文/彭德雷(華東理工大學(xué) 法學(xué)院/商學(xué)院,上海 200237)
互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算等快速發(fā)展不斷拓展了大數(shù)據(jù)在實(shí)踐中的應(yīng)用。2017 年5 月,《經(jīng)濟(jì)學(xué)人》便刊文指出,“世界上最重要的資源不再是石油而是數(shù)據(jù)”。①The Economist,“The World’s Most Valuable Resource Is No Longer Oil,But Data,”May 6th 2017,https://www.economist.com/leaders/2017/05/06/the-world's?-most-valuable-resource-is-no-longer-oil-but-data.當(dāng)前,大數(shù)據(jù)不僅在經(jīng)濟(jì)、技術(shù)領(lǐng)域得到廣泛應(yīng)用,公共衛(wèi)生領(lǐng)域的治理也越來(lái)越依賴于大數(shù)據(jù)。2020 年2 月14 日,習(xí)近平總書記在中央全面深化改革委員會(huì)第十二次會(huì)議中指出,“要鼓勵(lì)運(yùn)用大數(shù)據(jù)、人工智能、云計(jì)算等數(shù)字技術(shù),在疫情監(jiān)測(cè)分析、病毒溯源、防控救治、資源調(diào)配等方面更好發(fā)揮支撐作用”。事實(shí)上,此次新型冠狀病毒肺炎疫情的有效防控,很大程度上得益于大數(shù)據(jù)的應(yīng)用。
一方面,在我國(guó)推進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化的背景下,需要不斷提高公共衛(wèi)生事件處置和應(yīng)急管理能力,其中大數(shù)據(jù)的輔助功能不容忽視;另一方面,在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的今天,如何合法地利用和保護(hù)個(gè)人數(shù)據(jù)信息,權(quán)衡公共利益與個(gè)人權(quán)利,劃定個(gè)人信息保護(hù)與利用邊界等,是當(dāng)前經(jīng)濟(jì)社會(huì)發(fā)展關(guān)注的一個(gè)重要命題。在公共衛(wèi)生事件中,如何防止個(gè)人數(shù)據(jù)信息不被泄露,防止在公共衛(wèi)生事件之后引發(fā)網(wǎng)絡(luò)安全事件,更是需要密切關(guān)注的問(wèn)題。為此,聯(lián)合國(guó)專門發(fā)布了一份《COVID-19 應(yīng)對(duì)中的數(shù)據(jù)保護(hù)與隱私的聯(lián)合聲明》,特別指出:“此類用于數(shù)字接觸追蹤和一般健康監(jiān)測(cè)的數(shù)據(jù)收集和處理,可能涉及收集大量個(gè)人和非個(gè)人的敏感數(shù)據(jù)。如果采取此類措施的目的與應(yīng)對(duì)COVID-19 沒有直接或具體的關(guān)系,就可能導(dǎo)致對(duì)基本權(quán)利和自由的侵犯。”①UN:“Joint Statement on Data Protection and Privacy in the COVID-19 Response,”18 November 2020,https://www.un.org/en/node/112200.
《國(guó)際衛(wèi)生條例(2005)》從全球范圍內(nèi)對(duì)公共衛(wèi)生事件進(jìn)行了界定。根據(jù)其規(guī)定,“國(guó)際關(guān)注的突發(fā)公共衛(wèi)生事件”是指按該條例規(guī)定所確定的不同尋常的事件,包括:(1)通過(guò)疾病的國(guó)際傳播構(gòu)成對(duì)其他國(guó)家的突發(fā)公共衛(wèi)生危害;以及(2)可能需要采取協(xié)調(diào)一致的國(guó)際應(yīng)對(duì)措施。②世界衛(wèi)生組織:《國(guó)際衛(wèi)生條例(2005)》,2005 年。例如,2009 年H1N1 流感大流行、2014 年西非埃博拉疫情、2020 年新冠肺炎疫情等都屬于國(guó)際范圍內(nèi)有一定影響力的公共衛(wèi)生事件。我國(guó)在2003 年頒布的《突發(fā)公共衛(wèi)生事件應(yīng)急條例》(中華人民共和國(guó)國(guó)務(wù)院令第376 號(hào))對(duì)突發(fā)公共衛(wèi)生事件也進(jìn)行了規(guī)定,它是指突然發(fā)生,造成或者可能造成社會(huì)公眾健康嚴(yán)重?fù)p害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)中毒以及其他嚴(yán)重影響公眾健康的事件。③《突發(fā)公共衛(wèi)生事件應(yīng)急條例》(中華人民共和國(guó)國(guó)務(wù)院令第376 號(hào)),第二條。
當(dāng)前,公共衛(wèi)生事件的預(yù)測(cè)和防控正越來(lái)越依靠大數(shù)據(jù)的應(yīng)用。這包括:(1)公共衛(wèi)生事件防控中的大數(shù)據(jù)監(jiān)控與干預(yù);(2)公共衛(wèi)生事件防控中大數(shù)據(jù)的輿情分析;(3)公共信息安全(傳統(tǒng)與非傳統(tǒng)安全)的監(jiān)測(cè);(4)公共衛(wèi)生事件防控中后期的信息歸集與管理等。④此外,大數(shù)據(jù)在公共事件中的應(yīng)用還包括物資供應(yīng),流言、謠言的應(yīng)對(duì)與管控,公共管理中的糾錯(cuò)機(jī)制等。周中華:《大數(shù)據(jù)在重大公共事件中的應(yīng)用》,人民數(shù)據(jù)研究院,http://www.peopledata.com.cn/html/NEWS/Dynamics/187.html,訪問(wèn)日期2021 年6 月30 日。例如,國(guó)內(nèi)搜索引擎公司提供春運(yùn)客流分析,美國(guó)谷歌公司開發(fā)流感、登革熱等流行病預(yù)測(cè)等。①王融:《大數(shù)據(jù)時(shí)代數(shù)據(jù)保護(hù)與流動(dòng)規(guī)則》,人民郵電出版社,2017 年,第2-3 頁(yè)。以此次新冠肺炎疫情為例,大數(shù)據(jù)在公共醫(yī)療衛(wèi)生領(lǐng)域內(nèi)得到廣泛應(yīng)用。借助大數(shù)據(jù)分析,有關(guān)方面可以追蹤、繪制病患的行動(dòng)軌跡,并推斷出病患密切接觸者?!盎ヂ?lián)網(wǎng)+”醫(yī)療平臺(tái)推出在線問(wèn)診服務(wù)有效緩解疫情期間醫(yī)療資源緊缺,避免了人員聚集和交叉感染。大數(shù)據(jù)服務(wù)為疫苗接種提供高效保障工作等。與此同時(shí),大數(shù)據(jù)應(yīng)用(如電子商務(wù)、在線教育、互聯(lián)網(wǎng)審判等),為居民日常生活保障、企業(yè)復(fù)工復(fù)產(chǎn)、公共教育、政務(wù)服務(wù)等提供了整體解決方案,保障了疫情期間的正常社會(huì)秩序。
基于疫情期間對(duì)大數(shù)據(jù)應(yīng)用的觀察,我們發(fā)現(xiàn)存在以下特征。第一,數(shù)據(jù)信息來(lái)源面廣、收集主體多樣化。以此次新冠肺炎疫情為例,大數(shù)據(jù)的應(yīng)用涉及領(lǐng)域十分廣泛,涵蓋醫(yī)療、交通、教育、企業(yè)復(fù)工復(fù)產(chǎn)等。收集主體呈現(xiàn)多樣化特征,例如公路、鐵路、航空等交通部門對(duì)旅客實(shí)名信息的收集,基層組織對(duì)本地人員的信息登記等。第二,數(shù)據(jù)應(yīng)用范圍廣、頻率高。在疫情期間,“健康碼”被廣泛使用,應(yīng)用范圍覆蓋全國(guó)主要城市和主要人群。例如,我國(guó)高校作為人員集中的場(chǎng)所,云計(jì)算和大數(shù)據(jù)應(yīng)用在本次高校疫情防控中發(fā)揮了重要作用。②胡寶國(guó):《構(gòu)建校園安全共同體:從疫情防控的角度思考高校校園安全機(jī)制的健全和完善》,《華東理工大學(xué)學(xué)報(bào)》(社會(huì)科學(xué)版)2020 年第3 期。第三,數(shù)據(jù)信息流動(dòng)性強(qiáng)、泄露風(fēng)險(xiǎn)高。公共衛(wèi)生事件對(duì)數(shù)據(jù)共享性和流動(dòng)性都有一定要求,但是如果保護(hù)措施不當(dāng),數(shù)據(jù)也極易被泄露。由于疫情防控的需要,目前各機(jī)構(gòu)的出入都需要信息登記或人臉識(shí)別,但是這些機(jī)構(gòu)對(duì)于數(shù)據(jù)保護(hù)的能力存在差異,存在個(gè)人信息被泄露的風(fēng)險(xiǎn)。第四,數(shù)據(jù)信息覆蓋周期長(zhǎng)、影響群體廣。由于大量數(shù)據(jù)涉及個(gè)人的敏感信息,具有很強(qiáng)的個(gè)人屬性,例如姓名、家庭住址、身份證號(hào)、手機(jī)號(hào)等均屬于個(gè)人長(zhǎng)期有效的信息,影響的周期長(zhǎng)。從數(shù)據(jù)涉及的主體來(lái)看,公共衛(wèi)生事件與每個(gè)人相關(guān),為做好公共衛(wèi)生事件防控,各地開展有關(guān)人員的信息申報(bào)登記工作,涵蓋龐大的學(xué)生群體、企業(yè)勞動(dòng)者、消費(fèi)者、患者等??傊么髷?shù)據(jù)應(yīng)對(duì)公共衛(wèi)生事件,我們需要充分評(píng)估可能存在的各種數(shù)據(jù)泄露、侵犯隱私的風(fēng)險(xiǎn),確保大數(shù)據(jù)在公共衛(wèi)生事件中得到負(fù)責(zé)任的利用,不斷提高數(shù)字社會(huì)的治理水平。
1986 年,德國(guó)學(xué)者貝克系統(tǒng)地提出了“風(fēng)險(xiǎn)社會(huì)”的理論?!帮L(fēng)險(xiǎn)社會(huì)”也成為描述當(dāng)代社會(huì)最常用的概念。③[德]烏爾里?!へ惪耍骸讹L(fēng)險(xiǎn)社會(huì):新的現(xiàn)代性之路》,張文杰、何博聞譯,譯林出版社,2018 年。大數(shù)據(jù)風(fēng)險(xiǎn)治理是當(dāng)前全球治理關(guān)注的一個(gè)重要領(lǐng)域。近年來(lái),大數(shù)據(jù)泄露的事件屢見不鮮。例如,2018 年3 月,F(xiàn)acebook 超過(guò)5000 萬(wàn)用戶信息的數(shù)據(jù)被“劍橋分析”公司泄露,為此扎克伯格赴國(guó)會(huì)參議院接受質(zhì)詢;2020 年3 月,新浪微博App 數(shù)據(jù)泄露而被工信部約談。此次新冠肺炎疫情期間,也發(fā)生個(gè)人信息泄露的案例,不法分子利用疫情實(shí)施各類詐騙。④郝成:《海量涉疫情個(gè)人信息泄露 兩地公安做出行政拘留處罰》,新浪網(wǎng),http://news.sina.com.cn/o/2020-02-05/dociimxyqvz0398976.shtml,訪問(wèn)日期2021 年6 月30 日。世界經(jīng)濟(jì)論壇發(fā)布的《2020 年全球風(fēng)險(xiǎn)報(bào)告》統(tǒng)計(jì),數(shù)據(jù)欺詐或竊取、網(wǎng)絡(luò)攻擊分別排在全球十大風(fēng)險(xiǎn)的第六位和第七位,網(wǎng)絡(luò)安全形勢(shì)極為嚴(yán)峻。①World Economic Forum,The Global Risks Report 2020,p.12.公共衛(wèi)生事件期間,需要特別防范各種數(shù)據(jù)泄露和侵犯?jìng)€(gè)人隱私事件的發(fā)生。
1. 就外部而言,網(wǎng)絡(luò)詐騙與網(wǎng)絡(luò)黑客等引發(fā)大數(shù)據(jù)風(fēng)險(xiǎn)
在發(fā)生公共衛(wèi)生事件期間,一些不法分子利用其掌握的信息,實(shí)施各類詐騙。例如,他們利用民眾對(duì)疫情防護(hù)用品的迫切需求,通過(guò)冒充防疫工作人員、發(fā)布虛假防控信息等方式套取個(gè)人信息。此次新冠肺炎疫情發(fā)生以來(lái),一些不法分子以使館發(fā)放“健康包”的名義,要求當(dāng)事人提供信用卡號(hào)碼、支付郵寄費(fèi)用,實(shí)施詐騙。有不法分子通過(guò)虛構(gòu)包機(jī)回家、團(tuán)購(gòu)防疫物資等實(shí)施詐騙。還有不法分子冒充衛(wèi)生防控部門或者醫(yī)學(xué)研究機(jī)構(gòu)推廣特效藥騙取錢款,甚至冒充慈善機(jī)構(gòu)進(jìn)行錢款詐騙。
在發(fā)生公共衛(wèi)生事件期間,一些網(wǎng)絡(luò)黑客利用與公共衛(wèi)生相關(guān)的題材實(shí)施網(wǎng)絡(luò)攻擊。根據(jù)有關(guān)研究機(jī)構(gòu)報(bào)告,在此次疫情期間,監(jiān)控到國(guó)內(nèi)外諸多網(wǎng)絡(luò)犯罪團(tuán)伙通過(guò)疫情熱點(diǎn)信息,傳播病毒木馬惡意程序,并冠以“新型肺炎”“口罩廠家名單”等涉及疫情的關(guān)鍵詞;有黑客團(tuán)伙借機(jī)向一些政府部門、醫(yī)療機(jī)構(gòu)的網(wǎng)站發(fā)起攻擊,受到類似黑客攻擊的國(guó)家還包括美國(guó)、日本等。②⑤中國(guó)信息通信研究院安全研究、中國(guó)衛(wèi)生信息與健康醫(yī)療大數(shù)據(jù)學(xué)會(huì)衛(wèi)生信息安全與新技術(shù)應(yīng)用專業(yè)委員會(huì)、數(shù)據(jù)保護(hù)官(DPO)社群:《2020 數(shù)字醫(yī)療:疫情防控期間網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究報(bào)告》,http://www.100ec.cn/detail--6549056.html,訪問(wèn)日期2021 年6 月30 日。我國(guó)在醫(yī)療信息化的推進(jìn)過(guò)程中,醫(yī)療機(jī)構(gòu)、電子病歷、智能終端等數(shù)據(jù)健康數(shù)據(jù)采集已初步成型,醫(yī)療數(shù)據(jù)量日趨龐大。③馬化騰:《數(shù)字經(jīng)濟(jì):中國(guó)創(chuàng)新增長(zhǎng)新動(dòng)能》,中信出版社,2017 年,第153 頁(yè)。國(guó)家衛(wèi)生健康委員會(huì)官方網(wǎng)站統(tǒng)計(jì)數(shù)據(jù)顯示,截至2019 年11 月,全國(guó)醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)達(dá)101.4 萬(wàn)個(gè),其中公立醫(yī)院有11 891 個(gè)、民營(yíng)醫(yī)院有22 081 個(gè),這些醫(yī)療機(jī)構(gòu)日常工作中涉及大量的個(gè)人信息。④國(guó)家衛(wèi)生健康委員會(huì):《2019 年11 月底全國(guó)醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)》,http://www.nhc.gov.cn/mohwsbwstjxxzx/s7967/202001/d73a47fbda0e4ea4bbb8d 20387992871.shtml,訪問(wèn)日期2021 年6 月30 日。相比而言,民營(yíng)醫(yī)院在安全漏洞修復(fù)、防范黑客攻擊等方面,措施有待完善,相應(yīng)的安全隱患和風(fēng)險(xiǎn)也更多。同時(shí),對(duì)于很多企業(yè)來(lái)說(shuō),遠(yuǎn)程辦公意味著部分內(nèi)部業(yè)務(wù)系統(tǒng)需要開放互聯(lián)網(wǎng)訪問(wèn)權(quán)限,這給黑客攻擊提供了機(jī)會(huì)。
2. 就內(nèi)部而言,數(shù)據(jù)保護(hù)措施和數(shù)據(jù)主體安全意識(shí)欠缺引發(fā)大數(shù)據(jù)風(fēng)險(xiǎn)
在發(fā)生公共衛(wèi)生事件期間,如果數(shù)據(jù)使用方式不當(dāng),容易引發(fā)個(gè)人數(shù)據(jù)信息泄露。一些數(shù)據(jù)控制主體擅自將個(gè)人數(shù)據(jù)信息上傳至互聯(lián)網(wǎng)或二次轉(zhuǎn)發(fā)至微信群等公共區(qū)域,導(dǎo)致數(shù)據(jù)泄露。有些平臺(tái)網(wǎng)站數(shù)據(jù)安全保護(hù)措施不足,容易導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)。當(dāng)前,一些App 軟件存在漏洞。國(guó)內(nèi)有研究團(tuán)隊(duì)對(duì)健康醫(yī)療行業(yè)App 進(jìn)行漏洞掃描,發(fā)現(xiàn)大量的漏洞記錄,平均每款A(yù)pp 存在19 個(gè)漏洞。有些平臺(tái)由于缺少或簡(jiǎn)化安全評(píng)估流程,致使數(shù)據(jù)安全保障能力缺失,為數(shù)據(jù)泄露埋下隱患。⑤
數(shù)據(jù)主體安全意識(shí)不足也容易引發(fā)風(fēng)險(xiǎn)。在發(fā)生公共安全事件期間,數(shù)據(jù)主體需要借助互聯(lián)網(wǎng)來(lái)實(shí)現(xiàn)正常工作和學(xué)習(xí),由于安全意識(shí)不足,甚至隨意登錄相關(guān)的網(wǎng)絡(luò)平臺(tái),個(gè)人數(shù)據(jù)被不當(dāng)收集和利用。如果安全防護(hù)手段不到位,缺乏可靠的安全接入平臺(tái),接入通道和傳輸通道都存在較高風(fēng)險(xiǎn)。以此次新冠肺炎疫情為例,人們的一些工作和學(xué)習(xí)都需要通過(guò)網(wǎng)絡(luò)進(jìn)行,這些都需要進(jìn)行個(gè)人信息的登記和注冊(cè),如果通過(guò)一些不正規(guī)的網(wǎng)站進(jìn)行,那么很可能導(dǎo)致個(gè)人數(shù)據(jù)信息的泄露。
數(shù)據(jù)是信息的具體表現(xiàn)形式,信息則往往依靠各類數(shù)據(jù)的整合、加工。2021 年8 月,我國(guó)頒布的《中華人民共和國(guó)個(gè)人信息保護(hù)法》,成為個(gè)人信息保護(hù)領(lǐng)域的“基本法”。關(guān)于公共衛(wèi)生領(lǐng)域的個(gè)人信息保護(hù),《中華人民共和國(guó)傳染病防治法》第十二條規(guī)定,疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)不得泄露涉及個(gè)人隱私的有關(guān)信息、資料;第六十九條規(guī)定,醫(yī)療機(jī)構(gòu)故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個(gè)人隱私的有關(guān)信息、資料的,將視情節(jié)追究不同的行政責(zé)任或刑事責(zé)任。①《中華人民共和國(guó)傳染病防治法》,第十三條、第六十九條。不過(guò)該法僅是從醫(yī)學(xué)角度,對(duì)疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)的主體責(zé)任做了規(guī)定,事實(shí)上,公共衛(wèi)生事件涉及的數(shù)據(jù)控制主體遠(yuǎn)遠(yuǎn)超過(guò)上述范圍。2021 年6 月通過(guò)的《中華人民共和國(guó)數(shù)據(jù)安全法》規(guī)定,應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè),發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施;發(fā)生數(shù)據(jù)安全事件時(shí),應(yīng)當(dāng)立即采取處置措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。②《中華人民共和國(guó)數(shù)據(jù)安全法》,第二十九條。上述立法都為公共衛(wèi)生事件中的信息保護(hù)提供有效保障,表1 是我國(guó)目前與個(gè)人數(shù)據(jù)信息緊密相關(guān)的法律。
表1 個(gè)人信息法律保護(hù)立法
除了通過(guò)已有法律加強(qiáng)信息保護(hù)外,由于公共衛(wèi)生事件具有突發(fā)性特征,國(guó)家還需要在政策層面進(jìn)一步加強(qiáng)個(gè)人信息保護(hù)。2020 年2 月,中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室發(fā)布《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》,要求高度重視個(gè)人信息保護(hù)工作,除依據(jù)有關(guān)法律授權(quán)的機(jī)構(gòu)外,其他任何單位和個(gè)人不得以疫情防控、疾病防治為由,未經(jīng)被收集者同意收集使用個(gè)人信息;收集個(gè)人信息應(yīng)參照國(guó)家標(biāo)準(zhǔn)《信息網(wǎng)絡(luò)技術(shù)個(gè)人信息安全規(guī)范》(GB/T 35273-2020),堅(jiān)持最小范圍原則,相關(guān)個(gè)人信息不得用于其他用途,采取嚴(yán)格防護(hù)措施,防止被竊取、被泄露,針對(duì)違規(guī)違法收集、使用、公開個(gè)人信息的行為,將依法處理。③《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》,http://www.gov.cn/xinwen/2020-02/10/content_54767 11.htm,訪問(wèn)日期2021 年6 月30 日。此外,一些地方政府還專門出臺(tái)了有關(guān)規(guī)定。甘肅省要求各教育行政部門、各學(xué)校要高度重視個(gè)人信息保護(hù)工作,除依法授權(quán)的機(jī)構(gòu)外,其他任何單位和個(gè)人不得以疫情防控、疾病防治為由,未經(jīng)被收集者同意收集使用個(gè)人信息。①甘肅省教育廳:《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)做好疫情聯(lián)防聯(lián)控工作的通知》(甘教體函〔2020〕5 號(hào))。
早在2013 年,歐盟便通過(guò)了《關(guān)于嚴(yán)重的跨境健康威脅的決定》(從下簡(jiǎn)稱《決定》)?!稕Q定》第16條(個(gè)人數(shù)據(jù)保護(hù))規(guī)定,在適用本決定時(shí),應(yīng)按照95/46/EC①Decision No 1082/2013/EU of the European Parliament and of the Council of 22 October 2013 on Serious Crossborder Threats to Health and Repealing Decision No 2119/98/EC,https://ec.europa.eu/health/sites/default/files/preparedness_ response/docs/decision_serious_crossborder_threats_22102013_en.pdf.指令以及45/2001/EC 法規(guī)②Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data,https://eur-lex.europa.eu/legalcontent/EN/TXT/?uri=OJ:L:1995:281:TOC.處理個(gè)人數(shù)據(jù)。應(yīng)采取適當(dāng)?shù)募夹g(shù)和措施保護(hù)此類個(gè)人數(shù)據(jù)免遭意外或非法破壞,以及意外丟失或未經(jīng)授權(quán)的訪問(wèn)和任何形式的非法處理。③Regulation (EC)No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the Protection of Individuals with Regard to the Processing of Personal Data by the Community Institutions and Bodies and on the Free Movement of Such Data,https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2001:008:TOC.同時(shí),歐盟在成員國(guó)層面建立了針對(duì)嚴(yán)重健康威脅的早期預(yù)警和響應(yīng)系統(tǒng)(Early Warning and Response System,EWRS),為歐盟委員會(huì)和各成員國(guó)機(jī)構(gòu)之間建立了信息互通共享渠道。④寧宣鳳、吳涵、陳勝男、高銳:《政務(wù)數(shù)據(jù)資源共享與公開》,https://www.chinalawinsight.com/2020/02/articles/compliance/24626,訪問(wèn)日期2021 年6 月30 日。《決定》第6 條第2 款、第16 條第5 款規(guī)定,早期預(yù)警和響應(yīng)系統(tǒng),針對(duì)暴露于健康威脅、存在感染危險(xiǎn)或已經(jīng)感染的人可以采取接觸追蹤措施。早期預(yù)警和響應(yīng)系統(tǒng)應(yīng)該包括選擇性的消息傳遞功能,該功能僅允許將個(gè)人數(shù)據(jù)傳遞給參與接觸者跟蹤措施的國(guó)家主管部門。該選擇性消息傳遞功能應(yīng)確保安全合法地交換個(gè)人數(shù)據(jù)。《決定》同時(shí)規(guī)定,包含個(gè)人數(shù)據(jù)的信息,應(yīng)該自信息發(fā)布之日起12 個(gè)月后自動(dòng)從選擇性消息功能中刪除。⑤Decision No 1082/2013/EU of the European Parliament and of the Council of 22 October 2013 on Serious Crossborder Threats to Health and Repealing Decision No 2119/98/EC,https://ec.europa.eu/health/sites/default/files/preparedness_ response/docs/decision_serious_crossborder_threats_22102013_en.pdf.這些規(guī)定有效地保證了數(shù)據(jù)傳播的最小范圍和限時(shí)利用。
2018 年歐盟通過(guò)的《通用數(shù)據(jù)保護(hù)條例》(以下簡(jiǎn)稱《條例》),進(jìn)一步加強(qiáng)了歐盟域內(nèi)對(duì)數(shù)據(jù)信息的保護(hù)。《條例》以全球最嚴(yán)個(gè)人信息保護(hù)法著稱,但也保留了一些例外,例如“為履行數(shù)據(jù)控制者承擔(dān)法定義務(wù)所必須”“為保護(hù)數(shù)據(jù)主體重大利益或其他自然人重大利益所必須”“為執(zhí)行公共利益之目的任務(wù)或數(shù)據(jù)控制者行使法定職能所必須”。序言第46 段明確傳染病監(jiān)測(cè)除構(gòu)成公共利益之外,還構(gòu)成“重大生命利益”,依據(jù)第6 條1(d)規(guī)定,當(dāng)個(gè)人數(shù)據(jù)處理為“保護(hù)數(shù)據(jù)主體或其他自然人的重要利益所必要”時(shí),可不征得數(shù)據(jù)主體的同意。序言第52 段明確傳染病預(yù)防和控制構(gòu)成第9條2(i)中所述的公共利益。序言第54 段還進(jìn)一步指出,在公共衛(wèi)生領(lǐng)域未征得數(shù)據(jù)主體同意而進(jìn)行特殊類型數(shù)據(jù)處理可能是必要的,上述例外規(guī)定也充分體現(xiàn)了公共利益保護(hù)和個(gè)人數(shù)據(jù)保護(hù)的平衡。⑥Regulation(EU)2016/679 of the European Parliament and of the Council of 27 April 2016,on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data,and Repealing Directive 95/46/EC(General Data Protection Regulation).
這些例外規(guī)定,為疾病防控機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)等利用個(gè)人信息開展衛(wèi)生防疫工作提供了合法性基礎(chǔ)。當(dāng)然,在此前提下,《條例》要求具體的數(shù)據(jù)處理要遵循以下基本原則:合法、公正、透明,目的限制,數(shù)據(jù)最小化,準(zhǔn)確性,存儲(chǔ)期限限制,完整性、保密性和問(wèn)責(zé)制等。①General Data Protection Regulation,Article 5.對(duì)于變更初始目的的個(gè)人信息處理行為,《條例》第13 條第3 款規(guī)定,當(dāng)數(shù)據(jù)控制者進(jìn)行個(gè)人數(shù)據(jù)處理的目的與初始收集的目的不一致時(shí),應(yīng)對(duì)變更后的數(shù)據(jù)處理目的向數(shù)據(jù)主體進(jìn)行告知。
與公共衛(wèi)生事件最相關(guān)的國(guó)際條約是《國(guó)際衛(wèi)生條例(2005)》?!秶?guó)際衛(wèi)生條例》第四十五條(Treatment of Personal Data,個(gè)人數(shù)據(jù)的處理)規(guī)定:(1)按照國(guó)家法律,締約方根據(jù)本條例從另一締約方或從世界衛(wèi)生組織收集或收到的、涉及身份明確或可查明身份的個(gè)人的健康信息,應(yīng)保守秘密并匿名處理。(2)雖然有第1 款的規(guī)定,締約方為了評(píng)估和管理突發(fā)公共衛(wèi)生事件危害,可透露和處理個(gè)人數(shù)據(jù),但是締約方和世界衛(wèi)生組織必須確保個(gè)人數(shù)據(jù):1)得到公平、合法處理,并且不以與該目的不一致的方式予以進(jìn)一步處理;2)與該目的相比充分、相關(guān)且不過(guò)量;3)準(zhǔn)確且在必要時(shí)保持最新;必須采取一切合理措施確保刪除或糾正不準(zhǔn)確或不完整的數(shù)據(jù);4)保留期限不超過(guò)必需的時(shí)間。②世界衛(wèi)生組織:《國(guó)際衛(wèi)生條例(2005)》,2005 年。此外,世界衛(wèi)生組織應(yīng)當(dāng)在可行的情況下向個(gè)人提供相應(yīng)的數(shù)據(jù),無(wú)不當(dāng)延誤或收費(fèi),且在必要時(shí)允許予以糾正。
同時(shí),針對(duì)本次疫情,聯(lián)合國(guó)發(fā)布的《COVID-19 應(yīng)對(duì)中的數(shù)據(jù)保護(hù)與隱私的聯(lián)合聲明》特別指出,在新冠肺炎疫情期間,聯(lián)合國(guó)組織體系的任何數(shù)據(jù)收集、使用和處理,應(yīng)當(dāng)充分考慮適用的國(guó)際法律、數(shù)據(jù)保護(hù)和隱私原則,包括聯(lián)合國(guó)個(gè)人數(shù)據(jù)保護(hù)和隱私原則。在數(shù)據(jù)收集的范圍和時(shí)間上合法,有節(jié)制,有必要;確保對(duì)數(shù)據(jù)進(jìn)行保密與保護(hù),有時(shí)限地保留和適當(dāng)銷毀或刪除數(shù)據(jù);確保任何數(shù)據(jù)交換都符合適用的國(guó)際法、數(shù)據(jù)保護(hù)和隱私原則,并進(jìn)行適當(dāng)?shù)谋M職調(diào)查和風(fēng)險(xiǎn)評(píng)估;確保數(shù)據(jù)使用采取的措施符合上述原則和目的,并在不再需要此類措施時(shí)立即停止。③UN:“Joint Statement on Data Protection and Privacy in the COVID-19 Response”,18 November 2020,https://www.un.org/en/node/112200..
首先,推進(jìn)公共衛(wèi)生事件中個(gè)人信息保護(hù)立法。盡管我國(guó)諸多法律涉及個(gè)人信息的保護(hù),但是仍在完善之中,且國(guó)家層面尚無(wú)針對(duì)公共數(shù)據(jù)管理的立法?!吨腥A人民共和國(guó)個(gè)人信息保護(hù)法》第十三條規(guī)定“符合下列情形之一的,個(gè)人信息處理者方可處理個(gè)人信息:(四)為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”①《中華人民共和國(guó)個(gè)人信息保護(hù)法》,第十三條。,這為今后公共衛(wèi)生事件中的個(gè)人數(shù)據(jù)收集提供了法律依據(jù)。
國(guó)家互聯(lián)網(wǎng)信息辦公室于2019 年發(fā)布了《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》,全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議于2021 年通過(guò)了《中華人民共和國(guó)數(shù)據(jù)安全法》。國(guó)家互聯(lián)網(wǎng)信息辦公室于2019 年發(fā)布的《數(shù)據(jù)安全管理辦法(征求意見稿)》規(guī)定,對(duì)于個(gè)人敏感信息,要求網(wǎng)絡(luò)運(yùn)營(yíng)者以經(jīng)營(yíng)為目的收集重要數(shù)據(jù)或個(gè)人敏感信息的,應(yīng)向當(dāng)?shù)鼐W(wǎng)信部門備案。②國(guó)家互聯(lián)網(wǎng)信息辦公室:《數(shù)據(jù)安全管理辦法(征求意見稿)》,第七條、第十五條,http://www.gov.cn/xinwen/2019-05/28/content_5395524.htm,訪問(wèn)日期2021 年6 月30 日。上述立法的完善,將有助于數(shù)字時(shí)代的個(gè)人信息保護(hù)。
其次,加強(qiáng)公共衛(wèi)生事件中個(gè)人數(shù)據(jù)信息的程序管理和執(zhí)法監(jiān)督。在實(shí)踐中,有關(guān)部門需加強(qiáng)個(gè)人數(shù)據(jù)收集的程序管理,確保數(shù)據(jù)收集實(shí)踐合法。在發(fā)生公共衛(wèi)生事件期間,在保障公眾知情權(quán)的同時(shí),有關(guān)部門要做好個(gè)人信息保護(hù)工作。建立個(gè)人信息保護(hù)評(píng)估制度,制定完整的個(gè)人信息采集、上報(bào)、處理、保管方案,并組織專家對(duì)方案進(jìn)行安全評(píng)估,確保疫情防控各環(huán)節(jié)個(gè)人信息的安全。明確具有收集使用相關(guān)個(gè)人信息權(quán)力的指揮機(jī)構(gòu)、執(zhí)行機(jī)構(gòu),建立統(tǒng)一集中管理機(jī)制,采用嚴(yán)密的訪問(wèn)控制、審計(jì)、加密等安全措施,防止數(shù)據(jù)泄露、丟失、未授權(quán)的使用。③中國(guó)信息通信研究院安全研究、中國(guó)衛(wèi)生信息與健康醫(yī)療大數(shù)據(jù)學(xué)會(huì)衛(wèi)生信息安全與新技術(shù)應(yīng)用專業(yè)委員會(huì)、數(shù)據(jù)保護(hù)官(DPO)社群:《2020 數(shù)字醫(yī)療:疫情防控期間網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究報(bào)告》,http://www.100ec.cn/detail--6549056.html,訪問(wèn)日期2021 年6 月30 日。在實(shí)踐中,需要強(qiáng)調(diào)基于公共衛(wèi)生需要收集的個(gè)人信息,不得用于其他用途特別是商業(yè)用途。同時(shí),加強(qiáng)數(shù)據(jù)信息安全保護(hù)執(zhí)法,通過(guò)一些專項(xiàng)行動(dòng),對(duì)侵犯?jìng)€(gè)人數(shù)據(jù)信息的犯罪行為加大刑事手段打擊力度,確保公共衛(wèi)生事件防控中的信息安全。目前,我國(guó)尚未建立起較為明確的、專門的個(gè)人數(shù)據(jù)機(jī)構(gòu),金融、電信和醫(yī)療等部門都只是在傳統(tǒng)職責(zé)中延伸管理個(gè)人數(shù)據(jù)保護(hù),而日本、韓國(guó)、新加坡等國(guó)家都設(shè)立了獨(dú)立的信息監(jiān)管機(jī)構(gòu)。④京東法律研究院:《歐盟數(shù)據(jù)憲章——〈一般數(shù)據(jù)保護(hù)條例〉(GDPR)評(píng)述及實(shí)務(wù)指引》,法律出版社,2018 年,第158頁(yè)。
首先,加強(qiáng)企業(yè)內(nèi)部數(shù)據(jù)合規(guī)制度建設(shè)。加強(qiáng)應(yīng)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的組織人員制度、數(shù)據(jù)保護(hù)制度、風(fēng)險(xiǎn)評(píng)估制度、合作監(jiān)督制度以及意識(shí)教育制度等。⑤惠志斌:《數(shù)據(jù)經(jīng)濟(jì)時(shí)代企業(yè)跨境數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)管理》,社會(huì)科學(xué)文獻(xiàn)出版社,2018 年,第176-177 頁(yè)。2015 年,國(guó)務(wù)院辦公廳發(fā)布了《關(guān)于運(yùn)用大數(shù)據(jù)加強(qiáng)對(duì)市場(chǎng)主體服務(wù)和監(jiān)管的若干意見》(國(guó)辦發(fā)〔2015〕51 號(hào)),但是還需要從制度層面不斷完善?;ヂ?lián)網(wǎng)公司等機(jī)構(gòu)參與疫情防控的渠道與模式應(yīng)通過(guò)制度建設(shè)加以規(guī)范,要設(shè)計(jì)相應(yīng)的個(gè)人信息安全影響評(píng)估方案,對(duì)其商業(yè)行為獲取的數(shù)據(jù)和參與疫情防控獲取的數(shù)據(jù)實(shí)施雙軌隔離管理制度,禁止將參與疫情防控獲取的數(shù)據(jù)進(jìn)行商業(yè)化利用,并將其設(shè)為紅線。這既是對(duì)個(gè)人信息的保護(hù),也是對(duì)互聯(lián)網(wǎng)公司等商業(yè)機(jī)構(gòu)的保護(hù)。①李亞娟:《數(shù)字化疫情防控如何保護(hù)個(gè)人信息》,《學(xué)習(xí)時(shí)報(bào)》,2020 年3 月6 日。行業(yè)主體在設(shè)計(jì)數(shù)據(jù)合規(guī)方案時(shí),應(yīng)充分聽取專業(yè)人士建議,確保采集信息遵循合法、正當(dāng)和必要的原則,充分認(rèn)識(shí)涉及數(shù)據(jù)安全的相關(guān)民事責(zé)任、行政責(zé)任和刑事責(zé)任,重視數(shù)據(jù)合規(guī)。
其次,加強(qiáng)安全培訓(xùn),增強(qiáng)安全意識(shí)。在公共衛(wèi)生事件防控期間,特定領(lǐng)域的網(wǎng)絡(luò)安全保護(hù)等級(jí)需要升級(jí)。個(gè)人數(shù)據(jù)信息的安全隱患,都直接或間接與人員網(wǎng)絡(luò)安全意識(shí)不足有關(guān)。建立健全醫(yī)療機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)安全管理規(guī)章制度,規(guī)范內(nèi)部安全操作流程,切實(shí)增強(qiáng)相關(guān)人員的網(wǎng)絡(luò)安全意識(shí),落實(shí)網(wǎng)絡(luò)安全責(zé)任,勢(shì)在必行。②中國(guó)信息通信研究院安全研究、中國(guó)衛(wèi)生信息與健康醫(yī)療大數(shù)據(jù)學(xué)會(huì)衛(wèi)生信息安全與新技術(shù)應(yīng)用專業(yè)委員會(huì)、數(shù)據(jù)保護(hù)官(DPO)社群:《2020 數(shù)字醫(yī)療:疫情防控期間網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究報(bào)告》,http://www.100ec.cn/detail--6549056.html,訪問(wèn)日期2021 年6 月30 日。尤其是健康醫(yī)療行業(yè),應(yīng)提升自身網(wǎng)絡(luò)數(shù)據(jù)安全綜合防護(hù)能力,加大在網(wǎng)絡(luò)數(shù)據(jù)安全領(lǐng)域的投入,建立系統(tǒng)化安全保障體系。③中國(guó)信息通信研究院安全研究、中國(guó)衛(wèi)生信息與健康醫(yī)療大數(shù)據(jù)學(xué)會(huì)衛(wèi)生信息安全與新技術(shù)應(yīng)用專業(yè)委員會(huì)、數(shù)據(jù)保護(hù)官(DPO)社群:《2020 數(shù)字醫(yī)療:疫情防控期間網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究報(bào)告》,http://www.100ec.cn/detail--6549056.html,訪問(wèn)日期2021 年6 月30 日。一些數(shù)字行業(yè)企業(yè)應(yīng)有專門的數(shù)據(jù)合規(guī)部門或團(tuán)隊(duì),構(gòu)建全生命周期的數(shù)據(jù)保護(hù)合規(guī)方案。
最后,完善行業(yè)標(biāo)準(zhǔn),加強(qiáng)行業(yè)自律。當(dāng)前,我國(guó)尤其需要加強(qiáng)醫(yī)療、教育和金融等行業(yè)領(lǐng)域的數(shù)據(jù)保護(hù),因?yàn)樯鲜鲱I(lǐng)域尤其是一些App 軟件的使用,涉及個(gè)人敏感信息。2020 年年初,中國(guó)移動(dòng)發(fā)布了《重大突發(fā)公共衛(wèi)生事件網(wǎng)信安全法律風(fēng)險(xiǎn)合規(guī)指引》,針對(duì)運(yùn)營(yíng)商在重大突發(fā)公共衛(wèi)生事件中如何合規(guī)發(fā)布公益信息、如何在利用數(shù)據(jù)支撐聯(lián)防聯(lián)控的同時(shí)保護(hù)個(gè)人隱私等重點(diǎn)問(wèn)題,系統(tǒng)梳理了現(xiàn)有法律法規(guī)要求,并提出潛在法律風(fēng)險(xiǎn)和相應(yīng)的可操作性合規(guī)建議,這對(duì)特殊時(shí)期的數(shù)據(jù)信息保護(hù)起到了示范作用。在行業(yè)標(biāo)準(zhǔn)方面,2019 年8 月30 日,國(guó)家市場(chǎng)監(jiān)督管理總局、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布《信息技術(shù)數(shù)據(jù)交易服務(wù)平臺(tái)通用功能要求》(GB/T 37728-2019)、《信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求》(GB/T 37932-2019)兩項(xiàng)國(guó)家標(biāo)準(zhǔn),并于2020 年3 月1 日起正式實(shí)施。中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T 35273-2020)于2020 年10月1 日起生效實(shí)施。這些國(guó)家標(biāo)準(zhǔn)的制定和完善,有助于個(gè)人數(shù)據(jù)信息的保護(hù)。
首先,借鑒歐盟《通用數(shù)據(jù)保護(hù)條例》的設(shè)計(jì),在一些特殊公共領(lǐng)域設(shè)置數(shù)據(jù)保護(hù)官。當(dāng)前,全球數(shù)據(jù)治理日趨走向規(guī)范,中國(guó)在完善自身數(shù)據(jù)治理體系的進(jìn)程中,可以借鑒一些國(guó)際經(jīng)驗(yàn)。在公共醫(yī)療、教育等服務(wù)領(lǐng)域內(nèi)設(shè)置數(shù)據(jù)保護(hù)官,加強(qiáng)有關(guān)機(jī)構(gòu)的內(nèi)部數(shù)據(jù)合規(guī)培訓(xùn)。數(shù)據(jù)保護(hù)官這一制度在歐洲的大學(xué)中普遍存在,但是目前國(guó)內(nèi)的大學(xué)很少有這一機(jī)制設(shè)計(jì)。④在國(guó)際交流的實(shí)踐中,筆者就多次碰到類似的困境。在與歐洲的一些大學(xué)簽署合作協(xié)議時(shí),對(duì)方提供的協(xié)議范本都有關(guān)于個(gè)人數(shù)據(jù)保護(hù)的專門規(guī)定,同時(shí)要求中方院校提供數(shù)據(jù)保護(hù)官人員名單。在商業(yè)領(lǐng)域,《通用數(shù)據(jù)保護(hù)條例》第37 條是關(guān)于數(shù)據(jù)保護(hù)官的規(guī)定,實(shí)踐中已經(jīng)成為歐美大型企業(yè)和互聯(lián)網(wǎng)公司的標(biāo)配,它們普遍設(shè)有由外聘人員或內(nèi)部員工擔(dān)任的數(shù)據(jù)保護(hù)官或隱私官(Chief Privacy Officer,CPO)?!锻ㄓ脭?shù)據(jù)保護(hù)條例》要求數(shù)據(jù)保護(hù)官以獨(dú)立的方式履行職責(zé),確保企業(yè)的一些行為符合有關(guān)法律規(guī)定,監(jiān)督企業(yè)內(nèi)部的數(shù)據(jù)處理活動(dòng),強(qiáng)化員工的數(shù)據(jù)保護(hù)意識(shí),并負(fù)責(zé)對(duì)接數(shù)據(jù)保護(hù)監(jiān)督執(zhí)法機(jī)構(gòu)等。①王融:《大數(shù)據(jù)時(shí)代數(shù)據(jù)保護(hù)與流動(dòng)規(guī)則》,人民郵電出版社,2017 年,第192-193 頁(yè)。
其次,借鑒韓國(guó)等國(guó)家的數(shù)據(jù)保護(hù)實(shí)踐,建立數(shù)據(jù)泄露通知制度。韓國(guó)法律要求在發(fā)生大規(guī)模(涉及超過(guò)1 萬(wàn)個(gè)數(shù)據(jù)主體)、嚴(yán)重的數(shù)據(jù)泄露事故時(shí),企業(yè)應(yīng)當(dāng)向用戶以及韓國(guó)行政安全部、韓國(guó)互聯(lián)網(wǎng)安全院等主管部門報(bào)告。②同上書,第70-71 頁(yè)。
最后,加強(qiáng)國(guó)際合作。在后續(xù)的個(gè)人數(shù)據(jù)保護(hù)過(guò)程中,我國(guó)需要加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)的國(guó)際合作,因?yàn)楣残l(wèi)生事件尤其是一些傳染性的疾病沒有國(guó)界,需要各國(guó)共同應(yīng)對(duì)。正如《國(guó)際衛(wèi)生條例(2005)》所規(guī)定,在公共衛(wèi)生事件中應(yīng)該考慮到個(gè)人信息保護(hù)以及跨境數(shù)據(jù)流動(dòng)的安全性問(wèn)題。與此同時(shí),各國(guó)還應(yīng)該加強(qiáng)在應(yīng)對(duì)網(wǎng)絡(luò)黑客或網(wǎng)絡(luò)恐怖主義等領(lǐng)域的反恐合作,保護(hù)國(guó)家數(shù)據(jù)安全。
有關(guān)機(jī)構(gòu)需要制定公共衛(wèi)生事件發(fā)生后的個(gè)人信息安全保障方案,對(duì)個(gè)人數(shù)據(jù)及時(shí)刪除或進(jìn)行匿名化處理。已經(jīng)開始實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T 35273-2020)要求“個(gè)人信息存儲(chǔ)時(shí)間最小化”,具體而言,“個(gè)人信息存儲(chǔ)期限應(yīng)為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用的目的所必需的最短時(shí)間,法律法規(guī)另有規(guī)定或者個(gè)人信息主體另行授權(quán)同意的除外;超出上述個(gè)人信息存儲(chǔ)期限后,應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理”。③中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì):《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2020),第6 條。由于公共衛(wèi)生事件涉及面廣,為此,事件結(jié)束后仍需警惕數(shù)據(jù)竊取事件。在疫情之后,如相關(guān)數(shù)據(jù)確無(wú)必要繼續(xù)保存,對(duì)疫情科學(xué)研究沒有價(jià)值,出于對(duì)公民個(gè)人信息的安全負(fù)責(zé)的態(tài)度,相關(guān)部門應(yīng)將這些數(shù)據(jù)銷毀。
做好留存數(shù)據(jù)的保密措施。公共安全事件中的一些數(shù)據(jù)信息,尤其是公共衛(wèi)生信息往往具有一定的科學(xué)研究?jī)r(jià)值,需要繼續(xù)留存。例如,《通用數(shù)據(jù)保護(hù)條例》序言第65 段規(guī)定,“當(dāng)為了在公共健康領(lǐng)域執(zhí)行有公共利益的任務(wù)或者行使控制者被授予的官方權(quán)利時(shí),進(jìn)一步保留個(gè)人數(shù)據(jù)是合法的”。這體現(xiàn)出在公共衛(wèi)生事件中,個(gè)人數(shù)據(jù)的利用與公共衛(wèi)生、重大公共利益的價(jià)值平衡。因此,如果相關(guān)數(shù)據(jù)需要保存,那么應(yīng)采用加密存儲(chǔ)等技術(shù)進(jìn)行封存,以免產(chǎn)生數(shù)據(jù)泄露,并警惕黑客可能發(fā)動(dòng)的盜取攻擊。
全球正進(jìn)入“數(shù)據(jù)驅(qū)動(dòng)”的時(shí)代,數(shù)據(jù)流動(dòng)創(chuàng)造價(jià)值但也蘊(yùn)藏風(fēng)險(xiǎn)。大數(shù)據(jù)分析在公共衛(wèi)生中得到普遍應(yīng)用并發(fā)揮重要作用,但與此同時(shí),需要防止公共衛(wèi)生事件之后發(fā)生網(wǎng)絡(luò)安全事件,保護(hù)好個(gè)人數(shù)據(jù)信息。黨的十九屆四中全會(huì)提出推進(jìn)國(guó)家治理能力和治理體系現(xiàn)代化,要求“建立健全運(yùn)用互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)手段進(jìn)行行政管理的制度規(guī)則。推進(jìn)數(shù)字政府建設(shè),加強(qiáng)數(shù)據(jù)有序共享,依法保護(hù)個(gè)人信息”。①《中共中央關(guān)于堅(jiān)持和完善中國(guó)特色社會(huì)主義制度推進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化若干重大問(wèn)題的決定》,新華社北京2019 年11 月5 日電。因此,我們要推進(jìn)網(wǎng)絡(luò)安全治理體系和治理能力現(xiàn)代化,完善公共領(lǐng)域網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化體系建設(shè)。當(dāng)前,在大數(shù)據(jù)治理體系建設(shè)中,我國(guó)仍需加強(qiáng)數(shù)據(jù)信息保護(hù)頂層立法設(shè)計(jì),加強(qiáng)程序管理和執(zhí)法監(jiān)督,積極推進(jìn)行業(yè)數(shù)據(jù)合規(guī)制度、標(biāo)準(zhǔn)建設(shè)與行業(yè)自律,借鑒國(guó)外數(shù)據(jù)法律規(guī)制的先進(jìn)實(shí)踐,加強(qiáng)公共安全事件后的數(shù)據(jù)安全管理,尤其是需要防止在公共衛(wèi)生事件中獲取的個(gè)人信息事后被商業(yè)化利用,為后續(xù)的信息收集提供保障。
公共衛(wèi)生事件防控中的數(shù)據(jù)利用與實(shí)踐經(jīng)驗(yàn),為完善個(gè)人數(shù)據(jù)信息保護(hù)提供了新的觀察視角,對(duì)后續(xù)數(shù)據(jù)管理制度的完善具有特殊意義。大數(shù)據(jù)產(chǎn)業(yè)在公共衛(wèi)生事件中的價(jià)值得到進(jìn)一步體現(xiàn),因此當(dāng)前在加快數(shù)字經(jīng)濟(jì)發(fā)展的同時(shí),我們需要不斷提升數(shù)字經(jīng)濟(jì)治理能力,將數(shù)字經(jīng)濟(jì)發(fā)展能力和水平納入國(guó)家治理能力和治理體系現(xiàn)代化的范疇。同時(shí),全球性公共衛(wèi)生事件沒有國(guó)界,需要秉持人類命運(yùn)共同體理念,加強(qiáng)跨境數(shù)據(jù)保護(hù)的國(guó)際合作。在大數(shù)據(jù)時(shí)代,各國(guó)如何做好公共衛(wèi)生事件防控既是對(duì)國(guó)家治理的挑戰(zhàn),也是提升治理能力的重要契機(jī)。總之,公共衛(wèi)生事件防控中的大數(shù)據(jù)應(yīng)用與個(gè)人信息保護(hù),是數(shù)字經(jīng)濟(jì)發(fā)展與社會(huì)公共安全領(lǐng)域中值得繼續(xù)關(guān)注的一項(xiàng)重要課題。
華東理工大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)2021年6期