洪凌嘯

一、引言

近日，“河南儲(chǔ)戶被賦紅碼”事件引發(fā)社會(huì)廣泛關(guān)注，相關(guān)責(zé)任人員將合法收集的公民“健康碼”信息非法“賦紅碼”，間接限制民眾自由。這種隨意濫用公民為配合國(guó)家防疫讓渡出去的個(gè)人信息，是對(duì)公民個(gè)人信息的侵害，此行為引發(fā)社會(huì)大眾的普遍擔(dān)憂，存在治理工具濫用之嫌，且破壞了公民對(duì)政府的信任。在當(dāng)前防疫情勢(shì)常態(tài)化的背景下，如何調(diào)整公權(quán)力與私權(quán)利之間的邊界與張力，保障公民個(gè)人信息的合法權(quán)益，已成為關(guān)鍵問題。

習(xí)近平總書記指出：“全面提高依法防控、依法治理能力，為疫情防控工作提供有力法治保障。”“當(dāng)前，疫情防控正處于關(guān)鍵時(shí)期，依法科學(xué)有序防控至關(guān)重要。疫情防控越是到最吃勁的時(shí)候，越要堅(jiān)持依法防控，在法治軌道上統(tǒng)籌推進(jìn)各項(xiàng)防控工作，保障疫情防控工作順利開展?！?1)《強(qiáng)調(diào)全面提高依法防控依法治理能力 為疫情防控提供有力法治保障》，載《人民日?qǐng)?bào)》2020年2月6日，第1版。2022年6月22日，習(xí)近平強(qiáng)調(diào)：“要維護(hù)國(guó)家數(shù)據(jù)安全，保護(hù)個(gè)人信息和商業(yè)秘密，加快構(gòu)建數(shù)據(jù)基礎(chǔ)制度體系。”(2)《加快構(gòu)建數(shù)據(jù)基礎(chǔ)制度 加強(qiáng)和改進(jìn)行政區(qū)劃工作》，載《人民日?qǐng)?bào)》2022年6月23日，第1版。國(guó)家衛(wèi)健委也要求：“強(qiáng)化與工信、公安、交通運(yùn)輸?shù)炔块T的信息聯(lián)動(dòng)，形成公路、鐵路、民航、通訊、醫(yī)療等疫情相關(guān)方多源數(shù)據(jù)監(jiān)測(cè)、交換、匯聚、反饋機(jī)制，利用大數(shù)據(jù)技術(shù)對(duì)疫情發(fā)展進(jìn)行實(shí)時(shí)跟蹤、重點(diǎn)篩查、有效預(yù)測(cè)，為科學(xué)防治、精準(zhǔn)施策提供數(shù)據(jù)支撐?！?3)《國(guó)家衛(wèi)生健康委辦公廳關(guān)于加強(qiáng)信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》(國(guó)衛(wèi)辦規(guī)劃函〔2020〕100號(hào))。

疫情防控過程中運(yùn)用數(shù)字技術(shù)，收集與分析海量數(shù)據(jù)，通過不同種類個(gè)人信息的交叉融合，可以提高疫情防控的效率，在一定程度上降低社會(huì)的過度動(dòng)員，進(jìn)而減輕社會(huì)的經(jīng)濟(jì)負(fù)擔(dān)。但需認(rèn)識(shí)到，公民的私權(quán)利也應(yīng)受到合理保護(hù)。公民的私權(quán)確會(huì)因防控疫情的需要而限縮，但限縮應(yīng)有法治的底線。特別是在疫情防控常態(tài)化的背景下，大量個(gè)人信息經(jīng)由健康碼、行程碼、登記碼等App、小程序得以收集。在疫情防控過程中，信息技術(shù)和大數(shù)據(jù)分析運(yùn)用相較于傳統(tǒng)的走訪、摸排、登記，更為及時(shí)、準(zhǔn)確、有效，但與此同時(shí)其所帶來的問題是，各地區(qū)的流調(diào)信息及感染人員的姓名、電話號(hào)碼、居住地等個(gè)人信息被頻繁披露，如何確保疫情防控過程中數(shù)字技術(shù)運(yùn)用的合法性與個(gè)人信息的數(shù)據(jù)安全是疫情防控所面臨的迫在眉睫的問題。

二、抗疫過程中個(gè)人信息收集處理的不同模式

抗疫過程中，個(gè)人信息的收集處理可分為健康認(rèn)證的傳統(tǒng)數(shù)據(jù)模式與運(yùn)用“接觸追蹤”(contact tracking)技術(shù)的大數(shù)據(jù)模式。

其一，健康認(rèn)證的傳統(tǒng)數(shù)據(jù)模式。該模式又可分為兩類:第一種是自上而下的統(tǒng)計(jì)。政府將所需信息條目傳達(dá)至基層部門，安排街道辦事處、居委會(huì)的基層工作人員與社工、志愿者上門觀察，登記在冊(cè)，逐戶進(jìn)行信息收集與上報(bào)，這是全覆蓋式大排查。例如四川的街道辦“主動(dòng)上門、電話聯(lián)系、預(yù)約上門，動(dòng)員群眾參與防控及自我排查……新型冠狀病毒感染的肺炎疫情蔓延以來，各街道以多種形式開展疫情防治防控工作，對(duì)社區(qū)實(shí)行網(wǎng)格化、地毯式管理”。(4)《成都高新區(qū)打響疫情防控阻擊戰(zhàn) 收集居民信息“不見面”》，四川新聞網(wǎng)：http://scnews.newssc.org/system/20200201/001028706.html，最后訪問時(shí)間：2022年6月14日。第二種是自下而上的登記。社區(qū)成員自行填報(bào)并更新個(gè)人信息。這種方式依托社會(huì)網(wǎng)絡(luò)，自發(fā)利用“問卷星”等工具，在特定的場(chǎng)域內(nèi)針對(duì)特定人群收集信息。

其二，運(yùn)用“接觸追蹤”技術(shù)的大數(shù)據(jù)模式。隨著數(shù)字化的進(jìn)一步鋪開，目前健康碼、出入證等電子相關(guān)證明已成為生活的一部分，各地政府通過健康碼、核酸碼、場(chǎng)所碼準(zhǔn)確記錄、收集個(gè)人的姓名、身份證號(hào)、行動(dòng)軌跡、到訪場(chǎng)合等個(gè)人信息。健康碼以集中化、全面化的方式收集個(gè)人信息，甚至還囊括了個(gè)人的疫苗接種情況、過往病史、生活習(xí)慣等個(gè)人隱私，健康碼狀態(tài)會(huì)影響個(gè)人的出行、就診。健康碼主要使用的是“接觸追蹤”技術(shù)，“接觸追蹤”可通過識(shí)別、尋找高風(fēng)險(xiǎn)目標(biāo)群體，實(shí)現(xiàn)對(duì)密切接觸群體的隔離與治療，這是一種精細(xì)化程度更高的追蹤方式，可精準(zhǔn)追蹤、指向特定個(gè)人?！敖佑|追蹤”的概念來源于歐盟法，在“歐洲議會(huì)和歐盟理事會(huì)關(guān)于嚴(yán)重的跨境健康威脅的決定”中，“接觸追蹤”是指“為追蹤暴露于嚴(yán)重的跨境健康威脅源，且有感染疾病危險(xiǎn)或已感染疾病的人而采取的措施”。(5)“Big Data, Privacyand COVID -19—Learning from Humanitarian Expertise in Data Protection”，https://doi.org/10.1186/s41018-020-00072-6，最后訪問時(shí)間： 2022年6月14日。

當(dāng)下，“接觸追蹤”不僅可以通過對(duì)手機(jī)信令數(shù)據(jù)進(jìn)行收集與分析，定位來自疫情重點(diǎn)地區(qū)的人群位置，還可以以確診者及密切接觸群體、次密切接觸群體的電子支付、交易、消費(fèi)記錄信息為基礎(chǔ)，根據(jù)相關(guān)餐飲、住宿、移動(dòng)大數(shù)據(jù)，特別是共同乘坐的飛機(jī)、高鐵、出租車、公交地鐵等密閉接觸空間的交通工具及商場(chǎng)、景區(qū)、游樂場(chǎng)等人群密集場(chǎng)所的位置數(shù)據(jù)信息，分析時(shí)空伴隨者的行蹤軌跡，盡早發(fā)現(xiàn)、確定密接、次密接人員，篩查疑似患者，有效實(shí)施隔離，切斷傳染源。

“接觸追蹤”技術(shù)所使用的數(shù)據(jù)信息種類各異，以數(shù)據(jù)的掌握主體為標(biāo)準(zhǔn)，大體可分為兩類。一類是傳統(tǒng)線下管理者、經(jīng)營(yíng)者掌握的數(shù)據(jù)。目前，在公安機(jī)關(guān)的要求下，以飛機(jī)、高鐵等方式出行的乘客需實(shí)名購(gòu)票。因此，一旦確診者在飛機(jī)、高鐵上的乘坐位置被確定，其四周及同一機(jī)艙、車廂的密接、次密切接觸群體也隨之定位。根據(jù)火車站進(jìn)出閘機(jī)及機(jī)場(chǎng)、高鐵站的監(jiān)控視頻確定感染者在機(jī)場(chǎng)及高鐵站進(jìn)出站時(shí)周邊的人員情況。如感染者系自駕出行，則可根據(jù)高速公路收費(fèi)站、加油站、服務(wù)區(qū)因ETC繳費(fèi)等電子支付方式所收集到的同一行程、同一時(shí)間通過的車輛的車牌信息、行蹤軌跡及上下高速路口時(shí)間信息，進(jìn)而確定車上的關(guān)聯(lián)人員信息。此外，酒店住宿亦需要登記住店人員的個(gè)人身份信息。

另一類是新興線上電信與網(wǎng)絡(luò)公司所掌握的數(shù)據(jù)。在數(shù)字經(jīng)濟(jì)背景下，互聯(lián)網(wǎng)公司尤其是平臺(tái)，通過資源流動(dòng)和低成本獲取，動(dòng)態(tài)地積累更多用戶數(shù)據(jù)。(6)參見胡凌：《互聯(lián)網(wǎng)“非法興起”2.0——以數(shù)據(jù)財(cái)產(chǎn)權(quán)為例》，載《地方立法研究》2021年第3期，第21-36頁。疫情防控過程中，將企業(yè)的商用數(shù)據(jù)用于“接觸追蹤”，實(shí)質(zhì)上是改變數(shù)據(jù)初始使用目的的個(gè)人信息處理行為。具體而言，企業(yè)商用數(shù)據(jù)的“接觸追蹤”可分為三種。第一種是手機(jī)通信運(yùn)營(yíng)商通過手機(jī)信令數(shù)據(jù)、通話明細(xì)記錄及手機(jī)App獲取設(shè)備識(shí)別碼的功能，以手機(jī)的電話呼入呼出及其他如短信、聯(lián)網(wǎng)等通信交易的發(fā)起、持續(xù)時(shí)間、完成狀態(tài)，IDFA/SN/MAC/IMEI/IMSI等硬件設(shè)備碼、軟件識(shí)別碼等數(shù)據(jù)確定手機(jī)使用人員的精確位置。鑒于中國(guó)網(wǎng)民規(guī)模已達(dá)8.54億，其中，智能手機(jī)的上網(wǎng)率達(dá)99.1%，(7)參見CNNIC互聯(lián)網(wǎng)研究：《第43次CNNIC中國(guó)互聯(lián)網(wǎng)報(bào)告發(fā)布》，載《中國(guó)廣播》2019年第4期，第1頁。可以說，只要掌握了具有即時(shí)性、生成活動(dòng)記錄的個(gè)人手機(jī)通信數(shù)據(jù)，也就掌握了相應(yīng)的行蹤軌跡并實(shí)現(xiàn)迅速聯(lián)系、定位。

第二種是滿足日常衣食住行等生活需求的手機(jī)App類的大數(shù)據(jù)信息。當(dāng)前外賣已成為都市人不可或缺的服務(wù)，而配送上門的前提條件是客戶要提供準(zhǔn)確的收貨地址?！懊缊F(tuán)”“餓了么”等外賣巨頭會(huì)沉淀客戶的配送地址、聯(lián)系方式等個(gè)人信息。在出行方面，“滴滴出行”“曹操出行”“騰訊地圖”“高德地圖”等通行類軟件會(huì)留存用戶的手機(jī)號(hào)、地理GPS信息、行車的起止時(shí)間、地點(diǎn)等個(gè)人信息。尤其是“滴滴出行”，開啟導(dǎo)航的同時(shí)即意味著未來可對(duì)每一次行程的導(dǎo)航路線進(jìn)行回溯。某些流調(diào)中用戶的出發(fā)地、目的地及用車路線、時(shí)間一覽無遺。

第三種是支付類軟件的數(shù)據(jù)信息?！爸Ц秾氈Ц丁薄拔⑿胖Ц丁钡戎Ц额愜浖讶谌肴藗兊娜粘Ｉ睿臒o聲息地構(gòu)建出一個(gè)無現(xiàn)金的社會(huì)。在享受掃碼支付便利的同時(shí)，也承受著個(gè)人信息泄露的風(fēng)險(xiǎn)?！敖佑|追蹤”技術(shù)可結(jié)合交易支付信息中所包含的支付時(shí)間、專用收款終端信息及確診者的運(yùn)動(dòng)軌跡信息，分析、追蹤、確定確診者彼時(shí)彼處的接觸人群，順藤摸瓜發(fā)現(xiàn)密切接觸群體、次密切接觸群體及其他時(shí)空伴隨者。

三、疫情防控中個(gè)人信息收集處理面臨的問題

在遏制疫情的過程中，新型數(shù)字技術(shù)發(fā)揮了較大的作用，但同時(shí)也帶來了一系列問題。依法防控疫情，同時(shí)需要保護(hù)人們的隱私。令人擔(dān)憂的是，在疫情防控過程中出現(xiàn)了罔顧公民個(gè)人隱私，直接披露、共享確診者個(gè)人信息的行為。一些流調(diào)將具體的時(shí)間、地址、停留時(shí)長(zhǎng)一一列舉，好事者津津樂道，引發(fā)街頭巷尾的熱議。這些嚴(yán)重、惡意非法披露、泄漏確診者個(gè)人信息的行為，不僅使確診者在心理上承受了巨大的壓力，甚至還有可能使之受到人身傷害。當(dāng)前在疫情防控背景下，確診者、疑似患者及密切接觸者往往被視為高危人群，其個(gè)人信息一旦被泄露、傳播，可能會(huì)引發(fā)一些騷擾、恐嚇行為，可能會(huì)使信息被公開人員及其家人的身心健康受到損害或者引發(fā)歧視性待遇。這種對(duì)個(gè)人信息保護(hù)不力情況的出現(xiàn)，極有可能降低公眾對(duì)信息采集方的信任度，進(jìn)而導(dǎo)致配合度下降，影響真實(shí)信息的采集、上報(bào)與分析，從而對(duì)疫情處置產(chǎn)生負(fù)面影響。例如，為防控疫情，全國(guó)某些地區(qū)的小區(qū)統(tǒng)計(jì)確診者的個(gè)人信息，而與此同時(shí)，確診者的身份證號(hào)、手機(jī)號(hào)、家庭樓棟地址等個(gè)人信息在小區(qū)群、志愿者群中被肆意傳播，導(dǎo)致確診者的個(gè)人信息被泄露。有受害者因此遭遇短信、電話騷擾，或因此被鄰居要求公開全家信息。(8)參見《從武漢返鄉(xiāng)學(xué)生：感覺自己像瘟神，大家拿著名單躲我們》，澎湃網(wǎng)：https://www.thepaper.cn/ne wsDetail forward_5648247，最后訪問時(shí)間：2022年6月14日；《寧波公布新增新冠肺炎病例前，患者及其15位親屬個(gè)人信息泄露》，搜狐網(wǎng)：https://www.sohu.co m/a/374841894 161795，最后訪問時(shí)間：2022年6月16日；《泄露新冠肺炎確診人員隱私 山西一人被拘留7日》，搜狐網(wǎng)：https://www.sohu.com/a/375054065_114731，最后訪問時(shí)間：2022年6月14日；《政府官網(wǎng)泄露個(gè)人信息，說好的隱私保護(hù)呢？》，人民網(wǎng)：http:/js.people.com.cn/n2/2020/0923/c360299-34311860.html，最后訪問時(shí)間：2022年6月14日。

(一)數(shù)據(jù)收集處理者的合法性問題

疫情防控需要收集、處理海量的個(gè)人信息，特別是“接觸追蹤”技術(shù)還涉及對(duì)特定人群的追蹤，涉及面廣且影響力大，一旦泄露、私自傳播確診者、疑似患者及密切接觸者等的個(gè)人信息，極有可能造成難以挽回的影響。因此，不是任何單位、組織或個(gè)人都有權(quán)、有能力對(duì)個(gè)人信息進(jìn)行收集、存儲(chǔ)、共享與分析、處理。具備明確的法律授權(quán)是夯實(shí)合法性基礎(chǔ)的關(guān)鍵。未經(jīng)法律明確授權(quán)的組織和機(jī)構(gòu)，以及未依法參與政府組織開展的疫情防控工作的人員，不得擅自收集他人尤其是確診者及疑似患者的個(gè)人信息。

明確數(shù)據(jù)控制者的職權(quán)職責(zé)，有助于追究未來數(shù)據(jù)失控的責(zé)任。歐盟委員會(huì)和歐盟成員國(guó)有權(quán)機(jī)構(gòu)為數(shù)據(jù)的共同控制者，歐盟委員會(huì)承擔(dān)了突發(fā)公共衛(wèi)生事件中公民個(gè)人信息的數(shù)據(jù)存儲(chǔ)責(zé)任，歐盟委員會(huì)將承擔(dān)數(shù)據(jù)安全性與最小存儲(chǔ)期限的責(zé)任；而歐盟成員國(guó)有權(quán)機(jī)構(gòu)將在公民個(gè)人信息的告知和數(shù)據(jù)更正方面承擔(dān)責(zé)任，即歐盟成員國(guó)有權(quán)機(jī)構(gòu)對(duì)共享的個(gè)人信息后續(xù)如可能出現(xiàn)的違法違規(guī)流轉(zhuǎn)情況承擔(dān)法律責(zé)任。

在健康認(rèn)證的傳統(tǒng)數(shù)據(jù)模式中，數(shù)據(jù)的收集處理者一般為人民政府、衛(wèi)生行政部門、疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)以及街道辦事處、居委會(huì)的基層工作人員。在“接觸追蹤”的大數(shù)據(jù)模式下，數(shù)據(jù)的共享與處理者為掌握實(shí)名信息的公安部門及掌握一定運(yùn)動(dòng)軌跡信息的電信運(yùn)營(yíng)商及互聯(lián)網(wǎng)公司。在健康認(rèn)證的傳統(tǒng)數(shù)據(jù)模式下，數(shù)據(jù)收集、處理者一般是街道辦事處、居委會(huì)等基層一線工作人員，而在“接觸追蹤”的大數(shù)據(jù)模式下，數(shù)據(jù)的共享與處理者為互聯(lián)網(wǎng)公司，但指揮者仍為公權(quán)力機(jī)構(gòu)。

1．基層一線工作人員的個(gè)人信息收集行為

街道辦事處作為區(qū)政府的派出機(jī)關(guān)，是能夠獨(dú)立承擔(dān)權(quán)利義務(wù)的行政主體。居委會(huì)與村委會(huì)作為基層自治組織，在疫情防控中如要收集個(gè)人信息，應(yīng)獲得街道辦事處或鄉(xiāng)鎮(zhèn)政府的委托，并以街道辦事處或鄉(xiāng)鎮(zhèn)政府的名義來收集。在此過程中，居委會(huì)與村委會(huì)不能再委托其他機(jī)構(gòu)收集個(gè)人信息，而未來潛在的個(gè)人隱私泄露及其他網(wǎng)絡(luò)安全突發(fā)事件的法律后果需由街道辦事處與鄉(xiāng)鎮(zhèn)政府承擔(dān)。盡管《傳染病防治法》等法律法規(guī)可視作街道辦事處、居委會(huì)等收集涉疫人員個(gè)人信息的依據(jù)，但行政規(guī)定、應(yīng)急文件尚未細(xì)化，無法保障廣泛深入?yún)⑴c個(gè)人信息收集、管理、使用的居委會(huì)、村委會(huì)執(zhí)行行為的規(guī)范化，對(duì)信息泄露的后果也未有切實(shí)具體的違法懲戒措施。

2．私營(yíng)企業(yè)的個(gè)人信息共享行為

私營(yíng)企業(yè)如互聯(lián)網(wǎng)公司是否可改變個(gè)人信息使用目的以用于防控疫情，也面臨是否合法的詰問。在疫情狀況下，為實(shí)現(xiàn)疫情監(jiān)測(cè)、防控、隔離等目的，互聯(lián)網(wǎng)公司、電信運(yùn)營(yíng)商基于已掌握的個(gè)人信息，可不征得數(shù)據(jù)主體的同意而為相關(guān)部門進(jìn)行傳染病防控提供數(shù)據(jù)支撐。當(dāng)然，這也需要互聯(lián)網(wǎng)公司、電信運(yùn)營(yíng)商盡到通知等應(yīng)盡之義務(wù)。

出于疫情防控的目的，美國(guó)法律支持政府衛(wèi)生部門享有對(duì)私營(yíng)部門調(diào)取或要求共享數(shù)據(jù)的權(quán)力。(9)D.Mietchen，“International Journal of Infectious Diseases”，53 Public Health Emergencies 35(2016)，pp.35-36.美國(guó)聯(lián)邦最高法院的判例支持州衛(wèi)生部門不但能夠直接進(jìn)入私人場(chǎng)所或?qū)€(gè)人開展強(qiáng)制檢查、調(diào)查等，還能從私營(yíng)部門調(diào)取與公共衛(wèi)生相關(guān)的數(shù)據(jù)(10)K.Littler，W.Boon，G.Carson，et al.,“Bulletin of the World Health Organization”，95 Public Health Emergencies 243(2017)，pp.243-244.，并可強(qiáng)制調(diào)取、收集患者的姓名和地址。例如2004年，美國(guó)艾奧瓦州與密歇根州的衛(wèi)生部門分別以法庭傳票(court subpoena)與“迫在眉睫危險(xiǎn)令”(an imminent danger order)的形式強(qiáng)制西北航空匯報(bào)與疾病相關(guān)的情況，提供乘客列表與乘客、機(jī)組人員的聯(lián)系方式，以確定一麻疹確診者或疑似患者。(11)Public Health Law Bench Book for Michigan Courts， https://www.michigan.gov/documents/ag/PHLBB_2016_Edition_532659_7.pdf，最后訪問時(shí)間：2022年6月14日。

(二)疫情防控過程中個(gè)人敏感信息的界定不明

能夠識(shí)別自然人身份是個(gè)人信息的核心要素之一。“個(gè)人信息”(personal information)與“個(gè)人敏感信息”(personal sensitive information)的區(qū)分標(biāo)準(zhǔn)在于一旦泄露、非法提供或?yàn)E用是否可能危害人身和財(cái)產(chǎn)安全，導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等。(12)參見王利明：《敏感個(gè)人：信息保護(hù)的基本問題——以〈民法典〉和〈個(gè)人信息保護(hù)法〉的解釋為背景》，載《當(dāng)代法學(xué)》2022年第1期，第3-14頁。個(gè)人信息保護(hù)法對(duì)敏感個(gè)人信息的處置規(guī)定了更為嚴(yán)格的“知情-同意”原則。一般而言，單純的“姓名、出生日期、通信聯(lián)系方式、住址”等信息屬于以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，(13)參見程嘯：《民法典編纂視野下的個(gè)人信息保護(hù)》，載《中國(guó)法學(xué)》2019年第4期，26-43頁。被泄露、非法提供或?yàn)E用并不會(huì)危害到當(dāng)事人的人身及財(cái)產(chǎn)安全，也不會(huì)導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇。然而在疫情防控過程中，來自疫情重點(diǎn)地區(qū)的人或確診者承受著巨大的心理壓力，一旦“姓名、出生日期、通信聯(lián)系方式、住址”等信息被從疾控機(jī)構(gòu)泄露、非法提供或?yàn)E用，很有可能會(huì)出現(xiàn)確診或疑似患者在互聯(lián)網(wǎng)線上或線下被攻擊、被指責(zé)的狀況。因此，疫情狀況下的個(gè)人信息尤其是“姓名、出生日期、通信聯(lián)系方式、住址”等信息應(yīng)被掌握上述信息的組織和個(gè)人“升格”為個(gè)人敏感信息來保護(hù)。

而從域外經(jīng)驗(yàn)看，GDPR(《通用數(shù)據(jù)保護(hù)條例》)是以數(shù)據(jù)的使用目的及產(chǎn)生的后果來確定某種數(shù)據(jù)是否為特殊類型數(shù)據(jù)。GDPR第9條同樣對(duì)健康相關(guān)信息(data concerning health)的數(shù)據(jù)處理行為做了特殊規(guī)定。(14)Lina Fatima Soualmia， et al.，“Health Data, Information, and Knowledge Sharing for Addressing the COVID -19”， 30 Yearbook of Medical Informatics 1(2021)，pp.4-7.由是觀之，在重大疫情處置過程中，鑒于其可能產(chǎn)生的隔離、送醫(yī)等后果，以及社會(huì)對(duì)其的負(fù)面評(píng)價(jià)甚至傷害行為，確診、疑似患病人群的姓名、出生日期、通信聯(lián)系方式、住址等信息應(yīng)當(dāng)被認(rèn)定為與健康相關(guān)的信息，從而也需要被升級(jí)為特殊類型數(shù)據(jù)。(15)Mónica Correia, Guilhermina Rêgo and Rui Manuel Lopes Nunes，“The Right to Be Forgotten and COVID -19: Privacy versus Public Interest”，27 Acta bioethica 59(2021)，pp.59-67.

一般場(chǎng)景下，姓名、家庭住址、身份證號(hào)、手機(jī)號(hào)、行蹤軌跡等屬于一般性的個(gè)人信息。但在疫情防控這種特殊的社會(huì)狀態(tài)下，應(yīng)更強(qiáng)調(diào)個(gè)人信息的合法保護(hù)與公共衛(wèi)生利益的平衡，應(yīng)將收集手機(jī)號(hào)碼、住址等也同樣定義為個(gè)人敏感信息。此外，對(duì)于敏感程度更高的疫情流調(diào)信息，應(yīng)將其視為“個(gè)人敏感信息”，以在保護(hù)強(qiáng)度上與一般個(gè)人信息有所區(qū)別，避免因信息保護(hù)資源分配不足而致使流調(diào)信息屢遭泄露。

(三)個(gè)人信息強(qiáng)制收集及改變信息使用目的過程中的告知程序缺位

《傳染病防治法》《突發(fā)事件應(yīng)對(duì)法》等法律強(qiáng)調(diào)了被采集主體的配合義務(wù)，《個(gè)人信息保護(hù)法》第13條也規(guī)定，為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件處理個(gè)人信息的，不需要取得個(gè)人同意。疫情防控期間，互聯(lián)網(wǎng)公司、電信運(yùn)營(yíng)商等私主體也可出于抗疫目的收集個(gè)人信息，不過，個(gè)人信息在信息強(qiáng)制收集與改變信息使用目的的過程中，國(guó)家機(jī)關(guān)有告知的義務(wù)。這是因?yàn)?，知情是公民享有個(gè)人信息權(quán)的重要實(shí)現(xiàn)方式，在公共服務(wù)供給過程中，公眾作為消費(fèi)者，享有知情權(quán)、安全權(quán)和依法求償權(quán)等權(quán)利。(16)參見李蕊：《公共服務(wù)供給權(quán)責(zé)配置研究》，載《中國(guó)法學(xué)》2019年第4期，128-144頁。疫情防控主體應(yīng)在向公眾收集個(gè)人信息時(shí)履行告知和說明義務(wù)，向公民告知個(gè)人信息收集和使用的目的、范圍及存管方式、期限，但當(dāng)前這一告知程序在我國(guó)法律上仍是缺位的。

從域外經(jīng)驗(yàn)尤其是歐盟GDPR規(guī)則與美國(guó)法的角度看，出于控制疫情的公共衛(wèi)生目的，并不必然要求信息的匿名化，且支持對(duì)個(gè)人信息進(jìn)行共享。歐盟GDPR雖將個(gè)人數(shù)據(jù)保護(hù)作為公民基本權(quán)利，但仍在不斷平衡個(gè)人數(shù)據(jù)保護(hù)和公共利益，并允許基于重大公共利益等事項(xiàng)克減個(gè)人數(shù)據(jù)保護(hù)。(17)Luca Marelli，et al.，“Fit for Purpose? The GDPR and the Governance of European Digital Health”，41 Policy Studies 447(2020)，pp.447-467.GDPR另有規(guī)定三種合法性事由(18)分別是“為履行數(shù)據(jù)控制者承擔(dān)法定義務(wù)所必需”“為保護(hù)數(shù)據(jù)主體重大利益或其他自然人重大利益所必需”“為執(zhí)行公共利益之目的任務(wù)或數(shù)據(jù)控制者行使法定職能所必須”。，處理個(gè)人信息可不經(jīng)個(gè)人同意。GDPR明確，公共衛(wèi)生事件與傳染病監(jiān)測(cè)構(gòu)成了GDPR所認(rèn)定的重大公共利益與重大生命利益。故而，出于對(duì)公共利益與個(gè)人數(shù)據(jù)保護(hù)的平衡考慮，GDPR在個(gè)人信息處理的合法性基礎(chǔ)、特殊數(shù)據(jù)處理、數(shù)據(jù)主體權(quán)利限制等方面予以特別規(guī)定，放松了個(gè)人信息保護(hù)的要求。當(dāng)個(gè)人信息處理為“保護(hù)數(shù)據(jù)主體或其他自然人的重要利益所必要”時(shí)，可不征得數(shù)據(jù)主體的同意。

(四)個(gè)人信息的數(shù)據(jù)收集存儲(chǔ)使用權(quán)限與數(shù)據(jù)安全保護(hù)責(zé)任不匹配

目前的疫情防控過程中，存在著收集不必要信息、信息保管存儲(chǔ)不夠嚴(yán)格、信息公布存在一定的隨意性等諸多問題。例如，在健康認(rèn)證的傳統(tǒng)數(shù)據(jù)模式中，往往收集了過多的無關(guān)信息。在“接觸追蹤”的大數(shù)據(jù)模式中，所獲數(shù)據(jù)信息并非摸排、主動(dòng)收集，而是將之前用于公共安全與商業(yè)目的的數(shù)據(jù)信息，通過與政府共享或轉(zhuǎn)換使用目的，用于對(duì)可能確診人員的監(jiān)測(cè)、篩查與追蹤。這種數(shù)據(jù)共享以及數(shù)據(jù)初始使用目的變更的信息處理行為亦需要法律加以規(guī)制。目前，網(wǎng)絡(luò)上一些自媒體為了吸引眼球，泄露流調(diào)報(bào)告中確診者及密接群體的身份信息、活動(dòng)軌跡、就醫(yī)情況、工作單位、家庭住址、社交情況等個(gè)人信息。例如，2020年12月，一張內(nèi)容涉及“成都疫情及趙某身份信息、活動(dòng)軌跡”“成都確診女孩一夜轉(zhuǎn)場(chǎng)多家酒吧”的圖片在網(wǎng)上大面積擴(kuò)散。被泄露的個(gè)人信息顯示，趙某在確診前曾去過多家酒吧，趙某因此被認(rèn)為是“陪酒女”“女海王”，帶來惡劣的社會(huì)影響。(19)參見劉文慧：《法律該怎么保護(hù)你 成都確診女孩》，載《四川法治報(bào)》2020年12月10日，第5版。再如，哈爾濱疫情期間，某病例一連三日參加劇本殺游戲，遂被網(wǎng)民杜撰私生活，并惡言侮辱。(20)參見《“我正在被網(wǎng)暴！”哈爾濱確診患者玩劇本殺上熱搜，網(wǎng)友吵翻，流調(diào)成了窺私素材？》，北青網(wǎng)：https://t.ynet.cn/baijia/31470526.html，最后訪問時(shí)間：2022年6月14日。此外，疫情防控過程中，身份證號(hào)、電話號(hào)碼、居住地址等重要個(gè)人信息成為支撐健康碼、電子出入證等電子證件的必要信息來源，但在提交之后，信息的去向及是否被刪除暫不得而知。2020年，因北京“健康寶”小程序存在設(shè)計(jì)缺陷，大量明星的健康寶照片在網(wǎng)絡(luò)上遭遇泄露并被大肆售賣，造成了嚴(yán)重的后果。(21)參見何玲、孟佳惠：《“健康寶”信息泄露 隱私保護(hù)亟待加“碼”》，載《中國(guó)信用》2021年第1期，第110-111頁。

觀之域外法律實(shí)踐，歐盟GDPR認(rèn)為在個(gè)人信息的采集、處理的過程中，應(yīng)當(dāng)遵循適當(dāng)、相關(guān)與必要的原則，強(qiáng)調(diào)對(duì)個(gè)人信息“保密”的注意義務(wù)，即在數(shù)據(jù)處理過程中應(yīng)確保個(gè)人信息的安全，采取合理的技術(shù)手段、組織措施，避免數(shù)據(jù)未經(jīng)授權(quán)即被處理或遭到非法處理，避免數(shù)據(jù)發(fā)生意外毀損或滅失。在抗疫過程中開展的數(shù)據(jù)收集、使用也應(yīng)當(dāng)遵守歐盟GDPR法律框架的規(guī)定，尤其是“接觸追蹤”類的大數(shù)據(jù)分析追蹤。(22)A Data Masking Guideline for Optimizing Insights and Privacy Under GDPR Compliance，Information Technology：https://doi.org/10.1145/3406601.3406627，最后訪問時(shí)間： 2022年6月14日。在此基礎(chǔ)上，GDPR提出了信息處理中一系列具體要求。首先，按照數(shù)據(jù)最少夠用(data minimization)原則，“接觸追蹤”技術(shù)中可共享的個(gè)人信息需以類型列表化與指示性清單(privacy by design)的方式進(jìn)行，以縮小個(gè)人信息的范圍。(23)P.Quinn，“Research under the GDPR—a level playing field for public and private sector research?”，17 Life Sciences, Society and Policy 1(2021)，p.4.并且，信息傳輸共享需通過“選擇性通信功能”(the selective messaging functionality)在特定成員國(guó)的有權(quán)機(jī)構(gòu)間互換。(24)Maria Christofidou，et al.，“A Literature Review on the GDPR, COVID -19 and the Ethical Considerations of Data Protection During a Time of Crisis”，30 Yearbook of Medical Informatics 226(2021)， pp.226-232.其次，按照存儲(chǔ)期限最小化原則，可以識(shí)別出具體數(shù)據(jù)主體的個(gè)人信息在儲(chǔ)存時(shí)間方面有特定的要求，即不能超過實(shí)現(xiàn)其處理目的所必需的時(shí)間。超過此期限的數(shù)據(jù)處理只有在如下情況下才能被允許：為了實(shí)現(xiàn)公共利益、科學(xué)或歷史研究目的或統(tǒng)計(jì)目的，為了保障數(shù)據(jù)主體的權(quán)利和自由，并采取了包括匿名化等合理技術(shù)與組織措施進(jìn)行處理。(25)COVID -19 Research: Navigating the European General Data Protection Regulation，https://www.jmir.org/2020/8/e19799/PDF，最后訪問時(shí)間：2022年6月14日。例如，與抗疫相關(guān)的公民個(gè)人信息在“早期預(yù)警和響應(yīng)系統(tǒng)”(EWRS)中的存儲(chǔ)時(shí)間不能超過12個(gè)月，超過12月的，個(gè)人數(shù)據(jù)會(huì)被自動(dòng)清除。(26)June Park, “Governing a Pandemic with Data on the Contactless Path to AI: Personal Data, Public Health, and the Digital Divide in South Korea, Europe and the United States in Tracking of COVID -19”，14 Partecipazione e Conflitto 79(2021)，pp.100-111.GDPR第13條與第14條要求，數(shù)據(jù)控制者處理個(gè)人數(shù)據(jù)時(shí)的目的與初始收集目的不一致時(shí)，數(shù)據(jù)控制者應(yīng)向數(shù)據(jù)主體告知數(shù)據(jù)控制者的身份、變更后的個(gè)人數(shù)據(jù)處理目的、數(shù)據(jù)接收方、個(gè)人數(shù)據(jù)處理的法律依據(jù)、個(gè)人數(shù)據(jù)的種類類別、存儲(chǔ)期限、數(shù)據(jù)主體享有的各項(xiàng)權(quán)利等。(27)Federica Lucivero, et al.，“COVID -19 and Contact Tracing Apps: Ethical Challenges for a Social Experiment on a Global Scale”，17 Journal of Bioethical Inquiry 835(2020)，pp.835-839.

四、疫情防控中個(gè)人信息保護(hù)的法律建議

(一)明確疫情防控中個(gè)人信息收集、存儲(chǔ)、公開的法律邊界

疫情防控中，個(gè)人信息的數(shù)據(jù)收集應(yīng)遵循“目的明確”“最少夠用”原則。在健康認(rèn)證的數(shù)據(jù)場(chǎng)景下，關(guān)鍵信息是，是否“來自疫情重點(diǎn)地區(qū)”或有相關(guān)的病例接觸史以及是否存在病狀，因此，主動(dòng)收集的信息內(nèi)容僅可包括“姓名、聯(lián)系方式、是否來自疫情重點(diǎn)地區(qū)、是否有相關(guān)的病例接觸史以及是否存在癥狀”。姓名和聯(lián)系方式可用于后期聯(lián)系個(gè)人，來源地、病例接觸史與癥狀可用于后續(xù)數(shù)據(jù)分析處理。而其他數(shù)據(jù)暫不應(yīng)被列入收集的范圍，不應(yīng)被收集者用于其他的經(jīng)營(yíng)性目的，更不能被違規(guī)甚至違法對(duì)外大肆出售。

在存儲(chǔ)管理方面，對(duì)個(gè)人信息應(yīng)形成分級(jí)、區(qū)別的管理方式，并采取嚴(yán)格的存儲(chǔ)管理措施，即前期收集了個(gè)人信息的主體，需對(duì)其所接觸的個(gè)人信息承擔(dān)安全保管義務(wù)，確保其存儲(chǔ)的個(gè)人信息不會(huì)無意中被泄露或被第三方入侵。疫情防控中個(gè)人信息的數(shù)據(jù)存儲(chǔ)應(yīng)由專人保護(hù)負(fù)責(zé)，進(jìn)行匯總并管理，個(gè)人信息應(yīng)與其他數(shù)據(jù)分別存儲(chǔ)，非必要人員不得接觸全部數(shù)據(jù)。物理紙質(zhì)信息應(yīng)通過保密措施加以保管存儲(chǔ)，相應(yīng)的電子信息應(yīng)同步加密處理。數(shù)據(jù)的查看與獲取應(yīng)設(shè)置相應(yīng)的有限訪問權(quán)限及申請(qǐng)程序，僅可由已獲授權(quán)的用戶訪問，并設(shè)置安全、個(gè)性化的用戶賬戶和密碼。數(shù)據(jù)分發(fā)應(yīng)以“必要”為原則，并做一定的匿名化處理，使得個(gè)人信息在未得到其他數(shù)據(jù)參照時(shí)，不可指向可被識(shí)別的特定主體。疫情防控過程中，個(gè)人信息的數(shù)據(jù)存儲(chǔ)時(shí)限可不設(shè)置明確的刪除時(shí)限，但刪除節(jié)點(diǎn)仍需明確。同時(shí)，建立數(shù)據(jù)安全的日常監(jiān)測(cè)制度，確立定期的數(shù)據(jù)安全審計(jì)制度，個(gè)人信息需日常更正、刪除信息中不準(zhǔn)確、過時(shí)、不再必要或違反數(shù)據(jù)保護(hù)法律的個(gè)人信息。

在對(duì)外公開方面，疫情防控過程中公開個(gè)人信息的目的是對(duì)確診或密接者、次密接者的活動(dòng)路線及半徑進(jìn)行公示，以方便確認(rèn)接觸人群，消除大眾的恐慌情緒。因此，信息公開的匿名化處理應(yīng)根據(jù)個(gè)案特點(diǎn)，確定有差別的匿名化標(biāo)準(zhǔn)，原則上無須公開確診或密接群體的姓名、電話號(hào)碼、身份證號(hào)碼及個(gè)人家庭住址等詳細(xì)信息，而僅需對(duì)確診或疑似病人的運(yùn)動(dòng)軌跡、乘坐交通工具的如航班號(hào)或高鐵班次等具體信息加以公開公示。

(二)明確數(shù)據(jù)收集主體的責(zé)任范圍

對(duì)于涉疫個(gè)人信息的數(shù)據(jù)利用與保護(hù)，應(yīng)對(duì)數(shù)據(jù)收集主體間的責(zé)任范圍進(jìn)行嚴(yán)格劃分。以健康碼為例，目前各省的健康碼主管部門涉及衛(wèi)健委、疾控中心、疫情防控指揮部、醫(yī)保局、數(shù)字辦、經(jīng)濟(jì)和信息化局、行政審批和政務(wù)信息管理局等，并由私營(yíng)企業(yè)為健康碼運(yùn)營(yíng)提供技術(shù)支持。因此，需明確各數(shù)據(jù)收集主體的角色，是采取由單一部門主管的單獨(dú)個(gè)人信息處理者模式，還是多部門共管的個(gè)人信息共同處理者模式，并適用不同的數(shù)據(jù)處理原則。

當(dāng)私營(yíng)企業(yè)實(shí)施與政府機(jī)關(guān)共享企業(yè)商用數(shù)據(jù)行為時(shí)，則其為個(gè)人信息提供者；當(dāng)政府指定企業(yè)具體承擔(dān)健康碼的運(yùn)營(yíng)管理，企業(yè)由此改變數(shù)據(jù)初始使用目的時(shí)，企業(yè)又成了個(gè)人信息受托處理者。此時(shí)，電信運(yùn)營(yíng)商、互聯(lián)網(wǎng)公司及第三方需通過后續(xù)相關(guān)個(gè)人信息的數(shù)據(jù)安全保護(hù)措施，保障個(gè)人信息不被泄露與濫用。從事前的角度而言，首先，在收集數(shù)據(jù)之前可簽訂相關(guān)的數(shù)據(jù)共享協(xié)議，明確數(shù)據(jù)共享中的各方角色、數(shù)據(jù)共享的目的等重大事項(xiàng)。其次，鑒于企業(yè)所掌握的如行蹤軌跡等數(shù)據(jù)的細(xì)密性、敏感性，在改變數(shù)據(jù)初始使用目的時(shí)，政府或企業(yè)還需履行相應(yīng)的告知義務(wù)，其中互聯(lián)網(wǎng)公司、電信運(yùn)營(yíng)商可通過App、手機(jī)號(hào)直接向用戶告知，政府部門則可先行通過企業(yè)履行告知義務(wù)，再由政府承擔(dān)告知成本。

(三)建立“接觸追蹤”技術(shù)的算法審計(jì)制度

“接觸追蹤”技術(shù)的大顯身手，不僅依賴于大數(shù)據(jù)，更倚重智能算法模型，但智能算法卻潛藏著隱私和歧視風(fēng)險(xiǎn)，有可能侵犯公民的自由與隱私權(quán)。(28)參見洪凌嘯：《誤區(qū)與正道：法律人工智能算法問題的困境、成因與改進(jìn)》，載《四川師范大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2020年第1期，第58-70頁。因此，亟須建立“接觸追蹤”技術(shù)的“算法審計(jì)”(audits of algorithms)制度，以減少負(fù)面影響。算法審計(jì)通過搜集在特定領(lǐng)域算法運(yùn)行過程中產(chǎn)生的數(shù)據(jù)，評(píng)估算法模型是否存在侵犯公民基本權(quán)利的負(fù)面影響，進(jìn)而調(diào)整算法。算法審計(jì)可評(píng)估算法的透明度與可解釋性，保護(hù)個(gè)人信息。具體而言，為確保算法決策模型中數(shù)據(jù)的合法性、可靠性及模型的合理性，首先應(yīng)審計(jì)算法方案內(nèi)容中的關(guān)鍵特征，如算法的詳細(xì)屬性信息、定義可接受的容差、算法數(shù)據(jù)的輸入和輸出模態(tài)、重視或忽略的信息、算法策略、算法風(fēng)險(xiǎn)與防范機(jī)制等，以避免算法過擬合所導(dǎo)致的虛假相關(guān)性，進(jìn)而引發(fā)偏見。其次是審計(jì)算法適用的算法模型及訓(xùn)練數(shù)據(jù)集。當(dāng)訓(xùn)練數(shù)據(jù)集相對(duì)較小時(shí)，算法亦容易引發(fā)內(nèi)在偏差。審計(jì)過程中，應(yīng)鼓勵(lì)算法獲取多元的數(shù)據(jù)源，尤其是能回答特定問題所必需的數(shù)據(jù)。最后，需對(duì)算法進(jìn)行備案。算法提供者應(yīng)以顯著方式公示算法的目的、基本原理和主要運(yùn)行機(jī)制，以方便民眾獲取和修改“接觸追蹤”技術(shù)所產(chǎn)生的評(píng)價(jià)結(jié)果。

(四)建立“接觸追蹤”技術(shù)的算法解釋制度

對(duì)個(gè)人信息使用的全面解釋能使民眾相信個(gè)人信息在被負(fù)責(zé)任地使用。建立“接觸追蹤”技術(shù)算法解釋制度的目的是消除因“接觸追蹤”技術(shù)而導(dǎo)致的誤解與疑慮，在個(gè)人信息處理過程中構(gòu)建信任的橋梁。算法解釋制度能夠使民眾明白“接觸追蹤”技術(shù)如何做出決策，并及時(shí)發(fā)現(xiàn)決策過程中的問題并予以糾正，以平衡民眾與政府之間的權(quán)力分配。此外，算法解釋制度能在一定程度上消解“接觸追蹤”類大數(shù)據(jù)技術(shù)的“元問題”，即算法“黑箱”——深度學(xué)習(xí)算法輸入數(shù)據(jù)與輸出數(shù)據(jù)之間難以為人類觀察、理解的隱層。

針對(duì)“接觸追蹤”技術(shù)，可建立事前事后解釋相結(jié)合、系統(tǒng)性個(gè)案性解釋為一體、以具體決策為中心的算法解釋制度。具體而言，首先使用“接觸追蹤”技術(shù)的政府部門及私營(yíng)企業(yè)應(yīng)在事前公布算法規(guī)則，受“接觸追蹤”技術(shù)影響的個(gè)人可在接收到算法決策后提出解釋算法的請(qǐng)求。其次，受“接觸追蹤”技術(shù)影響的個(gè)人既可要求算法決策者系統(tǒng)解釋算法的模型標(biāo)準(zhǔn)、分類結(jié)構(gòu)、一般功能與預(yù)期后果，亦可要求解釋其個(gè)案決策中的個(gè)別情況，如使用數(shù)據(jù)情況、數(shù)據(jù)的特征權(quán)重、決定支撐數(shù)據(jù)、數(shù)據(jù)源的信息、算法的引用或配置規(guī)則，使當(dāng)事人理解其接收的特定決策的依據(jù)，同時(shí)支持個(gè)體提出證據(jù)予以反駁。