文 | 天元律师事务所 施榆佳 朱腾飞
编者语
虽然我国《网络安全法》《消费者权益保护法》《电信和互联网用户个人信息保护规定》等法律法规、《信息安全技术 个人信息安全规范》等国家标准都明确提出了个人信息保护要求，但关于突发公共卫生事件与个人信息保护之间的具体关系，前述法律法规、国家标准中的评估依据和标准仍有待细化。本文旨在初步探讨突发公共卫生事件与个人信息保护之间的复杂关系，文中很多时候亦是在提出问题，并无确切答案，在实践中也可能存在争议，请读者见谅。
一个突如其来的2019-nCoV病毒，搅扰了2020的第一个假期，在这场疫情防控战中，大数据的作用初现端倪，但是在个人信息的收集、保管、公开过程中，个人信息泄露事件却频繁发生，被泄露的个人信息在网络公开传播，对被泄露者的个人生活、安全引发极大安全隐患。
一、大数据在疫情中的应用场景
在数字时代，ICT技术在监测和防控疫情的传播过程中发挥了重要作用。根据中国互联网络信息中心（CNNIC）第44次《中国互联网络发展状况统计报告》显示，截至2019年6月，我国互联网普及率达61.2%，网民规模达8.54亿，其中手机网民规模达8.47亿，网民使用手机上网的比例达99.1%，手机和App已成为绝大多数人的生活必备品，电信运营商和各大互联网公司等事实上掌握了大量公民的个人信息，上述信息经过处理、汇总、分析后，可形成人群聚集热点分布以及人群跨区域流动等信息，对疫情发展预测分析、医疗资源调度等，提供了重要帮助。
数据统计截至2019年6月[1]
相较于传统的走访、摸排、登记，将信息技术和大数据分析运用于传染病防控和监测，确实更加及时、准确、有效，但与此同时，个人信息被违法违规收集的问题也随之而来，强制授权、过度索权、超范围收集、非法公开等事件频发，网络上出现多起以寻找确诊病例密切接触者为由公布他人员姓名、手机号码等个人信息，甚至是户籍信息、身份证号码、住宿信息等个人敏感信息的事件，对当事人造成了各种不良影响。因此，做好疫情防控和个人信息保护间的平衡至关重要，中央网络安全和信息化委员会办公室也于2月9日公开发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，提出了疫情防控工作中对于个人信息保护的明确要求。
根据我国法律规定，疫情防控中，一般认为有如下部门和机构有合理预期的收集、使用、加工、传输、公开个人信息的可能：
1、国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构，如：卫生行政机构、医疗机构、疾病预防控制机构处理患者及家属信息、疑似病患、家属信息、医护人员信息；
2、各级政府部门授权街道、社区对个人健康信息的申报登记；
3、航线、班次上，在飞机、火车等交通运输过程中的信息登记；
4、部分企业利用所掌握的信息进行大数据分析进而为疫情防控工作提供支持，如：疫情态势研判、疫情防控部署、对流动人员的疫情监测等；
5、受捐赠机构接受捐赠时获取的捐赠者的个人信息（如其选择未匿名）；
6、企业复工时，企业要求员工提供的个人信息的申报；
7、其他经合法授权进行的个人信息处理行为。
个人信息收集示意图
二、个人信息保护相关案例分析
案例一
2020年1月29日，姚某擅自将微信内部工作群中严禁转发的“35名密切接触者名单”（名单涉及姓名、身份证号码、家庭住址等个人信息）转发至其小区业主微信群中，引发网民大量转发。公安机关于2020年1月31日，依法对姚某红作出行政拘留5日的行政处罚决定。[2]
此案例说明，即便是在疫情防控的殊时期，应该受到法律保护的个人信息也不该被别对待别对待。反而，越是紧急状态，越需要加强对数据隐私的保护，否则，一方面，泄露的个人信息可能会被非法利用，给当事人带来人身或财产损失；另一方面，也可能会引起公民不必要的猜疑和恐慌。我们建议，在确有必要的情况下，可以针对疫情防控具体需求，在对数据进行脱敏处理后方可使用，减少不必要的对公民个人权益的损害。
案例二
2020年1月22日，蔡某的母亲从武汉来杭州探望女儿，母女俩没有上报也没有居家隔离，还于1月26日下午去某商场购物。1月30日，母女俩被确诊为新型冠状病毒感染的肺炎。经公安部门调查，房东钟某明知蔡某母女为重点疫区来杭人员，却未履行主动报告职责，造成一定后果，已涉嫌违法，且情节严重。公安机关依法对房东作出行政拘留5日的行政处罚决定，对蔡某母女可能涉嫌的违法行为，公安机关还将根据有关法律作进一步调查处理。[3]
此案例说明，虽然个人的健康生理信息属于个人信息甚至是个人敏感信息，但当公共安全与个人隐私权发生冲突时，首先还是需要考虑公共安全，因为公共卫生安全涉及到的是千家万户的安全，这个理念在《政府信息公开条例》中也有体现：对个人隐私，当行政机关认为不公开会对公共利益造成重大影响时，就应该予以公开。
案例三
2019-nCoV病毒疫情爆发后，某网络运营者放地图迁徙大数据，用于反映疫情期间个城市人口迁徙情形与道路通行状况。之后又上线“新冠病例曾活动场所”专题地图，可查询2019-nCoV新型冠状病毒患者曾活动场所、小区，可供用户查询。网络运营者的行为，是否构成对用户的个人信息的违规收集、使用呢？
2020年2月9日，中央网络安全和信息化委员会办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，其中第5点指出“鼓励有能力的企业在有关部门的指导下，积极利用大数据，分析预测确诊者、疑似者、密切接触者等重点人群的流动情况，为联防联控工作提供大数据支持。”另根据《网络安全法》规定，网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。基于此，我们认为网络运营者在疫情期间，将个人行踪轨迹等个人信息经脱敏处理后，为联防联控工作提供大数据支持的行为，应被视为是合法的。
三、关键问题梳理
由前文第一个案例可知，个人信息一旦被随意的泄露、传播，可能会引发一些谣言、骚扰、个人恐慌行为，严重影响、侵害被公开个人的合法权益，所以在收集、处理、使用个人信息的过程中，信息收集者、处理者、控制者应当注意如下潜在风险点：
1、个人信息收集、处理的主体、过程是否合法？
2、有关机构、部门为情防控目的，可以收集个人信息的个人信息有哪些？
3、疫情期间，企业、个人承担何种与疫情相关主动报送义务？
4、为疫情防控目的，将掌握的个人信息用于大数据分析、追踪个人行踪是否有法律依据？
5、有关机构、部门是否有权披露个人信息？披露时需遵循哪些原则？
6、在处理个人信息数据时，应该采取哪些安全措施，避免对个人权益造成侵害？
信息收集、处理、使用示意图
针对上述问题，我们以电信运营商为例进行讨论，电信运营商将其已经掌握的个人信息（如：个人行踪轨迹）与第三方（如：政府机关、医疗机构等）共享时，可能面临如下具体风险：
1、电信运营商应当将其合法收集的个人信息，进行去标识化处理后方可提供、分享至第三方。
2、电信运营商应当确保去标识化处理后的数据的安全与保密，数据访问记录应当保留并可溯源。
3、电信运营商只能将进行分析后的数据结果进行共享，不得将无关的、具体的个人信息、个人敏感信息直接提供、分享至第三方。
四、他山之石
2018年5月25日欧盟的出台《通用数据保护条例》（GDPR），当时被称为全球“最严”个人信息保护法，明确将个人数据保护列为公民基本权利，对个人数据的主体、及主体权利：知情权、访问权、更正权、可携权、删除权、限制处理权、反对权和自动化个人决策相关权利做出了明确的规定。
GDPR第4条第11款规定，数据主体的“同意”指的是数据主体通过一个声明，或者通过某项清晰的确信行动，自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿；第12款规定，“个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问；第7条第1款规定，当处理是建立在同意基础上的，控制者需要能证明，数据主体已经同意对其个人数据进行处理。
上述规定要求，收集个人信息时需要数据主体做出“明确且清晰”的正面肯定声明，且当就此项声明发生争议时，需由数据控制者承担正面责任，证明数据主体已经同意对其个人数据进行处理。
但即便如此，对于像新型冠状病毒感染肺炎疫情这样的突发公共卫生事件，在个人同意之外，GDPR也有个合法性事由可适用：
（1）第6条第3款规定，处理的目的应当在此法律基准上进行确定，而对于第6条第1段（e）所规定的处理，处理的目的应当是控制者为了公共利益或基于官方权威而履行某项任务。此法律基准可以包含如下特定条款，以适应对本条例规则的适用：对控制者处理的合法性进行监控的一般条件；可以被处理的数据类型；相关数据主体；个人数据公开的目的，以及其可能被公开给的对象；目的限定；储存期限；包括第9章所规定的其他特定的处理情形在内的处理操作和处理程序。欧盟或成员国的法律应当满足公共利益的目标，且应当与实现正当目的成比例。
（2）第9条第1款规定，为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据，应当禁止处理；但当处理对于控制者履行责任以及行使其特定权利是必要的，或处理对实现实质性的公共利益必要的，建立在欧盟或成员国的法律基准之上、对实现目标是相称的时，第1款将不适用。
当突发公共卫生事件时，病预防控制机构、医疗机构以及相关组织仍有如下合法性事由，可以在不征得个人同意的情况下使用个人信息：
（1）为了公共利益或基于官方权威而履行某项任务；
（2）控制者履行责任以及行使其特定权利是必要的；
（3）处理对实现实质性的公共利益是必要的。
五、合规要点
虽然在突发公共卫生时，有关部门和机构为疫情防控、疾病防治，有收集个人信息的权力，每一位公民都有参与和配合的义务，且在特殊情况下，有些部门和机构收集权力的行使还具有强制性，但是，这并不意味着有关部门和机构在收集个人信息时不应受到任何规制，个人信息不应该被任何主体随意收集、持有、储存与披露，应该避免出现下述不合规情形：
1、收集对象原则上限于确诊者、疑似者、密切接触者等重点人群；
2、不具有合法授权的机构、组织，或在非合法的授权的范围内，强制收集、处理个人的健康信息；
3、以“同意”为名进行收集，但不允许不同意，名为“自愿同意”，实为“强制”的收集；
4、未经被收集者同意，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息，因联防联控工作需要，且经过脱敏处理的除外；
5、其他可能一般人的合理预期的信息处理行为。
有关部门和机构在开展个人信息处理活动时，应当严格限制信息的使用目的，加强安全保障与披露管理，注意如下合规风险：
1、信息收集阶段
a) 主体适格——仅疾病预防控制机构、医疗机构，以及直接参与到国务院和省、自治区、直辖市人民政府制定、实施的“突发事件应急预案”中的单位和个人，有权在征得个人同意的例外情形下收集、处理个人信息。
b) 选择同意——向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意。
c) 最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量，目的达成后，应及时删除个人信息。
d) 手段合理——应当告知所收集信息的使用目的和使用范围，不应以欺诈、诱骗、误导的方式收集个人信息。
e) 保障知情权—充分告知个人信息主体其个人信息被处理的相关情况，减轻个人信息主体的疑虑与恐慌。
2、信息传输、储存阶段a) 公私隔离——通过访问控制、加密、物理环境保护等方杜绝工作人员私自传播可能，做到信息的有限、受控传播。   
b) 规范流程——完善内部报告与协作机制，制定特殊时期数据传输工作的方案和预案。
c) 安全控制——传输相关数据时，应确认对方是有权获取数据的机构或个人，并采取加密传输的措施，保护信息的保密性、完整性、可用性。
3、信息披露阶段
a) 主体适格——仅国务院及省级人民政府的卫生行政部门有权向社会公开披露相关信息，一般企业无权擅自在网络上公开披露个人信息。
b) 去标识化处理——收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。
c) 公开透明——以明确、易懂和合理的方式公开处理个人信息。
4、信息销毁阶段
a) 及时销毁——目的实现后，应及时将个人信息数据从相关存储设备删除，并采取措施防止通过技术手段恢复。
总结来说，对于个人信息，需要在符合法律要求的情况下、在特定场景中、在不得损害他人合法权益的前提下，合法使用、合理披露。
附
一、个人信息、个人敏感信息及收集要求个人信息（personal information），是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人敏感信息（personal sensitive information），是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
个人信息主体（personal information subject），是指个人信息所标识或者关联的自然人。
个人信息控制者（personal information controller），是指有权决定个人信息处理目的、方式等的组织或个人。
[4]   
个人信息的收集要求：
（1）对于个人信息，要求网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则。个人敏感信息；
（2）对于个人敏感信息，要求网络运营者以经营为目的收集重要数据或个人敏感信息的， 应向当地网信部门备案。[5]
二、个人信息保护相关规定
法律法规相关规定内容举例
由此可见，在我国现行的法律制度下，自然人的个人信息受到法律的严格保护的，如果个人信息的收集者没有合法的理由或者法律依据收集、使用、加工、传输个人信息的， 在民事方面可能构成民事责任，在行政方面可能受到行政处罚，在情节严重的情况下， 甚至可能触及到刑事犯罪。
三、突发公共卫生事件时，个人信息合法使用的依据
在突发公共卫生事件时处理个人信息时，应遵循相关法律规范，在合法范围内收集、使用：
1、民事角度：自然人的个人信息受法律保护，但并非完全不可收集、使用。在一般情况下，在经过被收集者同意后，信息收集者可以在合法的范围内收集、使用、加工、传输他人个人信息；突发公共卫生事件时，人民政府、卫生行政部门、疾病预防控制机构、医疗机构等特殊部门可以在不必征得个人信息主体的授权同意的情况下，收集、使用个人信息。       
2、行政角度：在一般情况下，信息收集者不得泄露、篡改、毁损其收集的个人信息，不得偷窥、偷拍、窃听、散布他人隐私；但是，在突发公共卫生事件时，相关单位和个人有如实提供有关相关个人信息的义务，不得隐瞒、缓报、谎报，否则将面临行政处罚。
3、刑事角度：无论何种收集者、何种情况下、出于何种目的，买卖、偷窥、偷拍、窃取个人信息都是非法的，会触及刑事犯罪。
注释
[1] CNNIC第44次《中国互联网络发展状况统计报告》
[2] 中国新闻网2020年2月2日报道
[3] 浙江在线—钱江晚报2020年2月3日报道
[4] 《信息安全技术个人信息安全规范》3术语和定义
[5] 《数据安全管理办法（征求意见稿）》第三十八条
[6] 《民法典(草案)》第一千零三十四条、第一千零三十五条、第一千零三十八条
[7] 《民法总则》第一百一十一条
[8] 《网络安全法》第四十二条、第四十四条、第七十四条
[9] 《治安管理处罚法》第四十二条
[10] 《刑法》第二百五十三条之一
[11] 《中华人民共和国传染病防治法》第十二条
[12] 《治安管理处罚法》第二十五条
[13] 《突发公共卫生事件应急条例》第二十一条、第四十四条、第五十一条
[14] 《医疗机构病历管理规定》第六条
[15] 《信息安全技术个人信息安全规范》5个人信息的收集