新冠肺炎疫情防控中個人信息的利用與保護

韋 祎

2020年初，新冠肺炎疫情爆發，并迅速席卷全球。截至2021年7月2日，中國累計確診病例已達118702例，累計死亡5523人；世界范圍內累計確診183378369例，累計死亡3965266人。我國2020年《抗擊新冠肺炎疫情的中國行動》白皮書的報告顯示，自2020年4月29日以來，全國疫情防控已經進入常態化階段，這一階段以推進常態化疫情防控和經濟社會發展工作為主要目標。2020年5月7日，國務院聯防聯控機制印發《關于做好新冠肺炎疫情常態化防控工作的指導意見》，加強對疫情防控工作的指導力度。白皮書指出，在疫情防控中，我國采用了大數據、人工智能等新技術進行疫情預測、流行病學調查、感染者與密切接觸者的追蹤和隔離工作。同時借助“健康碼”等數據技術實現分區分級精準識別、精準施策和精準防控。由國家機構牽頭對個人信息的利用為本次新冠肺炎疫情的防控工作提供了強大的助力，也為未來社會的風險治理積累了寶貴經驗。但由于當前我國相關領域的法律規范和政策引導仍處于缺位狀態，在本次疫情防控對個人信息的利用中暴露出了信息泄露、收集使用程序不規范等問題。這些問題對疫情的防控工作和社會治理產生了阻礙，還有可能導致公共利益與個人利益產生矛盾。因此當下我們有必要對本次疫情防控工作中的個人信息使用工作進行分析與反思，以期在未來的社會風險治理和突發事件處理中尋求對個人信息利用與保護的平衡。

一、疫情防控中個人信息的利用實踐

借助個人信息進行對疫情防控工作產生了極大成效，但應當注意的是在疫情防控中個人信息的收集、使用和處理仍存在一定的法律風險。我國在疫情和突發事件應對中對公民個人信息權益保護方面的立法相對匱乏。有相關文件對個人信息保護進行了規定，如《信息安全技術 個人信息安全規范》，但層級低效力弱，作為國家標準只能在法律應用時加以參照，缺少強制力。法律法規專門化、板塊化不足，有關個人信息安全的法律法規和行業規范分散，能夠起到提綱挈領和體系協調作用的個人信息保護法尚未出臺；針對疫情防控的個人信息保護規定更是鳳毛麟角，多是在《傳染病防治法》或《突發公共衛生事件應急條例》中一筆帶過。各部門法采取分散的規范模式，缺少配合與聯動，對有關個人信息保護的法律義務缺乏明確規定。

2020年2月4日，中央網絡安全和信息化委員會辦公室發布了《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》（以下簡稱《通知》），該通知從統籌角度確定本次疫情防控中個人信息的利用和保護所需要遵循的原則。《通知》要求各個信息管理部門在疫情防控工作中要重視個人信息的保護，收集、利用個人信息時應參照個人信息安全規范國家標準進行。同時個人信息相關工作要堅持最小范圍原則，收集對象原則上僅局限于確診者、疑似者等重點監控對象，還要防止對特定地域人群形成事實上的歧視。為疫情防控、疾病防治收集的個人信息，不得用于其他用途。通常不得隨意公布個人信息，但因聯防聯控工作需要，且經過去個人化處理的除外等等。

在個人信息的利用程序方面，《通知》嚴格規定了僅國務院衛生健康部門具有法定授權資格。收集使用個人信息的授權必須依照《中華人民共和國網絡安全法》《中華人民共和國傳染病防治法》《突發公共衛生事件應急條例》，這三部法律法規成為本次疫情防控中個人信息利用主體的主要合法性來源。在個人信息利用的內容和利用方法上，該通知采用準用規則，明確參照《信息安全技術 個人信息安全規范》（GB/T 35273-2017，以下簡稱《規范》，之后于2020年3月發布替代版GB/T 35273-2020,2020年10月1日實施）。《規范》主要針對個人信息利用中的安全問題，規范個人信息控制者在信息處理環節中的相關行為，保障個人合法權益和社會公共利益。在疫情防控的個人信息利用與保護中，《規范》起到的主要作用是：第一，確定了收集個人信息需滿足合法性要求和最小化要求；第二，《規范》5.4 b)規定與公共安全、公共衛生、重大利益直接相關的個人信息無需經過信息主體授權同意即可收集和使用，具體到本次疫情防控中，即信息收集主體在滿足主體和程序合法性的前提下，不經個人信息主體授權同意也可以進行與疫情相關的個人信息收集；第三，《規范》還對個人信息收集和利用的程序進行了規定，包括收集、保存、使用、轉讓等；第四，《規范》對個人信息收集的組織也有規定，規定相關組織必須明確責任部門與人員，具有一定的數據安全能力，并開展個人信息安全影響評估和人員管理培訓。

《通知》仍然存在規定過于簡略等問題[1]83。具體而言，《通知》所準用的《規范》規定的是個人信息使用的一般方法，并沒有針對醫療衛生或公共安全事件中進行具體規定（2020年《規范》與2017年《規范》情況相同）。加之，《通知》也并未在《規范》的規定下對疫情防控中的個人信息利用進行進一步的規定。《通知》所做的規定無非是《規范》的重復，可以認為《通知》僅僅是對業已生效實施的《規范》進行再次強調，沒有充分利用《規范》已經建立的個人信息使用規則體系，并在此基礎上制定適應本次疫情防控的規則。當前的《通知》未能解決個人信息利用和保護規定的碎片化問題，只是起到宣告式的有限的整合作用，但《通知》主要積極意義在于為本次疫情防控的個人信息利用工作提供了統領性的指導和規范，為授權主體明確了合法性來源，最重要的是在內容和利用方法上予以明確。該通知作為針對本次疫情防控的臨時性文件，對把分散在各個法律法規中關于個人信息的利用和保護相關規范進行了整合，從整體上應予以積極評價。

二、疫情防控中個人信息利用與保護的原則

依照《通知》以及相關法律法規，可以歸納出在疫情防控中對個人信息的利用與保護應當遵循以下原則：

（一）合法性原則

信息處理者在以各種方式利用個人信息時應當遵守法律法規的規定，任何組織和個人不得以疫情防控為由非法使用他人的個人信息。合法性原則要求疫情防控中對個人信息的使用符合法律法規的要求，是疫情防控中個人信息使用的最基本原則。該原則的“法律法規”應當采取廣義上的理解[1]88。既包括《突發事件應對法》《傳染病防治法》《網絡安全法》等全國人大及其常委會制定的法律，也包括《突發公共衛生事件應急條例》等行政法規。合法性原則具有以下三層含義：第一，主體法定。收集、使用個人信息的主體必須是符合法律規定的適格主體，即法律法規授權的主體，如疾病預防控制機構、醫療機構、衛生行政主管部門、網信部門等。其他任何組織和個人未經法律法規授權，不得收集和利用個人信息。第二，內容法定。法律法規授權的主體在收集和利用個人信息時，應當嚴格遵守法律的規定，禁止收集和利用未經法律法規規定允許的個人信息。例如根據《網絡安全法》第30條，網信部門不得超出維護網絡安全職責的范疇使用個人信息。第三，責任法定。對于非法使用個人信息的行為，信息控制者應當依法承擔相應的法律責任。例如，根據《傳染病防治法》第68條，疾病預防控制機構故意泄露新冠肺炎確診患者、疑似者、密切接觸者等主體的個人信息的，應當由縣級以上人民政府衛生行政部門責令限期改正，通報批評，給予警告。

（二）適度放寬的比例原則

在行政法的基本原則中，比例原則包括適當性、必要性、相稱性。適當性，即行政行為有助于實現公共目的；必要性，行政行為基于公共利益對公民權益的損害必須是必要的；相稱性，行政行為對公民權益的損害。比例原則要求政府部門和其他相關機構在疫情防控中收集和使用個人信息的工作中，必須把握好利用個人信息處理突發事件與公民個人權益保護的平衡。限制個人信息遵循比例原則，要求相關機關的工作須具有目的的正當性、手段的適宜性和侵害的最小性，這種對個人權益的侵害不能對個體造成無法承受的負擔。但在突發事件應對中，政府和公民的關系發生了深刻的變化，人們對于行政權與私權利的平衡、正當程序以及知情權、生命權和健康權的需求有消有長，而政府的決策依據、行政程序、行政目的都會有所調整[2]125。因此，比例原則在疫情防控下的適用體現出兩個重要特征：一是比例原則的要求要有所放寬；二是判斷行政措施是否符合比例原則還需要考慮政府的應急能力及為了社會大多數人利益而追求的效率等因素。在突發事件應對工作中，不應要求政府利用個人信息的行為在比例原則上得到嚴格證明或社會多數的認可，而更應充分考慮其應對突發事件時的實際能力與工作效率。特別是在疫情防控這類緊急與嚴重的突發事件中，與公民的個人信息權同等重要的或者更高的公共利益——應對公共危機的需要存在沖突，因此個人信息權相應受到限制。如果沒有這樣的價值沖突存在，限制個人信息權利的行為就不存在正當理由。同理，在突發事件應對中不應也沒有必要要求政府利用個人信息的措施是對公民權利影響最小的一種。因為在嚴重的突發事件中，為了實現對社會資源的飽和利用，政府機構需要出于應急和預防的目的盡可能采取所有可能的措施。只要政府機構實施的措施影響相對較小或者尚在合理、可控的范圍之內，就應認為其符合比例原則。

（三）最小化原則

最小化原則又稱必要性原則，其要求在同樣能夠達成疫情防控目的的各種手段中，應當保持使用公民的個人信息在最小范圍之內。最小化原則的目的在于避免個人信息的過度使用，同時也在于減少個人信息被非法獲取的風險。根據最小化原則，有關部門使用個人信息有三個條件：第一，如果不使用某一項或某一組個人信息，則疫情防控的目的無法實現或無法達到合理效果；第二，個人信息的使用應被控制在實現疫情防控目的所必需的最小頻率之內；第三，盡量只使用新冠肺炎確診患者、疑似者、密切接觸者等重點監控人群的個人信息，而不得收集和使用未與新冠肺炎患者密切接觸的其他主體的信息。

當前我國疫情防控規定中的最小化原則同樣存在規定不明確的問題。《通知》明確要求在個人信息的收集過程中堅持最小范圍原則，《規范》中5.2條也規定了收集個人信息的最小化要求，收集個人信息的類型與實現產品或服務的業務功能有直接關聯，具體到疫情防控工作中即要求收集的個人信息對疫情防控有直接作用。二者都沒有對疫情防控中的個人信息收集“最小化”進行明確規定，當前也沒有其他相關文件對如何“最小化”收集信息進行規定。對疫情防控的要求而言，與之直接相關的個人信息種類是有限的，如果沒有相關文件或規定加以一一列舉，自然不能達到“最小化”的要求，個人信息保護也無從談起。

（四）知情同意原則

當前，學界對于知情同意是否能稱為突發公共衛生事件中個人信息利用的原則之一仍有爭議。金松等學者持肯定態度，認為公共安全不能成為個人信息保護豁免的萬能理由。其主要觀點是個人信息的使用方式及使用范圍首先應由個人自主決定，只有尊重和保護個體對個人信息的自主決定權，將授權同意作為使用的一般要件，才能保障個人信息利用行為的正當性與合法性，進而挖掘和釋放個人信息應有的資源價值[3]。而高富平明確指出，“同意不是且不應成為個人信息使用的一般規則”[4]。因為信息主體無法實際控制自己的信息被用于何種目的，也無法控制個人信息的流通，實質上對已提供的信息無控制力。而且在知情同意模式下，信息收集者頻繁要求信息主體做出同意表示，由此導致信息主體并不會仔細審查便同意，使得同意流于形式。林鴻潮等指出，出現這一爭議的原因在于個人信息具有個體和社會的雙重屬性。在信息時代，政府要實現精確治理、科學決策從而廣泛地促進公共福祉，必然有賴于公民對個人信息權的讓渡；而“社會性”也構成了突發事件應對中政府不經權利主體同意而利用個人信息的正當性基礎之一[2]129。如果將個人信息完全等同于隱私權追求絕對公民“個人自治”的權利，可能導致政府在利用個人信息時的“束手束腳”，出現如疫情信息披露的不及時、不到位等問題。

三、疫情防控中個人信息保護規范路徑

對于疫情防控中的個人信息利用與保護，有三種進路，第一種是在信息保護相關法律法規如未來的《個人信息保護法》（編者注：該法已于2021年8月20日頒布）中進行專章規定，第二種是在《傳染病防治法》《突發事件應對法》，第三種是基于現有的《傳染病防治法》《突發事件應對法》《信息安全技術 個人信息安全規范》，具體由國務院衛生健康部門針對當前疫情進行細化規定。

第一種進路，從未來《個人信息保護法》的制定角度出發，可以參考《規范》的內容，由于其針對的是個人信息的一般利用方法，因此即便沒有對醫療衛生或公共安全事件進行具體規定，也是符合我國法律體系統一性要求的。在第二種進路中，由于法律固有的滯后性缺陷，讓法律法規或政策制定者進行超前的醫學判斷顯然并不現實。

第二與第三種進路結合應當是更適宜的個人信息保護手段。當前，諸多學者在提出疫情防控中的個人信息保護方法時，僅僅針對個人信息保護的一般規則，而忽視了疫情防控對于個人信息保護的特殊要求。本次疫情防控中進行的個人信息使用與保護的特殊性在于無論是個人信息的內容，還是收集手段、處理、利用等程序方法，都與流行病學、傳染病防治等醫學判斷緊密相關。因此有學者提出，在各項專門立法中對數據使用與信息披露進行場景化的特別規定。嘗試在《傳染病防治法》中針對疫情防控特殊時期，相關衛生防疫部門對數據的獲取、應用及披露做出更加精細化的規定[5]。將來的《個人信息保護法》中，應參考《個人信息安全規范》構建個人信息保護的框架。這一框架是普遍適用于各種情景下的個人信息利用和保護方法，具有在個人信息利用和保護工作中的原則性意義。在此基礎上，疫情防控工作的相關法律如《傳染病防治法》和《突發事件應對法》自然不需要再對如何執行個人信息的利用和保護進行重復規定，僅對個人信息保護相關法律法規進行準用，并針對傳染病防控或其中規定的相關突發事件制定調整性或例外的規則即可。在法律適用上依照特別法優于一般法的原則，可避免不必要的法律沖突。如前文所述，更高位階的法律具有滯后性，而無論是相關規定還是政策的有效實行均建立在其科學性基礎上。疫情突發事件的形態和內容可能每一次都不盡相同，具體的某次疫情防控或突發事件中，需要國務院衛生健康部門或其他突發事件管理部門聯合信息管理部門制定更詳細的規定，如此才能在不忽視科學性的基礎上最大可能地保護個人信息的安全。

以新冠肺炎疫情的防控工作為例。2020年1月26日，國家衛健委相關負責人在新型冠狀病毒感染的肺炎疫情聯防聯控工作發布會上表示，新型冠狀病毒潛伏期最短1天最長14天，與非典有很大不同。2020年5月15日，國新辦舉行新聞發布會國家衛健委副主任曾益新在回應新冠病毒“人傳人”時談道：我們對新冠病毒的認識有一個過程。2020年1月14日召開的全國衛健系統電視電話會議，當時對病毒的認識還處于“在路上”的狀態，許多問題還沒有達到能得出結論的程度。到了2020年1月19日，我們對新冠病毒人和人之間的傳播能力才有了比較準確的認識[6]。對于新冠病毒潛伏期和“人傳人”能力的認識都是基于當前最新的醫學研究，而二者對個人信息的收集有極大影響。因此在本次新冠肺炎疫情防控中，針對行為軌跡的公開一般為車次信息，但是行為軌跡不僅包括列車、飛機、客車等班次信息，還包括酒店、旅社等住宿信息。就班次信息而言，由于客運信息或出入疫情地車輛信息的電子化管理，管理部門通常會對車次信息予以公開。但疫情擴散的風險并不僅限于交通工具，疫情地返鄉人員的相關住宿可能造成更高程度的傳播風險。如果高風險人群的相關住宿信息缺失,則可能使與高風險人員接觸過的人群出現被關聯感染的風險。若密切接觸人群疏于自我觀察、隔離，結果就是可能造成疫情更大范圍的交叉擴散。

四、結語

在新冠肺炎疫情防控工作中，與個人信息的利用與保護相關的法律法規的完善呈現出兩個面向，一是社會利益與個人信息保護之間的平衡，二是治理體系和治理能力現代化對科學立法的要求。個人信息的利用在疫情防控中的作用毋庸質疑，但在程序和內容上都有優化的空間。如何在法治框架下平衡社會利益和個人利益，以及如何在個人信息的利用上滿足防控實踐的要求是兩個當前急需解決的問題。從法律法規以及政策之間的配合來看，較為合理的改進方式是充分利用已經構建的個人信息保護方法和體系，結合疫情防控的特點進行特殊規定，再在具體政策和規定中結合醫學研究的成果和需要進行精細化明確化的規定。這樣才能實現既保障公共利益與個人利益相平衡，同時又充分體現科學立法的要求，立足于醫學研究成果和疫情防控實踐，進一步推進治理體系和治理能力現代化。