高玉玲， 徐咏军

(1.皖南医学院人文与管理学院，安徽 芜湖 241002；2. 皖南医学院学报编辑部)

自新冠疫情发生以来，多地出现了疫情防控中的流调信息泄露事件，患者的隐私被公知与众[1]。流调信息泄露给患者及其家庭带来了“次生灾害”，也引发了人们对疫情防控中流调数据采集、储存及使用安全性问题的思考，以及在公共卫生安全事件中公众知情权和个人隐私权协调问题。如何加强公共卫生安全事件中个人健康医疗大数据的治理，进一步完善健康医疗大数据使用与保护法律制度，需厘清健康医疗大数据使用中的问题及实施障碍。

1 公共卫生安全下健康医疗大数据使用的法律和实践

目前国内外均没有规范健康医疗大数据使用的特别法，对健康医疗大数据使用的法律规定主要体现在个人数据(或个人信息)保护的专门法或散见于其他法律规范中。纵观各国法律或国际性规范性文件，尽管表达不同，但原则和精神基本相同，即数据的使用应经数据主体同意，但基于公共利益需要使用的除外。

早在二十世纪八九十年代，数据使用和数据保护的问题已被国际社会关注，1980年世界经合组织制定了《关于隐私保护与个人数据跨界流动的指导方针》，1981年欧洲委员会制定了《个人数据自动化处理中的个人保护公约》，1995年欧盟制定了《数据保护指令》，这些早期有影响的个人数据保护性文件，均是在基于协调尊重个人隐私与保障数据信息自由流动的基本价值下制定的。一方面，为了保护数据主体的权利，要求数据控制者或处理者在使用数据时应经数据主体同意，同时也做了限制性的规定。《个人数据自动处理化中的个人保护公约》赋予了各缔约国可以在为了“保护国家安全、公共安全、国家经济利益或者打击犯罪”等方面对个人数据的处理上无须数据主体同意的例外规定。1995年欧盟议会与欧盟理事会《关于涉及个人数据处理的个人保护以及与此类数据自由流通的第95/46/EC号指令》的第7(e)也规定了“为了履行涉及公共利益的任务”对数据进行处理不需要经过数据主体同意，并在其后的条款中进一步规定了：即使是对于“有关个人健康或性生活的数据”等特殊类型原则上禁止处理的数据，如果数据处理者为了预防医学、医学诊断、保健服务管理，以及其他合法活动中实施的，仍然有权处理。1990年《联合国计算机处理的个人数据文档规范指南》基本原则第6条也规定了“在有必要保护国家安全、公共秩序、公共健康或者公共道德”等情形下可以在目的之外非经数据主体同意使用个人数据[2]。2018年被称为史上最严的《欧盟通用数据保护条例》出台并生效，该条例也明确规范了基于数据主体的保护，数据使用必须经主体同意，但同时也规定“控制商必须履行的法定义务、控制者是为了公共利益或基于官方权威而履行某项任务进行的”或者是“控制者或第三方所追求的正当利益是必须的”等法定例外情形。

我国目前也没有制定关于健康医疗大数据使用的特别法，对数据保护的规定散见在其他的法律规范中，而且主要是通过个人信息保护的法律规定体现。这些法律条款主要是关于个人信息使用的一般性保护规定，如《民法典》第一编总则第111条和第四编人格权第1034条均规定了“自然人的个人信息受法律保护”的规定，同时在第1036条规定了“为维护公共利益或者该自然人合法权益”“为公共利益实施新闻报道、舆论监督等行为”可以合理使用个人信息。《中华人民共和国政府信息公开条例》第19条规定“对涉及公众利益调整、需要公众广泛知晓或者需要公众参与决策的政府信息，行政机关应当主动公开。”其中包括医疗政策措施实施情况以及公共卫生的监督检查情况，即对于这类医疗健康大数据尽管体现了个人信息，但不公开可能对公共利益有重大影响，应予以公开，而公开实际上是这类数据使用的方式之一。我国《传染病防治法》中规定的报告、通报和公布制度也是健康医疗大数据使用的法定方式。

实践中，自2016年国务院发布了《关于促进和规范健康医疗大数据应用发展的指导意见》以来，医疗健康大数据已广泛运用于健康管理、辅助医疗、医疗智能化、医疗产品研发、公共卫生安全等领域。此次重大公共卫生突发事件应对中，正是通过全面采用“大数据+网格化”的模式，在对疫情相关健康医疗大数据信息的收集、处理、分析、研判上，实现对疫情的精准、及时、有效的控制和治理。

2 公共卫生安全下健康医疗大数据使用中的法律问题

尽管在公共卫生安全下，个人健康医疗数据的收集、使用无需取得数据主体同意，但在健康医疗大数据使用的保护上，仍面临联防联控中数据保护难，疫情信息公开中“健康医疗数据最小化原则”适用难，疫情信息处理中的群体隐私保护难等问题。

2.1 联防联控下健康医疗大数据保护难

联防联控是我国政府通过社会与政治动员以集中力量来协调解决在突发事件预防、响应以及恢复过程中的各类需要，是我国面对突发公共卫生事件常用的防控措施，是我国应急管理制度运作的重要特色，体现了我国集中力量办大事的制度优势[3]。在重大公共卫生事件爆发时，为了有效控制疫情，实施精准治疫和防疫，政府借助大数据技术实行联防联控机制。在联防联控机制下，各机构在自己的职责范围内收集与疫情相关的大数据，通过对健康医疗大数据的收集，分析研判疫情态势，强化流调溯源，通过重点地区重点人员的检测排除可能出现的重大疫情传播风险。流调机构通过大数据技术进行流行病学调查，收集与疫情相关的健康医疗大数据信息，医疗机构、交通运输单位、居民委员会、村民委员会等部门也基于疫情的防控各司其职，各部门之间实行健康医疗大数据信息的共享。在联防联控机制下，各部门都是数据的控制者和持有者，各部门接触数据的人员众多，同时由于新冠疫情的危害性造成公众的恐惧和期待对相关信息知情的心理，极易发生健康医疗个人数据信息泄露。而现代网络技术也为相关数据信息的传播提供了便利，微信群、QQ群、朋友圈、微博成为健康医疗数据泄露的主要方式，患者、疑似者、密切接触者等相关人员健康医疗数据信息保护难度大。期间发生多起案件也说明了该问题，如“成都确诊女孩信息遭泄露”后受到网络暴力，“杭州一位无症状感染者的身份信息、联系电话等数据在网上被大面积传播”“某地区第一例感染者”等个人健康数据泄露[1]。泄露者中有医疗机构的工作人员，也有流调人员和管理人员。健康医疗大数据的挖掘、预测以及全方位的监控使个人隐私保护面临新的困境，[4]在发生重大疫情等公共卫生突发事件时，在应急法治状态中，尽管权力呈现急剧扩张态势，公民的权利受到一定程度的限缩，公民权利的底线保护显得尤为迫切。联防联控中如何实现公权力运用和私权利保护，如何对权力实施有效监督，使公民的健康医疗大数据信息得以最大限度的保护，是大数据时代公共卫生安全下法律需回应的问题。

2.2 疫情信息公开中的“健康医疗数据最小化原则”适用难

为了保障人体健康和公共卫生安全，预防和控制传染病，发挥人民群众在传染病防治中的作用，《传染病防治法》规定了疫情信息的公布制度，其中包括“传染病非流行时的定期公布制度”和“传染病爆发流行时的疫情公布制度”，传染病疫情公布制度是传染病疫情防治中的重要制度，其目的主要保护公众的生命健康和财产安全，该种情形下的疫情数据信息公开是政府履行职责的行为。《政府信息公开条例》也规定行政机关应当主动公开“突发公共事件的应急预案、预警信息及应对情况”。疫情信息公开是我国突发公共卫生事件中的基本制度，是群防群治、联防联控制度的重要保障。但疫情信息公开中，如何遵循“数据的最小化原则”，患者、疑似者、密切接触者、次密切接触者哪些健康医疗数据信息应该公开？目前我国法律中只是做了原则性的规定，如《传染病防治法》第38条只规定了“公布传染病疫情信息应当及时、准确”，但哪些信息是必须公开的，法律中没有明确的规定。新颁布的《民法典》第1035条规定:“个人信息的处理，应当遵循合法、正当、必要的原则”，不得过度处理。但“必要”的“度”如何把握，公布信息的范围如何确定，存在适用难。依据《传染防治法》的规定，相关部门对传染病疫情应当履行报告、通告和公布义务，如不公开则涉及政府不作为，但如果公开过度可能涉及乱作为，同时涉及侵犯数据主体权益的情形。在疫情期间，也出现各地公布疫情信息时涉及个人健康医疗数据时的差异，甚至是同一机关在不同时间也有差异，因而引发个人健康数据信息公开“度”的争议。对此，中央网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，其中第3条规定：“任何单位和个人未经被收集者同意，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息，因联防联控工作需要，且经过脱敏处理的除外。”但该条在具体的适用中仍然存在公布范围、公布事项的度上如何把握等问题？如“家庭地址”公布到何种程度对防疫是必要的，是仅公布到其所在的城市？社区？还是具体到所在的城市、街道、小区及楼栋、门牌号？如只概括公布能否达到精准防疫、群防群治的效果？在疫情防控中，对于许多疫情患者或疑似患者来说，可能不是病情本身的痛苦，而是患病信息公开后所带来的被歧视，以及可能给家属所带来的精神痛苦，特别是网络暴力和网络攻击问题。其中涉及的关键问题是，在面对危害公众安全的重大疫情下，健康医疗大数据收集后，其作为数据的控制者和处理者，如何实施数据公开时的最小化原则，信息公布的范围如何准确界定。

2.3 疫情信息处理中的群体隐私保护难

3 公共卫生安全下健康医疗大数据保护的应对

公共卫生安全下，健康医疗大数据的使用对于精准防疫和治疫起着极其重要的作用，但在健康医疗大数据的收集、使用和处理中，如何避免对个人和群体权益产生不利影响及次生灾害，如何在遵循“积极利用、科学发展”方针指引下，同时做到“依法管理、确保安全”。

3.1 完善联防联控下健康医疗大数据使用的监管制度

“大数据的核心是预测,是把数学算法运用海量数据上，预测事情发生的可能性”[11]。在疫情防控中，疾控、公安、工业和信息化、通信、交通运输、医疗机构等各部门正是运用大数据技术，在流调溯源、重点人员隔离管控以及重点地区、重点环节疫情防控等方面取得了显著的成效。但大数据时代的秩序不能依赖于自发秩序而应当由人类理性加以规制；大数据时代，政府间的横向分工合作与纵向科层制的生硬结构将被打破，政府内部的数据共享与共同决策拉平部门间的鸿沟[12]。大数据环境下，政府不仅是大数据的持有者和提供者、大数据平台的建设者与维护者，还是自主开发利用大数据的监督者[13]。在重大公共卫生安全事件的联防联控制度实施中，由于参与健康医疗大数据收集的部门众多、人员众多，要保证健康医疗大数据的安全使用，应建立和完善各部门共同参与的数据治理制度。基于公共卫生安全，政府作为健康医疗大数据的收集者、持有者、控制者、提供者、使用者和疫情信息的发布者，既要完善纵向的健康医疗大数据监管制度，也要建立横向各部门间的协同数据治理制度；在完善外部监管制度的同时，应建立内部监管制度。只有构建对政府权力有效监管的法律制度，才能保证数据的有效公开和合理使用[14]。只有建立和完善联防联控下的健康医疗大数据保护机制，才能实现大数据技术在公共卫生安全下精准防疫和治疫目的。

3.2 制定公共卫生安全应用场景下健康医疗大数据流动细则

最小化原则是个人数据使用和处理的原则性要求。数据最小化原则也称为最小范围原则或最小够用原则，即数据主体以外的第三人使用数据时，不管是基于何种目的的使用，应最大限度地保护数据主体的权益，将对数据主体的损害降到最小。《欧盟数据保护条例》第5条1(C)规定：“个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的”。我国《民法典》第1036条也规定即使是为了维护公共利益处理个人信息，其处理必须是合理的。可见对个人数据的处理应遵循“合理性、相关性和必要性”的规则，“合理性、必要性”是数据最小化原则运用中的基本要求。但在公共卫生安全应用场景下，何为必要和合理，需进一步明确。应建立公共卫生安全下的分类分级健康医疗数据的收集、处理和发布规则。在健康医疗数据的收集范围和对象上，应区分常态化疫情下和非常态化疫情下，同时应考虑传染病的等级、传染病传播的速度及危害程度，参照《个人信息安全规范》国家标准，坚持最小范围原则，收集对象原则上限于确诊者、疑似者、密切接触者等重点人群，对密切接触者范围的界定要与疫情的等级、影响范围等相关。在疫情的防控中，为保障健康医疗大数据的安全，在保障数据机密性、完整性、可用性的基础上，同时应保证数据使用的合规性和可控性。为了在公共卫生安全下，对数据主体的伤害最小，法律中应明确规定基于传染病疫情发生时，可以被处理数据的类型；数据可能被公开的对象，公开方式、公开的地域范围。对于涉及个人隐私的个人医疗数据信息应有限公开，同时，应考虑公开的对象、疾病的危害程度以及病患的身份[15]。使精准治疫与数据安全保护协同，公共安全与数据主体个人权益保护协同。从而符合我国网络安全的“积极利用”和“确保安全”的基本方针。

3.3 制定公共卫生安全下特定场域的群体隐私保护法律规定

目前国内外法律均规定了对个人数据信息的保护，但却忽视了特定场景下群体隐私的保护。疫情期间，大数据技术在人员定位、体温筛查、智能生产、供应链管理、预警分析等方面为政府监管、医疗分析、社区管理、企业生产等提供极大的便利，产生了巨大的社会公共利益和制度利益，但“当事人的具体利益”和“群体利益”保护仍然不容忽视，特别“群体隐私”保护问题。当事人的具体利益、群体利益、制度利益和社会公共利益间形成一定的层次结构[16]。公共卫生领域每一个决策都涉及到权益的权衡和取舍[17]，在公共卫生安全的特定场景下，应在维护社会公共利益的基础上，考虑当事人的具体利益，同时联系群体利益和制度利益 ，对各种利益进行综合衡量 ，制定特定场域下的群体隐私保护制度。尽管法律规定了个人隐私的保护，但当攻击者的目标识别是一个群体而不是个人时，基于个人可识别性的现有隐私保护规定无效[18]，这种情形下，特定场域的群体隐私保护制度建立对个人具体权益的保障和公共利益的实现具有重要保障作用。在疫情发生的特定场所，基于公共卫生安全，如何衡平公共利益、群体利益和个人利益，韩国为保护“性少数群体隐私”，在全国推行匿名测试的做法具有一定启示意义[7]。如果特定群体的数据隐私信息得不到保护，该群体可能不愿意配合流调，进而影响疫情防控，可见公共利益、群体利益和个人利益是相关联的。在健康医疗大数据的收集、存储、公布、分析挖掘、使用的数据生命周期中，应根据数据的类型、涉及的个体隐私、群体隐私的范围设立差异隐私保护模式，在最大化发挥数据效用的基础上，最小化地减少健康医疗数据隐私泄露风险。其次，还应根据疫情的类别、传播的速度、常态化或非常态时期，设立差异化的隐私保护方式，既能保护数据主体隐私，又能保证数据信息可以精准抗疫，有效抗疫。在采取传统的数据加密技术、匿名技术、数据失真技术及访问控制技术的基础上，应建立相应的数据治理制度。