

一、信息收集阶段——规范个人信息收集行为

根据《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》等相关法规条例的规定和数字化疫情防控工作开展的现实需求，从事疫情防控、疾病防治的相关部门可收集个人信息用于疫情防控工作。这意味着，信息收集主体可不经公众同意采集疫情防控相关的个人信息，被前置为信息生命全周期保护第一道关口的“知情-同意”原则失效，传统“知情-同意”框架被架空，基于这一原则框架构建的个人信息保护机制失灵。因此，信息收集主体应更好履行贯穿信息收集阶段的安全保障义务，缓解公共卫生安全与个人信息权益冲突，防止个人信息权益受到侵害。

（一）在个人信息收集主体方面，应进一步明确有权收集涉疫情相关个人信息的部门、机构、单位，避免非法收集带来的信息安全风险。目前，被法律、行政法规明确授权可收集个人信息的主体主要分为四类。第一类是县级以上人民政府及其有关部门（卫生行政部门），按照《突发事件应对法》第三十七条第二款和第三十八条第一款规定，县级以上人民政府及其有关部门可在疫情防控过程中建立信息系统并收集个人信息；第二类是疾病预防控制机构，主要指从事疾病预防控制活动的疾病预防控制中心以及与上述机构业务活动相同的单位，根据《传染病防治法》第十八条第二款规定，各级疾病预防控制机构在传染病预防控制中应收集、分析和报告传染病监测信息，那么其也应享有收集个人信息的权利；第三类是医疗机构，根据《传染病防治法》第十二条规定，公民必须接受医疗机构有关传染病的调查、采集样本等控制措施，因此医疗机构也具有采集个人信息的权力；第四类是各地各级人民政府在其制定的“突发事件应急预案”中授权的单位、组织和个人，主要包括公安部门和街道、乡镇以及居民委员会、村民委员会等基层一线工作人员等，“突发事件应急预案”中被授权的单位、组织和个人亦可收集个人信息。综上，目前法律、行政法规明确授权的个人信息收集主体主要包括县级以上人民政府、卫生行政部门、疾病预防控制机构、医疗机构、公安部门、基层工作人员等，其他单位、组织和个人均不可在未取得个人信息主体同意的情况下收集个人信息。但在已开展的疫情防控实践中，个人信息收集主体除上述四类外，至少还包括地方教育部门、电信运营商、互联网公司、交通运输企业、小区物业等，超出当前相关法律法规授权范围，信息收集主体比较多元，为实现抗疫工作打下坚实基础。因此，为满足疫情防控实际需要，在个人信息收集方面，这些部门、机构、单位在合理性基础上是否赋予其合法性，对信息收集授权主体适当扩容，需得到进一步明确。

（二）在个人信息收集机制方面，应构建防疫部门间的信息共享机制，避免多头采集、交叉收集带来的信息安全风险。从以往的疫情防控工作实践来看，大部分部门都使用了“自下而上”的信息收集模式，也就是由一线防疫工作人员收集涉疫情相关个人信息，然后逐级逐层上报、汇总。而这种逐级逐层上报的信息收集路径，随着传递环节越多、经手人员越杂，个人信息泄露和失真的风险也会越大。并且从所收集信息的内容来看，个人基本信息已经在公安、民政等部门实现了存储和集中，个人健康信息由卫生行政部门、医疗机构掌握，个人行动轨迹信息也可在电信、交通等部门实时生成，以上信息均可通过共享来获取，无需再次收集。可见，多头采集、交叉收集带来了大量的信息冗余和无效收集，不仅严重降低了疫情防控的效率、浪费了社会资源，还增大了信息安全风险。因此，通过构建防疫部门间的信息共享机制，打破由信息割据局面导致的合作壁垒，来提高个人信息收集的有效性、安全性和疫情防控效率是非常必要的。如，建设统一收集、存储个人信息的国家级平台，将各部门所掌握的碎片化信息接入平台，实现个人信息在平台层面的集中和统一，同时最新采集、登记的个人信息亦可直接进入数据库进行补充和修改，确保涉疫情相关个人信息的准确性和时效性，并由国家级卫生行政机构负责信息的日常统计和管理，如此既可避免因收集主体过多造成过度收集或重复收集，也可极大地降低数据收集阶段个人信息被泄露、滥用的风险。

（三）在个人信息收集范围方面，应在“比例原则”的限制下、“目的明确”的基础上做到“最少够用”，避免过度收集带来的信息安全风险。

目前，对于在重大公共事件情况下收集个人信息的范围，相关法律、行政法规并没有明确规定。但在中央网信办于2020 年2 月发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中，规定收集涉疫情个人信息应参照国家标准《个人信息安全规范》。因此，按照全国信息安全标准化技术委员会于2020 年3 月制定、2020 年10 月实施的《信息安全技术个人信息安全规范》中对于个人信息的界定，姓名、身份证件号码、个人生物识别信息、行踪轨迹、住宿信息、健康生理信息、十四岁以下（含）儿童的个人信息等个人信息在疫情防控工作中均可被收集。这是个人信息收集范围的上限，至于更具体的可收集的个人信息的对象以及内容、项目，需根据疫情防控工作开展的实际需要，在满足“目的明确”的基础上，坚持“最少够用”原则来确定，以此减少可能导致的负面影响。其中，比例原则是对疫情防控工作中个人信息收集正当性的考量，可协调和平衡公共利益和个人信息权益之间的冲突和矛盾，在《突发事件应对法》第十一条、《个人信息保护法》第六条、《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中均被认可为个人信息处理应遵循的重要原则，以此更好地处理公权力行使与个人信息权利之间的协调关系。比例原则要求在疫情防控期间，个人信息收集应当具备合目的性、强关联性、手段适宜性，并做到损失最小。需要特别注意的是，比例原则是可以根据疫情防控工作的实际需要进行调整的，以便在公共利益与个人权益之间保持动态平衡。目的性原则是对收集信息内容与其目的之间关联性的考量，是指个人信息在被信息收集主体收集之前，就必须有明确的使用目的。这在《网络安全法》第十一条、《个人信息保护法》第六条和第二十八条均有明确规定，这意味着，疫情防控工作中的个人信息收集活动要受到特定使用目的的限制，否则信息收集活动就是非法的。因此，疫情防控工作中所收集的个人信息必须且仅能用于疫情防控、疾病防治，不得用于其他用途，避免造成其他不可预测的安全风险。并且个人信息收集内容必须与“疫情防控、疾病防治”这一目的“直接相关”，即没有这些个人信息的参与，疫情防控工作将无法开展。至于如何判断个人信息中哪项内容与疫情防控工作“直接相关”，应当采取非常严格的标准在限定的信息收集对象中确定，实现处理目的所必要的最小范围，做到个人信息收集的“最少够用”，避免因过度收集信息导致个人信息泄露、篡改、丢失风险增加，降低安全保障成本。在未来工作中，可考虑在上述原则基础上，进一步制定具体操作指南。

（四）在个人信息收集技术方面，要慎重使用新技术、新应用进行个人信息收集，避免技术漏洞带来的信息安全风险。疫情初期，人工纸质收集方式虽然泄露风险较高，但因其收集的信息数量有限，发生泄露的后果影响也较小。而当前，随着数字化技术对疫情防控工作的应用广度和深度逐步增加、支撑作用愈加明显，信息收集主体可凭借数字技术有效提升自身的信息收集能力，越来越多的数字化应用被开发并应用于个人信息收集，虽然这些数字化应用泄露的风险较小、安全性较高，但因其储存了大量甚至海量的个人信息，一旦泄露，影响会非常严重。因此，要慎重使用新技术、新应用进行个人信息收集。并且一些信息收集的数字化应用本身的安全性也是欠缺的。比如，一个单位机构仓促推出的用于登记追踪的小程序，本身安全防护不到位或不遵守隐私政策，安全性、可靠性没有保障，势必会对个人信息安全造成威胁。再比如，当前被部分技术专家所推崇的蓝牙方案，通过手机蓝牙的低功耗广播及短距离通信特性去追踪密切接触者，这一方案是否会造成个人信息的泄露还需进一步探讨和实践。

（五）在个人信息收集程序方面，应遵照正当程序原则约束收集流程，避免程序不当带来的信息安全风险。虽然个人信息收集在疫情防控情境下不受“知情-同意”原则制约，信息收集主体对个人信息的收集不需要以公民同意为前提，但“无需个人同意”并不意味着个人信息主体没有对其个人信息使用情况的知情权，信息收集主体依然需要依据《民法典》第一千零三十五条、《个人信息保护法》第十七条向个人信息主体履行告知义务，包括个人信息的处理目的、处理方式，处理的个人信息种类、保存期限等事项。在收集保护主体安全能力方面，还需提升信息收集主体的信息安全意识和水平，避免信息收集主体能力不足带来的信息安全风险。由于当前信息收集主体过多，其信息安全能力和水平往往参差不齐，在以往的案例中，经常可见信息收集主体对当前个人信息保护规则了解不够、理解不足，信息保护意识不强，对新技术使用能力不足，甚至强制收集、随意处置个人信息的不当行为，这些现象都需要通过培训、教育等方式提升信息收集主体的信息安全意识和能力来避免。

二、信息公开阶段——提升个人信息脱敏处理实效

公开患者行踪轨迹信息是疫情联防联控工作的必要手段，也是满足社会公众知情权的重要方式，但个人行踪轨迹信息亦属于个人信息，亦应受到保护。按照2020 年2 月中央网信办发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》要求，因联防联控工作需要公开的个人信息，需经过脱敏处理，否则不得在未经个人信息主体同意的情况下公开个人信息。数据脱敏是当前在信息公开阶段保护个人信息安全广泛采用的数据处理技术手段。数据脱敏是指在不影响数据分析准确性的前提下，对原始信息中的敏感字段进行替换、删除、加密等操作，从而降低原始信息的敏感性，主要包括假名化、去标识化和匿名化三种技术手段。假名化是指用新生成的字符代替原来的直接标识符，使得处理后的信息在不借助其他信息的情况下无法识别个人信息主体。目前，假名化技术虽在实操层面已经普遍使用，但我国个人信息相关法律法规并未对假名化处理后的个人信息进行规制。去标识化也是在信息公开环节维护个人信息保护权益的重要技术，主要指通过信息技术手段切断信息主体和信息内容的连接，在不借助其他辅助信息的情况下，处理后的信息不能再识别出信息主体，从而有效保护个人信息主体的权益。在《个人信息安全规范》和《个人信息去标识化指南》中详细阐述了个人信息的去标识化技术手段。去标识化的目的虽然是使得个人信息主体无法被识别，但信息处理者自身依然保留着重新识别个人信息主体的能力，其他信息接收者间接识别的情形除外。匿名化则是指即使结合其他信息也无法识别个人信息主体的信息处理方式，不但其他信息接受者无法还原信息，信息处理者自身也无法还原个人信息，《网络安全法》第四十二条和其配套国家标准《个人信息安全规范》均明确了匿名化的不可复原性。与假名化和去标识化不同，匿名化处理后的“个人信息”不再具有个人信息属性，不受个人信息保护相关法律规制。基于以上分析，本文认为在疫情信息公开阶段，应选取去标识化手段进行脱敏，结合疫情防控工作的实际需要做好个人信息的去标识化处理，提升个人信息脱敏处理实效。如，除行动轨迹之外的其他个人信息均可做技术性处理以充分实现去标识化，虽然长时间的行踪轨迹具有识别性，但其是公众判断自身是否为密切接触者的关键，即使结合其他信息可以识别个人信息主体，也不应做技术性处理。

三、信息删除阶段——疫情应对结束后删除个人信息

根据信息生命周期理论，信息在完成其使用目的、失去价值后应被删除、销毁。涉疫情相关个人信息也不例外，在完成联防联控工作需要后也应进入删除阶段，信息处理者需按照相关法律、行政规定或个人信息主体意愿完成涉疫情个人信息的删除工作。多部法律法规已对此项工作做出明确规定，如《网络安全法》第四十三条、《民法典》第一千零三十七条第二款、《个人信息保护法》第四十七条、《未成年人保护法》第七十二条第二款等均规定个人信息主体有权请求信息处理者及时删除其个人信息。相应的，《个人信息保护法》第四十七条、《征信业管理条例》第十六条第一款、《电子商务法》第三十一条、《儿童个人信息网络保护规定》第二十条、《网络数据安全管理条例（征求意见稿）》《个人信息安全规范》等也规定了信息处理者主动删除个人信息的义务。依照以上法律法规，涉疫情个人信息在达成疫情防控目的后也应被删除、销毁，但执行起来却十分困难。如，当前涉疫情个人信息删除条件尚不明确，存储时限设定也不合理。对于涉疫情相关个人信息的保存时限可见于《个人信息安全规范》，该规范规定个人信息保存期限应为实现目的所必需的最短时间。此外，中央网信办于2020 年8 月发布的《信息安全技术网络数据处理安全规范（征求意见稿）》规定，突发公共卫生事件应对工作结束后，指定授权机构应停止收集、调用个人信息，并在六十天内或者国务院卫生健康行政部门规定的时限内删除。按照这一规定，疫情应对工作结束后六十天内，疫情防控所处理的个人信息应被删除。但是，疫情应对工作取得何种效果算是“结束”尚不明确，而且目前新冠肺炎疫情防控工作已进入常态化阶段，疫情防控在短期内完全结束是很困难的，未来可能长时期处于疫情防控的状态，无法达到“结束”状态，那么，涉疫情个人信息将会在相当长的时间内无法删除。并且该规定中个人信息的存储时限上限为六十天，但从疫情防控实践来看，疫情追溯一般为十四天，最多为二十一天，因此二十一天前的个人信息对疫情溯源和监测意义并不大，没有必要保存六十天。因此，应进一步明确需删除疫情相关个人信息的情形，并科学设定个人信息存储时限上限。个人信息删除在技术上也较难实现。由于当前涉疫情相关个人信息由多个部门和单位分散掌握，要实现彻底删除需多个部门协同处理，并且个人信息的复制分发成本极低，效率却极快，想要销毁所有备份是非常困难的。同时，在疫情防控工作中还大量存在手工收集、处理的个人信息，这些纸质登记该如何销毁也需进一步明确，以使得个人信息主体的权益能够以信息删除的方式得到有效保护。

此外，在信息使用阶段，信息处理者还要恪守目的限制原则，确保收集的个人信息只能服务于疫情防控工作的开展，不得挪作他用。在信息储存阶段，也要采取严密的安全措施，防止个人信息泄露、篡改、丢失，从而实现涉疫情个人信息全生命周期的规范管理，在合理利用个人信息有效开展疫情防控工作的同时，确保个人信息安全。