洪凌啸

一、引言

近日，“河南储户被赋红码”事件引发社会广泛关注，相关责任人员将合法收集的公民“健康码”信息非法“赋红码”，间接限制民众自由。这种随意滥用公民为配合国家防疫让渡出去的个人信息，是对公民个人信息的侵害，此行为引发社会大众的普遍担忧，存在治理工具滥用之嫌，且破坏了公民对政府的信任。在当前防疫情势常态化的背景下，如何调整公权力与私权利之间的边界与张力，保障公民个人信息的合法权益，已成为关键问题。

习近平总书记指出：“全面提高依法防控、依法治理能力，为疫情防控工作提供有力法治保障。”“当前，疫情防控正处于关键时期，依法科学有序防控至关重要。疫情防控越是到最吃劲的时候，越要坚持依法防控，在法治轨道上统筹推进各项防控工作，保障疫情防控工作顺利开展。”(1)《强调全面提高依法防控依法治理能力 为疫情防控提供有力法治保障》，载《人民日报》2020年2月6日，第1版。2022年6月22日，习近平强调：“要维护国家数据安全，保护个人信息和商业秘密，加快构建数据基础制度体系。”(2)《加快构建数据基础制度 加强和改进行政区划工作》，载《人民日报》2022年6月23日，第1版。国家卫健委也要求：“强化与工信、公安、交通运输等部门的信息联动，形成公路、铁路、民航、通讯、医疗等疫情相关方多源数据监测、交换、汇聚、反馈机制，利用大数据技术对疫情发展进行实时跟踪、重点筛查、有效预测，为科学防治、精准施策提供数据支撑。”(3)《国家卫生健康委办公厅关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》(国卫办规划函〔2020〕100号)。

疫情防控过程中运用数字技术，收集与分析海量数据，通过不同种类个人信息的交叉融合，可以提高疫情防控的效率，在一定程度上降低社会的过度动员，进而减轻社会的经济负担。但需认识到，公民的私权利也应受到合理保护。公民的私权确会因防控疫情的需要而限缩，但限缩应有法治的底线。特别是在疫情防控常态化的背景下，大量个人信息经由健康码、行程码、登记码等App、小程序得以收集。在疫情防控过程中，信息技术和大数据分析运用相较于传统的走访、摸排、登记，更为及时、准确、有效，但与此同时其所带来的问题是，各地区的流调信息及感染人员的姓名、电话号码、居住地等个人信息被频繁披露，如何确保疫情防控过程中数字技术运用的合法性与个人信息的数据安全是疫情防控所面临的迫在眉睫的问题。

二、抗疫过程中个人信息收集处理的不同模式

抗疫过程中，个人信息的收集处理可分为健康认证的传统数据模式与运用“接触追踪”(contact tracking)技术的大数据模式。

其一，健康认证的传统数据模式。该模式又可分为两类:第一种是自上而下的统计。政府将所需信息条目传达至基层部门，安排街道办事处、居委会的基层工作人员与社工、志愿者上门观察，登记在册，逐户进行信息收集与上报，这是全覆盖式大排查。例如四川的街道办“主动上门、电话联系、预约上门，动员群众参与防控及自我排查……新型冠状病毒感染的肺炎疫情蔓延以来，各街道以多种形式开展疫情防治防控工作，对社区实行网格化、地毯式管理”。(4)《成都高新区打响疫情防控阻击战 收集居民信息“不见面”》，四川新闻网：http://scnews.newssc.org/system/20200201/001028706.html，最后访问时间：2022年6月14日。第二种是自下而上的登记。社区成员自行填报并更新个人信息。这种方式依托社会网络，自发利用“问卷星”等工具，在特定的场域内针对特定人群收集信息。

其二，运用“接触追踪”技术的大数据模式。随着数字化的进一步铺开，目前健康码、出入证等电子相关证明已成为生活的一部分，各地政府通过健康码、核酸码、场所码准确记录、收集个人的姓名、身份证号、行动轨迹、到访场合等个人信息。健康码以集中化、全面化的方式收集个人信息，甚至还囊括了个人的疫苗接种情况、过往病史、生活习惯等个人隐私，健康码状态会影响个人的出行、就诊。健康码主要使用的是“接触追踪”技术，“接触追踪”可通过识别、寻找高风险目标群体，实现对密切接触群体的隔离与治疗，这是一种精细化程度更高的追踪方式，可精准追踪、指向特定个人。“接触追踪”的概念来源于欧盟法，在“欧洲议会和欧盟理事会关于严重的跨境健康威胁的决定”中，“接触追踪”是指“为追踪暴露于严重的跨境健康威胁源，且有感染疾病危险或已感染疾病的人而采取的措施”。(5)“Big Data, Privacyand COVID -19—Learning from Humanitarian Expertise in Data Protection”，https://doi.org/10.1186/s41018-020-00072-6，最后访问时间： 2022年6月14日。

当下，“接触追踪”不仅可以通过对手机信令数据进行收集与分析，定位来自疫情重点地区的人群位置，还可以以确诊者及密切接触群体、次密切接触群体的电子支付、交易、消费记录信息为基础，根据相关餐饮、住宿、移动大数据，特别是共同乘坐的飞机、高铁、出租车、公交地铁等密闭接触空间的交通工具及商场、景区、游乐场等人群密集场所的位置数据信息，分析时空伴随者的行踪轨迹，尽早发现、确定密接、次密接人员，筛查疑似患者，有效实施隔离，切断传染源。

“接触追踪”技术所使用的数据信息种类各异，以数据的掌握主体为标准，大体可分为两类。一类是传统线下管理者、经营者掌握的数据。目前，在公安机关的要求下，以飞机、高铁等方式出行的乘客需实名购票。因此，一旦确诊者在飞机、高铁上的乘坐位置被确定，其四周及同一机舱、车厢的密接、次密切接触群体也随之定位。根据火车站进出闸机及机场、高铁站的监控视频确定感染者在机场及高铁站进出站时周边的人员情况。如感染者系自驾出行，则可根据高速公路收费站、加油站、服务区因ETC缴费等电子支付方式所收集到的同一行程、同一时间通过的车辆的车牌信息、行踪轨迹及上下高速路口时间信息，进而确定车上的关联人员信息。此外，酒店住宿亦需要登记住店人员的个人身份信息。

另一类是新兴线上电信与网络公司所掌握的数据。在数字经济背景下，互联网公司尤其是平台，通过资源流动和低成本获取，动态地积累更多用户数据。(6)参见胡凌：《互联网“非法兴起”2.0——以数据财产权为例》，载《地方立法研究》2021年第3期，第21-36页。疫情防控过程中，将企业的商用数据用于“接触追踪”，实质上是改变数据初始使用目的的个人信息处理行为。具体而言，企业商用数据的“接触追踪”可分为三种。第一种是手机通信运营商通过手机信令数据、通话明细记录及手机App获取设备识别码的功能，以手机的电话呼入呼出及其他如短信、联网等通信交易的发起、持续时间、完成状态，IDFA/SN/MAC/IMEI/IMSI等硬件设备码、软件识别码等数据确定手机使用人员的精确位置。鉴于中国网民规模已达8.54亿，其中，智能手机的上网率达99.1%，(7)参见CNNIC互联网研究：《第43次CNNIC中国互联网报告发布》，载《中国广播》2019年第4期，第1页。可以说，只要掌握了具有即时性、生成活动记录的个人手机通信数据，也就掌握了相应的行踪轨迹并实现迅速联系、定位。

第二种是满足日常衣食住行等生活需求的手机App类的大数据信息。当前外卖已成为都市人不可或缺的服务，而配送上门的前提条件是客户要提供准确的收货地址。“美团”“饿了么”等外卖巨头会沉淀客户的配送地址、联系方式等个人信息。在出行方面，“滴滴出行”“曹操出行”“腾讯地图”“高德地图”等通行类软件会留存用户的手机号、地理GPS信息、行车的起止时间、地点等个人信息。尤其是“滴滴出行”，开启导航的同时即意味着未来可对每一次行程的导航路线进行回溯。某些流调中用户的出发地、目的地及用车路线、时间一览无遗。

第三种是支付类软件的数据信息。“支付宝支付”“微信支付”等支付类软件已融入人们的日常生活，悄无声息地构建出一个无现金的社会。在享受扫码支付便利的同时，也承受着个人信息泄露的风险。“接触追踪”技术可结合交易支付信息中所包含的支付时间、专用收款终端信息及确诊者的运动轨迹信息，分析、追踪、确定确诊者彼时彼处的接触人群，顺藤摸瓜发现密切接触群体、次密切接触群体及其他时空伴随者。

三、疫情防控中个人信息收集处理面临的问题

在遏制疫情的过程中，新型数字技术发挥了较大的作用，但同时也带来了一系列问题。依法防控疫情，同时需要保护人们的隐私。令人担忧的是，在疫情防控过程中出现了罔顾公民个人隐私，直接披露、共享确诊者个人信息的行为。一些流调将具体的时间、地址、停留时长一一列举，好事者津津乐道，引发街头巷尾的热议。这些严重、恶意非法披露、泄漏确诊者个人信息的行为，不仅使确诊者在心理上承受了巨大的压力，甚至还有可能使之受到人身伤害。当前在疫情防控背景下，确诊者、疑似患者及密切接触者往往被视为高危人群，其个人信息一旦被泄露、传播，可能会引发一些骚扰、恐吓行为，可能会使信息被公开人员及其家人的身心健康受到损害或者引发歧视性待遇。这种对个人信息保护不力情况的出现，极有可能降低公众对信息采集方的信任度，进而导致配合度下降，影响真实信息的采集、上报与分析，从而对疫情处置产生负面影响。例如，为防控疫情，全国某些地区的小区统计确诊者的个人信息，而与此同时，确诊者的身份证号、手机号、家庭楼栋地址等个人信息在小区群、志愿者群中被肆意传播，导致确诊者的个人信息被泄露。有受害者因此遭遇短信、电话骚扰，或因此被邻居要求公开全家信息。(8)参见《从武汉返乡学生：感觉自己像瘟神，大家拿着名单躲我们》，澎湃网：https://www.thepaper.cn/ne wsDetail forward_5648247，最后访问时间：2022年6月14日；《宁波公布新增新冠肺炎病例前，患者及其15位亲属个人信息泄露》，搜狐网：https://www.sohu.co m/a/374841894 161795，最后访问时间：2022年6月16日；《泄露新冠肺炎确诊人员隐私 山西一人被拘留7日》，搜狐网：https://www.sohu.com/a/375054065_114731，最后访问时间：2022年6月14日；《政府官网泄露个人信息，说好的隐私保护呢？》，人民网：http:/js.people.com.cn/n2/2020/0923/c360299-34311860.html，最后访问时间：2022年6月14日。

(一)数据收集处理者的合法性问题

疫情防控需要收集、处理海量的个人信息，特别是“接触追踪”技术还涉及对特定人群的追踪，涉及面广且影响力大，一旦泄露、私自传播确诊者、疑似患者及密切接触者等的个人信息，极有可能造成难以挽回的影响。因此，不是任何单位、组织或个人都有权、有能力对个人信息进行收集、存储、共享与分析、处理。具备明确的法律授权是夯实合法性基础的关键。未经法律明确授权的组织和机构，以及未依法参与政府组织开展的疫情防控工作的人员，不得擅自收集他人尤其是确诊者及疑似患者的个人信息。

明确数据控制者的职权职责，有助于追究未来数据失控的责任。欧盟委员会和欧盟成员国有权机构为数据的共同控制者，欧盟委员会承担了突发公共卫生事件中公民个人信息的数据存储责任，欧盟委员会将承担数据安全性与最小存储期限的责任；而欧盟成员国有权机构将在公民个人信息的告知和数据更正方面承担责任，即欧盟成员国有权机构对共享的个人信息后续如可能出现的违法违规流转情况承担法律责任。

在健康认证的传统数据模式中，数据的收集处理者一般为人民政府、卫生行政部门、疾病预防控制机构、医疗机构以及街道办事处、居委会的基层工作人员。在“接触追踪”的大数据模式下，数据的共享与处理者为掌握实名信息的公安部门及掌握一定运动轨迹信息的电信运营商及互联网公司。在健康认证的传统数据模式下，数据收集、处理者一般是街道办事处、居委会等基层一线工作人员，而在“接触追踪”的大数据模式下，数据的共享与处理者为互联网公司，但指挥者仍为公权力机构。

1．基层一线工作人员的个人信息收集行为

街道办事处作为区政府的派出机关，是能够独立承担权利义务的行政主体。居委会与村委会作为基层自治组织，在疫情防控中如要收集个人信息，应获得街道办事处或乡镇政府的委托，并以街道办事处或乡镇政府的名义来收集。在此过程中，居委会与村委会不能再委托其他机构收集个人信息，而未来潜在的个人隐私泄露及其他网络安全突发事件的法律后果需由街道办事处与乡镇政府承担。尽管《传染病防治法》等法律法规可视作街道办事处、居委会等收集涉疫人员个人信息的依据，但行政规定、应急文件尚未细化，无法保障广泛深入参与个人信息收集、管理、使用的居委会、村委会执行行为的规范化，对信息泄露的后果也未有切实具体的违法惩戒措施。

2．私营企业的个人信息共享行为

私营企业如互联网公司是否可改变个人信息使用目的以用于防控疫情，也面临是否合法的诘问。在疫情状况下，为实现疫情监测、防控、隔离等目的，互联网公司、电信运营商基于已掌握的个人信息，可不征得数据主体的同意而为相关部门进行传染病防控提供数据支撑。当然，这也需要互联网公司、电信运营商尽到通知等应尽之义务。

出于疫情防控的目的，美国法律支持政府卫生部门享有对私营部门调取或要求共享数据的权力。(9)D.Mietchen，“International Journal of Infectious Diseases”，53 Public Health Emergencies 35(2016)，pp.35-36.美国联邦最高法院的判例支持州卫生部门不但能够直接进入私人场所或对个人开展强制检查、调查等，还能从私营部门调取与公共卫生相关的数据(10)K.Littler，W.Boon，G.Carson，et al.,“Bulletin of the World Health Organization”，95 Public Health Emergencies 243(2017)，pp.243-244.，并可强制调取、收集患者的姓名和地址。例如2004年，美国艾奥瓦州与密歇根州的卫生部门分别以法庭传票(court subpoena)与“迫在眉睫危险令”(an imminent danger order)的形式强制西北航空汇报与疾病相关的情况，提供乘客列表与乘客、机组人员的联系方式，以确定一麻疹确诊者或疑似患者。(11)Public Health Law Bench Book for Michigan Courts， https://www.michigan.gov/documents/ag/PHLBB_2016_Edition_532659_7.pdf，最后访问时间：2022年6月14日。

(二)疫情防控过程中个人敏感信息的界定不明

能够识别自然人身份是个人信息的核心要素之一。“个人信息”(personal information)与“个人敏感信息”(personal sensitive information)的区分标准在于一旦泄露、非法提供或滥用是否可能危害人身和财产安全，导致个人名誉、身心健康受到损害或歧视性待遇等。(12)参见王利明：《敏感个人：信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》，载《当代法学》2022年第1期，第3-14页。个人信息保护法对敏感个人信息的处置规定了更为严格的“知情-同意”原则。一般而言，单纯的“姓名、出生日期、通信联系方式、住址”等信息属于以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，(13)参见程啸：《民法典编纂视野下的个人信息保护》，载《中国法学》2019年第4期，26-43页。被泄露、非法提供或滥用并不会危害到当事人的人身及财产安全，也不会导致个人名誉、身心健康受到损害或歧视性待遇。然而在疫情防控过程中，来自疫情重点地区的人或确诊者承受着巨大的心理压力，一旦“姓名、出生日期、通信联系方式、住址”等信息被从疾控机构泄露、非法提供或滥用，很有可能会出现确诊或疑似患者在互联网线上或线下被攻击、被指责的状况。因此，疫情状况下的个人信息尤其是“姓名、出生日期、通信联系方式、住址”等信息应被掌握上述信息的组织和个人“升格”为个人敏感信息来保护。

而从域外经验看，GDPR(《通用数据保护条例》)是以数据的使用目的及产生的后果来确定某种数据是否为特殊类型数据。GDPR第9条同样对健康相关信息(data concerning health)的数据处理行为做了特殊规定。(14)Lina Fatima Soualmia， et al.，“Health Data, Information, and Knowledge Sharing for Addressing the COVID -19”， 30 Yearbook of Medical Informatics 1(2021)，pp.4-7.由是观之，在重大疫情处置过程中，鉴于其可能产生的隔离、送医等后果，以及社会对其的负面评价甚至伤害行为，确诊、疑似患病人群的姓名、出生日期、通信联系方式、住址等信息应当被认定为与健康相关的信息，从而也需要被升级为特殊类型数据。(15)Mónica Correia, Guilhermina Rêgo and Rui Manuel Lopes Nunes，“The Right to Be Forgotten and COVID -19: Privacy versus Public Interest”，27 Acta bioethica 59(2021)，pp.59-67.

一般场景下，姓名、家庭住址、身份证号、手机号、行踪轨迹等属于一般性的个人信息。但在疫情防控这种特殊的社会状态下，应更强调个人信息的合法保护与公共卫生利益的平衡，应将收集手机号码、住址等也同样定义为个人敏感信息。此外，对于敏感程度更高的疫情流调信息，应将其视为“个人敏感信息”，以在保护强度上与一般个人信息有所区别，避免因信息保护资源分配不足而致使流调信息屡遭泄露。

(三)个人信息强制收集及改变信息使用目的过程中的告知程序缺位

《传染病防治法》《突发事件应对法》等法律强调了被采集主体的配合义务，《个人信息保护法》第13条也规定，为应对突发公共卫生事件处理个人信息的，不需要取得个人同意。疫情防控期间，互联网公司、电信运营商等私主体也可出于抗疫目的收集个人信息，不过，个人信息在信息强制收集与改变信息使用目的的过程中，国家机关有告知的义务。这是因为，知情是公民享有个人信息权的重要实现方式，在公共服务供给过程中，公众作为消费者，享有知情权、安全权和依法求偿权等权利。(16)参见李蕊：《公共服务供给权责配置研究》，载《中国法学》2019年第4期，128-144页。疫情防控主体应在向公众收集个人信息时履行告知和说明义务，向公民告知个人信息收集和使用的目的、范围及存管方式、期限，但当前这一告知程序在我国法律上仍是缺位的。

从域外经验尤其是欧盟GDPR规则与美国法的角度看，出于控制疫情的公共卫生目的，并不必然要求信息的匿名化，且支持对个人信息进行共享。欧盟GDPR虽将个人数据保护作为公民基本权利，但仍在不断平衡个人数据保护和公共利益，并允许基于重大公共利益等事项克减个人数据保护。(17)Luca Marelli，et al.，“Fit for Purpose? The GDPR and the Governance of European Digital Health”，41 Policy Studies 447(2020)，pp.447-467.GDPR另有规定三种合法性事由(18)分别是“为履行数据控制者承担法定义务所必需”“为保护数据主体重大利益或其他自然人重大利益所必需”“为执行公共利益之目的任务或数据控制者行使法定职能所必须”。，处理个人信息可不经个人同意。GDPR明确，公共卫生事件与传染病监测构成了GDPR所认定的重大公共利益与重大生命利益。故而，出于对公共利益与个人数据保护的平衡考虑，GDPR在个人信息处理的合法性基础、特殊数据处理、数据主体权利限制等方面予以特别规定，放松了个人信息保护的要求。当个人信息处理为“保护数据主体或其他自然人的重要利益所必要”时，可不征得数据主体的同意。

(四)个人信息的数据收集存储使用权限与数据安全保护责任不匹配

目前的疫情防控过程中，存在着收集不必要信息、信息保管存储不够严格、信息公布存在一定的随意性等诸多问题。例如，在健康认证的传统数据模式中，往往收集了过多的无关信息。在“接触追踪”的大数据模式中，所获数据信息并非摸排、主动收集，而是将之前用于公共安全与商业目的的数据信息，通过与政府共享或转换使用目的，用于对可能确诊人员的监测、筛查与追踪。这种数据共享以及数据初始使用目的变更的信息处理行为亦需要法律加以规制。目前，网络上一些自媒体为了吸引眼球，泄露流调报告中确诊者及密接群体的身份信息、活动轨迹、就医情况、工作单位、家庭住址、社交情况等个人信息。例如，2020年12月，一张内容涉及“成都疫情及赵某身份信息、活动轨迹”“成都确诊女孩一夜转场多家酒吧”的图片在网上大面积扩散。被泄露的个人信息显示，赵某在确诊前曾去过多家酒吧，赵某因此被认为是“陪酒女”“女海王”，带来恶劣的社会影响。(19)参见刘文慧：《法律该怎么保护你 成都确诊女孩》，载《四川法治报》2020年12月10日，第5版。再如，哈尔滨疫情期间，某病例一连三日参加剧本杀游戏，遂被网民杜撰私生活，并恶言侮辱。(20)参见《“我正在被网暴！”哈尔滨确诊患者玩剧本杀上热搜，网友吵翻，流调成了窥私素材？》，北青网：https://t.ynet.cn/baijia/31470526.html，最后访问时间：2022年6月14日。此外，疫情防控过程中，身份证号、电话号码、居住地址等重要个人信息成为支撑健康码、电子出入证等电子证件的必要信息来源，但在提交之后，信息的去向及是否被删除暂不得而知。2020年，因北京“健康宝”小程序存在设计缺陷，大量明星的健康宝照片在网络上遭遇泄露并被大肆售卖，造成了严重的后果。(21)参见何玲、孟佳惠：《“健康宝”信息泄露 隐私保护亟待加“码”》，载《中国信用》2021年第1期，第110-111页。

观之域外法律实践，欧盟GDPR认为在个人信息的采集、处理的过程中，应当遵循适当、相关与必要的原则，强调对个人信息“保密”的注意义务，即在数据处理过程中应确保个人信息的安全，采取合理的技术手段、组织措施，避免数据未经授权即被处理或遭到非法处理，避免数据发生意外毁损或灭失。在抗疫过程中开展的数据收集、使用也应当遵守欧盟GDPR法律框架的规定，尤其是“接触追踪”类的大数据分析追踪。(22)A Data Masking Guideline for Optimizing Insights and Privacy Under GDPR Compliance，Information Technology：https://doi.org/10.1145/3406601.3406627，最后访问时间： 2022年6月14日。在此基础上，GDPR提出了信息处理中一系列具体要求。首先，按照数据最少够用(data minimization)原则，“接触追踪”技术中可共享的个人信息需以类型列表化与指示性清单(privacy by design)的方式进行，以缩小个人信息的范围。(23)P.Quinn，“Research under the GDPR—a level playing field for public and private sector research?”，17 Life Sciences, Society and Policy 1(2021)，p.4.并且，信息传输共享需通过“选择性通信功能”(the selective messaging functionality)在特定成员国的有权机构间互换。(24)Maria Christofidou，et al.，“A Literature Review on the GDPR, COVID -19 and the Ethical Considerations of Data Protection During a Time of Crisis”，30 Yearbook of Medical Informatics 226(2021)， pp.226-232.其次，按照存储期限最小化原则，可以识别出具体数据主体的个人信息在储存时间方面有特定的要求，即不能超过实现其处理目的所必需的时间。超过此期限的数据处理只有在如下情况下才能被允许：为了实现公共利益、科学或历史研究目的或统计目的，为了保障数据主体的权利和自由，并采取了包括匿名化等合理技术与组织措施进行处理。(25)COVID -19 Research: Navigating the European General Data Protection Regulation，https://www.jmir.org/2020/8/e19799/PDF，最后访问时间：2022年6月14日。例如，与抗疫相关的公民个人信息在“早期预警和响应系统”(EWRS)中的存储时间不能超过12个月，超过12月的，个人数据会被自动清除。(26)June Park, “Governing a Pandemic with Data on the Contactless Path to AI: Personal Data, Public Health, and the Digital Divide in South Korea, Europe and the United States in Tracking of COVID -19”，14 Partecipazione e Conflitto 79(2021)，pp.100-111.GDPR第13条与第14条要求，数据控制者处理个人数据时的目的与初始收集目的不一致时，数据控制者应向数据主体告知数据控制者的身份、变更后的个人数据处理目的、数据接收方、个人数据处理的法律依据、个人数据的种类类别、存储期限、数据主体享有的各项权利等。(27)Federica Lucivero, et al.，“COVID -19 and Contact Tracing Apps: Ethical Challenges for a Social Experiment on a Global Scale”，17 Journal of Bioethical Inquiry 835(2020)，pp.835-839.

四、疫情防控中个人信息保护的法律建议

(一)明确疫情防控中个人信息收集、存储、公开的法律边界

疫情防控中，个人信息的数据收集应遵循“目的明确”“最少够用”原则。在健康认证的数据场景下，关键信息是，是否“来自疫情重点地区”或有相关的病例接触史以及是否存在病状，因此，主动收集的信息内容仅可包括“姓名、联系方式、是否来自疫情重点地区、是否有相关的病例接触史以及是否存在症状”。姓名和联系方式可用于后期联系个人，来源地、病例接触史与症状可用于后续数据分析处理。而其他数据暂不应被列入收集的范围，不应被收集者用于其他的经营性目的，更不能被违规甚至违法对外大肆出售。

在存储管理方面，对个人信息应形成分级、区别的管理方式，并采取严格的存储管理措施，即前期收集了个人信息的主体，需对其所接触的个人信息承担安全保管义务，确保其存储的个人信息不会无意中被泄露或被第三方入侵。疫情防控中个人信息的数据存储应由专人保护负责，进行汇总并管理，个人信息应与其他数据分别存储，非必要人员不得接触全部数据。物理纸质信息应通过保密措施加以保管存储，相应的电子信息应同步加密处理。数据的查看与获取应设置相应的有限访问权限及申请程序，仅可由已获授权的用户访问，并设置安全、个性化的用户账户和密码。数据分发应以“必要”为原则，并做一定的匿名化处理，使得个人信息在未得到其他数据参照时，不可指向可被识别的特定主体。疫情防控过程中，个人信息的数据存储时限可不设置明确的删除时限，但删除节点仍需明确。同时，建立数据安全的日常监测制度，确立定期的数据安全审计制度，个人信息需日常更正、删除信息中不准确、过时、不再必要或违反数据保护法律的个人信息。

在对外公开方面，疫情防控过程中公开个人信息的目的是对确诊或密接者、次密接者的活动路线及半径进行公示，以方便确认接触人群，消除大众的恐慌情绪。因此，信息公开的匿名化处理应根据个案特点，确定有差别的匿名化标准，原则上无须公开确诊或密接群体的姓名、电话号码、身份证号码及个人家庭住址等详细信息，而仅需对确诊或疑似病人的运动轨迹、乘坐交通工具的如航班号或高铁班次等具体信息加以公开公示。

(二)明确数据收集主体的责任范围

对于涉疫个人信息的数据利用与保护，应对数据收集主体间的责任范围进行严格划分。以健康码为例，目前各省的健康码主管部门涉及卫健委、疾控中心、疫情防控指挥部、医保局、数字办、经济和信息化局、行政审批和政务信息管理局等，并由私营企业为健康码运营提供技术支持。因此，需明确各数据收集主体的角色，是采取由单一部门主管的单独个人信息处理者模式，还是多部门共管的个人信息共同处理者模式，并适用不同的数据处理原则。

当私营企业实施与政府机关共享企业商用数据行为时，则其为个人信息提供者；当政府指定企业具体承担健康码的运营管理，企业由此改变数据初始使用目的时，企业又成了个人信息受托处理者。此时，电信运营商、互联网公司及第三方需通过后续相关个人信息的数据安全保护措施，保障个人信息不被泄露与滥用。从事前的角度而言，首先，在收集数据之前可签订相关的数据共享协议，明确数据共享中的各方角色、数据共享的目的等重大事项。其次，鉴于企业所掌握的如行踪轨迹等数据的细密性、敏感性，在改变数据初始使用目的时，政府或企业还需履行相应的告知义务，其中互联网公司、电信运营商可通过App、手机号直接向用户告知，政府部门则可先行通过企业履行告知义务，再由政府承担告知成本。

(三)建立“接触追踪”技术的算法审计制度

“接触追踪”技术的大显身手，不仅依赖于大数据，更倚重智能算法模型，但智能算法却潜藏着隐私和歧视风险，有可能侵犯公民的自由与隐私权。(28)参见洪凌啸：《误区与正道：法律人工智能算法问题的困境、成因与改进》，载《四川师范大学学报(社会科学版)》2020年第1期，第58-70页。因此，亟须建立“接触追踪”技术的“算法审计”(audits of algorithms)制度，以减少负面影响。算法审计通过搜集在特定领域算法运行过程中产生的数据，评估算法模型是否存在侵犯公民基本权利的负面影响，进而调整算法。算法审计可评估算法的透明度与可解释性，保护个人信息。具体而言，为确保算法决策模型中数据的合法性、可靠性及模型的合理性，首先应审计算法方案内容中的关键特征，如算法的详细属性信息、定义可接受的容差、算法数据的输入和输出模态、重视或忽略的信息、算法策略、算法风险与防范机制等，以避免算法过拟合所导致的虚假相关性，进而引发偏见。其次是审计算法适用的算法模型及训练数据集。当训练数据集相对较小时，算法亦容易引发内在偏差。审计过程中，应鼓励算法获取多元的数据源，尤其是能回答特定问题所必需的数据。最后，需对算法进行备案。算法提供者应以显著方式公示算法的目的、基本原理和主要运行机制，以方便民众获取和修改“接触追踪”技术所产生的评价结果。

(四)建立“接触追踪”技术的算法解释制度

对个人信息使用的全面解释能使民众相信个人信息在被负责任地使用。建立“接触追踪”技术算法解释制度的目的是消除因“接触追踪”技术而导致的误解与疑虑，在个人信息处理过程中构建信任的桥梁。算法解释制度能够使民众明白“接触追踪”技术如何做出决策，并及时发现决策过程中的问题并予以纠正，以平衡民众与政府之间的权力分配。此外，算法解释制度能在一定程度上消解“接触追踪”类大数据技术的“元问题”，即算法“黑箱”——深度学习算法输入数据与输出数据之间难以为人类观察、理解的隐层。

针对“接触追踪”技术，可建立事前事后解释相结合、系统性个案性解释为一体、以具体决策为中心的算法解释制度。具体而言，首先使用“接触追踪”技术的政府部门及私营企业应在事前公布算法规则，受“接触追踪”技术影响的个人可在接收到算法决策后提出解释算法的请求。其次，受“接触追踪”技术影响的个人既可要求算法决策者系统解释算法的模型标准、分类结构、一般功能与预期后果，亦可要求解释其个案决策中的个别情况，如使用数据情况、数据的特征权重、决定支撑数据、数据源的信息、算法的引用或配置规则，使当事人理解其接收的特定决策的依据，同时支持个体提出证据予以反驳。