信息化觀察網(wǎng)

本文來自科技導(dǎo)報(bào)，作者/董京波。

涉疫個人信息收集、披露時的做法，探討了適合于中國的涉疫個人信息披露的路徑：一方面要在應(yīng)急法規(guī)中增加個人信息披露的規(guī)定；另一方面依據(jù)《個人信息保護(hù)法》，細(xì)化涉疫個人信息披露的內(nèi)容，重點(diǎn)為以最小化原則為基礎(chǔ)由國家披露個人信息，同時以公開透明原則保障公民知情權(quán)。

新冠肺炎疫情暴發(fā)以來，中國作為最早報(bào)道新冠疫情的國家同時也是對疫情防控最迅速的國家，大數(shù)據(jù)技術(shù)發(fā)揮了至關(guān)重要的作用。

各部門通過大數(shù)據(jù)對公民個人進(jìn)行定位、監(jiān)測其健康狀況、出行信息以及接觸人群，一旦發(fā)現(xiàn)確診為陽性的病例，可以立即在數(shù)據(jù)庫中找出并公開確診人的經(jīng)停地點(diǎn)以及密切接觸者信息，從而實(shí)現(xiàn)精準(zhǔn)防控疫情，阻止疫情大肆蔓延。

但這種能夠迅速獲取大量信息的大數(shù)據(jù)追蹤技術(shù)同時引發(fā)了人們對于個人信息權(quán)利的擔(dān)憂。實(shí)踐中經(jīng)常出現(xiàn)個人隱私披露過度的問題，如何平衡防疫抗疫的公共安全利益與個人信息權(quán)利，成為涉疫個人信息保護(hù)的核心。

本研究以后疫情時代涉疫個人信息披露為視角，在討論典型國家與地區(qū)相關(guān)制度的基礎(chǔ)上，比較分析中國現(xiàn)有立法的不足并提出改進(jìn)建議。

中國疫情應(yīng)急管理中涉疫個人信息披露法律制度

疫情應(yīng)急管理法律的相關(guān)規(guī)定

首先，涉疫個人信息披露缺乏專門法律規(guī)定。《傳染病防治法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》《突發(fā)事件應(yīng)對法》對于涉疫個人信息披露問題未做明確規(guī)定。

其次，涉疫個人信息披露主體不明。疫情信息披露涉及相關(guān)法律交叉部分，法律本身沒有明確規(guī)定，學(xué)界對此問題的意見也并不統(tǒng)一。實(shí)踐中多個基層主體都介入了疫情披露的環(huán)節(jié)，因此出現(xiàn)了涉疫個人信息披露主體混亂的現(xiàn)象。

再次，涉疫個人信息披露的內(nèi)容僅有原則性規(guī)定。這些原則性規(guī)定都較為抽象，對疫情信息披露的具體內(nèi)容并沒有規(guī)定。究其原因，當(dāng)前相關(guān)法律大多是在2002年嚴(yán)重急性呼吸綜合征（SARS）疫情時制定，然而現(xiàn)有相關(guān)法律還停留在十幾年前，已無法滿足當(dāng)前傳染病防控的要求。

個人信息保護(hù)法的相關(guān)規(guī)定

2021年11月正式施行的《個人信息保護(hù)法》對個人信息處理的原則、個人權(quán)利以及個人信息處理者的義務(wù)等方面進(jìn)行了規(guī)定，將個人信息權(quán)利納入法律轉(zhuǎn)化為實(shí)在的權(quán)益。

總的來說，個人信息處理應(yīng)當(dāng)遵循4個原則：（1）誠信原則。（2）目的正當(dāng)原則。（3）最小化原則。（4）處理個人信息應(yīng)當(dāng)遵循公開、透明的原則，明示個人信息處理規(guī)則。

當(dāng)前涉疫個人信息披露中的問題

在新冠疫情迅速蔓延的情況下，政府部門出于疫情防控目的未經(jīng)公民同意收集大量個人信息，對數(shù)據(jù)進(jìn)行分析、提取，披露疫情有關(guān)信息，其中不乏身份證號、個人行程等個人敏感信息，因此不可避免在防控過程中出現(xiàn)侵害公民個人信息權(quán)利的現(xiàn)象，主要表現(xiàn)在以下方面。

基層工作人員非法披露個人信息

在采集主體方面，《傳染病防治法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》《突發(fā)事件應(yīng)對法》明確了公權(quán)力機(jī)關(guān)但實(shí)踐中收集個人信息的工作往往會分配到各個部門基層人員，而基層信息收集主體的法律意識相對淡薄，極易發(fā)生公民個人信息流出的狀況。

超出防疫目的過度披露個人信息

中國目前沒有關(guān)于緊急狀況下信息披露要求的具體規(guī)定，而行政機(jī)關(guān)或其他機(jī)構(gòu)在發(fā)布疫情相關(guān)信息時雖然受比例原則的限制，但原則性規(guī)定為實(shí)際狀況預(yù)留了極大的自由裁量空間，導(dǎo)致個人信息披露范圍過廣的情況經(jīng)常出現(xiàn)，損害公民個人信息權(quán)利。

這樣的披露行為明顯違背了《民法典》《個人信息保護(hù)法》《刑法》等法律有關(guān)保護(hù)公民隱私的規(guī)定，屬于侵犯公民隱私權(quán)的違法行為。

典型國家地區(qū)涉疫個人信息披露制度比較

新加坡的制度與實(shí)踐——通過技術(shù)保護(hù)公民隱私

新加坡于2020年3月發(fā)布了一款應(yīng)用軟件（TraceTogether），可在兩個用戶距離較近時進(jìn)行跟蹤，若一個用戶確診為新冠肺炎病例，軟件即允許衛(wèi)生部門確定與其密切接觸過的用戶，隨后工作人員會通知這些接觸者并決定接下來的行動。這個軟件可以保護(hù)用戶隱私不為其他用戶所知，但對于政府獲取信息沒有限制。

中國臺灣地區(qū)制度——以對公眾的透明度為特點(diǎn)

中國臺灣當(dāng)局將健康保險(xiǎn)數(shù)據(jù)庫與海關(guān)數(shù)據(jù)庫中的旅行歷史數(shù)據(jù)集成在一起以協(xié)助識別高風(fēng)險(xiǎn)感染人群以及采取隔離措施，對需要隔離和接觸追蹤的人員進(jìn)行手機(jī)定位，識別信息只有疫情指揮中心可以得知。

此外，中國臺灣當(dāng)局拒絕采取人臉識別技術(shù)，即使采用了利用藍(lán)牙信號進(jìn)行接觸追蹤的應(yīng)用軟件也將在疫情得到控制時即停用。

韓國制度——體系化的信息披露制度

韓國同樣具有處理疫情的經(jīng)驗(yàn)，政府對所收集的全部信息做出嚴(yán)格的保密要求，違反規(guī)定將支付高額罰金甚至被判處刑期。然而，為了警示在確診病例附近的人，韓國政府會向他們發(fā)送有關(guān)確診者移動數(shù)據(jù)的大量信息，即使信息已經(jīng)進(jìn)行匿名處理，但通過背景調(diào)查確定患者及其生活習(xí)慣還是相對容易的。

為了回應(yīng)公眾的隱私關(guān)切，使信息披露合法化，韓國于2020年3月頒布了《確診患者移動路徑等信息公布指南》，該指南采取“盡可能詳細(xì)說明和披露時空信息，但不包括個人身份信息”的原則，并高頻率地被先后3次更新，以平衡防止傳染病擴(kuò)散與個人信息的過度泄露引發(fā)人權(quán)侵害之間的關(guān)系。

歐盟制度——對用戶個人信息高度保護(hù)

歐盟采用的PEPP-PT應(yīng)用軟件，完全符合歐盟GDPR的規(guī)定，軟件上每個用戶的ID都是臨時的，用戶之間通過交換臨時ID記錄密切接觸活動，并且以臨時ID的形式分享給服務(wù)提供者，而非交換、分享加密的個人可識別信息。這樣無論是用戶之間，還是數(shù)據(jù)控制者與用戶之間，用戶的個人信息都能得到較高層次的保護(hù)，同時盡量不影響控制疫情，保護(hù)公共健康。

中國疫情應(yīng)急管理中涉疫個人信息披露制度之完善

后疫情時代應(yīng)急管理中涉疫個人信息披露制度的價(jià)值衡量

此次疫情引起的公共健康危機(jī)涉及保護(hù)公共利益的問題，滿足憲法中對緊急狀態(tài)的規(guī)定，在這種情況下國家權(quán)力的適度擴(kuò)張具有合理性，擴(kuò)張的目的在于保護(hù)全體公民的利益，但擴(kuò)張也需要控制在適當(dāng)范圍內(nèi)，不能沒有限制地任意侵害公民權(quán)利。

在疫情常態(tài)化的當(dāng)前，應(yīng)把重點(diǎn)放在第二步國家權(quán)力的臨時擴(kuò)張上，這種擴(kuò)張應(yīng)是適度的、有限的擴(kuò)張，國家利用公民信息的權(quán)力應(yīng)予以限制。

中國疫情應(yīng)急管理中涉疫個人信息披露制度之完善

比較研究發(fā)現(xiàn)，歐盟、美國在新冠疫情防治中對于個人信息披露做出了特別的規(guī)定，以實(shí)現(xiàn)公共利益和個人隱私的平衡。中國雖然在2021年11月新頒布了《個人信息保護(hù)法》，但是該法并非直接指向疫情應(yīng)急管理問題，而現(xiàn)有疫情應(yīng)急管理法規(guī)并未對個人信息披露做出規(guī)定，因此中國應(yīng)該加強(qiáng)相關(guān)制度體系化建設(shè)。

將涉疫個人信息披露與保護(hù)問題納入疫情應(yīng)急法規(guī)

為規(guī)制疫情信息披露問題，2020年，韓國對《傳染病預(yù)防管理法》進(jìn)行了修訂，明確了關(guān)于信息披露與保護(hù)的問題。中國也應(yīng)在《傳染病防治法》《突發(fā)公共衛(wèi)生事件應(yīng)急管理?xiàng)l例》《突發(fā)事件應(yīng)對法》中增加個人信息披露的規(guī)定，明確疫情個人信息披露的主體、內(nèi)容和基本原則。

當(dāng)前正值《傳染病防治法》和《突發(fā)事件應(yīng)對法》修訂之時，應(yīng)注重《傳染病防治法》與《突發(fā)事件應(yīng)對法》的協(xié)調(diào)與銜接，在新法中明確涉疫個人信息披露的主體。

增加關(guān)于涉疫個人信息披露內(nèi)容與方式的規(guī)則

中國《個人信息保護(hù)法》是針對常態(tài)下的個人信息披露，而非緊急狀態(tài)下的個人信息披露。因此《個人信息保護(hù)法》并不能完全滿足應(yīng)急狀態(tài)下的信息披露制度，所以應(yīng)急法中對緊急狀態(tài)下的個人信息披露應(yīng)增加具體規(guī)定。

依據(jù)《個人信息保護(hù)法》完善疫情期間個人信息披露細(xì)則

1）堅(jiān)持信息披露中的最小化原則。對于信息披露的限制主要以下2種。一是限制披露的對象。通過數(shù)字技術(shù)的應(yīng)用只通知與患者有密切接觸的人，而非全部公眾。二是限制披露的內(nèi)容。中國目前對患者信息披露的對象范圍仍是社會公眾，但可以在內(nèi)容上進(jìn)行限制，如只披露患者經(jīng)停地點(diǎn)信息等，降低患者信息的可識別性。

若要真正落實(shí)最小化原則，首先，應(yīng)當(dāng)謹(jǐn)慎選擇披露信息的類型?？梢詤⒖贾袊愀叟c日本的實(shí)踐，僅需公開其點(diǎn)狀位置及處于該位置的確切時間即可。

其次，為實(shí)現(xiàn)個人信息最大程度的保護(hù)，在信息披露方式上對確診病例的信息公開中也應(yīng)盡可能采取加密和脫敏措施。

最后，建立特定相對人信息披露制度，適當(dāng)限制個人信息公開的范圍。對于部分疫情信息可以有選擇地向信息相對人發(fā)送。

2）堅(jiān)持信息披露中的公開透明原則。疫情中收集的數(shù)據(jù)必須符合比例原則，并且充分告知公眾，避免對數(shù)據(jù)訪問和使用保密。在涉及公共利益的數(shù)據(jù)處理時，應(yīng)當(dāng)尋求透明的公眾溝通機(jī)制，例如明確告知公眾哪些數(shù)據(jù)將被披露給第三方，用于何種目的的處理。

結(jié)論

新冠肺炎疫情作為世界衛(wèi)生組織列明的“國際關(guān)注的突發(fā)衛(wèi)生事件”，自暴發(fā)起感染人數(shù)和致死人數(shù)不斷上升。在如此嚴(yán)峻的情況下，大數(shù)據(jù)技術(shù)作為檢測和防控疫情最有效的手段，理應(yīng)允許政府部門利用其進(jìn)行信息披露。

但是涉疫個人信息披露必須遵循相關(guān)法律制度，中國應(yīng)在相關(guān)應(yīng)急法規(guī)中納入涉疫情個人信息披露的主體和內(nèi)容等相關(guān)問題。同時，應(yīng)依據(jù)《個人信息保護(hù)法》，具體化涉疫信息披露的細(xì)則。

這并不意味著一邊倒地強(qiáng)調(diào)個人信息保護(hù)，而是通過具體的原則規(guī)定進(jìn)行平衡，即可以最小化原則為標(biāo)準(zhǔn)允許國家收集和披露個人信息，同時以公開透明原則保障公眾的知情權(quán)，也便于在疫情結(jié)束后清理收集的個人信息。