后疫情时代个人涉疫信息的控制特点及其路径修正*——以隐私场景理论为视角<br/>

后疫情时代个人涉疫信息的控制特点及其路径修正*——以隐私场景理论为视角

2021-10-08苏今

情报杂志 2021年9期

苏今

(华东理工大学法学院上海 200237)

0 引言

距2020年初湖北新冠疫情爆发已一年有余，在举国努力之下，我国取得了抗疫的阶段性胜利。根据世卫组织和防疫专家判断，新冠病毒将与人类长期共存，其完全灭绝时间仍不确定。在面对与疫共存和急需复产的双重压力下，我国已率先进入到后疫情时代。

不同于重大疫情期间，后疫情时代面临的社会基本问题，已从公共卫生健康与个人行为自由的协调，转化成周期性、区域性抗疫、全民防疫与全面复工问题之间的协调。后疫情时代，全国范围启动“重大突发卫生事件一级响应”的情况应该不会出现。一旦发生疫情，也力争控制为区域、点状的范围。与重大疫情期间一样，政府仍需和各部门配合，对涉疫人群的个人信息进行控制使用，以此抑制病毒扩散。在非疫区，社会重心转移到复产复工，人们在满足基本防疫需求的前提下，自由开展工作和生活。

后疫情时代，是疫情防控常态化、社会生活逐步稳定化的一段攻坚时期。在全民普及疫苗并一定程度免疫病毒之前，涉疫个人信息的控制活动，依旧是常态化的工作内容，信息的合理控制与否，依旧是数据防疫的重要一环。2021年初的区域抗疫和整体防疫相结合的成功模式，为今后防疫常态化提供了宝贵经验。当然，除了一些重大疫情期间的信息控制问题依旧存在，也衍生出了一些后疫情时代的新问题，如信息控制方式和力度是否需要做出改变。

随着个人信息保护纳入《中华人民共和国民法典》，《个人信息保护法》(草案)已进入审议程序，法律对个人信息的基本回应，势必会在将来引发对特殊环境、不同场景下的个人信息控制问题的讨论。如何在既有法律框架下，规范个人涉疫信息的控制，是本文研究的主要内容。本文研究的个人涉疫信息，是指在疫情防控中，由信息收集或控制者(以下简称授权主体)收集控制的，能够识别到具体自然人的相关信息，其中包括个人基本识别信息，如姓名、身份证号、手机号码等，以及与疫情有关的信息，如涉疫行为轨迹信息，个人健康信息等。个人涉疫信息属于个人信息，其应然范围小于个人信息，是疫情防控场景中，需要特殊排列组合出来用于防疫的信息。为了便于论述，本文将涉疫个人信息根据涉疫时期和涉疫范围的不同，分为个人抗疫信息(重大疫情期间或区域性抗疫中所需要控制的个人信息)和个人防疫信息(非疫区全民防疫中所需要控制的个人信息)。本文的观点是，个人防疫信息和个人抗疫信息的范围、控制力度和方式理应有所不同。文章从不同防疫时期、场景、人群、阶段入手，旨在细化和规范后疫情时代个人涉疫信息的合理控制，在满足公共卫生安全的前提下，协调公众知情权益和个人信息权益之间的平衡问题。

1 重大疫情期间个人抗疫信息控制的正当性基础和经验总结

1.1重大疫情期间个人抗疫信息控制的正当性基础对个人信息的控制，按照不同的方式可以划分为：收集、储存、使用、共享、转让和披露[1]。在重大疫情期间，个人抗疫信息的控制可分为：收集、储存、共享、使用和披露五类。其中，收集和共享是原始获取信息控制权的主要方式：即通过直接获取(从信息主体处直接收集)或者间接获取(从其他授权主体处共享获取)。为了便于讨论，本文将个人涉疫信息控制活动划分为：获取、储存、使用和披露四个主要阶段。

根据个人信息控制的逻辑，合法获取信息，是有权储存、使用和披露信息的前提。在信息的存储、使用和披露阶段，也会存在相应的合法性要求。涉疫人群在被要求提供个人信息时，首先产生的疑问是：授权主体是否有权获取其信息。根据《中华人民共和国网络安全法》(以下简称《网安法》)第41条，收集、使用个人信息应当经过信息主体的同意。即个人信息处理活动的一般合法性基础：知情同意。在知情同意机制之外，是否存在例外情形，《网安法》并没有做出明确规定。根据国家标准《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)中列举的一些知情同意例外，其中就包括：“当与公共安全、公共卫生、重大公共利益直接相关的情形发生时，个人信息控制者收集、使用、共享、转让、公开披露个人信息无需征得个人信息主体的授权同意。”[1]

基于公共利益对知情同意机制做出例外规定，在域外个人信息保护的国家和地区也都存在共识。例如，欧盟《通用数据保护条例》(以下简称GDPR)中规定：当处理个人数据是为公共利益而执行任务，或者履行官方授权而进行的某项任务时；或者当传染病构成公共利益和重大生命利益，为了保护数据主体或者他人的重要利益而必须处理个人数据时，可不征得数据主体同意。而针对基因数据、生物识别数据，以及和健康相关的数据处理，在公共健康领域，为了实现公共利益的必要，也存在一定合理使用的可能性(GDPR Article 9.1, 2(g))。因此，在涉及公共利益时，授权主体可以强制收集个人信息。

同样，在我国既有法律规范中也可以找到类似规定：《中华人民共和国传染病防治法》(以下简称《传染病防治法》)第12条、第32条、第33条针对疫情环境下的涉疫信息控制和使用做出了基本规定。根据《中华人民共和国突发事件应对法》规定，各级人民政府及其有关部门、专业机构应当通过多种途径收集突发事件的相关信息(第20条、第三章)。除此之外，根据《突发公共卫生事件应急条例》，国务院、各级人民政府以及下级授权主体，有义务做好涉疫信息的收集、分析、报告等工作(第10条、第11条、第40条等)。而新冠肺炎也被纳入《传染病防治法》中乙类传染病和《中华人民共和国卫生检疫法》规定的检疫传染病中，并按照甲类传染病进行预防和控制。

2020年2月9日，中央网络安全和信息化委员会办公室《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第5点指出“鼓励有能力的企业在有关部门的指导下，积极利用大数据，分析预测确诊者、疑似者、密切接触者等重点人群的流动情况，为联防联控工作提供大数据支持。”[2]国家卫健委在《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》中也强调强化各部门和各数据控制阶段的信息联动和使用[3]。因此，在面对重大疫情时，疾病预防控制和医疗机构有权获取和使用个人涉疫信息。各级政府可以授权相关组织及个人来协助控制个人信息。信息主体也应配合授权主体，做好联防联控工作。

1.2重大疫情期间个人抗疫信息控制中出现的问题及原因从2020年初新冠爆发，到2021年初河北、东北，再到4月份云南，我国防疫的基本模式已从全国抗疫阶段转化为区域抗疫和全民防疫相结合的阶段。在重大疫情期间，出现了信息泄露或不当披露的情况(见图1)。究其原因，是既有的一揽子授权方式，在网格化防疫管理机制中形成了3种信息控制困境：a.授权主体范围不确定、权责界限不明确致使信息获取途径繁杂重复；b.个人信息收集范围没有标准和限制，没有遵循最小必要原则；c.没有区分不同的涉疫人群进行信息控制，使网格化共享加剧了信息的不必要移转。

图1 重大疫情和区域抗疫场景下信息控制节点及风险

1.2.1 授权主体的范围和权责不明确在登记排查的过程中，由于收集和披露个人信息时存在疏忽和不规范，出现了一些损害信息主体合法权益的事件[4]。无论是在信息的获取阶段还是储存阶段，排除违法窃取的情形，信息泄露的源头一定是具备合法授权的控制者。没有明确权责，各级授权主体都有泄露信息的风险。一揽子授权之下的信息获取模式，在获取阶段就存在着各类授权主体都有权收集信息的现象，一旦发生信息泄露，几乎不可溯及追责。即使有追责可能，对抗疫大局来说也属沉没成本，影响效率。因此，唯从源头上将授权主体划分明确，权责落实到具体组织和个人，才能够有效的在此环节实现个人信息保护的预防效果。

1.2.2 个人抗疫信息的范围无明确划分和限制信息获取阶段，没有遵循最小必要原则。所谓最小必要原则，指数据最小化(Data Minimisation)，即处理个人数据应当是为了实现特定的目的而获取的适当的、相关的以及必要的个人数据(GDPR Article 5.1(c))。根据《网安法》第41条的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。《个人信息安全规范》中也将其规定为最少够用原则[1]。简言之，抗疫个人信息的控制范围应当以能够满足抗疫需求为标准，不应当获取超出抗疫需求范围的信息。

在信息收集权力下放的过程中，具体获取信息的范围并没有明确的规定和限制，加之抗疫任务艰巨，失职责任十分严重，使得大部分授权主体尽可能地获取更大范围的信息以求稳妥，超过必要范围的收集随处可见。在网格化管理系统中，辖区的要道设立信息强制登记节点(如机场、火车站)，进入辖区的人员需要扫描二维码完成信息填报[5]。所填报的信息包括：姓名、身份证号、手机号、工作单位、来源省市、是否有12岁以下儿童同行、紧急联系人及其电话、进入城市的明确居住地址等。这样的规范有其优势，但也存在一定的隐患，即信息主体所到之处，都会留存其个人信息，且范围并没有限定。基于授权疏漏，在网格化共享信息时，不同层级授权主体掌握着同范围、同粒度的信息，一些基层组织掌握了大量的、不必要的个人信息。

1.2.3 没有按照涉疫程度区分信息控制力度重大疫情期间，信息主体主要分为四类：即A(有疫区接触史的，分散到全国各地的人群)、B(与A在公共场所接触但互不认识也不知道对方存在的人群)、C(A到达目的地后接触的人群，如亲友、同事、邻居)、D(已避开涉疫区域并居家没有外出的人)[6]。根据ABCD疫情传染矩阵，A类通过不同行踪轨迹节点(如火车站、飞机场等)获取其个人信息，是目前信息权益被侵犯最严重的信息主体；B类是潜在隐患，需要采取通知并自觉报备和主动排查等手段去寻找；C类相较于B类好找一些，需根据A类的报备寻找；D类本身并不涉疫，做好防护和居家隔离即可排除风险。

信息控制的问题在于：在直接获取阶段，没有区别对待各类人群的信息，D类的信息的收集程度和A、C类一样多；在间接获取时，通过从前授权主体处获取信息，并采取网格化共享。在共享中，一些授权主体采取1：1的共享模式。没有区分范围，使得一些授权主体控制了其无权获取的信息；除D类人群，ABC类属于重点防控人群，其信息被控制的几率更高，泄露风险也更大，但这三类人群所产生的风险程度并不同。因此，对这三类人群的信息采取区分控制就显得尤为重要。

综上所述，三种原因环环相扣引发信息控制风险：授权主体权责不明，导致信息控制范围扩大；信息范围界定不清，导致信息的过度收集；信息主体不加区分，导致信息控制失衡。解决以上问题，需要以信息收集目的为基准，以不同的信息处理环境为前提，从不同的信息处理阶段入手，对不同层级授权主体划分权限，对个人抗疫信息的收集范围以不同阶段、人群区分对待，才能有效降低信息控制风险。

2 后疫情时代个人涉疫信息控制的特殊性、正当性及其思路

2.1个人涉疫信息控制的特殊性及其正当性基础

2.1.1 特殊性：区域性抗疫和全民防疫的信息控制并存重大疫情期间，由于面临病毒和自由受限的双重心理压力，信息主体对授权主体的信息控制力度会存在较高容忍度。而在后疫情时代，这些压力会逐渐缓解。如何在新环境下对信息主体展开有效、必要的信息控制，是协调防疫工作和复工任务的重要条件。因此，需要从对新环境的特点分析入手。

结合2019-2020年底东北地区、2021年初河北、上海地区和2021年4月份云南地区的抗疫情况。目前，我国已经进入到周期性、区域性抗疫和全民防疫工作并行的后疫情时代。周期性抗疫，即在每年年底到次年年初的新冠高发期展开的抗疫工作；区域性抗疫，即针对疫情爆发的个别地区实行预警升级并全区抗疫的情况。全民防疫，即在非涉疫地区，持续稳定地展开基础防疫工作。

无论是一个省、市，还是一个区(如2021年初上海黄浦区)，区域抗疫都有别于全国抗疫。而全民防疫工作的有效展开，也会将可能出现的周期性抗疫转化成区域抗疫。在抗疫和防疫状态并存的环境中，需要重新权衡公众知情利益和个人信息利益的协调问题。与重大疫情相似，区域抗疫环境下，需要更细粒度，而非更广范围的信息，精准抗疫会成为后疫情时代一种常态化的工作方式。疫区和非疫区的信息控制也应存在根本性差异，以此区别重大疫情下的利益平衡模式，将公众知情利益和个人信息利益做出平衡的修正(见图2)：重大疫情期间或区域性抗疫时，个人信息利益相对克减的控制方式，得益于信息主体较高的容忍度；而在全民防疫场景下，心理和生理压力的缓解，个体行为自由的释放，使信息主体对其信息利益的关注开始影响整个社会的发展。高强度、无差别的信息控制方式已无法兼容新的场景需求。对个人信息利益的保护从对其的控制力度缓和展开，下文详述，此处不赘。

图2 后疫情时代公众知情利益和个人信息利益平衡的修正

2.1.2 正当性：一般公共卫生利益场景中的信息控制必要与重大疫情相似的区域性抗疫场景中，信息控制的正当性前文已述。但后疫情时代下的全民防疫场景中，类“紧急状态”的情形逐渐消失，授权主体控制个人信息的正当性基础就存在差别，其并不基于重大公共卫生等情急场景下所代表的重大公共利益(如《个人信息安全规范》)或重大生命利益(如GDPR)，而是基于一般公共利益、公共卫生项下的信息控制正当性。且前述法律规定对公共利益、公共卫生、重大公共利益、重大生命利益等事由做出了枚举式的表述。因此，在涉及一般公共利益、公共卫生的场景中，也存在信息控制正当性。根据图2的利益平衡修正，全民防疫场景中对个人信息利益的克减应需缓和，但由于疫情风险仍旧存在，且随时可能转化为区域性抗疫。所以，对个人防疫信息的控制实属必要。个人抗疫信息和个人防疫信息的范围和控制力度差异也由此体现，否则会出现同质化信息控制，侵害信息主体利益。

2.2基本思路：以场景理论区分抗疫和防疫中的信息控制方式

2.2.1 信息控制场景：决定信息控制目的和信息主体的合理预期根据《网安法》第41条，在收集和使用个人信息时，应当在满足合法、正当、必要的前提下，对收集和使用信息之目的、方式、范围进行明示。而收集目的作为信息控制活动的起因，对收集和使用的方式、范围起到决定性作用。无论是基于知情同意机制下的自愿收集，还是基于公共利益下的强制收集，首次获取和后续使用目的必须合法明确。GDPR中也规定了目的限定原则，即对个人信息的收集应当具有具体、清晰和合法的目的，对个人信息的处理不应当违反初始目的(GDPR Article 5.1(b))。

在不同的涉疫情形之下，对信息的控制目的也需解构和细化，以此限制个人信息的不合理流动。基于目的限定原则，从信息处理的源头进行规范，以此满足信息主体的合理预期。而影响这种合理预期的因素称为“场景”[7]。该因素源自美国康奈尔大学教授Helen Nissenbaum最早提出的隐私场景完整性理论[8]：对个人信息收集时的语境应当受到尊重，对个人信息的合理保护应当置于相应的场景之中进行具体审视，以免做出脱离环境的预判。以信息主体的合理期待为标准，来衡量信息控制的合理性问题。虽然场景理论因构成因素的多样性，使其在判断信息控制的合理性时变得较为复杂，但目前已逐渐被国际所认可[7]。国内也有学者支持这种理论并展开研究[9]，确定其作为一种信息控制合理性的判断依据。后疫情时代，对区域性抗疫和非疫区防疫两种场景进行细化，在探究信息控制目的的基础上，通过匹配信息主体的合理预期来修正信息控制的路径。

2.2.2 区域性抗疫中的场景划分及信息控制思路区域性抗疫中，对疫区内的信息控制活动，应区别于非疫区。疫区中可以采取等级较高的信息控制力度，这种力度与重大疫情下的力度相似。不同之处在于，其副作用不会像全国抗疫那么严重，通过其他地区的政策协调，完全可以做到抗疫成本反哺。将隐私场景理论适用于区域抗疫环境中，从抗疫主要目的出发，根据联防联控中的具体场景入手，分别对不同场景下收集信息的情况做出基本的规范。在收集个人信息时，信息主体应当知晓其信息被收集的初始目的。不同场景下的收集目的不同，所以信息主体对信息控制的合理期待也不同。若授权主体违背这种合理期待并做出超出预期的控制行为，则侵犯个人信息权益。根据抗疫实践，可将信息控制场景归为以下几种(见表1)：

表1 区域性抗疫中的信息控制场景

场景一，授权主体是医疗机构和相关防疫组织，其收集的对象也限于确诊患者和重点排查人员。因此，信息控制目的有3个：科研治疗、排查疑似和找寻密切接触者。因此，信息控制必须是以这3个目的为限，而收集方式和范围也会有所不同。场景二，是针对区域内封闭化管理并进行疫情排查时，授权主体(主要有公安机关、社区工作人员、小区物业等)对个人信息的控制。此场景下，信息收集的目的主要就是排查和寻找密接者。而信息主体对不同的授权主体也存在不同的合理期待，这种期待是建立在信任基础之上。例如，对公安机关的信任度就会高于社区工作人员或小区物业，相应的收集范围就会因为这种合理期待的不同而有区别；场景三，是城际间交通工具运行者(火车站、汽车站、高速路、飞机场等交通节点)，依授权对个人信息的控制。例如，乘坐飞机时，航空公司会通过扫码的方式要求乘客填写个人信息，并明确收集目的是用于排查疑似。乘客在提交这些信息时，对航空公司的合理期待就是限定排查疑似和寻找密接范围内使用其信息，而不能转作他用。

2.2.3 非疫区防疫中的场景划分及信息控制思路与区域性抗疫不同，在全民防疫环境下，数据防疫的基本方式是以健康码为主，额外提交信息为辅。从数据控制方式上来看，健康码降低了数据获取、使用、披露等环节的泄露问题，但在数据生成、移转和储存等方面依旧存在风险；健康码之外，个别区域会继续执行线上或者线下的信息提交和报备程序。如工作单位，是除了卫生部门之外最主要的涉疫信息控制节点。每天的健康信息报备和外出返乡的信息额外报备，是此场景中的主要信息控制模式；后疫情时代，还存在信息收集之后的再次利用问题，一些地区主管部门计划对这些信息进行二次开发利用，并提供额外的大数据服务(见表2)。

表2 非疫区防疫中的信息控制场景

场景四，主要是指用工单位和网格化区域内对返工人员个人信息的控制，如各城市对返回人员进行健康码扫码登记，单位要求员工填写个人信息作防疫报备，市内公交车实名扫码等情况。此场景下，存在多种复杂的小场景，且不同的小场景中对信息的控制会有区别。如，城市管理部门对返工人员统一登记，与用工单位对员工进行登记应当存有差别；而公交车扫码实名登记和前两者的区别就会更大，因为其收集目的更加单一，是否应当收集也存在争议。本场景中存在一些返工人员网格间流动的情况，此时的信息控制活动归属场景三。场景五，是复工稳定之后的常态化报备，目标是对行动轨迹相对稳定的信息主体，设定行为和风险预判机制，以应对可能的精准防疫目标。常态化报备的信息应更加严格地执行最少必要原则，且对授权主体的禁止性规范应当更明确，如，非必要不移转信息。场景六，是后疫情时代最普遍的一种信息控制，很多涉疫信息在初次收集时，无论基于知情同意还是公益强制，都没有明确使用目的，甚至有概括授权情形。有些授权主体就计划发挥其“额外价值”。这是后疫情时代涉疫信息风险的最终来源。如何设置信息的被遗忘制度，二次使用的再授权制度，都是此场景中的重点控制路径。

综上，隐私场景理论的优势在于可以区分设定不同场景中的权利义务，但同时其缺陷也在于此，信息主体在不同场景下的“合理期待”不同，甚至是对同一信息的合理期待也可能存在差异。笔者认为，法律规范无法将所有的情况枚举式穷尽，这不符合法的一般性；同时，法律规范却可以设定相对化的标准，将所有可能且合理的情况都锚定在这个范围内，从而实现法的弹性。因此，应当依据不同场景，设置出该场景下，针对同一信息，一般理性人的合理期待范畴(如同经济学和法学中的理性人参照系)，从而构建一个相对一致的合理期待体系。后文中的信息范围划定，也是按照一般理性人的标准设定。

3 后疫情时代个人涉疫信息的控制路径选择

后疫情时代，信息主体对不同的涉疫场景和信息控制目的所产生的合理期待不同。根据场景将信息控制的目的区别和细化，结合不同场景下授权主体身份和职能的不同，来区别具体的信息控制权责、范围和方式。

3.1明确控制权责：不同授权主体依据场景设定不同权限在网格化防疫管理中，由于排查权限不断下放和无差别共享，使信息控制风险增加。因此，设定明确的权责范围，是涉疫信息保护的基础。根据相关法律法规和防疫实践，授权主体归为以下几类(见表3)：

表3 授权主体分类及信息获取方式

第一类，是重大疫情下的抗疫统筹部门。职责主要是发布防控决定、命令，调整相关细则和文件，统筹疫情检测、排查和防控工作。例如公安机关，特殊的社会职能允许其在涉疫信息控制中享有较大的权限，掌握和能够使用的信息范围是最广的。因此，其信息控制职责也需更严格。第二类，是作为救治和疫情预测职能的承担者(场景一)，其在信息控制中主要以这两点职责划分权力范围。在履职中会获取到更多的生物健康识别类信息，其中涉及个人隐私保护职责。第三类，职责是管理和统筹辖区内的各单位和社区落实防控措施(场景二、场景四)。收集、登记、核实和报送涉疫信息及配合工作，应当以防疫排查目的为限，遵循最小必要原则控制信息。第四类，是承担特殊社会职能的组织和机构。如承担运输职能的交通运营者、承担通讯的电信运营者以及承担防疫大数据分析工作的大数据从业者。其信息控制正当性来源于政府临时授权，对其控制权限设定，应当以其职能的辐射范围为依据，明确具体的信息控制范围、方式。第五类，是防疫常态化下信息主体的主要轨迹节点(场景五)，用人单位的职责是获取报备信息内容并监督疫情风险。

五类主体在信息获取的方式上存在差异，后三类主体，不能通过共享间接获取信息：第三类主体的授权层级较低，不应当通过共享获取个人信息，且对信息的使用限制更加严格[10]。第四类主体存在数据市场化能力，通过共享的方式获取不必要的信息会产生数据信用风险。应当避免打着防疫的旗号大肆收集个人信息的行为[11]。第五类主体的信息控制权力范围最小，附加的义务更重，例如不能共享信息，不能对信息做出非初始目的的二次利用等。

3.2限定控制范围：依据场景设定不同的信息可控范围依据场景将不同授权主体权责划分，对个人涉疫信息控制范围进行限定，减少不必要的控制。从信息控制源头上遵循最小必要原则，以达到事前保护个人信息的目的。

《网安法》第76条规定，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。《个人信息安全规范》中规定个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括：姓名、出生日期、身份证号、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。比较法上，欧盟GDPR规定个人数据，是指与已识别或者可识别的自然人相关的任何数据；可识别的自然人尤其是指通过姓名、身份证号、定位数据、网络标识符号以及特定的身体、心理、基因、精神状态、经济、文化、社会身份等识别符，能够被直接或间接识别到身份的自然人(GDPR Article 4 (1))。个人信息的范围广泛，在实践中对其的判定存在两种路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人；二是关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息[1]。

在区域抗疫场景中，依据传染矩阵和联防联控要求，授权主体除了对姓名、电话号码、家庭住址等基本的个人信息进行处理之外，对个人定位、行踪轨迹信息以及生物识别和健康生理信息的使用尤为频繁。而此类信息在实践中定义为个人敏感信息，即一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。这类信息包括：身份证号、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童个人信息等[1]。根据一些信息泄露事件不难发现，个人涉疫信息不光包含个人基本信息，还包括个人敏感信息。本文不讨论两者区别问题，只从两种信息包含的内容出发，规范在不同场景下的各类信息控制。

不同的场景中，不同的授权主体所需掌握的信息范围应当存在差异。通用的个人涉疫信息包括：姓名、手机号码、身份证号、性别、家庭住址。通过这几个要素就基本可以识别和定位到特定的自然人，而不需要其他信息进行辅助识别。因此，在每个场景中收集以上信息内容，是符合一般理性人标准下的信息主体对数据防疫的合理期待。而不必要收集的信息，如民族、邮箱，甚至是婚姻状况、近亲属个人信息等情况应当禁止。场景一中，除了对以上个人基本信息的收集之外，还会涉及对个人敏感信息的收集，如生物识别信息、健康信息等。作为救治和防疫预测职能的承担者，第二类主体依职权可以收集这些敏感信息。但同时，其也需要对所控制的个人信息，尤其是敏感信息尽到保护义务。在场景二和场景三中，除了基本信息之外，车次班次、座位、始发和到达站、乘车日期、票号、户籍地址、活动轨迹是依防疫目的所必要的登记事项。在区域排查中，如小区住户的登记，具体到门牌号的信息是必要登记事项，但在场景三中这类信息不应当成为必要登记事项。此外，对于活动轨迹类信息，也是以官方提出的14～21天隔离安全期间为限。针对一般人群，活动轨迹的节点应当尽量采取大致范围收集方式，如某某火车站、某某小区，而不应该过分细化。对于重点涉疫人群，可以依据场景适当放宽收集范围，且需要把控披露环节下的信息保护。在场景四和场景五中，用工单位每天要求员工登录相关系统填写个人信息，如姓名、性别、联系方式、员工号、健康状况、目前定位地址以及是否有涉疫地区接触史(此处报备内容应当仅限于点状行踪，而非线状行踪，线状行踪适用于场景二、三中)。用工单位作为授权主体，应当减少不必要的重复填报(包括线上填报之后线下重复填报)，禁止以防疫为由收集额外的信息，禁止非必要转移、非必要他用的情况。

结合前文的控制权责明确，可以从一定程度上减少信息的超范围控制。但现实防疫的情况是，出于疫情的敏感性和防控的有效性要求，授权主体(如场景一中的医疗机构)不得不获取一些超出其一般权限范围的信息(如行踪轨迹)。笔者认为，可以采取两种方式解决此类问题：方式一，简报共享式，通过有权获取特定信息的授权主体以简报形式(信息分析结果)传递必要咨询。此种方式优势在于，权责限定明确，减少原始信息的不必要共享和收集。缺点是会产生额外数据分析和传送成本。方式二，差异化信息管理式，根据场景必要性，将获取信息的范围适当扩大，并对超范围获取到的信息进行差异化管理：如严格禁止共享超范围获取到的信息，在该类信息使用目的实现之后进行删除或去识别。此种方式也可以严格遵守权责明确制度，但同时也会对授权主体的信息管理能力提出更高要求。

3.3细化控制阶段：依据场景细化各阶段合规内容个人涉疫信息的控制分为获取、存储、使用、披露，以及后疫情时代必然存在的再利用或被遗忘阶段。结合前述两点规范路径，将不同阶段依据场景进行解构，设定合规细节(见表4)。

表4 个人涉疫信息控制的不同阶段及合规内容

3.3.1 信息获取阶段信息控制的初始阶段，需要规范获取方式和途径。直接获取，是指授权主体以防疫为目的，主动去收集个人涉疫信息；间接获取，是指授权主体从其他信息控制者处，通过共享的形式获取信息。前述控制者在收集相关信息时的目的并非防疫，而是依其社会职能不同有区别，如火车站、飞机场等以通行便捷和安全为目的收集个人信息，通讯公司以其业务为目的收集个人信息。前述第一类、第二类授权主体在直接获取信息较为困难时，会采取间接获取信息的方式。以公共利益为目的地获取信息不受知情同意限制，但因为改变了信息收集的初始目的，应当告知信息主体，以此匹配信息主体对新收集目的的合理期待。

此阶段从四个部分规范：a.主体合规。包括授权主体权责限定和信息主体合理区分。授权主体在不同场景下应设定不同权限，如后三类主体(基本活动于场景二、三、四、五中)就不应当通过共享的方式获取信息。信息主体合理区分，是指在不同场景下对不同涉疫人群区别对待，以免过度收集。例如在场景三、四中，应对前述ABCD四类人群的信息区分收集，切忌一揽子收集；b.信息收集目的限定：场景一中会有特殊的诊疗目的，甚至有后续的科研目的。场景三、四、五的信息控制主要以密接者查询储备为目的，不同目的的告知，让信息主体产生不同合理期待。c.告知义务。根据《网安法》，授权主体应当在获取信息时履行相应的告知义务，包括使用目的，范围、方式、承诺保护以及其他相关必要的告知事项。不通过知情同意机制，不代表不需要向信息主体告知其信息的具体流动情况，告知义务是之后责任溯及和实现信息主体相关权利(如场景六的被遗忘权)的必要保障；也是其合理期待的依据，如场景一中，收集生物识别信息应当告知信息主体后续可能的科研目的等。d.范围限定。应当避免重复、超范围收集，应遵循最小必要原则。作为前手控制者，应当在共享时采取筛选和必要的去识别方式，保护相关主体的可识别利益。根据《个人信息安全规范》最小化的标准，收集的个人信息类型应当与实现相关业务功能直接关联，即没有该信息参与则无法实现防疫目的，前述的通用个人防疫信息就属此类，且在自动采集和间接获取时应当保持必要的最低频率和最少数量[1]。同一场景中，针对同一信息，信息主体的合理期待相对一致。不同场景中，针对同一信息的合理期待就有可能不同。例如诊疗场景中收集个人体温信息，与其他场景中收集个人体温信息，信息主体的合理期待一定会不同，信息主体不会期待个人体温信息在其他场景中被用于诊疗和科研，所以，体温信息在这些场景中只能用于检测排查，不能收集。在收集方式上也应当做出规范，目前防疫实践中采取纸质和电子收集两种，各有利弊，应当在避免重复收集的前提下，做好授权主体责任的可追溯工作。在健康码生成的各阶段也需要提供申请者的涉疫信息，需要做到避免重复收集(如码上加码、码外填写等)。

3.3.2 信息存储阶段信息合规使用的前置阶段，应从两个部分规范：第一，规范控制主体。应当对授权主体的控制行为予以规范，责任到人，以减少控制风险；第二，规范控制方式。首先，规范信息的存储方式，对应当保密的设定访问权限，必要时采取匿名化，如场景一中的生物健康信息，应当去识别或者加密保存，使用时应在防疫效率和信息保护之间合理平衡。场景三、四、五的体温信息就属于非必要存储内容，不应当存储。其次，明确信息存储期限，个人涉疫信息具有一定的时效性，疫情结束后控制其的目的已不存在，应当设定存储期限(如疫情结束后3个月内)[12]和删除义务，保障信息主体被遗忘权等相关权利(场景六)。

3.3.3 信息使用阶段信息控制目的的实现阶段。网格化共享具有特殊性：首先，目的特殊，即抗疫防疫为主；其次，方式特殊，共享即是信息的主要使用方式；最后，形式特殊，通过网格化共享来实现排查功能时，基本不需要改变原始数据形式。此阶段应当从四个部分规范：第一，明确共享目的。限定并细化具体防疫目的，如场景二、三、四中即时温度、行踪轨迹审查等。第二，差别共享。在不同层级的授权主体之间应当避免1:1的无差别共享，建立网格间、授权主体间以及场景间的差别共享机制，如医疗机构与公安之间共享信息时应当剔除不必要的信息(如生物识别信息)。必要时建立网格共享正面或负面清单，以贯彻最小必要原则。第三，责任溯及。有时信息泄露发生在使用阶段，根源却是在获取阶段。所以应当设置信息来源的可溯及化，实现责任的可追溯。纸质信息来源应当标明抬头和授权主体落款或签章，电子信息来源应当加设水印或信息流动日志。第四，脱敏义务，网格化共享因其特性，使得大部分情况都是原始信息的共享。在不能及时采取差别共享时，授权主体应当做好去识别的工作，降低识别风险。除此之外，共享的授权主体作为信息的共同控制者(GDPR Article 26.)，应当明确各自的责任，遵循相应的合规要求，不能消极对待义务和推诿责任。

3.3.4 信息披露阶段满足公众知情权的重要阶段，存在信息泄露或不当披露问题(见图1)。从四个部分规范：a.主体合规。其中包括披露主体合规和被披露的信息主体合规。根据《中华人民共和国政府信息公开条例》，政府及相关授权部门有权对涉及公共利益的事宜进行必要、适当的公开。根据《传染病防治法》第38条，只有国务院、省、自治区、直辖市人民政府卫生行政部门有权披露全国和区域内的传染病信息。因此，应当严格把控有权披露信息的主体。在授权之下，根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条，相关网络服务提供者本着社会公共利益，应在合法、必要的范围内公开自然人的病历资料、健康检查资料等敏感信息b.公开透明。信息披露是满足公众知情权的重要甚至是唯一手段，应当在保护信息安全的基础上做到公开透明、真实。c.程度适当。为防止不当披露，应结合具体场景，对是否需要涉及密切接触者的具体信息，人员定位细化程度，以及具体披露人群范围做出审慎决定(如场景二、三)。d.匿名义务。《网安法》第42条提供了匿名化或脱敏化机制，经过匿名脱敏处理无法识别特定个人且不能复原的个人信息，可以作为必要的披露内容。我国施行的《信息安全技术个人信息去标识化指南》虽然属于建议性国家标准，但对姓名、身份证号等常见标识符提供了技术参考，如姓名的泛化编码、抑制屏蔽、随机替代、假名化、可逆编码等形式[1]。此次疫情实践中，日本厚生劳动省和香港特别行政区政府卫生署都提供了很好的范例：一方面，政府充分保障公民的知情权。在公示确诊病例信息中，列举了患者的确诊日期、性别、年龄、居住地、报告来源、入院情况、化验结果、患者状况、点状行程等与疫情相关的必要信息。另一方面，充分保护了每位确认患者及疑似患者的个人信息，删除了患者的姓名、国籍等可识别要素。其中在公布的具体新疫情案例中，也只是将感染者的性别、居住地、年龄以及点状活动轨迹[13]。日本厚生劳动省在公布患者的个人信息时，只公布了年龄、性别、居住地、症状、经过、点状行动轨迹来说明感染情况和状态[14]。

3.3.5 信息再利用或被遗忘阶段涉疫信息的两个截然相反的最终路径。根据数据控制基本原则，信息主体对其信息的最终控制方式有决定的权利。在完成防疫目的之后，信息主体有权依照相关规定要求信息控制者删除其个人信息。参照GDPR，我国《个人信息保护法》(草案)第47条也明确规定，个人信息控制者应当主动或者根据信息主体申请，删除个人信息。而鉴于数据的再利用价值，授权主体往往欲对信息采取二次利用，如杭州的渐变色健康码，就是健康码常态化利用的典型。随着后疫情时代社会部分运行方式的线上化迁移，教育、医疗、饮食以及办公领域都在探索线上化的模式，而疫情期间存留的海量涉疫信息，就成了这些领域窥视的“宝藏”，不合理的利用会对信息主体的控制利益造成冲击。而完全禁止信息的再利用也不现实。堵不如疏，如何正确引导再利用方式，设定再利用的二次或多次授权制度，是后疫情时代信息控制的重点内容。在保证信息主体对其信息合理控制利益基础上，实现再利用。如果信息主体明确拒绝授权，应当设定合理的被遗忘制度，在特定条件成就时，删除相关个人涉疫信息。

4 结语

个人涉疫信息是连接公共利益和个人利益的重要媒介。在区域抗疫和全民防疫并存的后疫情时代，合理有序地控制个人涉疫信息，是实现后疫情时代社会活动方式转型的重要环节。首先，区分抗疫和防疫两种环境下对信息控制的不同模式，区域抗疫的控制强度应当高于非疫区防疫的控制强度；其次，在两种环境下划分不同的抗疫、防疫场景，针对不同场景下的授权主体设定不同权责，并限定有差别的信息控制范围，以此降低信息控制风险；再次，以最小必要原则为基础，对信息控制中的获取、存储、使用、披露阶段设定不同的合规方式；最后，充分重视涉疫信息的二次利用机制和被遗忘机制，在满足信息主体对其信息控制的基础上，实现个人涉疫信息在后疫情时代中的数据价值。