韦 祎

2020年初，新冠肺炎疫情爆发，并迅速席卷全球。截至2021年7月2日，中国累计确诊病例已达118702例，累计死亡5523人；世界范围内累计确诊183378369例，累计死亡3965266人。我国2020年《抗击新冠肺炎疫情的中国行动》白皮书的报告显示，自2020年4月29日以来，全国疫情防控已经进入常态化阶段，这一阶段以推进常态化疫情防控和经济社会发展工作为主要目标。2020年5月7日，国务院联防联控机制印发《关于做好新冠肺炎疫情常态化防控工作的指导意见》，加强对疫情防控工作的指导力度。白皮书指出，在疫情防控中，我国采用了大数据、人工智能等新技术进行疫情预测、流行病学调查、感染者与密切接触者的追踪和隔离工作。同时借助“健康码”等数据技术实现分区分级精准识别、精准施策和精准防控。由国家机构牵头对个人信息的利用为本次新冠肺炎疫情的防控工作提供了强大的助力，也为未来社会的风险治理积累了宝贵经验。但由于当前我国相关领域的法律规范和政策引导仍处于缺位状态，在本次疫情防控对个人信息的利用中暴露出了信息泄露、收集使用程序不规范等问题。这些问题对疫情的防控工作和社会治理产生了阻碍，还有可能导致公共利益与个人利益产生矛盾。因此当下我们有必要对本次疫情防控工作中的个人信息使用工作进行分析与反思，以期在未来的社会风险治理和突发事件处理中寻求对个人信息利用与保护的平衡。

一、疫情防控中个人信息的利用实践

借助个人信息进行对疫情防控工作产生了极大成效，但应当注意的是在疫情防控中个人信息的收集、使用和处理仍存在一定的法律风险。我国在疫情和突发事件应对中对公民个人信息权益保护方面的立法相对匮乏。有相关文件对个人信息保护进行了规定，如《信息安全技术 个人信息安全规范》，但层级低效力弱，作为国家标准只能在法律应用时加以参照，缺少强制力。法律法规专门化、板块化不足，有关个人信息安全的法律法规和行业规范分散，能够起到提纲挈领和体系协调作用的个人信息保护法尚未出台；针对疫情防控的个人信息保护规定更是凤毛麟角，多是在《传染病防治法》或《突发公共卫生事件应急条例》中一笔带过。各部门法采取分散的规范模式，缺少配合与联动，对有关个人信息保护的法律义务缺乏明确规定。

2020年2月4日，中央网络安全和信息化委员会办公室发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》（以下简称《通知》），该通知从统筹角度确定本次疫情防控中个人信息的利用和保护所需要遵循的原则。《通知》要求各个信息管理部门在疫情防控工作中要重视个人信息的保护，收集、利用个人信息时应参照个人信息安全规范国家标准进行。同时个人信息相关工作要坚持最小范围原则，收集对象原则上仅局限于确诊者、疑似者等重点监控对象，还要防止对特定地域人群形成事实上的歧视。为疫情防控、疾病防治收集的个人信息，不得用于其他用途。通常不得随意公布个人信息，但因联防联控工作需要，且经过去个人化处理的除外等等。

在个人信息的利用程序方面，《通知》严格规定了仅国务院卫生健康部门具有法定授权资格。收集使用个人信息的授权必须依照《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》，这三部法律法规成为本次疫情防控中个人信息利用主体的主要合法性来源。在个人信息利用的内容和利用方法上，该通知采用准用规则，明确参照《信息安全技术 个人信息安全规范》（GB/T 35273-2017，以下简称《规范》，之后于2020年3月发布替代版GB/T 35273-2020,2020年10月1日实施）。《规范》主要针对个人信息利用中的安全问题，规范个人信息控制者在信息处理环节中的相关行为，保障个人合法权益和社会公共利益。在疫情防控的个人信息利用与保护中，《规范》起到的主要作用是：第一，确定了收集个人信息需满足合法性要求和最小化要求；第二，《规范》5.4 b)规定与公共安全、公共卫生、重大利益直接相关的个人信息无需经过信息主体授权同意即可收集和使用，具体到本次疫情防控中，即信息收集主体在满足主体和程序合法性的前提下，不经个人信息主体授权同意也可以进行与疫情相关的个人信息收集；第三，《规范》还对个人信息收集和利用的程序进行了规定，包括收集、保存、使用、转让等；第四，《规范》对个人信息收集的组织也有规定，规定相关组织必须明确责任部门与人员，具有一定的数据安全能力，并开展个人信息安全影响评估和人员管理培训。

《通知》仍然存在规定过于简略等问题[1]83。具体而言，《通知》所准用的《规范》规定的是个人信息使用的一般方法，并没有针对医疗卫生或公共安全事件中进行具体规定（2020年《规范》与2017年《规范》情况相同）。加之，《通知》也并未在《规范》的规定下对疫情防控中的个人信息利用进行进一步的规定。《通知》所做的规定无非是《规范》的重复，可以认为《通知》仅仅是对业已生效实施的《规范》进行再次强调，没有充分利用《规范》已经建立的个人信息使用规则体系，并在此基础上制定适应本次疫情防控的规则。当前的《通知》未能解决个人信息利用和保护规定的碎片化问题，只是起到宣告式的有限的整合作用，但《通知》主要积极意义在于为本次疫情防控的个人信息利用工作提供了统领性的指导和规范，为授权主体明确了合法性来源，最重要的是在内容和利用方法上予以明确。该通知作为针对本次疫情防控的临时性文件，对把分散在各个法律法规中关于个人信息的利用和保护相关规范进行了整合，从整体上应予以积极评价。

二、疫情防控中个人信息利用与保护的原则

依照《通知》以及相关法律法规，可以归纳出在疫情防控中对个人信息的利用与保护应当遵循以下原则：

（一）合法性原则

信息处理者在以各种方式利用个人信息时应当遵守法律法规的规定，任何组织和个人不得以疫情防控为由非法使用他人的个人信息。合法性原则要求疫情防控中对个人信息的使用符合法律法规的要求，是疫情防控中个人信息使用的最基本原则。该原则的“法律法规”应当采取广义上的理解[1]88。既包括《突发事件应对法》《传染病防治法》《网络安全法》等全国人大及其常委会制定的法律，也包括《突发公共卫生事件应急条例》等行政法规。合法性原则具有以下三层含义：第一，主体法定。收集、使用个人信息的主体必须是符合法律规定的适格主体，即法律法规授权的主体，如疾病预防控制机构、医疗机构、卫生行政主管部门、网信部门等。其他任何组织和个人未经法律法规授权，不得收集和利用个人信息。第二，内容法定。法律法规授权的主体在收集和利用个人信息时，应当严格遵守法律的规定，禁止收集和利用未经法律法规规定允许的个人信息。例如根据《网络安全法》第30条，网信部门不得超出维护网络安全职责的范畴使用个人信息。第三，责任法定。对于非法使用个人信息的行为，信息控制者应当依法承担相应的法律责任。例如，根据《传染病防治法》第68条，疾病预防控制机构故意泄露新冠肺炎确诊患者、疑似者、密切接触者等主体的个人信息的，应当由县级以上人民政府卫生行政部门责令限期改正，通报批评，给予警告。

（二）适度放宽的比例原则

在行政法的基本原则中，比例原则包括适当性、必要性、相称性。适当性，即行政行为有助于实现公共目的；必要性，行政行为基于公共利益对公民权益的损害必须是必要的；相称性，行政行为对公民权益的损害。比例原则要求政府部门和其他相关机构在疫情防控中收集和使用个人信息的工作中，必须把握好利用个人信息处理突发事件与公民个人权益保护的平衡。限制个人信息遵循比例原则，要求相关机关的工作须具有目的的正当性、手段的适宜性和侵害的最小性，这种对个人权益的侵害不能对个体造成无法承受的负担。但在突发事件应对中，政府和公民的关系发生了深刻的变化，人们对于行政权与私权利的平衡、正当程序以及知情权、生命权和健康权的需求有消有长，而政府的决策依据、行政程序、行政目的都会有所调整[2]125。因此，比例原则在疫情防控下的适用体现出两个重要特征：一是比例原则的要求要有所放宽；二是判断行政措施是否符合比例原则还需要考虑政府的应急能力及为了社会大多数人利益而追求的效率等因素。在突发事件应对工作中，不应要求政府利用个人信息的行为在比例原则上得到严格证明或社会多数的认可，而更应充分考虑其应对突发事件时的实际能力与工作效率。特别是在疫情防控这类紧急与严重的突发事件中，与公民的个人信息权同等重要的或者更高的公共利益——应对公共危机的需要存在冲突，因此个人信息权相应受到限制。如果没有这样的价值冲突存在，限制个人信息权利的行为就不存在正当理由。同理，在突发事件应对中不应也没有必要要求政府利用个人信息的措施是对公民权利影响最小的一种。因为在严重的突发事件中，为了实现对社会资源的饱和利用，政府机构需要出于应急和预防的目的尽可能采取所有可能的措施。只要政府机构实施的措施影响相对较小或者尚在合理、可控的范围之内，就应认为其符合比例原则。

（三）最小化原则

最小化原则又称必要性原则，其要求在同样能够达成疫情防控目的的各种手段中，应当保持使用公民的个人信息在最小范围之内。最小化原则的目的在于避免个人信息的过度使用，同时也在于减少个人信息被非法获取的风险。根据最小化原则，有关部门使用个人信息有三个条件：第一，如果不使用某一项或某一组个人信息，则疫情防控的目的无法实现或无法达到合理效果；第二，个人信息的使用应被控制在实现疫情防控目的所必需的最小频率之内；第三，尽量只使用新冠肺炎确诊患者、疑似者、密切接触者等重点监控人群的个人信息，而不得收集和使用未与新冠肺炎患者密切接触的其他主体的信息。

当前我国疫情防控规定中的最小化原则同样存在规定不明确的问题。《通知》明确要求在个人信息的收集过程中坚持最小范围原则，《规范》中5.2条也规定了收集个人信息的最小化要求，收集个人信息的类型与实现产品或服务的业务功能有直接关联，具体到疫情防控工作中即要求收集的个人信息对疫情防控有直接作用。二者都没有对疫情防控中的个人信息收集“最小化”进行明确规定，当前也没有其他相关文件对如何“最小化”收集信息进行规定。对疫情防控的要求而言，与之直接相关的个人信息种类是有限的，如果没有相关文件或规定加以一一列举，自然不能达到“最小化”的要求，个人信息保护也无从谈起。

（四）知情同意原则

当前，学界对于知情同意是否能称为突发公共卫生事件中个人信息利用的原则之一仍有争议。金松等学者持肯定态度，认为公共安全不能成为个人信息保护豁免的万能理由。其主要观点是个人信息的使用方式及使用范围首先应由个人自主决定，只有尊重和保护个体对个人信息的自主决定权，将授权同意作为使用的一般要件，才能保障个人信息利用行为的正当性与合法性，进而挖掘和释放个人信息应有的资源价值[3]。而高富平明确指出，“同意不是且不应成为个人信息使用的一般规则”[4]。因为信息主体无法实际控制自己的信息被用于何种目的，也无法控制个人信息的流通，实质上对已提供的信息无控制力。而且在知情同意模式下，信息收集者频繁要求信息主体做出同意表示，由此导致信息主体并不会仔细审查便同意，使得同意流于形式。林鸿潮等指出，出现这一争议的原因在于个人信息具有个体和社会的双重属性。在信息时代，政府要实现精确治理、科学决策从而广泛地促进公共福祉，必然有赖于公民对个人信息权的让渡；而“社会性”也构成了突发事件应对中政府不经权利主体同意而利用个人信息的正当性基础之一[2]129。如果将个人信息完全等同于隐私权追求绝对公民“个人自治”的权利，可能导致政府在利用个人信息时的“束手束脚”，出现如疫情信息披露的不及时、不到位等问题。

三、疫情防控中个人信息保护规范路径

对于疫情防控中的个人信息利用与保护，有三种进路，第一种是在信息保护相关法律法规如未来的《个人信息保护法》（编者注：该法已于2021年8月20日颁布）中进行专章规定，第二种是在《传染病防治法》《突发事件应对法》，第三种是基于现有的《传染病防治法》《突发事件应对法》《信息安全技术 个人信息安全规范》，具体由国务院卫生健康部门针对当前疫情进行细化规定。

第一种进路，从未来《个人信息保护法》的制定角度出发，可以参考《规范》的内容，由于其针对的是个人信息的一般利用方法，因此即便没有对医疗卫生或公共安全事件进行具体规定，也是符合我国法律体系统一性要求的。在第二种进路中，由于法律固有的滞后性缺陷，让法律法规或政策制定者进行超前的医学判断显然并不现实。

第二与第三种进路结合应当是更适宜的个人信息保护手段。当前，诸多学者在提出疫情防控中的个人信息保护方法时，仅仅针对个人信息保护的一般规则，而忽视了疫情防控对于个人信息保护的特殊要求。本次疫情防控中进行的个人信息使用与保护的特殊性在于无论是个人信息的内容，还是收集手段、处理、利用等程序方法，都与流行病学、传染病防治等医学判断紧密相关。因此有学者提出，在各项专门立法中对数据使用与信息披露进行场景化的特别规定。尝试在《传染病防治法》中针对疫情防控特殊时期，相关卫生防疫部门对数据的获取、应用及披露做出更加精细化的规定[5]。将来的《个人信息保护法》中，应参考《个人信息安全规范》构建个人信息保护的框架。这一框架是普遍适用于各种情景下的个人信息利用和保护方法，具有在个人信息利用和保护工作中的原则性意义。在此基础上，疫情防控工作的相关法律如《传染病防治法》和《突发事件应对法》自然不需要再对如何执行个人信息的利用和保护进行重复规定，仅对个人信息保护相关法律法规进行准用，并针对传染病防控或其中规定的相关突发事件制定调整性或例外的规则即可。在法律适用上依照特别法优于一般法的原则，可避免不必要的法律冲突。如前文所述，更高位阶的法律具有滞后性，而无论是相关规定还是政策的有效实行均建立在其科学性基础上。疫情突发事件的形态和内容可能每一次都不尽相同，具体的某次疫情防控或突发事件中，需要国务院卫生健康部门或其他突发事件管理部门联合信息管理部门制定更详细的规定，如此才能在不忽视科学性的基础上最大可能地保护个人信息的安全。

以新冠肺炎疫情的防控工作为例。2020年1月26日，国家卫健委相关负责人在新型冠状病毒感染的肺炎疫情联防联控工作发布会上表示，新型冠状病毒潜伏期最短1天最长14天，与非典有很大不同。2020年5月15日，国新办举行新闻发布会国家卫健委副主任曾益新在回应新冠病毒“人传人”时谈道：我们对新冠病毒的认识有一个过程。2020年1月14日召开的全国卫健系统电视电话会议，当时对病毒的认识还处于“在路上”的状态，许多问题还没有达到能得出结论的程度。到了2020年1月19日，我们对新冠病毒人和人之间的传播能力才有了比较准确的认识[6]。对于新冠病毒潜伏期和“人传人”能力的认识都是基于当前最新的医学研究，而二者对个人信息的收集有极大影响。因此在本次新冠肺炎疫情防控中，针对行为轨迹的公开一般为车次信息，但是行为轨迹不仅包括列车、飞机、客车等班次信息，还包括酒店、旅社等住宿信息。就班次信息而言，由于客运信息或出入疫情地车辆信息的电子化管理，管理部门通常会对车次信息予以公开。但疫情扩散的风险并不仅限于交通工具，疫情地返乡人员的相关住宿可能造成更高程度的传播风险。如果高风险人群的相关住宿信息缺失,则可能使与高风险人员接触过的人群出现被关联感染的风险。若密切接触人群疏于自我观察、隔离，结果就是可能造成疫情更大范围的交叉扩散。

四、结语

在新冠肺炎疫情防控工作中，与个人信息的利用与保护相关的法律法规的完善呈现出两个面向，一是社会利益与个人信息保护之间的平衡，二是治理体系和治理能力现代化对科学立法的要求。个人信息的利用在疫情防控中的作用毋庸质疑，但在程序和内容上都有优化的空间。如何在法治框架下平衡社会利益和个人利益，以及如何在个人信息的利用上满足防控实践的要求是两个当前急需解决的问题。从法律法规以及政策之间的配合来看，较为合理的改进方式是充分利用已经构建的个人信息保护方法和体系，结合疫情防控的特点进行特殊规定，再在具体政策和规定中结合医学研究的成果和需要进行精细化明确化的规定。这样才能实现既保障公共利益与个人利益相平衡，同时又充分体现科学立法的要求，立足于医学研究成果和疫情防控实践，进一步推进治理体系和治理能力现代化。