2020年新型冠状病毒肺炎突然来袭，是对我国治理体系和治理能力的一次大考。面对建国以来最为严重的突发公共卫生事件，习近平同志多次强调坚持依法防控、依法治理，在法治轨道上统筹推进各项防控工作至关重要。在疫情防控期间，大数据的应用发挥着重要的作用，而大数据背后的个人信息保护问题也时常成为社会关注的热点问题。本文将从疫情防控期间个人信息的收集、使用、公开等角度进行展开，分析突发公共卫生事件下的个人信息保护问题。

 一、突发公共卫生事件中个人信息收集的主体

对于疫情防控中个人信息保护的问题，首先需要明确的就是哪些主体可以收集与疫情相关的个人信息。

目前我国暂未颁布专门的个人信息保护法，对个人信息保护问题较为集中规定在《网络安全法》中，故多认为《网络安全法》目前是个人信息保护领域的一般法，网络安全法中对于个人信息收集的主体并没有做出直接限制，而《突发事件应对法》和《传染病防治法》作为在疫情防控时期适用的特别法，对于收集疫情信息则是有更为明确的约定，简单说即将信息收集主体限定为有权机关。

具体来说《传染病防治法》第33条规定：疾病预防控制机构应当主动收集、分析、调查、核实传染病疫情信息；第12条规定：一切单位和个人必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治理等预防、控制措施，如实提供有关情况。《突发事件应对法》第38条规定，县级以上人民政府及其有关部门应当通过多种途径收集突发事件信息。同时《突发公共卫生事件应急条例》第21条规定：任何单位和个人对突发事件，不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报；第40条规定：传染病暴发、流行时，街道、乡镇以及居委会、村委会应当组织力量，团结协作，群防群治，协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作。

根据特别法优于一般法的原则，我们可以看到对于疫情相关的个人信息其收集主体为明确的各有权政府部门及授权协助的机构（包括村委会、居委会），而企业、行业组织、公益组织等虽在疫情期间收集非疫情相关个人信息仍然可以按照《网络安全法》的规定处理，但对于收集疫情直接相关的个人信息（健康状态、体温、出行轨迹、密切接触者等），我们认为这些主体缺乏明确的法律依据，同时也难以认定符合网络安全法对于个人信息收集的必要原则。

二、突发公共卫生事件中个人信息收集的方式

《网络安全法》在收集个人信息的基本框架遵循了国际通行的“告知”加“同意”原则，具体体现在《网络安全法》41条的规定中。那么在疫情防控中，有权主体在收集个人信息时是否还需遵循告知同意的原则呢？对于这个问题，我们认为有权主体在收集时仅需明示告知而无需同意。

（一）有权主体在收集个人信息时无需征得同意

根据《传染病防疫法》、《突发公共卫生事件应急条例》规定，任何机构和个人有义务配合国家有关机关防控传染病有关的工作，这里的配合责任当然包括传染病有关的调查和信息采集，“任何单位和个人不得以任何理由予以拒绝”。

另外，《信息安全技术个人信息安全规范》第5.6条规定：“以下情形中，个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意：……；b)与国家安全、国防安全直接相关的；c)与公共安全、公共卫生、重大公共利益直接相关的；……。”突发公共卫生事件如此次新型冠状病毒肺炎是与国家安全、公共安全、公共卫生利益直接相关的，故行政机关及相关部门等收集、使用个人信息不必征求个人信息主体的授权同意。

当然，还需要再说明一下，对于未经相关机构授权的其他企业、组织和个人在突发公共卫生事件中收集个人信息时，仍然需要经过被收集者的授权同意。

（二）有权主体在收集个人信息时仍需明示告知

虽然在突发公共卫生事件中，有权主体可以不经信息主体的同意，或者认为信息主体必须承担提供个人信息的法律义务不能拒绝提供，但是从现行的法律规定来看，应当认为仅仅这豁免了信息主体“同意”，但并没有豁免《网络安全法》规定的信息收集者的告知义务或者明示义务。这一点在中央网络安全和信息化委员会办公室疫情期间紧急发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中也可以看到，其表述也仅是可未经同意。

因此，有权在依法收集疫情有关人员的个人信息时，仍然应当通过隐私政策、告知书等形式依法告知信息主体其收集的目的、方式和内容等。

本文作者：余凯律师 赵静静律师

三、突发公共卫生事件中个人信息收集的范围

在突发公共卫生事件下采取的相关措施，每位公民都有配合的义务，但是这并不意味着有关机构和组织可以不受任何限制的收集公民的个人信息。对于个人信息收集的范围应当遵循最小必要原则。

中央网信办在《关于做好个人信息保护利用大数据支撑联防联控工作的通知》也明确要求收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》，坚持最小范围原则，收集对象原则上限于确诊者、疑似者、密切接触者等重点人群，一般不针对特定地区的所有人群，防止形成对特定地域人群的事实上歧视。

然而本次疫情面前，为了更好的防控疫情扩张，地毯式、网格化收集居民广泛个人信息（例如家庭关系、工作/学习背景、实时位置信息等）的情况普遍存在，这实际上是与《网络安全法》规定的个人信息收集的最小化原则相违背的。

而且事实上，《传染病防疫法》、《突发公共卫生事件应急条例》明确将收集信息的范围限定在“疫情相关的”、“有关传染病的”，且《突发事件应对法》第11条规定 “有多种措施可供选择的，应当选择有利于最大程度地保护公民、法人和其他组织权益的措施”。某种意义上这也是与个人信息收集的最小必要原则是一致的规定。

例如对于普通居民而言，即便为了配合流行病学调查、口岸防控等目的，与“疫情相关的”也仅仅应当限于联系方式、14天内旅行史、14天内接触史、当前疾病症状等。再进一步，为了符合最小化、比例原则，流行病学调查或口岸防控可采取“消极收集法”，即尽量用“是否”方式选择，而不宜用“列举”方式详细填写等。

四、突发公共卫生事件中个人信息的使用和公开

由于疫情防控的需要，海量的个人信息被收集和处理，这对科学防治疫情起到了十分关键的作用。然而我们也看到在信息的使用和披露中仍然存在许多逾越法律边界的现象。例如2020年1月28日，湖南省益阳市多个居民住宅小区的业主微信群内出现了“关于某医院报告一例新型冠状病毒感染的肺炎病例的调查报告”电子版内容及截图，内容涉及社区居民章某及其亲属等11个人的隐私信息。后经查，内部报告系该市赫山区卫生健康局党组成员、副局长舒某通过微信转发给无关人员段某，经多次转发后在网上被迅速传播扩散。在此次疫情期间，类似的事情还有很多，个人信息的泄露暴露了在突发公共卫生事件里相关机构及工作人员对于个人信息保护方面的漏洞。

（一）个人信息的使用

基于疫情防控目的收集的个人信息，应当仅能用于疫情防控之目的，不能用于其他目的（包括安全管理、社区统计、信用评价、行业评价等）。超出原定范围使用个人信息的，应当严格按照《网络安全法》等法律法规及其配套规则、标准之规定，履行必要的告知+同意程序，法律另有规定除外。对于“四类人员”的个人信息用于隔离、医疗、医药等用途的，还应当严格按照《执业医师法》、《医疗机构病历管理规定》、《国家健康医疗大数据标准、安全和服务管理办法》、《传染病信息报告管理规范》等规定执行。

（二）个人信息的公开

在突发公共卫生事件中会涉及到信息的披露，公民有权了解与自身利益相关的信息，但同时在个人信息的披露方面会涉及到个人隐私权与公共利益相权衡的问题。因此，为了平衡个人隐私权与公共利益，信息收集主体需要遵守以下规则：

（1）除国务院及省级人民政府的卫生行政部门有权向社会公开披露相关信息外，其他单位及个人无权公开披露个人信息；

（2）为公共卫生、公共利益收集的个人信息，不得用于其他用途。任何单位和个人未经被收集者同意，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息，因联防联控工作需要，且经过脱敏处理的除外；

（3）收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理；

（4）以明确、易懂和合理的方式公开处理个人信息。

五、突发公共卫生事件中个人信息的存储和删除

对于个人信息的存储和删除，由于《传染病防疫法》、《突发事件应对法》、《突发公共卫生事件应急条例》都无特别的约定，所以目前仍然按照《网络安全法》及相关配套法规来处理突发公共卫生事件中个人信息的存储和删除即可，具体如下。

（一）个人信息传输存储

个人信息收集完成后会涉及到个人信息传输、存储。在这一阶段，信息收集的主体都需要采取以下措施来保护个人信息：

（1）在通过公共网络进行信息传输时要采取数据加密的方式；

（2）通过访问控制的方式防止工作人员私自传播，建立机构内部个人信息数据泄露问责机制。

（3）对个人信息的保存期限应当为实现个人信息主体授权使用的目的所需的最少时间；

（4）只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量，目的达成后，应及时删除个人信息；

（二）个人信息删除

对于普通公众，有权依照《网络安全法》等法律法规及其配套制度享有查询、更正、删除其个人信息的权利。对于信息收集主体，在收集使用个人信息的目的实现后，应及时将个人信息数据从相关存储设备删除，并采取措施防止通过技术手段恢复。

文：得伟君尚（湖北自贸区武汉片区）律师事务所 余凯 赵静静