（北京市社會科學(xué)院 法學(xué)研究所，北京100000）

一、問題提出

2020年新冠肺炎疫情的應(yīng)對是對國家治理能力和治理現(xiàn)代化的考驗。各級政府部門、醫(yī)療機(jī)構(gòu)、企業(yè)運用數(shù)字技術(shù)上線一系列應(yīng)用，為精準(zhǔn)防控提供有效支撐。但由于個人信息保護(hù)不足等因素，導(dǎo)致大量返鄉(xiāng)人員信息泄露、新冠肺炎患者被網(wǎng)暴等現(xiàn)象，對個人的私生活、人格尊嚴(yán)、人身自由造成了不同程度的影響。如何在充分利用大數(shù)據(jù)支撐疫情防控的同時實現(xiàn)對個人信息的保護(hù)是迫切需要解決的問題。

針對公共衛(wèi)生事件中個人信息存在的問題，國內(nèi)許多學(xué)者從理論層面進(jìn)行探討，研究主要聚焦于公共衛(wèi)生事件個人信息保護(hù)與利用的法律問題和健康碼兩個角度展開。從法律問題的角度，一些學(xué)者認(rèn)為應(yīng)加強(qiáng)公共衛(wèi)生事件中個人信息的法律保護(hù)，例如陳兵認(rèn)為，面對重大公共衛(wèi)生事件，個人數(shù)據(jù)的規(guī)范化和法治化狀況不容樂觀，要在法治思維框架下，綜合考量不同主體的多元需求，實現(xiàn)大數(shù)據(jù)應(yīng)用與公民全面發(fā)展的和諧共贏[1]。時誠、張勇則認(rèn)為應(yīng)采用公法與私法并重的綜合性保護(hù)方式對相關(guān)的法律制度進(jìn)行完善[2]，加強(qiáng)法律的整體性與適用性[3]。還有學(xué)者從公共衛(wèi)生事件中個人信息保護(hù)的合法性視角展開研究，唐彬彬采用利益相關(guān)者理論來探討個人信息保護(hù)限縮的正當(dāng)性及邊界[4]。針對健康碼的研究，主要圍繞健康碼的合法性與正當(dāng)性展開。許可認(rèn)為，健康碼的治理規(guī)則是應(yīng)急狀態(tài)下的數(shù)據(jù)規(guī)則，一旦疫情防控從急性、超常規(guī)轉(zhuǎn)向常態(tài)化，相關(guān)治理規(guī)則甚至健康碼的存廢即需要重新評估[5]。寧園則認(rèn)為，健康碼的推行是公權(quán)力對私權(quán)利的限制，其正當(dāng)性不僅建立在優(yōu)先維護(hù)公共衛(wèi)生安全、公眾生命健康的價值選擇上，還建立在公權(quán)力須克制至合比例性程度的基礎(chǔ)上[6]。目前研究多集中于公共衛(wèi)生事件中個人信息保護(hù)的法律規(guī)則和法律制度研究，雖有涉及健康碼等技術(shù)工具應(yīng)用的研究，但研究多側(cè)重于法律規(guī)制層面，對不同國家數(shù)字技術(shù)支撐抗疫的對比研究較少，對健康碼相關(guān)的技術(shù)規(guī)則研究也有所欠缺。

因此，本文首先探討重大公共衛(wèi)生事件中個人信息保護(hù)與利用存在的現(xiàn)實問題及原因，從技術(shù)路徑和法律規(guī)則雙重視角來分析公共衛(wèi)生事件中域外主要國家進(jìn)行個人信息治理的做法，將其與我國實踐對比并提出改進(jìn)建議。

二、重大公共衛(wèi)生事件中個人信息保護(hù)與利用存在的問題及原因

（一）公共衛(wèi)生事件中個人信息保護(hù)不充分與利用不足

從個人信息流動全生命周期不同環(huán)節(jié)來看，包括以下幾個方面。

1.在信息收集存儲階段

一是存在信息收集主體混亂和授權(quán)問題。參與收集個人信息的主體雜亂繁多，大量企業(yè)、物業(yè)、超市、商店等不具有合法授權(quán)的組織機(jī)構(gòu)也收集個人信息，且沒有明確規(guī)范的保護(hù)措施。二是存在信息收集對象的擴(kuò)張和所收集信息范圍的擴(kuò)張問題。大量普通個體的信息在各種場景下被強(qiáng)制收集，收集的信息種類超過法律規(guī)定防疫所需的信息范圍。三是未明確告知所收集信息的用途、去處和流轉(zhuǎn)情況，收集過程不規(guī)范。一些“健康碼”小程序、在線診斷平臺等應(yīng)用收集用戶個人信息但是沒有完善的隱私政策或沒有征得用戶同意。四是個人信息存儲存在安全風(fēng)險，有些政府機(jī)構(gòu)或營業(yè)性場所將收集的個人信息未進(jìn)行匿名化處理便在網(wǎng)上傳播。

2.在信息利用披露階段

一是同時存在信息披露不充分不及時和信息過度披露的問題。二是存在個人信息處理技術(shù)和標(biāo)準(zhǔn)不統(tǒng)一等問題。不同省市、地區(qū)開發(fā)了不同的“健康碼”小程序，收集處理個人信息的技術(shù)標(biāo)準(zhǔn)不統(tǒng)一，不利于信息的互聯(lián)互通和個人信息的保護(hù)。三是存在數(shù)據(jù)質(zhì)量和數(shù)據(jù)壁壘的問題，且信息處理規(guī)則不透明。

3.在信息銷毀階段

對疫情結(jié)束后個人信息該如何處理沒有給予交待，缺少有效的退出機(jī)制，沒有建立統(tǒng)一的個人信息銷毀程序，容易造成“次生災(zāi)害”。

基于以上分析，在大數(shù)據(jù)支持疫情聯(lián)防聯(lián)控的過程中，主要存在個人信息保護(hù)不充分與個人信息利用不足的現(xiàn)實問題，如何協(xié)調(diào)平衡個人信息保護(hù)與利用之間的關(guān)系，構(gòu)建疫情防控常態(tài)化背景下的個人信息治理路徑，成為迫切需求。

（二）造成公共衛(wèi)生事件中個人信息保護(hù)不充分與利用不足的原因

1.個人信息治理的復(fù)雜性

由于公共衛(wèi)生事件的突發(fā)性、緊迫性和廣泛性，其有效應(yīng)對是與病毒的傳播搶時間，需要在短時間內(nèi)利用大數(shù)據(jù)分析病毒的傳播路徑并加以阻斷，這意味著用于公共衛(wèi)生事件中的個人信息治理更加多元復(fù)雜。

（1）公共衛(wèi)生事件中所涉信息類型的復(fù)雜性。一是收集使用的個人信息種類繁雜、涉及的信息面廣且信息量大。收集的個人信息包括但不局限于個人基本信息、通信信息、位置信息、醫(yī)療健康信息、交易信息等幾大類。二是收集使用的個人信息敏感程度更高。大量涉及個人行蹤軌跡、健康生理信息等敏感信息直接指向特定個體，呈現(xiàn)出極強(qiáng)的主體特征。三是個人信息的應(yīng)用場景豐富。出行、購物、返工等日常生活場景幾乎都需要掃碼。在線問診、醫(yī)療便民服務(wù)等智慧醫(yī)療應(yīng)用場景增加了個人信息的管理難度。四是收集使用的個人信息關(guān)聯(lián)性強(qiáng)，處理后的信息蘊含巨大的、多元的價值。單個信息所能發(fā)揮的價值有限，但將某一地區(qū)、某一群體的大量信息整合起來，將會產(chǎn)生巨大的醫(yī)學(xué)價值、商業(yè)價值和社會價值。

（2）公共衛(wèi)生事件中個人信息治理的復(fù)雜性。一是個人信息利用呈現(xiàn)出數(shù)據(jù)密集型實踐[7]，強(qiáng)調(diào)時效性和緊迫性。公共衛(wèi)生事件中單個個體的信息或少部分人的個人信息的作用和影響是比較有限的，只有信息的數(shù)量規(guī)模達(dá)到一定程度才能體現(xiàn)出實際應(yīng)用價值。二是個人信息分層分類及差異化治理需求顯著。不同領(lǐng)域的個人信息需要分類管理，不同層級的責(zé)任主體也應(yīng)根據(jù)不同工作需求來限定其個人信息收集使用的范圍和程度。三是個人信息治理凸顯隱私設(shè)計和技術(shù)安全的重要性?？梢灶A(yù)見政府部門的流調(diào)工作需要存儲、調(diào)取、授權(quán)大規(guī)模的公民個人信息，健康碼等工具在系統(tǒng)開發(fā)設(shè)計之初就應(yīng)將隱私保護(hù)考慮其中，保證數(shù)據(jù)流動、數(shù)據(jù)傳輸和內(nèi)部管理等各個環(huán)節(jié)都安全可靠和可信賴。四是個人信息流通環(huán)節(jié)有待進(jìn)一步疏通。此次疫情防控初期數(shù)據(jù)分散割據(jù)、數(shù)據(jù)利用跨越行政層級、數(shù)據(jù)流通環(huán)節(jié)不暢等問題大大降低了數(shù)據(jù)利用的效率，增加了數(shù)據(jù)流轉(zhuǎn)的難度。

2.數(shù)字技術(shù)應(yīng)用的不確定性

進(jìn)行大規(guī)模的核酸檢測和接觸者追蹤成為被世界各國認(rèn)可的應(yīng)對新冠大流行并保持經(jīng)濟(jì)開放的有效方法。但接觸追蹤工具的廣泛應(yīng)用一方面存在短期隱私入侵的風(fēng)險，另一方面存在長期更改社會監(jiān)視規(guī)則的可能性。開發(fā)出一款可用有效的應(yīng)用而不讓它成為監(jiān)視工具，是一個選擇，更是一個挑戰(zhàn)。這種選擇和挑戰(zhàn)暴露出公共衛(wèi)生事件中數(shù)字技術(shù)應(yīng)用的不確定性。

（1）信息收集技術(shù)的不確定性。精確判斷用戶之間的接觸情況是接觸追蹤程序要解決的首要問題。獲取不同用戶之間的位置關(guān)系有兩種技術(shù)實現(xiàn)方式，一是通過GPS、基站數(shù)據(jù)和WI-FI 等底層技術(shù)直接獲取用戶精準(zhǔn)的位置信息，二是通過使用藍(lán)牙信標(biāo)技術(shù)測算比對用戶之間的相對距離來判斷接觸情況。位置數(shù)據(jù)可以對用戶進(jìn)行高效精準(zhǔn)定位，但存在較大的隱私風(fēng)險和數(shù)據(jù)安全風(fēng)險。藍(lán)牙信標(biāo)技術(shù)根據(jù)藍(lán)牙信號強(qiáng)度的識別來判斷人與人之間的物理距離，被公認(rèn)最有利于個人信息保護(hù)和隱私安全的技術(shù)。但是藍(lán)牙信號存在可以穿越物理障礙的“天然缺陷”，可能導(dǎo)致身處兩個房間、隔著一道墻的用戶，由于其中一個房間內(nèi)有確診者，另一個房間的用戶收到提醒的“假陽”情況。如果這種情況出現(xiàn)的概率過高的話，追蹤就變得沒有意義。

（2）信息處理技術(shù)的不確定性。影響隱私和安全的另一個關(guān)鍵問題是，數(shù)字接觸追蹤工具選擇采用集中還是分散的技術(shù)路徑。一是數(shù)據(jù)處理方式的選擇，即進(jìn)行追蹤所采集的個人信息是存儲在由政府職能部門或公共衛(wèi)生機(jī)構(gòu)集中部署管理的數(shù)據(jù)庫中統(tǒng)一進(jìn)行分析處理，還是分布在作為網(wǎng)絡(luò)節(jié)點的用戶自身的手機(jī)終端設(shè)備上進(jìn)行分散化處理。中央的數(shù)據(jù)庫存儲不僅存在政府監(jiān)控的隱私風(fēng)險，而且更容易遭受猛烈的網(wǎng)絡(luò)攻擊，分布式的數(shù)據(jù)處理方式則更利于個人信息和隱私的保護(hù)。二是用戶參與方式的選擇，即是否賦予用戶自主決定如何處理感染情況的權(quán)利，通常更加分散的技術(shù)方案對應(yīng)著用戶對參與接觸追蹤的方式享有更加廣泛的選擇空間。

（3）接觸追蹤技術(shù)效果的不確定性。針對采用藍(lán)牙信標(biāo)和分布式的存儲技術(shù)實施的接觸追蹤，有學(xué)者研究提出，只有接觸追蹤工具使用的覆蓋率達(dá)到該地區(qū)人口數(shù)量的60%以上，才能發(fā)揮其作用。而即便是采用精確的位置信息來進(jìn)行接觸追蹤也并不意味著更高的準(zhǔn)確性，這還取決于使用智能手機(jī)的人口比例，個人上報信息的準(zhǔn)確率，以及對比數(shù)據(jù)庫的準(zhǔn)確率等各種影響因素。

3.法律規(guī)則的不完善

法律規(guī)則制度的缺失和不完善也是造成公共衛(wèi)生事件中個人信息保護(hù)不充分的重要原因。

（1）涉及疫情防控等公共利益情形的個人信息保護(hù)法律缺乏整體性和系統(tǒng)性。法律規(guī)范體系應(yīng)該是一個相互關(guān)聯(lián)、相互銜接、相互協(xié)調(diào)的整體，具有系統(tǒng)性、整體性的功能。由于我國個人信息保護(hù)法律發(fā)展的相對滯后性，個人信息保護(hù)的法律法規(guī)呈現(xiàn)碎片化狀態(tài)，缺少整體性的布局規(guī)劃，法律規(guī)范之間銜接不足，難以自洽。

（2）存在法律和規(guī)范相沖突的情形。例如，針對個人信息收集的情景，《網(wǎng)絡(luò)安全法》第22條規(guī)定，“網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意；涉及用戶個人信息的，還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護(hù)的規(guī)定?！币罁?jù)此規(guī)定，獲取個人信息的基本前提是“告知”+“同意”。《個人信息安全規(guī)范》第5.4條，規(guī)定了征得授權(quán)同意的例外，即與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的情形，個人信息控制者收集、使用個人信息無需征得個人信息主體的授權(quán)同意。但是該規(guī)范沒有規(guī)定“告知”的情形，即僅豁免了信息主體的“同意”，而沒有豁免信息控制者的“告知”。

（3）有關(guān)個人信息保護(hù)的法律邊界還需進(jìn)一步厘清。我國現(xiàn)行法律還未統(tǒng)一個人信息概念的界定，也未明確個人信息的內(nèi)涵和外延?？勺R別的個人信息與不可識別的個人信息之間正在變得模糊，而且加密技術(shù)也不是完全可靠的。政府部門為了實現(xiàn)更快更精準(zhǔn)的防控，與電信、互聯(lián)網(wǎng)等企業(yè)合作，采取地毯式、網(wǎng)格化的方式，廣泛收集處理公民的包括位置軌跡、家庭關(guān)系、交通出行、健康等個人信息甚至是個人敏感信息，收集信息的主體也擴(kuò)展到居委會、街道辦、物業(yè)、商場、消費場所等許多法律未明確授權(quán)的主體。即使在以公共利益為重的緊急情況下，個人權(quán)益也不能無限壓縮，如何調(diào)整個人信息收集使用的法律邊界還有待考量。

三、重大公共衛(wèi)生事件中個人信息保護(hù)與利用的域外實踐

基于以上對問題原因的分析，下面主要從技術(shù)路徑和法律規(guī)則雙重視角分析歐美主要國家地區(qū)在公共衛(wèi)生事件應(yīng)對中進(jìn)行個人信息保護(hù)與利用的具體做法，以與中國實踐形成對比。

（一）歐美主要接觸追蹤工具的技術(shù)路徑

1.蘋果&谷歌公司聯(lián)合開發(fā)的API 端口

蘋果和谷歌公司聯(lián)合發(fā)出聲明，在遵守現(xiàn)有法律框架的前提下，選擇更加有利于保護(hù)公民個人隱私的技術(shù)方法，來開發(fā)一款用于進(jìn)行新冠肺炎接觸者追蹤排查的API 接口。

（1）該接觸追蹤工具采用藍(lán)牙信標(biāo)技術(shù)和分布式的數(shù)據(jù)處理方式。蘋果和谷歌公司推出的接觸追蹤工具，在設(shè)計之始即踐行“隱私設(shè)計”的理念，選擇使用藍(lán)牙信標(biāo)檢測用戶之間的距離來判斷接觸情況。其采用滾動接近標(biāo)識符和臨時暴露密鑰，并定時更新。該方案不存儲任何個人信息，帶有接觸用戶隱私信息的臨近標(biāo)識符僅在用戶設(shè)備上進(jìn)行處理，不會上傳或存儲到中心化的數(shù)據(jù)庫。此外，該方案還賦予用戶對是否加入暴露通知以及對其采取何種態(tài)度以極大的自主選擇權(quán)。

（2）API 端口的使用限定在公共衛(wèi)生部門。蘋果和谷歌公司的協(xié)議是一種混合的方法，只有公共衛(wèi)生機(jī)構(gòu)才能利用該API 端口來構(gòu)建接觸追蹤應(yīng)用程序?；陔[私保護(hù)的考量，其技術(shù)規(guī)范禁止政府訪問已確認(rèn)感染的聯(lián)系人的完整列表。蘋果公司的iOS 系統(tǒng)和谷歌公司的Android 系統(tǒng)在美國手機(jī)市場中擁有占絕對優(yōu)勢的占有率，其合作開發(fā)的API 端口可以通過實現(xiàn)互操作性構(gòu)建到手機(jī)操作系統(tǒng)中。由于公共衛(wèi)生事件的特殊性，接觸者追蹤通常是基于政府部門主導(dǎo)或以政企結(jié)合的方式展開。互聯(lián)網(wǎng)企業(yè)作為接觸追蹤工具的實現(xiàn)者和執(zhí)行者，在減少用戶顧慮的同時，也需要應(yīng)對來自政府機(jī)構(gòu)和智能部門的行政壓力。蘋果公司和谷歌公司在可能面臨政府要求利用接觸追蹤APP 進(jìn)行社會監(jiān)控或開展政治活動的情況下，采用隱私設(shè)計和分布式的技術(shù)手段來事先規(guī)避風(fēng)險，是更好的選擇。

2.歐盟的“接觸追蹤APP 共同工具箱”

歐盟于2020年4月發(fā)布了抗擊Covid-19 接觸追蹤移動應(yīng)用程序的共同工具箱。該共同工具箱旨在在歐盟內(nèi)部，尋求一種受到各個國家認(rèn)可和互認(rèn)的技術(shù)標(biāo)準(zhǔn)，既有助于保護(hù)公民的隱私和數(shù)據(jù)安全，又有助于打破歐盟各個國家之間因疫情而互相封閉的狀況，實現(xiàn)歐盟境內(nèi)各個國家之間的流通與開放。

該工具箱同樣采用藍(lán)牙信標(biāo)和分布式的數(shù)據(jù)存儲技術(shù)，來完成對移動設(shè)備的近距離測量，執(zhí)行數(shù)據(jù)保護(hù)、匿名化、GDPR 合規(guī)和安全性等技術(shù)標(biāo)準(zhǔn)，實現(xiàn)基礎(chǔ)架構(gòu)的可擴(kuò)展，并不斷根據(jù)技術(shù)和研發(fā)進(jìn)展情況更新迭代?；诠餐ぞ呦溟_發(fā)的應(yīng)用程序由公民自愿選擇是否安裝并保證一旦不再需要，即立即刪除。歐洲公民對此類工具并不信任，在很多國家，追蹤接觸應(yīng)用APP的安裝率都十分低，以至于可能還達(dá)不到有效追蹤的程度。

質(zhì)言之，基于歐美國家長期的尊重人權(quán)和保護(hù)個人隱私的傳統(tǒng)，強(qiáng)制要求公眾安裝數(shù)字接觸追蹤程序并同意將個人信息提交給職能機(jī)構(gòu)分析使用以遏制新冠大流行是不切實際的。在自愿安裝追蹤程序的前提下，如果一個程序過度使用個人信息或泄露過多個人信息，都將導(dǎo)致用戶選擇拒絕安裝應(yīng)用。而數(shù)字接觸追蹤技術(shù)的有效性是建立在大規(guī)模范圍的人口安裝使用應(yīng)用程序的基礎(chǔ)之上的。因此，許多歐美國家試圖在現(xiàn)有法律框架下，通過尋求技術(shù)解決方案的最優(yōu)解，來開發(fā)旨在分散處理、存儲和系統(tǒng)控制的隱私協(xié)議，并盡可能地減少用戶對應(yīng)用程序及其背后機(jī)構(gòu)（實體）進(jìn)行投資所需的信任度。

（二）歐美主要國家公共衛(wèi)生事件中個人信息處理的法律規(guī)則

1.公共衛(wèi)生事件中個人信息處理活動仍需遵守現(xiàn)行的數(shù)據(jù)保護(hù)框架

在世界各國發(fā)布的有關(guān)疫情期間處理個人數(shù)據(jù)的聲明和指南中，都明確表明疫情防控措施與目前的數(shù)據(jù)保護(hù)法并不沖突。歐盟數(shù)據(jù)保護(hù)委員會主席安德里亞·耶利內(nèi)克（Andrea Jelinek）表示：“數(shù)據(jù)保護(hù)規(guī)則并不妨礙為對抗冠狀病毒大流行而采取的措施?！盵8]GDPR 是一項廣泛的立法，其規(guī)定了適用于在與Covid-19 相關(guān)的情況下處理個人數(shù)據(jù)的規(guī)則。意大利數(shù)據(jù)保護(hù)局則指出，“即使在疫情期間，個人數(shù)據(jù)處理活動也必須完全符合GDPR和意大利本國境內(nèi)相關(guān)的法律要求。”西班牙數(shù)據(jù)保護(hù)局在其發(fā)布的公告中聲明，“當(dāng)前的數(shù)據(jù)保護(hù)法規(guī)適用于目前的情況，對公共利益與個人權(quán)利進(jìn)行了調(diào)和權(quán)衡。”[9]愛爾蘭數(shù)據(jù)保護(hù)專員同樣說明，“數(shù)據(jù)保護(hù)法并不妨礙疫情期間提供醫(yī)療保健和公共衛(wèi)生問題的管理?！盵10]因此，即使在公共衛(wèi)生緊急事件的情況下，仍需要考慮數(shù)據(jù)保護(hù)法律規(guī)范的適用性，保障公民的個人權(quán)利。

2.在一些具體的場景下，個人信息處理活動獲得豁免，個人權(quán)利遭遇一定程度的克減

歐美等國家的數(shù)據(jù)保護(hù)框架將公共衛(wèi)生安全列入個人數(shù)據(jù)保護(hù)規(guī)則的例外情況，未經(jīng)同意的個人數(shù)據(jù)處理可以獲得豁免。其中，GDPR 第6條對“未經(jīng)同意的處理”進(jìn)行規(guī)定，保護(hù)數(shù)據(jù)主體或其他自然人的重大利益，執(zhí)行公共利益任務(wù)的情況下，未經(jīng)同意的處理個人數(shù)據(jù)是合法的。美國衛(wèi)生與公共服務(wù)部在其發(fā)布的與Covid-19和HIPPA 相關(guān)的公告中明確表示，在全國性的公共緊急事件中，民權(quán)辦公室將在執(zhí)法過程中行使自由裁量權(quán)，對HIPPA 隱私規(guī)則中的某些規(guī)定給予有限豁免[11]。聲明指出，針對在疫情期間提供遠(yuǎn)程醫(yī)療服務(wù)但不完全符合HIPAA 規(guī)則的醫(yī)療服務(wù)提供者以及其商業(yè)伙伴給予豁免，免除其違反HIPAA 隱私規(guī)則的處罰。英國數(shù)據(jù)保護(hù)保護(hù)局同樣在《冠狀病毒與個人數(shù)據(jù)保護(hù)指南》中說明，在疫情期間疫情期間，對個人的知情權(quán)要求的響應(yīng)會延誤或變慢，對一些數(shù)據(jù)保護(hù)措施達(dá)不到通常標(biāo)準(zhǔn)的情況會給予豁免。

3.將個人信息處理的主體主要限定在公共衛(wèi)生部門，并遵循最小化和必要性的基本原則

根據(jù)GDPR的規(guī)定和歐盟數(shù)據(jù)保護(hù)委員會的聲明，雇主和公共衛(wèi)生主管部門可以在流行病情況下處理個人數(shù)據(jù)，而無需征得數(shù)據(jù)主體的同意。西班牙數(shù)據(jù)保護(hù)局在指南中說明，公共衛(wèi)生部門在緊急情況下有權(quán)采取必要的措施來維護(hù)公共利益。并且在緊急狀況下個人數(shù)據(jù)的處理仍然要依法進(jìn)行，要遵循個人數(shù)據(jù)處理的基本原則。給予豁免是出于公共事件的緊迫性、迫切性和便利性，但是不能與必要性混為一談。個人數(shù)據(jù)的處理仍然要限定在最小化、必要性和相稱性的范圍。所處理的數(shù)據(jù)必須限于預(yù)期的目的，而不能擴(kuò)大范圍。愛爾蘭數(shù)據(jù)保護(hù)專員同樣指出，針對冠狀病毒采取的包括使用個人數(shù)據(jù)（包括健康數(shù)據(jù)）在內(nèi)的應(yīng)對措施應(yīng)該是必要且適當(dāng)?shù)摹?/p>

四、重大公共衛(wèi)生事件中個人信息保護(hù)與利用的中國路徑

（一）中國版健康碼的技術(shù)路徑

1.健康碼采取主動填報與大數(shù)據(jù)相結(jié)合的數(shù)據(jù)收集方式實現(xiàn)用戶定位

健康碼是中國在抗疫過程中推出的方便民眾出行的電子憑證。健康碼的運行主要利用包括個人基本信息、個人健康信息、個人傳染疾病信息和個人位置信息在內(nèi)的四類個人信息。健康碼獲取個人信息的途徑主要源于三方面：個人自主填報的信息、相關(guān)公共部門和防疫部門提供的信息、以及電信運營商和網(wǎng)絡(luò)平臺服務(wù)提供商監(jiān)測的信息。在健康碼生成階段，通過用戶主動填報信息并與國家政務(wù)平臺、居民身份網(wǎng)絡(luò)可信憑證平臺和出入境身份認(rèn)證平臺相比對，進(jìn)行身份驗證后制成健康碼。在行程追蹤階段，則采取對用戶自主上報的信息，交通客運、出入境、社區(qū)等公共場所監(jiān)測信息，以及GPS、基站數(shù)據(jù)、WI-FI 等定位信息形成的用戶軌跡進(jìn)行綜合比對的方式。在信息收集方面，健康碼采用自主填報、線下采集、線上監(jiān)測和數(shù)據(jù)庫比對相結(jié)合的綜合方式，實現(xiàn)對防疫信息的實時、動態(tài)化分析。

2.健康碼運行的前提是利用生物特征信息對用戶進(jìn)行可信身份認(rèn)證

健康碼在制碼之前收集用戶的姓名、手機(jī)號、身份證號和人臉信息，并將這些信息與由出入境身份認(rèn)證平臺和居民身份網(wǎng)絡(luò)可信憑證平臺組成的一體化平臺進(jìn)行統(tǒng)一身份認(rèn)證。2020年4月29 日，由市場監(jiān)督總局發(fā)布的《個人健康信息碼》系列國家標(biāo)準(zhǔn)之一——《個人健康信息碼參考模型》（GB/T 38961-2020）第6.2條規(guī)定，“健康碼的出示應(yīng)以用戶實人認(rèn)證為前提，健康碼服務(wù)對接的個人健康信息服務(wù)及其對用的應(yīng)用程序應(yīng)先設(shè)法取得認(rèn)證后的憑證數(shù)據(jù)，再以其為主要參數(shù)向健康碼服務(wù)申請制碼?！辈⒃诘?條“健康碼應(yīng)用要求”中規(guī)定“健康碼在出示前應(yīng)先進(jìn)行用戶實名實人認(rèn)證，相關(guān)認(rèn)證宜通過至少一種用戶生物識別特征識別?！辈还苁腔趪医y(tǒng)一平臺還是分散建設(shè)的健康碼應(yīng)用系統(tǒng)都應(yīng)實現(xiàn)實人認(rèn)證并進(jìn)行系統(tǒng)對接，采取統(tǒng)一的規(guī)范化管理。

3.健康碼運行背后采取中心化+分級管理相結(jié)合的信息處理模式

基本上每個城市都建立了自己屬地的健康碼系統(tǒng)和信息平臺。由于不同地方的標(biāo)準(zhǔn)規(guī)范存在差異，導(dǎo)致不同城市之間的健康碼互不相認(rèn)，進(jìn)而影響了人口流動和復(fù)產(chǎn)復(fù)工。國家相關(guān)政府部門聯(lián)合電信運營商，騰訊、阿里巴巴等企業(yè)推出了全國一體化的健康碼信息平臺，并制定統(tǒng)一的數(shù)據(jù)格式標(biāo)準(zhǔn)、技術(shù)要求和內(nèi)容要求，各地方平臺向全國一體化平臺匯聚本地區(qū)防疫健康信息目錄，實現(xiàn)全國絕大多數(shù)健康碼互認(rèn)互通?；诖?，健康碼形成了一個中心化的分層信息系統(tǒng)，所有地區(qū)或區(qū)域性的健康碼應(yīng)用系統(tǒng)都要與全國一體化平臺實現(xiàn)互信互認(rèn)，并向統(tǒng)一平臺匯集健康信息目錄；由國務(wù)院辦公廳依托一體化平臺數(shù)據(jù)共享系統(tǒng)匯聚各地的防疫健康信息，由國務(wù)院相關(guān)部門提供防疫相關(guān)信息服務(wù)和接口進(jìn)行數(shù)據(jù)比對分析；各個地區(qū)負(fù)責(zé)本地區(qū)健康碼的業(yè)務(wù)管理和風(fēng)險管理。中國版健康碼的推行不僅統(tǒng)一了信息收集渠道和收集標(biāo)準(zhǔn)，而且簡化了過關(guān)檢測手續(xù)，提高了公眾的出行效率。但其通過人臉識別進(jìn)行身份認(rèn)證，政企合作開發(fā)運行健康碼系統(tǒng)，綜合利用防疫數(shù)據(jù)、電信運營數(shù)據(jù)、居民身份證數(shù)據(jù)、互聯(lián)網(wǎng)平臺數(shù)據(jù)進(jìn)行分析比對的基本事實引發(fā)了公眾對隱私的極大擔(dān)憂。

（二）我國公共衛(wèi)生事件中個人信息處理的法律規(guī)則

在我國，個人信息保護(hù)和數(shù)據(jù)安全還是比較新的領(lǐng)域，暫時還未形成系統(tǒng)完善的個人信息保護(hù)和隱私保護(hù)法律體系框架，《個人信息保護(hù)法》雖已經(jīng)提請審議，但仍尚未出臺。從現(xiàn)行的立法來看，能夠?qū)残l(wèi)生事件中個人信息保護(hù)與利用的各方利益關(guān)系進(jìn)行具體調(diào)整的法律法規(guī)主要有《網(wǎng)絡(luò)安全法》《傳染病防治法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》《民法總則》《刑法》等。

1.我國相關(guān)法律法規(guī)規(guī)定了公共衛(wèi)生事件中個人信息處理的一般性條款

其中，《民法總則》第111條規(guī)定：“自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！薄毒W(wǎng)絡(luò)安全法》第42條規(guī)定：“網(wǎng)絡(luò)運營者不得泄露、篡改、損毀其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息?！贝送?，《刑法》第253條之一設(shè)置了侵犯公民個人信息罪，對向他人出售或提供公民個人信息的情節(jié)進(jìn)行了規(guī)定。

2.我國現(xiàn)行法律對公共衛(wèi)生事件中個人信息處理的主體進(jìn)行了規(guī)定，并做了一定的延伸

其中，《傳染病防治法》第12條規(guī)定：“在中華人民共和國領(lǐng)域內(nèi)的一切單位和個人，必須接受疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)有關(guān)傳染病的調(diào)查、檢驗、采集樣本、隔離治療等預(yù)防、控制措施，如實提供有關(guān)情況?！薄锻话l(fā)公共衛(wèi)生事件應(yīng)急條例》第36條規(guī)定：“國務(wù)院衛(wèi)生行政主管部門或者其他有關(guān)部門指定的專業(yè)技術(shù)機(jī)構(gòu)，有權(quán)進(jìn)入突發(fā)事件現(xiàn)場進(jìn)行調(diào)查、采樣、技術(shù)分析和檢驗，對地方突發(fā)事件的應(yīng)急處理工作進(jìn)行技術(shù)指導(dǎo)，有關(guān)單位和個人應(yīng)當(dāng)予以配合；任何單位和個人不得以任何理由予以拒絕?！毙畔⑹占幚淼闹黧w除了以上規(guī)定的衛(wèi)生行政主管部門、疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)和相關(guān)專業(yè)機(jī)構(gòu)之外，還將主體范圍擴(kuò)展到了居委會，賦予基層組織收集信息的權(quán)利[12]?！锻话l(fā)公共衛(wèi)生事件應(yīng)急條例》第40條規(guī)定：“傳染病暴發(fā)、流行時，街道、鄉(xiāng)鎮(zhèn)以及居委會、村民委員會應(yīng)當(dāng)組織力量、團(tuán)結(jié)協(xié)作、群防群治，協(xié)助衛(wèi)生行政主管部門和其他有關(guān)部門、醫(yī)療衛(wèi)生機(jī)構(gòu)做好疫情信息的收集和報告、人員的分散隔離、公共衛(wèi)生措施的落實工作，向居民、村民宣傳傳染病防治的相關(guān)知識?！?/p>

3.規(guī)范疫情期間的個人信息處理活動，以應(yīng)對現(xiàn)有法律制度的不足

為了應(yīng)對疫情期間暴露出的有關(guān)個人信息收集處理的問題，中央網(wǎng)絡(luò)安全和信息化委員會發(fā)布了《關(guān)于做好個人信息保護(hù)利用大數(shù)據(jù)支持聯(lián)防聯(lián)控工作的通知》，對個人信息收集的主體、范圍、原則、安全措施等進(jìn)行了規(guī)定。《通知》對疫情期間收集個人信息的主體進(jìn)行了進(jìn)一步的限定，除了國務(wù)院衛(wèi)生健康部門授權(quán)的機(jī)構(gòu)外，其他任何單位和個人不得以疫情防控、疾病防治為由，未經(jīng)被收集者同意收集使用個人信息，且個人信息的收集要堅持最小范圍原則、用途限定原則和安全原則。

五、對比分析與對策建議

（一）公共衛(wèi)生事件中個人信息治理實踐的對比分析

1.個人信息治理所采取的數(shù)字技術(shù)嘗試和法律規(guī)則調(diào)整是為了應(yīng)對公共衛(wèi)生事件暴露出來的社會矛盾和社會沖突

公共衛(wèi)生事件中暴露出大數(shù)據(jù)應(yīng)用和個人信息保護(hù)的問題，反映三個層面的沖突：一是官方與民間的沖突。前期官方信息披露不充分、不及時與公眾希望了解疫情信息的迫切心理和應(yīng)對疫情的恐慌心理形成了強(qiáng)烈對比和鮮明的沖突，導(dǎo)致大量信息泄露、傳播，造成一系列極端行為，嚴(yán)重侵犯了個人隱私和人身自由等基本人權(quán)。二是需求與供給的沖突。公共衛(wèi)生事件應(yīng)對迫切需要以大量個人信息為底層基礎(chǔ)數(shù)據(jù)的大型數(shù)據(jù)庫給予支撐，但現(xiàn)有數(shù)據(jù)利用不充分、利用效率低，數(shù)據(jù)價值和潛能還有待充分釋放。三是技術(shù)與規(guī)則的沖突。數(shù)字信息技術(shù)支撐疫情防控，但與之相適應(yīng)的規(guī)則體系卻存在缺位。在公共利益暫時高于其他個人利益的情況下，個人權(quán)利遭遇壓縮，個人信息權(quán)益和隱私權(quán)遭到擠壓。

2.不同國家所采取的具體技術(shù)方式和法律規(guī)則主要與國家經(jīng)濟(jì)社會發(fā)展水平、互聯(lián)網(wǎng)發(fā)展水平以及個人信息保護(hù)法律制度的發(fā)展水平相關(guān)

從技術(shù)路徑的角度，不同國家對接觸追蹤技術(shù)的使用會綜合不同利益集團(tuán)的角力、技術(shù)實現(xiàn)的可能性、投入回報比等因素來選擇綜合性的解決方案。作為擁有大量個人信息和實施接觸追蹤技術(shù)的互聯(lián)網(wǎng)企業(yè)，一方面要獲取公眾的信任，另一方面要承受政府以公共利益之名過度調(diào)取數(shù)據(jù)的壓力；作為政府要將公共利益和公共安全作為優(yōu)先目標(biāo)，在疫情防控中有所作為，又存在以防疫為名實施更深刻社會控制和政治操縱的可能性；作為個體的公眾，既希望公共部門采取有效措施遏制疫情傳播保障自身生命安全，又不希望相關(guān)措施對個人的自由和私生活產(chǎn)生不良影響。此外，作為企業(yè)和政府，要同時考慮投入和效率的問題，企業(yè)會對技術(shù)投入的成本、獲得的收益與其所承擔(dān)的社會責(zé)任進(jìn)行測算，政府同樣要考慮應(yīng)對公共衛(wèi)生事件的財政投入效率問題。

從法律規(guī)則的角度，許多司法管轄區(qū)部署了相對成熟完善的法律框架來規(guī)范個人信息處理的基本規(guī)則，例如歐盟的GDPR、美國的HIPAA、加拿大的PIPEDA 等。在制度設(shè)計中，許多法律將公共衛(wèi)生緊急事件作為未經(jīng)授權(quán)訪問的例外，但適當(dāng)安全的目標(biāo)是始終如一的[13]。不同地區(qū)對例外和安全的平衡體現(xiàn)出不同制度體系所具備的彈性空間，并且與該國的經(jīng)濟(jì)發(fā)展水平、互聯(lián)網(wǎng)等信息技術(shù)和數(shù)字技術(shù)的發(fā)展水平以及個人信息保護(hù)法律制度的發(fā)展程度和完備程度有關(guān)。

3.各個國家在公共衛(wèi)生事件應(yīng)對中所采取的技術(shù)路徑和法律規(guī)則歸根結(jié)底是反映了不同國家對不同價值的衡量和取舍

一是個人權(quán)利與公共利益的取舍。歐美國家將人的尊嚴(yán)和自由視為神圣不可侵犯的權(quán)利，即使是面對生存威脅，也應(yīng)盡可能少地干涉基本權(quán)利。有西方學(xué)者認(rèn)為，不需要利用中央數(shù)據(jù)庫收集存儲大量數(shù)據(jù)，也可以快速有效地進(jìn)行接觸追蹤[14]?；谠S多緊急措施具有持久保持下去的慣性，西方社會始終對新技術(shù)的應(yīng)用保持警惕。對比中國、韓國、新加坡等東亞國家與歐美國家之間的抗疫實踐，基于數(shù)字信息技術(shù)的接觸追蹤和新技術(shù)新應(yīng)用在東亞國家的疫情防控中發(fā)揮了重大作用。Solove 教授指出，在特定情景中，隱私的價值取決于其所屬實踐的社會重要性。面對公共衛(wèi)生事件，更應(yīng)重新審視個人隱私與公共安全之間的權(quán)衡取舍，構(gòu)建以尋求社會公共福祉為歸依的隱私理論，或者加速開展可以保護(hù)兩者的技術(shù)創(chuàng)新和政策制定。

二是社會監(jiān)控與精細(xì)化治理的衡量。數(shù)字接觸追蹤技術(shù)的應(yīng)用引發(fā)了人們對政府可能實施過度監(jiān)控，甚至是政企合謀實施控制的擔(dān)憂。個人權(quán)利的界限、企業(yè)責(zé)任的邊界和政府權(quán)利的邊界如何劃分，精準(zhǔn)治理還是更深層次的社會控制取決于不同的價值選擇。有學(xué)者對新加坡的接觸追蹤提出批評，認(rèn)為其允許政府重建社會內(nèi)部聯(lián)系的“社會圖譜”，因為該協(xié)議要求所有用戶向中央服務(wù)器注冊，并且在用戶的設(shè)備上存儲附近設(shè)備的數(shù)據(jù)[15]。數(shù)字技術(shù)和接觸者追蹤對監(jiān)視和鎮(zhèn)壓邊緣群體開辟了一個危險的新領(lǐng)域，并可能發(fā)展成為政治斗爭或打壓異己的新工具，如何實現(xiàn)社會的精細(xì)化治理而不至于淪為社會監(jiān)控的工具將成為其獲得合法性的基礎(chǔ)。

（二）對策建議

綜上所述，對于如何在公共衛(wèi)生事件應(yīng)對中發(fā)揮大數(shù)據(jù)技術(shù)優(yōu)勢的同時實現(xiàn)個人信息保護(hù)，提出以下建議。

1.加強(qiáng)數(shù)字技術(shù)支撐疫情防控的確定性

一是制定規(guī)范統(tǒng)一的個人信息處理技術(shù)規(guī)范，制定完備的技術(shù)規(guī)則，規(guī)范個人信息的處理活動。對個人信息收集處理的格式和標(biāo)準(zhǔn)等內(nèi)容進(jìn)行細(xì)化統(tǒng)一，提高信息的準(zhǔn)確性和可用性。對個人信息的處理范圍、技術(shù)要求等內(nèi)容進(jìn)行明確，統(tǒng)一個人信息的處理標(biāo)準(zhǔn)。對個人信息進(jìn)行分級分層管理，規(guī)范匿名化、假名化等信息去標(biāo)識化、脫敏技術(shù)。

二是著力保障技術(shù)安全和系統(tǒng)安全。對個人信息收集主體的資質(zhì)標(biāo)準(zhǔn)和要求進(jìn)行規(guī)定和認(rèn)證。在系統(tǒng)設(shè)計之初便將隱私和安全考慮其中，實現(xiàn)隱私設(shè)計功能。統(tǒng)一信息系統(tǒng)安全等級標(biāo)準(zhǔn)，保障數(shù)據(jù)安全和信息安全。利用區(qū)塊鏈等技術(shù)建立個人信息泄露溯源機(jī)制，對數(shù)據(jù)的存儲設(shè)置時效限制。

2.完善公共衛(wèi)生事件中個人信息保護(hù)的法律制度

一是完善個人信息保護(hù)的具體原則。修訂《突發(fā)公共衛(wèi)生事件應(yīng)急條例》《傳染病防治法》等法律，將公共衛(wèi)生事件中個人信息收集處理的基本原則吸納進(jìn)去，對原有法律進(jìn)行細(xì)化修正，對公共衛(wèi)生緊急情況下的個人信息活動進(jìn)行系統(tǒng)規(guī)范。明確限定公共衛(wèi)生事件下個人信息收集處理的主體、所收集處理信息的范圍和種類以及信息保護(hù)的限度，明確規(guī)范政府、公共衛(wèi)生部門、居委會等不同主體的責(zé)任，并對不同主體的權(quán)利邊界進(jìn)行嚴(yán)格限定。

二是構(gòu)建系統(tǒng)健全的個人信息保護(hù)法律體系。盡快出臺《個人信息保護(hù)法》，采取公法與私法相結(jié)合的模式實現(xiàn)對個人信息的綜合性保護(hù)。實現(xiàn)不同層級法律的銜接，保證法律適用的完整統(tǒng)一。發(fā)揮民法、刑法、行政法等不同法律在個人信息保護(hù)中的作用，對目前個人信息保護(hù)中重視行政、刑事手段的狀態(tài)進(jìn)行適當(dāng)調(diào)整，完善民法支撐信息主體進(jìn)行權(quán)利救濟(jì)的途徑，為信息主體提供更加充分全面的保護(hù)。