洪凌嘯

一、引言

近日，“河南儲戶被賦紅碼”事件引發(fā)社會廣泛關注，相關責任人員將合法收集的公民“健康碼”信息非法“賦紅碼”，間接限制民眾自由。這種隨意濫用公民為配合國家防疫讓渡出去的個人信息，是對公民個人信息的侵害，此行為引發(fā)社會大眾的普遍擔憂，存在治理工具濫用之嫌，且破壞了公民對政府的信任。在當前防疫情勢常態(tài)化的背景下，如何調(diào)整公權力與私權利之間的邊界與張力，保障公民個人信息的合法權益，已成為關鍵問題。

習近平總書記指出：“全面提高依法防控、依法治理能力，為疫情防控工作提供有力法治保障。”“當前，疫情防控正處于關鍵時期，依法科學有序防控至關重要。疫情防控越是到最吃勁的時候，越要堅持依法防控，在法治軌道上統(tǒng)籌推進各項防控工作，保障疫情防控工作順利開展?！?1)《強調(diào)全面提高依法防控依法治理能力 為疫情防控提供有力法治保障》，載《人民日報》2020年2月6日，第1版。2022年6月22日，習近平強調(diào)：“要維護國家數(shù)據(jù)安全，保護個人信息和商業(yè)秘密，加快構建數(shù)據(jù)基礎制度體系?！?2)《加快構建數(shù)據(jù)基礎制度 加強和改進行政區(qū)劃工作》，載《人民日報》2022年6月23日，第1版。國家衛(wèi)健委也要求：“強化與工信、公安、交通運輸?shù)炔块T的信息聯(lián)動，形成公路、鐵路、民航、通訊、醫(yī)療等疫情相關方多源數(shù)據(jù)監(jiān)測、交換、匯聚、反饋機制，利用大數(shù)據(jù)技術對疫情發(fā)展進行實時跟蹤、重點篩查、有效預測，為科學防治、精準施策提供數(shù)據(jù)支撐?！?3)《國家衛(wèi)生健康委辦公廳關于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》(國衛(wèi)辦規(guī)劃函〔2020〕100號)。

疫情防控過程中運用數(shù)字技術，收集與分析海量數(shù)據(jù)，通過不同種類個人信息的交叉融合，可以提高疫情防控的效率，在一定程度上降低社會的過度動員，進而減輕社會的經(jīng)濟負擔。但需認識到，公民的私權利也應受到合理保護。公民的私權確會因防控疫情的需要而限縮，但限縮應有法治的底線。特別是在疫情防控常態(tài)化的背景下，大量個人信息經(jīng)由健康碼、行程碼、登記碼等App、小程序得以收集。在疫情防控過程中，信息技術和大數(shù)據(jù)分析運用相較于傳統(tǒng)的走訪、摸排、登記，更為及時、準確、有效，但與此同時其所帶來的問題是，各地區(qū)的流調(diào)信息及感染人員的姓名、電話號碼、居住地等個人信息被頻繁披露，如何確保疫情防控過程中數(shù)字技術運用的合法性與個人信息的數(shù)據(jù)安全是疫情防控所面臨的迫在眉睫的問題。

二、抗疫過程中個人信息收集處理的不同模式

抗疫過程中，個人信息的收集處理可分為健康認證的傳統(tǒng)數(shù)據(jù)模式與運用“接觸追蹤”(contact tracking)技術的大數(shù)據(jù)模式。

其一，健康認證的傳統(tǒng)數(shù)據(jù)模式。該模式又可分為兩類:第一種是自上而下的統(tǒng)計。政府將所需信息條目傳達至基層部門，安排街道辦事處、居委會的基層工作人員與社工、志愿者上門觀察，登記在冊，逐戶進行信息收集與上報，這是全覆蓋式大排查。例如四川的街道辦“主動上門、電話聯(lián)系、預約上門，動員群眾參與防控及自我排查……新型冠狀病毒感染的肺炎疫情蔓延以來，各街道以多種形式開展疫情防治防控工作，對社區(qū)實行網(wǎng)格化、地毯式管理”。(4)《成都高新區(qū)打響疫情防控阻擊戰(zhàn) 收集居民信息“不見面”》，四川新聞網(wǎng)：http://scnews.newssc.org/system/20200201/001028706.html，最后訪問時間：2022年6月14日。第二種是自下而上的登記。社區(qū)成員自行填報并更新個人信息。這種方式依托社會網(wǎng)絡，自發(fā)利用“問卷星”等工具，在特定的場域內(nèi)針對特定人群收集信息。

其二，運用“接觸追蹤”技術的大數(shù)據(jù)模式。隨著數(shù)字化的進一步鋪開，目前健康碼、出入證等電子相關證明已成為生活的一部分，各地政府通過健康碼、核酸碼、場所碼準確記錄、收集個人的姓名、身份證號、行動軌跡、到訪場合等個人信息。健康碼以集中化、全面化的方式收集個人信息，甚至還囊括了個人的疫苗接種情況、過往病史、生活習慣等個人隱私，健康碼狀態(tài)會影響個人的出行、就診。健康碼主要使用的是“接觸追蹤”技術，“接觸追蹤”可通過識別、尋找高風險目標群體，實現(xiàn)對密切接觸群體的隔離與治療，這是一種精細化程度更高的追蹤方式，可精準追蹤、指向特定個人?！敖佑|追蹤”的概念來源于歐盟法，在“歐洲議會和歐盟理事會關于嚴重的跨境健康威脅的決定”中，“接觸追蹤”是指“為追蹤暴露于嚴重的跨境健康威脅源，且有感染疾病危險或已感染疾病的人而采取的措施”。(5)“Big Data, Privacyand COVID -19—Learning from Humanitarian Expertise in Data Protection”，https://doi.org/10.1186/s41018-020-00072-6，最后訪問時間： 2022年6月14日。

當下，“接觸追蹤”不僅可以通過對手機信令數(shù)據(jù)進行收集與分析，定位來自疫情重點地區(qū)的人群位置，還可以以確診者及密切接觸群體、次密切接觸群體的電子支付、交易、消費記錄信息為基礎，根據(jù)相關餐飲、住宿、移動大數(shù)據(jù)，特別是共同乘坐的飛機、高鐵、出租車、公交地鐵等密閉接觸空間的交通工具及商場、景區(qū)、游樂場等人群密集場所的位置數(shù)據(jù)信息，分析時空伴隨者的行蹤軌跡，盡早發(fā)現(xiàn)、確定密接、次密接人員，篩查疑似患者，有效實施隔離，切斷傳染源。

“接觸追蹤”技術所使用的數(shù)據(jù)信息種類各異，以數(shù)據(jù)的掌握主體為標準，大體可分為兩類。一類是傳統(tǒng)線下管理者、經(jīng)營者掌握的數(shù)據(jù)。目前，在公安機關的要求下，以飛機、高鐵等方式出行的乘客需實名購票。因此，一旦確診者在飛機、高鐵上的乘坐位置被確定，其四周及同一機艙、車廂的密接、次密切接觸群體也隨之定位。根據(jù)火車站進出閘機及機場、高鐵站的監(jiān)控視頻確定感染者在機場及高鐵站進出站時周邊的人員情況。如感染者系自駕出行，則可根據(jù)高速公路收費站、加油站、服務區(qū)因ETC繳費等電子支付方式所收集到的同一行程、同一時間通過的車輛的車牌信息、行蹤軌跡及上下高速路口時間信息，進而確定車上的關聯(lián)人員信息。此外，酒店住宿亦需要登記住店人員的個人身份信息。

另一類是新興線上電信與網(wǎng)絡公司所掌握的數(shù)據(jù)。在數(shù)字經(jīng)濟背景下，互聯(lián)網(wǎng)公司尤其是平臺，通過資源流動和低成本獲取，動態(tài)地積累更多用戶數(shù)據(jù)。(6)參見胡凌：《互聯(lián)網(wǎng)“非法興起”2.0——以數(shù)據(jù)財產(chǎn)權為例》，載《地方立法研究》2021年第3期，第21-36頁。疫情防控過程中，將企業(yè)的商用數(shù)據(jù)用于“接觸追蹤”，實質(zhì)上是改變數(shù)據(jù)初始使用目的的個人信息處理行為。具體而言，企業(yè)商用數(shù)據(jù)的“接觸追蹤”可分為三種。第一種是手機通信運營商通過手機信令數(shù)據(jù)、通話明細記錄及手機App獲取設備識別碼的功能，以手機的電話呼入呼出及其他如短信、聯(lián)網(wǎng)等通信交易的發(fā)起、持續(xù)時間、完成狀態(tài)，IDFA/SN/MAC/IMEI/IMSI等硬件設備碼、軟件識別碼等數(shù)據(jù)確定手機使用人員的精確位置。鑒于中國網(wǎng)民規(guī)模已達8.54億，其中，智能手機的上網(wǎng)率達99.1%，(7)參見CNNIC互聯(lián)網(wǎng)研究：《第43次CNNIC中國互聯(lián)網(wǎng)報告發(fā)布》，載《中國廣播》2019年第4期，第1頁。可以說，只要掌握了具有即時性、生成活動記錄的個人手機通信數(shù)據(jù)，也就掌握了相應的行蹤軌跡并實現(xiàn)迅速聯(lián)系、定位。

第二種是滿足日常衣食住行等生活需求的手機App類的大數(shù)據(jù)信息。當前外賣已成為都市人不可或缺的服務，而配送上門的前提條件是客戶要提供準確的收貨地址?！懊缊F”“餓了么”等外賣巨頭會沉淀客戶的配送地址、聯(lián)系方式等個人信息。在出行方面，“滴滴出行”“曹操出行”“騰訊地圖”“高德地圖”等通行類軟件會留存用戶的手機號、地理GPS信息、行車的起止時間、地點等個人信息。尤其是“滴滴出行”，開啟導航的同時即意味著未來可對每一次行程的導航路線進行回溯。某些流調(diào)中用戶的出發(fā)地、目的地及用車路線、時間一覽無遺。

第三種是支付類軟件的數(shù)據(jù)信息?！爸Ц秾氈Ц丁薄拔⑿胖Ц丁钡戎Ц额愜浖讶谌肴藗兊娜粘Ｉ?，悄無聲息地構建出一個無現(xiàn)金的社會。在享受掃碼支付便利的同時，也承受著個人信息泄露的風險。“接觸追蹤”技術可結合交易支付信息中所包含的支付時間、專用收款終端信息及確診者的運動軌跡信息，分析、追蹤、確定確診者彼時彼處的接觸人群，順藤摸瓜發(fā)現(xiàn)密切接觸群體、次密切接觸群體及其他時空伴隨者。

三、疫情防控中個人信息收集處理面臨的問題

在遏制疫情的過程中，新型數(shù)字技術發(fā)揮了較大的作用，但同時也帶來了一系列問題。依法防控疫情，同時需要保護人們的隱私。令人擔憂的是，在疫情防控過程中出現(xiàn)了罔顧公民個人隱私，直接披露、共享確診者個人信息的行為。一些流調(diào)將具體的時間、地址、停留時長一一列舉，好事者津津樂道，引發(fā)街頭巷尾的熱議。這些嚴重、惡意非法披露、泄漏確診者個人信息的行為，不僅使確診者在心理上承受了巨大的壓力，甚至還有可能使之受到人身傷害。當前在疫情防控背景下，確診者、疑似患者及密切接觸者往往被視為高危人群，其個人信息一旦被泄露、傳播，可能會引發(fā)一些騷擾、恐嚇行為，可能會使信息被公開人員及其家人的身心健康受到損害或者引發(fā)歧視性待遇。這種對個人信息保護不力情況的出現(xiàn)，極有可能降低公眾對信息采集方的信任度，進而導致配合度下降，影響真實信息的采集、上報與分析，從而對疫情處置產(chǎn)生負面影響。例如，為防控疫情，全國某些地區(qū)的小區(qū)統(tǒng)計確診者的個人信息，而與此同時，確診者的身份證號、手機號、家庭樓棟地址等個人信息在小區(qū)群、志愿者群中被肆意傳播，導致確診者的個人信息被泄露。有受害者因此遭遇短信、電話騷擾，或因此被鄰居要求公開全家信息。(8)參見《從武漢返鄉(xiāng)學生：感覺自己像瘟神，大家拿著名單躲我們》，澎湃網(wǎng)：https://www.thepaper.cn/ne wsDetail forward_5648247，最后訪問時間：2022年6月14日；《寧波公布新增新冠肺炎病例前，患者及其15位親屬個人信息泄露》，搜狐網(wǎng)：https://www.sohu.co m/a/374841894 161795，最后訪問時間：2022年6月16日；《泄露新冠肺炎確診人員隱私 山西一人被拘留7日》，搜狐網(wǎng)：https://www.sohu.com/a/375054065_114731，最后訪問時間：2022年6月14日；《政府官網(wǎng)泄露個人信息，說好的隱私保護呢？》，人民網(wǎng)：http:/js.people.com.cn/n2/2020/0923/c360299-34311860.html，最后訪問時間：2022年6月14日。

(一)數(shù)據(jù)收集處理者的合法性問題

疫情防控需要收集、處理海量的個人信息，特別是“接觸追蹤”技術還涉及對特定人群的追蹤，涉及面廣且影響力大，一旦泄露、私自傳播確診者、疑似患者及密切接觸者等的個人信息，極有可能造成難以挽回的影響。因此，不是任何單位、組織或個人都有權、有能力對個人信息進行收集、存儲、共享與分析、處理。具備明確的法律授權是夯實合法性基礎的關鍵。未經(jīng)法律明確授權的組織和機構，以及未依法參與政府組織開展的疫情防控工作的人員，不得擅自收集他人尤其是確診者及疑似患者的個人信息。

明確數(shù)據(jù)控制者的職權職責，有助于追究未來數(shù)據(jù)失控的責任。歐盟委員會和歐盟成員國有權機構為數(shù)據(jù)的共同控制者，歐盟委員會承擔了突發(fā)公共衛(wèi)生事件中公民個人信息的數(shù)據(jù)存儲責任，歐盟委員會將承擔數(shù)據(jù)安全性與最小存儲期限的責任；而歐盟成員國有權機構將在公民個人信息的告知和數(shù)據(jù)更正方面承擔責任，即歐盟成員國有權機構對共享的個人信息后續(xù)如可能出現(xiàn)的違法違規(guī)流轉(zhuǎn)情況承擔法律責任。

在健康認證的傳統(tǒng)數(shù)據(jù)模式中，數(shù)據(jù)的收集處理者一般為人民政府、衛(wèi)生行政部門、疾病預防控制機構、醫(yī)療機構以及街道辦事處、居委會的基層工作人員。在“接觸追蹤”的大數(shù)據(jù)模式下，數(shù)據(jù)的共享與處理者為掌握實名信息的公安部門及掌握一定運動軌跡信息的電信運營商及互聯(lián)網(wǎng)公司。在健康認證的傳統(tǒng)數(shù)據(jù)模式下，數(shù)據(jù)收集、處理者一般是街道辦事處、居委會等基層一線工作人員，而在“接觸追蹤”的大數(shù)據(jù)模式下，數(shù)據(jù)的共享與處理者為互聯(lián)網(wǎng)公司，但指揮者仍為公權力機構。

1．基層一線工作人員的個人信息收集行為

街道辦事處作為區(qū)政府的派出機關，是能夠獨立承擔權利義務的行政主體。居委會與村委會作為基層自治組織，在疫情防控中如要收集個人信息，應獲得街道辦事處或鄉(xiāng)鎮(zhèn)政府的委托，并以街道辦事處或鄉(xiāng)鎮(zhèn)政府的名義來收集。在此過程中，居委會與村委會不能再委托其他機構收集個人信息，而未來潛在的個人隱私泄露及其他網(wǎng)絡安全突發(fā)事件的法律后果需由街道辦事處與鄉(xiāng)鎮(zhèn)政府承擔。盡管《傳染病防治法》等法律法規(guī)可視作街道辦事處、居委會等收集涉疫人員個人信息的依據(jù)，但行政規(guī)定、應急文件尚未細化，無法保障廣泛深入?yún)⑴c個人信息收集、管理、使用的居委會、村委會執(zhí)行行為的規(guī)范化，對信息泄露的后果也未有切實具體的違法懲戒措施。

2．私營企業(yè)的個人信息共享行為

私營企業(yè)如互聯(lián)網(wǎng)公司是否可改變個人信息使用目的以用于防控疫情，也面臨是否合法的詰問。在疫情狀況下，為實現(xiàn)疫情監(jiān)測、防控、隔離等目的，互聯(lián)網(wǎng)公司、電信運營商基于已掌握的個人信息，可不征得數(shù)據(jù)主體的同意而為相關部門進行傳染病防控提供數(shù)據(jù)支撐。當然，這也需要互聯(lián)網(wǎng)公司、電信運營商盡到通知等應盡之義務。

出于疫情防控的目的，美國法律支持政府衛(wèi)生部門享有對私營部門調(diào)取或要求共享數(shù)據(jù)的權力。(9)D.Mietchen，“International Journal of Infectious Diseases”，53 Public Health Emergencies 35(2016)，pp.35-36.美國聯(lián)邦最高法院的判例支持州衛(wèi)生部門不但能夠直接進入私人場所或?qū)€人開展強制檢查、調(diào)查等，還能從私營部門調(diào)取與公共衛(wèi)生相關的數(shù)據(jù)(10)K.Littler，W.Boon，G.Carson，et al.,“Bulletin of the World Health Organization”，95 Public Health Emergencies 243(2017)，pp.243-244.，并可強制調(diào)取、收集患者的姓名和地址。例如2004年，美國艾奧瓦州與密歇根州的衛(wèi)生部門分別以法庭傳票(court subpoena)與“迫在眉睫危險令”(an imminent danger order)的形式強制西北航空匯報與疾病相關的情況，提供乘客列表與乘客、機組人員的聯(lián)系方式，以確定一麻疹確診者或疑似患者。(11)Public Health Law Bench Book for Michigan Courts， https://www.michigan.gov/documents/ag/PHLBB_2016_Edition_532659_7.pdf，最后訪問時間：2022年6月14日。

(二)疫情防控過程中個人敏感信息的界定不明

能夠識別自然人身份是個人信息的核心要素之一?！皞€人信息”(personal information)與“個人敏感信息”(personal sensitive information)的區(qū)分標準在于一旦泄露、非法提供或濫用是否可能危害人身和財產(chǎn)安全，導致個人名譽、身心健康受到損害或歧視性待遇等。(12)參見王利明：《敏感個人：信息保護的基本問題——以〈民法典〉和〈個人信息保護法〉的解釋為背景》，載《當代法學》2022年第1期，第3-14頁。個人信息保護法對敏感個人信息的處置規(guī)定了更為嚴格的“知情-同意”原則。一般而言，單純的“姓名、出生日期、通信聯(lián)系方式、住址”等信息屬于以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，(13)參見程嘯：《民法典編纂視野下的個人信息保護》，載《中國法學》2019年第4期，26-43頁。被泄露、非法提供或濫用并不會危害到當事人的人身及財產(chǎn)安全，也不會導致個人名譽、身心健康受到損害或歧視性待遇。然而在疫情防控過程中，來自疫情重點地區(qū)的人或確診者承受著巨大的心理壓力，一旦“姓名、出生日期、通信聯(lián)系方式、住址”等信息被從疾控機構泄露、非法提供或濫用，很有可能會出現(xiàn)確診或疑似患者在互聯(lián)網(wǎng)線上或線下被攻擊、被指責的狀況。因此，疫情狀況下的個人信息尤其是“姓名、出生日期、通信聯(lián)系方式、住址”等信息應被掌握上述信息的組織和個人“升格”為個人敏感信息來保護。

而從域外經(jīng)驗看，GDPR(《通用數(shù)據(jù)保護條例》)是以數(shù)據(jù)的使用目的及產(chǎn)生的后果來確定某種數(shù)據(jù)是否為特殊類型數(shù)據(jù)。GDPR第9條同樣對健康相關信息(data concerning health)的數(shù)據(jù)處理行為做了特殊規(guī)定。(14)Lina Fatima Soualmia， et al.，“Health Data, Information, and Knowledge Sharing for Addressing the COVID -19”， 30 Yearbook of Medical Informatics 1(2021)，pp.4-7.由是觀之，在重大疫情處置過程中，鑒于其可能產(chǎn)生的隔離、送醫(yī)等后果，以及社會對其的負面評價甚至傷害行為，確診、疑似患病人群的姓名、出生日期、通信聯(lián)系方式、住址等信息應當被認定為與健康相關的信息，從而也需要被升級為特殊類型數(shù)據(jù)。(15)Mónica Correia, Guilhermina Rêgo and Rui Manuel Lopes Nunes，“The Right to Be Forgotten and COVID -19: Privacy versus Public Interest”，27 Acta bioethica 59(2021)，pp.59-67.

一般場景下，姓名、家庭住址、身份證號、手機號、行蹤軌跡等屬于一般性的個人信息。但在疫情防控這種特殊的社會狀態(tài)下，應更強調(diào)個人信息的合法保護與公共衛(wèi)生利益的平衡，應將收集手機號碼、住址等也同樣定義為個人敏感信息。此外，對于敏感程度更高的疫情流調(diào)信息，應將其視為“個人敏感信息”，以在保護強度上與一般個人信息有所區(qū)別，避免因信息保護資源分配不足而致使流調(diào)信息屢遭泄露。

(三)個人信息強制收集及改變信息使用目的過程中的告知程序缺位

《傳染病防治法》《突發(fā)事件應對法》等法律強調(diào)了被采集主體的配合義務，《個人信息保護法》第13條也規(guī)定，為應對突發(fā)公共衛(wèi)生事件處理個人信息的，不需要取得個人同意。疫情防控期間，互聯(lián)網(wǎng)公司、電信運營商等私主體也可出于抗疫目的收集個人信息，不過，個人信息在信息強制收集與改變信息使用目的的過程中，國家機關有告知的義務。這是因為，知情是公民享有個人信息權的重要實現(xiàn)方式，在公共服務供給過程中，公眾作為消費者，享有知情權、安全權和依法求償權等權利。(16)參見李蕊：《公共服務供給權責配置研究》，載《中國法學》2019年第4期，128-144頁。疫情防控主體應在向公眾收集個人信息時履行告知和說明義務，向公民告知個人信息收集和使用的目的、范圍及存管方式、期限，但當前這一告知程序在我國法律上仍是缺位的。

從域外經(jīng)驗尤其是歐盟GDPR規(guī)則與美國法的角度看，出于控制疫情的公共衛(wèi)生目的，并不必然要求信息的匿名化，且支持對個人信息進行共享。歐盟GDPR雖將個人數(shù)據(jù)保護作為公民基本權利，但仍在不斷平衡個人數(shù)據(jù)保護和公共利益，并允許基于重大公共利益等事項克減個人數(shù)據(jù)保護。(17)Luca Marelli，et al.，“Fit for Purpose? The GDPR and the Governance of European Digital Health”，41 Policy Studies 447(2020)，pp.447-467.GDPR另有規(guī)定三種合法性事由(18)分別是“為履行數(shù)據(jù)控制者承擔法定義務所必需”“為保護數(shù)據(jù)主體重大利益或其他自然人重大利益所必需”“為執(zhí)行公共利益之目的任務或數(shù)據(jù)控制者行使法定職能所必須”。，處理個人信息可不經(jīng)個人同意。GDPR明確，公共衛(wèi)生事件與傳染病監(jiān)測構成了GDPR所認定的重大公共利益與重大生命利益。故而，出于對公共利益與個人數(shù)據(jù)保護的平衡考慮，GDPR在個人信息處理的合法性基礎、特殊數(shù)據(jù)處理、數(shù)據(jù)主體權利限制等方面予以特別規(guī)定，放松了個人信息保護的要求。當個人信息處理為“保護數(shù)據(jù)主體或其他自然人的重要利益所必要”時，可不征得數(shù)據(jù)主體的同意。

(四)個人信息的數(shù)據(jù)收集存儲使用權限與數(shù)據(jù)安全保護責任不匹配

目前的疫情防控過程中，存在著收集不必要信息、信息保管存儲不夠嚴格、信息公布存在一定的隨意性等諸多問題。例如，在健康認證的傳統(tǒng)數(shù)據(jù)模式中，往往收集了過多的無關信息。在“接觸追蹤”的大數(shù)據(jù)模式中，所獲數(shù)據(jù)信息并非摸排、主動收集，而是將之前用于公共安全與商業(yè)目的的數(shù)據(jù)信息，通過與政府共享或轉(zhuǎn)換使用目的，用于對可能確診人員的監(jiān)測、篩查與追蹤。這種數(shù)據(jù)共享以及數(shù)據(jù)初始使用目的變更的信息處理行為亦需要法律加以規(guī)制。目前，網(wǎng)絡上一些自媒體為了吸引眼球，泄露流調(diào)報告中確診者及密接群體的身份信息、活動軌跡、就醫(yī)情況、工作單位、家庭住址、社交情況等個人信息。例如，2020年12月，一張內(nèi)容涉及“成都疫情及趙某身份信息、活動軌跡”“成都確診女孩一夜轉(zhuǎn)場多家酒吧”的圖片在網(wǎng)上大面積擴散。被泄露的個人信息顯示，趙某在確診前曾去過多家酒吧，趙某因此被認為是“陪酒女”“女海王”，帶來惡劣的社會影響。(19)參見劉文慧：《法律該怎么保護你 成都確診女孩》，載《四川法治報》2020年12月10日，第5版。再如，哈爾濱疫情期間，某病例一連三日參加劇本殺游戲，遂被網(wǎng)民杜撰私生活，并惡言侮辱。(20)參見《“我正在被網(wǎng)暴！”哈爾濱確診患者玩劇本殺上熱搜，網(wǎng)友吵翻，流調(diào)成了窺私素材？》，北青網(wǎng)：https://t.ynet.cn/baijia/31470526.html，最后訪問時間：2022年6月14日。此外，疫情防控過程中，身份證號、電話號碼、居住地址等重要個人信息成為支撐健康碼、電子出入證等電子證件的必要信息來源，但在提交之后，信息的去向及是否被刪除暫不得而知。2020年，因北京“健康寶”小程序存在設計缺陷，大量明星的健康寶照片在網(wǎng)絡上遭遇泄露并被大肆售賣，造成了嚴重的后果。(21)參見何玲、孟佳惠：《“健康寶”信息泄露 隱私保護亟待加“碼”》，載《中國信用》2021年第1期，第110-111頁。

觀之域外法律實踐，歐盟GDPR認為在個人信息的采集、處理的過程中，應當遵循適當、相關與必要的原則，強調(diào)對個人信息“保密”的注意義務，即在數(shù)據(jù)處理過程中應確保個人信息的安全，采取合理的技術手段、組織措施，避免數(shù)據(jù)未經(jīng)授權即被處理或遭到非法處理，避免數(shù)據(jù)發(fā)生意外毀損或滅失。在抗疫過程中開展的數(shù)據(jù)收集、使用也應當遵守歐盟GDPR法律框架的規(guī)定，尤其是“接觸追蹤”類的大數(shù)據(jù)分析追蹤。(22)A Data Masking Guideline for Optimizing Insights and Privacy Under GDPR Compliance，Information Technology：https://doi.org/10.1145/3406601.3406627，最后訪問時間： 2022年6月14日。在此基礎上，GDPR提出了信息處理中一系列具體要求。首先，按照數(shù)據(jù)最少夠用(data minimization)原則，“接觸追蹤”技術中可共享的個人信息需以類型列表化與指示性清單(privacy by design)的方式進行，以縮小個人信息的范圍。(23)P.Quinn，“Research under the GDPR—a level playing field for public and private sector research?”，17 Life Sciences, Society and Policy 1(2021)，p.4.并且，信息傳輸共享需通過“選擇性通信功能”(the selective messaging functionality)在特定成員國的有權機構間互換。(24)Maria Christofidou，et al.，“A Literature Review on the GDPR, COVID -19 and the Ethical Considerations of Data Protection During a Time of Crisis”，30 Yearbook of Medical Informatics 226(2021)， pp.226-232.其次，按照存儲期限最小化原則，可以識別出具體數(shù)據(jù)主體的個人信息在儲存時間方面有特定的要求，即不能超過實現(xiàn)其處理目的所必需的時間。超過此期限的數(shù)據(jù)處理只有在如下情況下才能被允許：為了實現(xiàn)公共利益、科學或歷史研究目的或統(tǒng)計目的，為了保障數(shù)據(jù)主體的權利和自由，并采取了包括匿名化等合理技術與組織措施進行處理。(25)COVID -19 Research: Navigating the European General Data Protection Regulation，https://www.jmir.org/2020/8/e19799/PDF，最后訪問時間：2022年6月14日。例如，與抗疫相關的公民個人信息在“早期預警和響應系統(tǒng)”(EWRS)中的存儲時間不能超過12個月，超過12月的，個人數(shù)據(jù)會被自動清除。(26)June Park, “Governing a Pandemic with Data on the Contactless Path to AI: Personal Data, Public Health, and the Digital Divide in South Korea, Europe and the United States in Tracking of COVID -19”，14 Partecipazione e Conflitto 79(2021)，pp.100-111.GDPR第13條與第14條要求，數(shù)據(jù)控制者處理個人數(shù)據(jù)時的目的與初始收集目的不一致時，數(shù)據(jù)控制者應向數(shù)據(jù)主體告知數(shù)據(jù)控制者的身份、變更后的個人數(shù)據(jù)處理目的、數(shù)據(jù)接收方、個人數(shù)據(jù)處理的法律依據(jù)、個人數(shù)據(jù)的種類類別、存儲期限、數(shù)據(jù)主體享有的各項權利等。(27)Federica Lucivero, et al.，“COVID -19 and Contact Tracing Apps: Ethical Challenges for a Social Experiment on a Global Scale”，17 Journal of Bioethical Inquiry 835(2020)，pp.835-839.

四、疫情防控中個人信息保護的法律建議

(一)明確疫情防控中個人信息收集、存儲、公開的法律邊界

疫情防控中，個人信息的數(shù)據(jù)收集應遵循“目的明確”“最少夠用”原則。在健康認證的數(shù)據(jù)場景下，關鍵信息是，是否“來自疫情重點地區(qū)”或有相關的病例接觸史以及是否存在病狀，因此，主動收集的信息內(nèi)容僅可包括“姓名、聯(lián)系方式、是否來自疫情重點地區(qū)、是否有相關的病例接觸史以及是否存在癥狀”。姓名和聯(lián)系方式可用于后期聯(lián)系個人，來源地、病例接觸史與癥狀可用于后續(xù)數(shù)據(jù)分析處理。而其他數(shù)據(jù)暫不應被列入收集的范圍，不應被收集者用于其他的經(jīng)營性目的，更不能被違規(guī)甚至違法對外大肆出售。

在存儲管理方面，對個人信息應形成分級、區(qū)別的管理方式，并采取嚴格的存儲管理措施，即前期收集了個人信息的主體，需對其所接觸的個人信息承擔安全保管義務，確保其存儲的個人信息不會無意中被泄露或被第三方入侵。疫情防控中個人信息的數(shù)據(jù)存儲應由專人保護負責，進行匯總并管理，個人信息應與其他數(shù)據(jù)分別存儲，非必要人員不得接觸全部數(shù)據(jù)。物理紙質(zhì)信息應通過保密措施加以保管存儲，相應的電子信息應同步加密處理。數(shù)據(jù)的查看與獲取應設置相應的有限訪問權限及申請程序，僅可由已獲授權的用戶訪問，并設置安全、個性化的用戶賬戶和密碼。數(shù)據(jù)分發(fā)應以“必要”為原則，并做一定的匿名化處理，使得個人信息在未得到其他數(shù)據(jù)參照時，不可指向可被識別的特定主體。疫情防控過程中，個人信息的數(shù)據(jù)存儲時限可不設置明確的刪除時限，但刪除節(jié)點仍需明確。同時，建立數(shù)據(jù)安全的日常監(jiān)測制度，確立定期的數(shù)據(jù)安全審計制度，個人信息需日常更正、刪除信息中不準確、過時、不再必要或違反數(shù)據(jù)保護法律的個人信息。

在對外公開方面，疫情防控過程中公開個人信息的目的是對確診或密接者、次密接者的活動路線及半徑進行公示，以方便確認接觸人群，消除大眾的恐慌情緒。因此，信息公開的匿名化處理應根據(jù)個案特點，確定有差別的匿名化標準，原則上無須公開確診或密接群體的姓名、電話號碼、身份證號碼及個人家庭住址等詳細信息，而僅需對確診或疑似病人的運動軌跡、乘坐交通工具的如航班號或高鐵班次等具體信息加以公開公示。

(二)明確數(shù)據(jù)收集主體的責任范圍

對于涉疫個人信息的數(shù)據(jù)利用與保護，應對數(shù)據(jù)收集主體間的責任范圍進行嚴格劃分。以健康碼為例，目前各省的健康碼主管部門涉及衛(wèi)健委、疾控中心、疫情防控指揮部、醫(yī)保局、數(shù)字辦、經(jīng)濟和信息化局、行政審批和政務信息管理局等，并由私營企業(yè)為健康碼運營提供技術支持。因此，需明確各數(shù)據(jù)收集主體的角色，是采取由單一部門主管的單獨個人信息處理者模式，還是多部門共管的個人信息共同處理者模式，并適用不同的數(shù)據(jù)處理原則。

當私營企業(yè)實施與政府機關共享企業(yè)商用數(shù)據(jù)行為時，則其為個人信息提供者；當政府指定企業(yè)具體承擔健康碼的運營管理，企業(yè)由此改變數(shù)據(jù)初始使用目的時，企業(yè)又成了個人信息受托處理者。此時，電信運營商、互聯(lián)網(wǎng)公司及第三方需通過后續(xù)相關個人信息的數(shù)據(jù)安全保護措施，保障個人信息不被泄露與濫用。從事前的角度而言，首先，在收集數(shù)據(jù)之前可簽訂相關的數(shù)據(jù)共享協(xié)議，明確數(shù)據(jù)共享中的各方角色、數(shù)據(jù)共享的目的等重大事項。其次，鑒于企業(yè)所掌握的如行蹤軌跡等數(shù)據(jù)的細密性、敏感性，在改變數(shù)據(jù)初始使用目的時，政府或企業(yè)還需履行相應的告知義務，其中互聯(lián)網(wǎng)公司、電信運營商可通過App、手機號直接向用戶告知，政府部門則可先行通過企業(yè)履行告知義務，再由政府承擔告知成本。

(三)建立“接觸追蹤”技術的算法審計制度

“接觸追蹤”技術的大顯身手，不僅依賴于大數(shù)據(jù)，更倚重智能算法模型，但智能算法卻潛藏著隱私和歧視風險，有可能侵犯公民的自由與隱私權。(28)參見洪凌嘯：《誤區(qū)與正道：法律人工智能算法問題的困境、成因與改進》，載《四川師范大學學報(社會科學版)》2020年第1期，第58-70頁。因此，亟須建立“接觸追蹤”技術的“算法審計”(audits of algorithms)制度，以減少負面影響。算法審計通過搜集在特定領域算法運行過程中產(chǎn)生的數(shù)據(jù)，評估算法模型是否存在侵犯公民基本權利的負面影響，進而調(diào)整算法。算法審計可評估算法的透明度與可解釋性，保護個人信息。具體而言，為確保算法決策模型中數(shù)據(jù)的合法性、可靠性及模型的合理性，首先應審計算法方案內(nèi)容中的關鍵特征，如算法的詳細屬性信息、定義可接受的容差、算法數(shù)據(jù)的輸入和輸出模態(tài)、重視或忽略的信息、算法策略、算法風險與防范機制等，以避免算法過擬合所導致的虛假相關性，進而引發(fā)偏見。其次是審計算法適用的算法模型及訓練數(shù)據(jù)集。當訓練數(shù)據(jù)集相對較小時，算法亦容易引發(fā)內(nèi)在偏差。審計過程中，應鼓勵算法獲取多元的數(shù)據(jù)源，尤其是能回答特定問題所必需的數(shù)據(jù)。最后，需對算法進行備案。算法提供者應以顯著方式公示算法的目的、基本原理和主要運行機制，以方便民眾獲取和修改“接觸追蹤”技術所產(chǎn)生的評價結果。

(四)建立“接觸追蹤”技術的算法解釋制度

對個人信息使用的全面解釋能使民眾相信個人信息在被負責任地使用。建立“接觸追蹤”技術算法解釋制度的目的是消除因“接觸追蹤”技術而導致的誤解與疑慮，在個人信息處理過程中構建信任的橋梁。算法解釋制度能夠使民眾明白“接觸追蹤”技術如何做出決策，并及時發(fā)現(xiàn)決策過程中的問題并予以糾正，以平衡民眾與政府之間的權力分配。此外，算法解釋制度能在一定程度上消解“接觸追蹤”類大數(shù)據(jù)技術的“元問題”，即算法“黑箱”——深度學習算法輸入數(shù)據(jù)與輸出數(shù)據(jù)之間難以為人類觀察、理解的隱層。

針對“接觸追蹤”技術，可建立事前事后解釋相結合、系統(tǒng)性個案性解釋為一體、以具體決策為中心的算法解釋制度。具體而言，首先使用“接觸追蹤”技術的政府部門及私營企業(yè)應在事前公布算法規(guī)則，受“接觸追蹤”技術影響的個人可在接收到算法決策后提出解釋算法的請求。其次，受“接觸追蹤”技術影響的個人既可要求算法決策者系統(tǒng)解釋算法的模型標準、分類結構、一般功能與預期后果，亦可要求解釋其個案決策中的個別情況，如使用數(shù)據(jù)情況、數(shù)據(jù)的特征權重、決定支撐數(shù)據(jù)、數(shù)據(jù)源的信息、算法的引用或配置規(guī)則，使當事人理解其接收的特定決策的依據(jù)，同時支持個體提出證據(jù)予以反駁。