公共衛(wèi)生事件防控中的大數(shù)據(jù)應(yīng)用及其法律保護

文/彭德雷（華東理工大學(xué) 法學(xué)院/商學(xué)院，上海 200237）

一、問題的提出

互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等快速發(fā)展不斷拓展了大數(shù)據(jù)在實踐中的應(yīng)用。2017 年5 月，《經(jīng)濟學(xué)人》便刊文指出，“世界上最重要的資源不再是石油而是數(shù)據(jù)”。①The Economist，“The World’s Most Valuable Resource Is No Longer Oil，But Data，”May 6th 2017，https：//www.economist.com/leaders/2017/05/06/the-world's?-most-valuable-resource-is-no-longer-oil-but-data.當(dāng)前，大數(shù)據(jù)不僅在經(jīng)濟、技術(shù)領(lǐng)域得到廣泛應(yīng)用，公共衛(wèi)生領(lǐng)域的治理也越來越依賴于大數(shù)據(jù)。2020 年2 月14 日，習(xí)近平總書記在中央全面深化改革委員會第十二次會議中指出，“要鼓勵運用大數(shù)據(jù)、人工智能、云計算等數(shù)字技術(shù)，在疫情監(jiān)測分析、病毒溯源、防控救治、資源調(diào)配等方面更好發(fā)揮支撐作用”。事實上，此次新型冠狀病毒肺炎疫情的有效防控，很大程度上得益于大數(shù)據(jù)的應(yīng)用。

一方面，在我國推進(jìn)國家治理體系和治理能力現(xiàn)代化的背景下，需要不斷提高公共衛(wèi)生事件處置和應(yīng)急管理能力，其中大數(shù)據(jù)的輔助功能不容忽視；另一方面，在數(shù)字經(jīng)濟蓬勃發(fā)展的今天，如何合法地利用和保護個人數(shù)據(jù)信息，權(quán)衡公共利益與個人權(quán)利，劃定個人信息保護與利用邊界等，是當(dāng)前經(jīng)濟社會發(fā)展關(guān)注的一個重要命題。在公共衛(wèi)生事件中，如何防止個人數(shù)據(jù)信息不被泄露，防止在公共衛(wèi)生事件之后引發(fā)網(wǎng)絡(luò)安全事件，更是需要密切關(guān)注的問題。為此，聯(lián)合國專門發(fā)布了一份《COVID-19 應(yīng)對中的數(shù)據(jù)保護與隱私的聯(lián)合聲明》，特別指出：“此類用于數(shù)字接觸追蹤和一般健康監(jiān)測的數(shù)據(jù)收集和處理，可能涉及收集大量個人和非個人的敏感數(shù)據(jù)。如果采取此類措施的目的與應(yīng)對COVID-19 沒有直接或具體的關(guān)系，就可能導(dǎo)致對基本權(quán)利和自由的侵犯?！雹賃N：“Joint Statement on Data Protection and Privacy in the COVID-19 Response，”18 November 2020，https：//www.un.org/en/node/112200.

二、公共衛(wèi)生事件防控中的大數(shù)據(jù)應(yīng)用與風(fēng)險

（一）公共衛(wèi)生事件防控中大數(shù)據(jù)應(yīng)用及特征

《國際衛(wèi)生條例（2005）》從全球范圍內(nèi)對公共衛(wèi)生事件進(jìn)行了界定。根據(jù)其規(guī)定，“國際關(guān)注的突發(fā)公共衛(wèi)生事件”是指按該條例規(guī)定所確定的不同尋常的事件，包括：（1）通過疾病的國際傳播構(gòu)成對其他國家的突發(fā)公共衛(wèi)生危害；以及（2）可能需要采取協(xié)調(diào)一致的國際應(yīng)對措施。②世界衛(wèi)生組織：《國際衛(wèi)生條例（2005）》，2005 年。例如，2009 年H1N1 流感大流行、2014 年西非埃博拉疫情、2020 年新冠肺炎疫情等都屬于國際范圍內(nèi)有一定影響力的公共衛(wèi)生事件。我國在2003 年頒布的《突發(fā)公共衛(wèi)生事件應(yīng)急條例》（中華人民共和國國務(wù)院令第376 號）對突發(fā)公共衛(wèi)生事件也進(jìn)行了規(guī)定，它是指突然發(fā)生，造成或者可能造成社會公眾健康嚴(yán)重?fù)p害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)中毒以及其他嚴(yán)重影響公眾健康的事件。③《突發(fā)公共衛(wèi)生事件應(yīng)急條例》（中華人民共和國國務(wù)院令第376 號），第二條。

當(dāng)前，公共衛(wèi)生事件的預(yù)測和防控正越來越依靠大數(shù)據(jù)的應(yīng)用。這包括：（1）公共衛(wèi)生事件防控中的大數(shù)據(jù)監(jiān)控與干預(yù)；（2）公共衛(wèi)生事件防控中大數(shù)據(jù)的輿情分析；（3）公共信息安全（傳統(tǒng)與非傳統(tǒng)安全）的監(jiān)測；（4）公共衛(wèi)生事件防控中后期的信息歸集與管理等。④此外，大數(shù)據(jù)在公共事件中的應(yīng)用還包括物資供應(yīng)，流言、謠言的應(yīng)對與管控，公共管理中的糾錯機制等。周中華：《大數(shù)據(jù)在重大公共事件中的應(yīng)用》，人民數(shù)據(jù)研究院，http：//www.peopledata.com.cn/html/NEWS/Dynamics/187.html，訪問日期2021 年6 月30 日。例如，國內(nèi)搜索引擎公司提供春運客流分析，美國谷歌公司開發(fā)流感、登革熱等流行病預(yù)測等。①王融：《大數(shù)據(jù)時代數(shù)據(jù)保護與流動規(guī)則》，人民郵電出版社，2017 年，第2-3 頁。以此次新冠肺炎疫情為例，大數(shù)據(jù)在公共醫(yī)療衛(wèi)生領(lǐng)域內(nèi)得到廣泛應(yīng)用。借助大數(shù)據(jù)分析，有關(guān)方面可以追蹤、繪制病患的行動軌跡，并推斷出病患密切接觸者。“互聯(lián)網(wǎng)+”醫(yī)療平臺推出在線問診服務(wù)有效緩解疫情期間醫(yī)療資源緊缺，避免了人員聚集和交叉感染。大數(shù)據(jù)服務(wù)為疫苗接種提供高效保障工作等。與此同時，大數(shù)據(jù)應(yīng)用（如電子商務(wù)、在線教育、互聯(lián)網(wǎng)審判等），為居民日常生活保障、企業(yè)復(fù)工復(fù)產(chǎn)、公共教育、政務(wù)服務(wù)等提供了整體解決方案，保障了疫情期間的正常社會秩序。

基于疫情期間對大數(shù)據(jù)應(yīng)用的觀察，我們發(fā)現(xiàn)存在以下特征。第一，數(shù)據(jù)信息來源面廣、收集主體多樣化。以此次新冠肺炎疫情為例，大數(shù)據(jù)的應(yīng)用涉及領(lǐng)域十分廣泛，涵蓋醫(yī)療、交通、教育、企業(yè)復(fù)工復(fù)產(chǎn)等。收集主體呈現(xiàn)多樣化特征，例如公路、鐵路、航空等交通部門對旅客實名信息的收集，基層組織對本地人員的信息登記等。第二，數(shù)據(jù)應(yīng)用范圍廣、頻率高。在疫情期間，“健康碼”被廣泛使用，應(yīng)用范圍覆蓋全國主要城市和主要人群。例如，我國高校作為人員集中的場所，云計算和大數(shù)據(jù)應(yīng)用在本次高校疫情防控中發(fā)揮了重要作用。②胡寶國：《構(gòu)建校園安全共同體：從疫情防控的角度思考高校校園安全機制的健全和完善》，《華東理工大學(xué)學(xué)報》（社會科學(xué)版）2020 年第3 期。第三，數(shù)據(jù)信息流動性強、泄露風(fēng)險高。公共衛(wèi)生事件對數(shù)據(jù)共享性和流動性都有一定要求，但是如果保護措施不當(dāng)，數(shù)據(jù)也極易被泄露。由于疫情防控的需要，目前各機構(gòu)的出入都需要信息登記或人臉識別，但是這些機構(gòu)對于數(shù)據(jù)保護的能力存在差異，存在個人信息被泄露的風(fēng)險。第四，數(shù)據(jù)信息覆蓋周期長、影響群體廣。由于大量數(shù)據(jù)涉及個人的敏感信息，具有很強的個人屬性，例如姓名、家庭住址、身份證號、手機號等均屬于個人長期有效的信息，影響的周期長。從數(shù)據(jù)涉及的主體來看，公共衛(wèi)生事件與每個人相關(guān)，為做好公共衛(wèi)生事件防控，各地開展有關(guān)人員的信息申報登記工作，涵蓋龐大的學(xué)生群體、企業(yè)勞動者、消費者、患者等?？傊么髷?shù)據(jù)應(yīng)對公共衛(wèi)生事件，我們需要充分評估可能存在的各種數(shù)據(jù)泄露、侵犯隱私的風(fēng)險，確保大數(shù)據(jù)在公共衛(wèi)生事件中得到負(fù)責(zé)任的利用，不斷提高數(shù)字社會的治理水平。

（二）公共衛(wèi)生事件防控中的大數(shù)據(jù)風(fēng)險

1986 年，德國學(xué)者貝克系統(tǒng)地提出了“風(fēng)險社會”的理論?！帮L(fēng)險社會”也成為描述當(dāng)代社會最常用的概念。③[德]烏爾里?！へ惪耍骸讹L(fēng)險社會：新的現(xiàn)代性之路》，張文杰、何博聞譯，譯林出版社，2018 年。大數(shù)據(jù)風(fēng)險治理是當(dāng)前全球治理關(guān)注的一個重要領(lǐng)域。近年來，大數(shù)據(jù)泄露的事件屢見不鮮。例如，2018 年3 月，F(xiàn)acebook 超過5000 萬用戶信息的數(shù)據(jù)被“劍橋分析”公司泄露，為此扎克伯格赴國會參議院接受質(zhì)詢；2020 年3 月，新浪微博App 數(shù)據(jù)泄露而被工信部約談。此次新冠肺炎疫情期間，也發(fā)生個人信息泄露的案例，不法分子利用疫情實施各類詐騙。④郝成：《海量涉疫情個人信息泄露 兩地公安做出行政拘留處罰》，新浪網(wǎng)，http：//news.sina.com.cn/o/2020-02-05/dociimxyqvz0398976.shtml，訪問日期2021 年6 月30 日。世界經(jīng)濟論壇發(fā)布的《2020 年全球風(fēng)險報告》統(tǒng)計，數(shù)據(jù)欺詐或竊取、網(wǎng)絡(luò)攻擊分別排在全球十大風(fēng)險的第六位和第七位，網(wǎng)絡(luò)安全形勢極為嚴(yán)峻。①World Economic Forum，The Global Risks Report 2020，p.12.公共衛(wèi)生事件期間，需要特別防范各種數(shù)據(jù)泄露和侵犯個人隱私事件的發(fā)生。

1. 就外部而言，網(wǎng)絡(luò)詐騙與網(wǎng)絡(luò)黑客等引發(fā)大數(shù)據(jù)風(fēng)險

在發(fā)生公共衛(wèi)生事件期間，一些不法分子利用其掌握的信息，實施各類詐騙。例如，他們利用民眾對疫情防護用品的迫切需求，通過冒充防疫工作人員、發(fā)布虛假防控信息等方式套取個人信息。此次新冠肺炎疫情發(fā)生以來，一些不法分子以使館發(fā)放“健康包”的名義，要求當(dāng)事人提供信用卡號碼、支付郵寄費用，實施詐騙。有不法分子通過虛構(gòu)包機回家、團購防疫物資等實施詐騙。還有不法分子冒充衛(wèi)生防控部門或者醫(yī)學(xué)研究機構(gòu)推廣特效藥騙取錢款，甚至冒充慈善機構(gòu)進(jìn)行錢款詐騙。

在發(fā)生公共衛(wèi)生事件期間，一些網(wǎng)絡(luò)黑客利用與公共衛(wèi)生相關(guān)的題材實施網(wǎng)絡(luò)攻擊。根據(jù)有關(guān)研究機構(gòu)報告，在此次疫情期間，監(jiān)控到國內(nèi)外諸多網(wǎng)絡(luò)犯罪團伙通過疫情熱點信息，傳播病毒木馬惡意程序，并冠以“新型肺炎”“口罩廠家名單”等涉及疫情的關(guān)鍵詞；有黑客團伙借機向一些政府部門、醫(yī)療機構(gòu)的網(wǎng)站發(fā)起攻擊，受到類似黑客攻擊的國家還包括美國、日本等。②⑤中國信息通信研究院安全研究、中國衛(wèi)生信息與健康醫(yī)療大數(shù)據(jù)學(xué)會衛(wèi)生信息安全與新技術(shù)應(yīng)用專業(yè)委員會、數(shù)據(jù)保護官（DPO）社群：《2020 數(shù)字醫(yī)療：疫情防控期間網(wǎng)絡(luò)安全風(fēng)險研究報告》，http：//www.100ec.cn/detail--6549056.html，訪問日期2021 年6 月30 日。我國在醫(yī)療信息化的推進(jìn)過程中，醫(yī)療機構(gòu)、電子病歷、智能終端等數(shù)據(jù)健康數(shù)據(jù)采集已初步成型，醫(yī)療數(shù)據(jù)量日趨龐大。③馬化騰：《數(shù)字經(jīng)濟：中國創(chuàng)新增長新動能》，中信出版社，2017 年，第153 頁。國家衛(wèi)生健康委員會官方網(wǎng)站統(tǒng)計數(shù)據(jù)顯示，截至2019 年11 月，全國醫(yī)療衛(wèi)生機構(gòu)數(shù)達(dá)101.4 萬個，其中公立醫(yī)院有11 891 個、民營醫(yī)院有22 081 個，這些醫(yī)療機構(gòu)日常工作中涉及大量的個人信息。④國家衛(wèi)生健康委員會：《2019 年11 月底全國醫(yī)療衛(wèi)生機構(gòu)數(shù)》，http：//www.nhc.gov.cn/mohwsbwstjxxzx/s7967/202001/d73a47fbda0e4ea4bbb8d 20387992871.shtml，訪問日期2021 年6 月30 日。相比而言，民營醫(yī)院在安全漏洞修復(fù)、防范黑客攻擊等方面，措施有待完善，相應(yīng)的安全隱患和風(fēng)險也更多。同時，對于很多企業(yè)來說，遠(yuǎn)程辦公意味著部分內(nèi)部業(yè)務(wù)系統(tǒng)需要開放互聯(lián)網(wǎng)訪問權(quán)限，這給黑客攻擊提供了機會。

2. 就內(nèi)部而言，數(shù)據(jù)保護措施和數(shù)據(jù)主體安全意識欠缺引發(fā)大數(shù)據(jù)風(fēng)險

在發(fā)生公共衛(wèi)生事件期間，如果數(shù)據(jù)使用方式不當(dāng)，容易引發(fā)個人數(shù)據(jù)信息泄露。一些數(shù)據(jù)控制主體擅自將個人數(shù)據(jù)信息上傳至互聯(lián)網(wǎng)或二次轉(zhuǎn)發(fā)至微信群等公共區(qū)域，導(dǎo)致數(shù)據(jù)泄露。有些平臺網(wǎng)站數(shù)據(jù)安全保護措施不足，容易導(dǎo)致數(shù)據(jù)安全風(fēng)險。當(dāng)前，一些App 軟件存在漏洞。國內(nèi)有研究團隊對健康醫(yī)療行業(yè)App 進(jìn)行漏洞掃描，發(fā)現(xiàn)大量的漏洞記錄，平均每款A(yù)pp 存在19 個漏洞。有些平臺由于缺少或簡化安全評估流程，致使數(shù)據(jù)安全保障能力缺失，為數(shù)據(jù)泄露埋下隱患。⑤

數(shù)據(jù)主體安全意識不足也容易引發(fā)風(fēng)險。在發(fā)生公共安全事件期間，數(shù)據(jù)主體需要借助互聯(lián)網(wǎng)來實現(xiàn)正常工作和學(xué)習(xí)，由于安全意識不足，甚至隨意登錄相關(guān)的網(wǎng)絡(luò)平臺，個人數(shù)據(jù)被不當(dāng)收集和利用。如果安全防護手段不到位，缺乏可靠的安全接入平臺，接入通道和傳輸通道都存在較高風(fēng)險。以此次新冠肺炎疫情為例，人們的一些工作和學(xué)習(xí)都需要通過網(wǎng)絡(luò)進(jìn)行，這些都需要進(jìn)行個人信息的登記和注冊，如果通過一些不正規(guī)的網(wǎng)站進(jìn)行，那么很可能導(dǎo)致個人數(shù)據(jù)信息的泄露。

三、公共衛(wèi)生事件防控中的大數(shù)據(jù)信息法律保護

1.現(xiàn)有法律對公共衛(wèi)生事件中的信息保護

數(shù)據(jù)是信息的具體表現(xiàn)形式，信息則往往依靠各類數(shù)據(jù)的整合、加工。2021 年8 月，我國頒布的《中華人民共和國個人信息保護法》，成為個人信息保護領(lǐng)域的“基本法”。關(guān)于公共衛(wèi)生領(lǐng)域的個人信息保護，《中華人民共和國傳染病防治法》第十二條規(guī)定，疾病預(yù)防控制機構(gòu)、醫(yī)療機構(gòu)不得泄露涉及個人隱私的有關(guān)信息、資料；第六十九條規(guī)定，醫(yī)療機構(gòu)故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關(guān)信息、資料的，將視情節(jié)追究不同的行政責(zé)任或刑事責(zé)任。①《中華人民共和國傳染病防治法》，第十三條、第六十九條。不過該法僅是從醫(yī)學(xué)角度，對疾病預(yù)防控制機構(gòu)、醫(yī)療機構(gòu)的主體責(zé)任做了規(guī)定，事實上，公共衛(wèi)生事件涉及的數(shù)據(jù)控制主體遠(yuǎn)遠(yuǎn)超過上述范圍。2021 年6 月通過的《中華人民共和國數(shù)據(jù)安全法》規(guī)定，應(yīng)當(dāng)加強風(fēng)險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補救措施；發(fā)生數(shù)據(jù)安全事件時，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。②《中華人民共和國數(shù)據(jù)安全法》，第二十九條。上述立法都為公共衛(wèi)生事件中的信息保護提供有效保障，表1 是我國目前與個人數(shù)據(jù)信息緊密相關(guān)的法律。

表1 個人信息法律保護立法

除了通過已有法律加強信息保護外，由于公共衛(wèi)生事件具有突發(fā)性特征，國家還需要在政策層面進(jìn)一步加強個人信息保護。2020 年2 月，中央網(wǎng)絡(luò)安全和信息化委員會辦公室發(fā)布《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，要求高度重視個人信息保護工作，除依據(jù)有關(guān)法律授權(quán)的機構(gòu)外，其他任何單位和個人不得以疫情防控、疾病防治為由，未經(jīng)被收集者同意收集使用個人信息；收集個人信息應(yīng)參照國家標(biāo)準(zhǔn)《信息網(wǎng)絡(luò)技術(shù)個人信息安全規(guī)范》（GB/T 35273-2020），堅持最小范圍原則，相關(guān)個人信息不得用于其他用途，采取嚴(yán)格防護措施，防止被竊取、被泄露，針對違規(guī)違法收集、使用、公開個人信息的行為，將依法處理。③《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，http：//www.gov.cn/xinwen/2020-02/10/content_54767 11.htm，訪問日期2021 年6 月30 日。此外，一些地方政府還專門出臺了有關(guān)規(guī)定。甘肅省要求各教育行政部門、各學(xué)校要高度重視個人信息保護工作，除依法授權(quán)的機構(gòu)外，其他任何單位和個人不得以疫情防控、疾病防治為由，未經(jīng)被收集者同意收集使用個人信息。①甘肅省教育廳：《關(guān)于做好個人信息保護利用大數(shù)據(jù)做好疫情聯(lián)防聯(lián)控工作的通知》（甘教體函〔2020〕5 號）。

2.歐盟在公共衛(wèi)生防控中對數(shù)據(jù)信息的法律保護

早在2013 年，歐盟便通過了《關(guān)于嚴(yán)重的跨境健康威脅的決定》（從下簡稱《決定》）。《決定》第16條（個人數(shù)據(jù)保護）規(guī)定，在適用本決定時，應(yīng)按照95/46/EC①Decision No 1082/2013/EU of the European Parliament and of the Council of 22 October 2013 on Serious Crossborder Threats to Health and Repealing Decision No 2119/98/EC，https：//ec.europa.eu/health/sites/default/files/preparedness_ response/docs/decision_serious_crossborder_threats_22102013_en.pdf.指令以及45/2001/EC 法規(guī)②Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data，https：//eur-lex.europa.eu/legalcontent/EN/TXT/?uri=OJ：L：1995：281：TOC.處理個人數(shù)據(jù)。應(yīng)采取適當(dāng)?shù)募夹g(shù)和措施保護此類個人數(shù)據(jù)免遭意外或非法破壞，以及意外丟失或未經(jīng)授權(quán)的訪問和任何形式的非法處理。③Regulation （EC）No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the Protection of Individuals with Regard to the Processing of Personal Data by the Community Institutions and Bodies and on the Free Movement of Such Data，https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ：L：2001：008：TOC.同時，歐盟在成員國層面建立了針對嚴(yán)重健康威脅的早期預(yù)警和響應(yīng)系統(tǒng)（Early Warning and Response System，EWRS），為歐盟委員會和各成員國機構(gòu)之間建立了信息互通共享渠道。④寧宣鳳、吳涵、陳勝男、高銳：《政務(wù)數(shù)據(jù)資源共享與公開》，https：//www.chinalawinsight.com/2020/02/articles/compliance/24626，訪問日期2021 年6 月30 日?！稕Q定》第6 條第2 款、第16 條第5 款規(guī)定，早期預(yù)警和響應(yīng)系統(tǒng)，針對暴露于健康威脅、存在感染危險或已經(jīng)感染的人可以采取接觸追蹤措施。早期預(yù)警和響應(yīng)系統(tǒng)應(yīng)該包括選擇性的消息傳遞功能，該功能僅允許將個人數(shù)據(jù)傳遞給參與接觸者跟蹤措施的國家主管部門。該選擇性消息傳遞功能應(yīng)確保安全合法地交換個人數(shù)據(jù)?！稕Q定》同時規(guī)定，包含個人數(shù)據(jù)的信息，應(yīng)該自信息發(fā)布之日起12 個月后自動從選擇性消息功能中刪除。⑤Decision No 1082/2013/EU of the European Parliament and of the Council of 22 October 2013 on Serious Crossborder Threats to Health and Repealing Decision No 2119/98/EC，https：//ec.europa.eu/health/sites/default/files/preparedness_ response/docs/decision_serious_crossborder_threats_22102013_en.pdf.這些規(guī)定有效地保證了數(shù)據(jù)傳播的最小范圍和限時利用。

2018 年歐盟通過的《通用數(shù)據(jù)保護條例》（以下簡稱《條例》），進(jìn)一步加強了歐盟域內(nèi)對數(shù)據(jù)信息的保護?！稐l例》以全球最嚴(yán)個人信息保護法著稱，但也保留了一些例外，例如“為履行數(shù)據(jù)控制者承擔(dān)法定義務(wù)所必須”“為保護數(shù)據(jù)主體重大利益或其他自然人重大利益所必須”“為執(zhí)行公共利益之目的任務(wù)或數(shù)據(jù)控制者行使法定職能所必須”。序言第46 段明確傳染病監(jiān)測除構(gòu)成公共利益之外，還構(gòu)成“重大生命利益”，依據(jù)第6 條1（d）規(guī)定，當(dāng)個人數(shù)據(jù)處理為“保護數(shù)據(jù)主體或其他自然人的重要利益所必要”時，可不征得數(shù)據(jù)主體的同意。序言第52 段明確傳染病預(yù)防和控制構(gòu)成第9條2（i）中所述的公共利益。序言第54 段還進(jìn)一步指出，在公共衛(wèi)生領(lǐng)域未征得數(shù)據(jù)主體同意而進(jìn)行特殊類型數(shù)據(jù)處理可能是必要的，上述例外規(guī)定也充分體現(xiàn)了公共利益保護和個人數(shù)據(jù)保護的平衡。⑥Regulation（EU）2016/679 of the European Parliament and of the Council of 27 April 2016，on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data，and Repealing Directive 95/46/EC（General Data Protection Regulation）.

這些例外規(guī)定，為疾病防控機構(gòu)、醫(yī)療機構(gòu)等利用個人信息開展衛(wèi)生防疫工作提供了合法性基礎(chǔ)。當(dāng)然，在此前提下，《條例》要求具體的數(shù)據(jù)處理要遵循以下基本原則：合法、公正、透明，目的限制，數(shù)據(jù)最小化，準(zhǔn)確性，存儲期限限制，完整性、保密性和問責(zé)制等。①General Data Protection Regulation，Article 5.對于變更初始目的的個人信息處理行為，《條例》第13 條第3 款規(guī)定，當(dāng)數(shù)據(jù)控制者進(jìn)行個人數(shù)據(jù)處理的目的與初始收集的目的不一致時，應(yīng)對變更后的數(shù)據(jù)處理目的向數(shù)據(jù)主體進(jìn)行告知。

3.公共衛(wèi)生防控中數(shù)據(jù)信息的國際法保護

與公共衛(wèi)生事件最相關(guān)的國際條約是《國際衛(wèi)生條例（2005）》?！秶H衛(wèi)生條例》第四十五條（Treatment of Personal Data，個人數(shù)據(jù)的處理）規(guī)定：（1）按照國家法律，締約方根據(jù)本條例從另一締約方或從世界衛(wèi)生組織收集或收到的、涉及身份明確或可查明身份的個人的健康信息，應(yīng)保守秘密并匿名處理。（2）雖然有第1 款的規(guī)定，締約方為了評估和管理突發(fā)公共衛(wèi)生事件危害，可透露和處理個人數(shù)據(jù)，但是締約方和世界衛(wèi)生組織必須確保個人數(shù)據(jù)：1）得到公平、合法處理，并且不以與該目的不一致的方式予以進(jìn)一步處理；2）與該目的相比充分、相關(guān)且不過量；3）準(zhǔn)確且在必要時保持最新；必須采取一切合理措施確保刪除或糾正不準(zhǔn)確或不完整的數(shù)據(jù)；4）保留期限不超過必需的時間。②世界衛(wèi)生組織：《國際衛(wèi)生條例（2005）》，2005 年。此外，世界衛(wèi)生組織應(yīng)當(dāng)在可行的情況下向個人提供相應(yīng)的數(shù)據(jù)，無不當(dāng)延誤或收費，且在必要時允許予以糾正。

同時，針對本次疫情，聯(lián)合國發(fā)布的《COVID-19 應(yīng)對中的數(shù)據(jù)保護與隱私的聯(lián)合聲明》特別指出，在新冠肺炎疫情期間，聯(lián)合國組織體系的任何數(shù)據(jù)收集、使用和處理，應(yīng)當(dāng)充分考慮適用的國際法律、數(shù)據(jù)保護和隱私原則，包括聯(lián)合國個人數(shù)據(jù)保護和隱私原則。在數(shù)據(jù)收集的范圍和時間上合法，有節(jié)制，有必要；確保對數(shù)據(jù)進(jìn)行保密與保護，有時限地保留和適當(dāng)銷毀或刪除數(shù)據(jù)；確保任何數(shù)據(jù)交換都符合適用的國際法、數(shù)據(jù)保護和隱私原則，并進(jìn)行適當(dāng)?shù)谋M職調(diào)查和風(fēng)險評估；確保數(shù)據(jù)使用采取的措施符合上述原則和目的，并在不再需要此類措施時立即停止。③UN：“Joint Statement on Data Protection and Privacy in the COVID-19 Response”，18 November 2020，https：//www.un.org/en/node/112200..

四、公共衛(wèi)生事件防控中大數(shù)據(jù)法律保護的政策建議

1.完善公共衛(wèi)生事件中的個人信息保護

首先，推進(jìn)公共衛(wèi)生事件中個人信息保護立法。盡管我國諸多法律涉及個人信息的保護，但是仍在完善之中，且國家層面尚無針對公共數(shù)據(jù)管理的立法?！吨腥A人民共和國個人信息保護法》第十三條規(guī)定“符合下列情形之一的，個人信息處理者方可處理個人信息：（四）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需”①《中華人民共和國個人信息保護法》，第十三條。，這為今后公共衛(wèi)生事件中的個人數(shù)據(jù)收集提供了法律依據(jù)。

國家互聯(lián)網(wǎng)信息辦公室于2019 年發(fā)布了《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》《個人信息出境安全評估辦法（征求意見稿）》，全國人民代表大會常務(wù)委員會第二十九次會議于2021 年通過了《中華人民共和國數(shù)據(jù)安全法》。國家互聯(lián)網(wǎng)信息辦公室于2019 年發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》規(guī)定，對于個人敏感信息，要求網(wǎng)絡(luò)運營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的，應(yīng)向當(dāng)?shù)鼐W(wǎng)信部門備案。②國家互聯(lián)網(wǎng)信息辦公室：《數(shù)據(jù)安全管理辦法（征求意見稿）》，第七條、第十五條，http：//www.gov.cn/xinwen/2019-05/28/content_5395524.htm，訪問日期2021 年6 月30 日。上述立法的完善，將有助于數(shù)字時代的個人信息保護。

其次，加強公共衛(wèi)生事件中個人數(shù)據(jù)信息的程序管理和執(zhí)法監(jiān)督。在實踐中，有關(guān)部門需加強個人數(shù)據(jù)收集的程序管理，確保數(shù)據(jù)收集實踐合法。在發(fā)生公共衛(wèi)生事件期間，在保障公眾知情權(quán)的同時，有關(guān)部門要做好個人信息保護工作。建立個人信息保護評估制度，制定完整的個人信息采集、上報、處理、保管方案，并組織專家對方案進(jìn)行安全評估，確保疫情防控各環(huán)節(jié)個人信息的安全。明確具有收集使用相關(guān)個人信息權(quán)力的指揮機構(gòu)、執(zhí)行機構(gòu)，建立統(tǒng)一集中管理機制，采用嚴(yán)密的訪問控制、審計、加密等安全措施，防止數(shù)據(jù)泄露、丟失、未授權(quán)的使用。③中國信息通信研究院安全研究、中國衛(wèi)生信息與健康醫(yī)療大數(shù)據(jù)學(xué)會衛(wèi)生信息安全與新技術(shù)應(yīng)用專業(yè)委員會、數(shù)據(jù)保護官（DPO）社群：《2020 數(shù)字醫(yī)療：疫情防控期間網(wǎng)絡(luò)安全風(fēng)險研究報告》，http：//www.100ec.cn/detail--6549056.html，訪問日期2021 年6 月30 日。在實踐中，需要強調(diào)基于公共衛(wèi)生需要收集的個人信息，不得用于其他用途特別是商業(yè)用途。同時，加強數(shù)據(jù)信息安全保護執(zhí)法，通過一些專項行動，對侵犯個人數(shù)據(jù)信息的犯罪行為加大刑事手段打擊力度，確保公共衛(wèi)生事件防控中的信息安全。目前，我國尚未建立起較為明確的、專門的個人數(shù)據(jù)機構(gòu)，金融、電信和醫(yī)療等部門都只是在傳統(tǒng)職責(zé)中延伸管理個人數(shù)據(jù)保護，而日本、韓國、新加坡等國家都設(shè)立了獨立的信息監(jiān)管機構(gòu)。④京東法律研究院：《歐盟數(shù)據(jù)憲章——〈一般數(shù)據(jù)保護條例〉（GDPR）評述及實務(wù)指引》，法律出版社，2018 年，第158頁。

2.加強行業(yè)數(shù)據(jù)合規(guī)制度建設(shè)與行業(yè)自律，有效保障公共衛(wèi)生事件中的數(shù)據(jù)安全

首先，加強企業(yè)內(nèi)部數(shù)據(jù)合規(guī)制度建設(shè)。加強應(yīng)對數(shù)據(jù)風(fēng)險的組織人員制度、數(shù)據(jù)保護制度、風(fēng)險評估制度、合作監(jiān)督制度以及意識教育制度等。⑤惠志斌：《數(shù)據(jù)經(jīng)濟時代企業(yè)跨境數(shù)據(jù)流動風(fēng)險管理》，社會科學(xué)文獻(xiàn)出版社，2018 年，第176-177 頁。2015 年，國務(wù)院辦公廳發(fā)布了《關(guān)于運用大數(shù)據(jù)加強對市場主體服務(wù)和監(jiān)管的若干意見》（國辦發(fā)〔2015〕51 號），但是還需要從制度層面不斷完善?；ヂ?lián)網(wǎng)公司等機構(gòu)參與疫情防控的渠道與模式應(yīng)通過制度建設(shè)加以規(guī)范，要設(shè)計相應(yīng)的個人信息安全影響評估方案，對其商業(yè)行為獲取的數(shù)據(jù)和參與疫情防控獲取的數(shù)據(jù)實施雙軌隔離管理制度，禁止將參與疫情防控獲取的數(shù)據(jù)進(jìn)行商業(yè)化利用，并將其設(shè)為紅線。這既是對個人信息的保護，也是對互聯(lián)網(wǎng)公司等商業(yè)機構(gòu)的保護。①李亞娟：《數(shù)字化疫情防控如何保護個人信息》，《學(xué)習(xí)時報》，2020 年3 月6 日。行業(yè)主體在設(shè)計數(shù)據(jù)合規(guī)方案時，應(yīng)充分聽取專業(yè)人士建議，確保采集信息遵循合法、正當(dāng)和必要的原則，充分認(rèn)識涉及數(shù)據(jù)安全的相關(guān)民事責(zé)任、行政責(zé)任和刑事責(zé)任，重視數(shù)據(jù)合規(guī)。

其次，加強安全培訓(xùn)，增強安全意識。在公共衛(wèi)生事件防控期間，特定領(lǐng)域的網(wǎng)絡(luò)安全保護等級需要升級。個人數(shù)據(jù)信息的安全隱患，都直接或間接與人員網(wǎng)絡(luò)安全意識不足有關(guān)。建立健全醫(yī)療機構(gòu)內(nèi)部網(wǎng)絡(luò)安全管理規(guī)章制度，規(guī)范內(nèi)部安全操作流程，切實增強相關(guān)人員的網(wǎng)絡(luò)安全意識，落實網(wǎng)絡(luò)安全責(zé)任，勢在必行。②中國信息通信研究院安全研究、中國衛(wèi)生信息與健康醫(yī)療大數(shù)據(jù)學(xué)會衛(wèi)生信息安全與新技術(shù)應(yīng)用專業(yè)委員會、數(shù)據(jù)保護官（DPO）社群：《2020 數(shù)字醫(yī)療：疫情防控期間網(wǎng)絡(luò)安全風(fēng)險研究報告》，http：//www.100ec.cn/detail--6549056.html，訪問日期2021 年6 月30 日。尤其是健康醫(yī)療行業(yè)，應(yīng)提升自身網(wǎng)絡(luò)數(shù)據(jù)安全綜合防護能力，加大在網(wǎng)絡(luò)數(shù)據(jù)安全領(lǐng)域的投入，建立系統(tǒng)化安全保障體系。③中國信息通信研究院安全研究、中國衛(wèi)生信息與健康醫(yī)療大數(shù)據(jù)學(xué)會衛(wèi)生信息安全與新技術(shù)應(yīng)用專業(yè)委員會、數(shù)據(jù)保護官（DPO）社群：《2020 數(shù)字醫(yī)療：疫情防控期間網(wǎng)絡(luò)安全風(fēng)險研究報告》，http：//www.100ec.cn/detail--6549056.html，訪問日期2021 年6 月30 日。一些數(shù)字行業(yè)企業(yè)應(yīng)有專門的數(shù)據(jù)合規(guī)部門或團隊，構(gòu)建全生命周期的數(shù)據(jù)保護合規(guī)方案。

最后，完善行業(yè)標(biāo)準(zhǔn)，加強行業(yè)自律。當(dāng)前，我國尤其需要加強醫(yī)療、教育和金融等行業(yè)領(lǐng)域的數(shù)據(jù)保護，因為上述領(lǐng)域尤其是一些App 軟件的使用，涉及個人敏感信息。2020 年年初，中國移動發(fā)布了《重大突發(fā)公共衛(wèi)生事件網(wǎng)信安全法律風(fēng)險合規(guī)指引》，針對運營商在重大突發(fā)公共衛(wèi)生事件中如何合規(guī)發(fā)布公益信息、如何在利用數(shù)據(jù)支撐聯(lián)防聯(lián)控的同時保護個人隱私等重點問題，系統(tǒng)梳理了現(xiàn)有法律法規(guī)要求，并提出潛在法律風(fēng)險和相應(yīng)的可操作性合規(guī)建議，這對特殊時期的數(shù)據(jù)信息保護起到了示范作用。在行業(yè)標(biāo)準(zhǔn)方面，2019 年8 月30 日，國家市場監(jiān)督管理總局、中國國家標(biāo)準(zhǔn)化管理委員會聯(lián)合發(fā)布《信息技術(shù)數(shù)據(jù)交易服務(wù)平臺通用功能要求》（GB/T 37728-2019）、《信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求》（GB/T 37932-2019）兩項國家標(biāo)準(zhǔn)，并于2020 年3 月1 日起正式實施。中國國家標(biāo)準(zhǔn)化管理委員會發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273-2020）于2020 年10月1 日起生效實施。這些國家標(biāo)準(zhǔn)的制定和完善，有助于個人數(shù)據(jù)信息的保護。

3.借鑒國外信息保護法律制度，加強國際合作，確保公共衛(wèi)生事件中的跨境數(shù)據(jù)安全

首先，借鑒歐盟《通用數(shù)據(jù)保護條例》的設(shè)計，在一些特殊公共領(lǐng)域設(shè)置數(shù)據(jù)保護官。當(dāng)前，全球數(shù)據(jù)治理日趨走向規(guī)范，中國在完善自身數(shù)據(jù)治理體系的進(jìn)程中，可以借鑒一些國際經(jīng)驗。在公共醫(yī)療、教育等服務(wù)領(lǐng)域內(nèi)設(shè)置數(shù)據(jù)保護官，加強有關(guān)機構(gòu)的內(nèi)部數(shù)據(jù)合規(guī)培訓(xùn)。數(shù)據(jù)保護官這一制度在歐洲的大學(xué)中普遍存在，但是目前國內(nèi)的大學(xué)很少有這一機制設(shè)計。④在國際交流的實踐中，筆者就多次碰到類似的困境。在與歐洲的一些大學(xué)簽署合作協(xié)議時，對方提供的協(xié)議范本都有關(guān)于個人數(shù)據(jù)保護的專門規(guī)定，同時要求中方院校提供數(shù)據(jù)保護官人員名單。在商業(yè)領(lǐng)域，《通用數(shù)據(jù)保護條例》第37 條是關(guān)于數(shù)據(jù)保護官的規(guī)定，實踐中已經(jīng)成為歐美大型企業(yè)和互聯(lián)網(wǎng)公司的標(biāo)配，它們普遍設(shè)有由外聘人員或內(nèi)部員工擔(dān)任的數(shù)據(jù)保護官或隱私官（Chief Privacy Officer，CPO）?！锻ㄓ脭?shù)據(jù)保護條例》要求數(shù)據(jù)保護官以獨立的方式履行職責(zé)，確保企業(yè)的一些行為符合有關(guān)法律規(guī)定，監(jiān)督企業(yè)內(nèi)部的數(shù)據(jù)處理活動，強化員工的數(shù)據(jù)保護意識，并負(fù)責(zé)對接數(shù)據(jù)保護監(jiān)督執(zhí)法機構(gòu)等。①王融：《大數(shù)據(jù)時代數(shù)據(jù)保護與流動規(guī)則》，人民郵電出版社，2017 年，第192-193 頁。

其次，借鑒韓國等國家的數(shù)據(jù)保護實踐，建立數(shù)據(jù)泄露通知制度。韓國法律要求在發(fā)生大規(guī)模（涉及超過1 萬個數(shù)據(jù)主體）、嚴(yán)重的數(shù)據(jù)泄露事故時，企業(yè)應(yīng)當(dāng)向用戶以及韓國行政安全部、韓國互聯(lián)網(wǎng)安全院等主管部門報告。②同上書，第70-71 頁。

最后，加強國際合作。在后續(xù)的個人數(shù)據(jù)保護過程中，我國需要加強個人數(shù)據(jù)保護的國際合作，因為公共衛(wèi)生事件尤其是一些傳染性的疾病沒有國界，需要各國共同應(yīng)對。正如《國際衛(wèi)生條例（2005）》所規(guī)定，在公共衛(wèi)生事件中應(yīng)該考慮到個人信息保護以及跨境數(shù)據(jù)流動的安全性問題。與此同時，各國還應(yīng)該加強在應(yīng)對網(wǎng)絡(luò)黑客或網(wǎng)絡(luò)恐怖主義等領(lǐng)域的反恐合作，保護國家數(shù)據(jù)安全。

4.加強公共安全事件后的信息安全管理

有關(guān)機構(gòu)需要制定公共衛(wèi)生事件發(fā)生后的個人信息安全保障方案，對個人數(shù)據(jù)及時刪除或進(jìn)行匿名化處理。已經(jīng)開始實施的《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273-2020）要求“個人信息存儲時間最小化”，具體而言，“個人信息存儲期限應(yīng)為實現(xiàn)個人信息主體授權(quán)使用的目的所必需的最短時間，法律法規(guī)另有規(guī)定或者個人信息主體另行授權(quán)同意的除外；超出上述個人信息存儲期限后，應(yīng)對個人信息進(jìn)行刪除或匿名化處理”。③中國國家標(biāo)準(zhǔn)化管理委員會：《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273-2020），第6 條。由于公共衛(wèi)生事件涉及面廣，為此，事件結(jié)束后仍需警惕數(shù)據(jù)竊取事件。在疫情之后，如相關(guān)數(shù)據(jù)確無必要繼續(xù)保存，對疫情科學(xué)研究沒有價值，出于對公民個人信息的安全負(fù)責(zé)的態(tài)度，相關(guān)部門應(yīng)將這些數(shù)據(jù)銷毀。

做好留存數(shù)據(jù)的保密措施。公共安全事件中的一些數(shù)據(jù)信息，尤其是公共衛(wèi)生信息往往具有一定的科學(xué)研究價值，需要繼續(xù)留存。例如，《通用數(shù)據(jù)保護條例》序言第65 段規(guī)定，“當(dāng)為了在公共健康領(lǐng)域執(zhí)行有公共利益的任務(wù)或者行使控制者被授予的官方權(quán)利時，進(jìn)一步保留個人數(shù)據(jù)是合法的”。這體現(xiàn)出在公共衛(wèi)生事件中，個人數(shù)據(jù)的利用與公共衛(wèi)生、重大公共利益的價值平衡。因此，如果相關(guān)數(shù)據(jù)需要保存，那么應(yīng)采用加密存儲等技術(shù)進(jìn)行封存，以免產(chǎn)生數(shù)據(jù)泄露，并警惕黑客可能發(fā)動的盜取攻擊。

五、結(jié)論

全球正進(jìn)入“數(shù)據(jù)驅(qū)動”的時代，數(shù)據(jù)流動創(chuàng)造價值但也蘊藏風(fēng)險。大數(shù)據(jù)分析在公共衛(wèi)生中得到普遍應(yīng)用并發(fā)揮重要作用，但與此同時，需要防止公共衛(wèi)生事件之后發(fā)生網(wǎng)絡(luò)安全事件，保護好個人數(shù)據(jù)信息。黨的十九屆四中全會提出推進(jìn)國家治理能力和治理體系現(xiàn)代化，要求“建立健全運用互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)手段進(jìn)行行政管理的制度規(guī)則。推進(jìn)數(shù)字政府建設(shè)，加強數(shù)據(jù)有序共享，依法保護個人信息”。①《中共中央關(guān)于堅持和完善中國特色社會主義制度推進(jìn)國家治理體系和治理能力現(xiàn)代化若干重大問題的決定》，新華社北京2019 年11 月5 日電。因此，我們要推進(jìn)網(wǎng)絡(luò)安全治理體系和治理能力現(xiàn)代化，完善公共領(lǐng)域網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化體系建設(shè)。當(dāng)前，在大數(shù)據(jù)治理體系建設(shè)中，我國仍需加強數(shù)據(jù)信息保護頂層立法設(shè)計，加強程序管理和執(zhí)法監(jiān)督，積極推進(jìn)行業(yè)數(shù)據(jù)合規(guī)制度、標(biāo)準(zhǔn)建設(shè)與行業(yè)自律，借鑒國外數(shù)據(jù)法律規(guī)制的先進(jìn)實踐，加強公共安全事件后的數(shù)據(jù)安全管理，尤其是需要防止在公共衛(wèi)生事件中獲取的個人信息事后被商業(yè)化利用，為后續(xù)的信息收集提供保障。

公共衛(wèi)生事件防控中的數(shù)據(jù)利用與實踐經(jīng)驗，為完善個人數(shù)據(jù)信息保護提供了新的觀察視角，對后續(xù)數(shù)據(jù)管理制度的完善具有特殊意義。大數(shù)據(jù)產(chǎn)業(yè)在公共衛(wèi)生事件中的價值得到進(jìn)一步體現(xiàn)，因此當(dāng)前在加快數(shù)字經(jīng)濟發(fā)展的同時，我們需要不斷提升數(shù)字經(jīng)濟治理能力，將數(shù)字經(jīng)濟發(fā)展能力和水平納入國家治理能力和治理體系現(xiàn)代化的范疇。同時，全球性公共衛(wèi)生事件沒有國界，需要秉持人類命運共同體理念，加強跨境數(shù)據(jù)保護的國際合作。在大數(shù)據(jù)時代，各國如何做好公共衛(wèi)生事件防控既是對國家治理的挑戰(zhàn)，也是提升治理能力的重要契機。總之，公共衛(wèi)生事件防控中的大數(shù)據(jù)應(yīng)用與個人信息保護，是數(shù)字經(jīng)濟發(fā)展與社會公共安全領(lǐng)域中值得繼續(xù)關(guān)注的一項重要課題。