公共卫生智慧应急管理中个人数据收集的现存问题及对策研究
2022-11-21朱静洁吴大华
朱静洁 吴大华
(1.云南财经大学,云南 昆明 650221;2.西南政法大学,重庆 401120;3.贵州省社会科学院,贵州 贵阳 550002)
一、问题的提出
习近平总书记在中央全面深化改革委员会第十二次会议中提出,要鼓励运用大数据、人工智能、云计算等数字技术,在疫情监测分析、病毒溯源、防控救治、资源调配等方面发挥更好的支撑作用。(1)《习近平主持召开中央全面深化改革委员会第十二次会议(2020年2月14日)》,参见民主与法制网http://www.mzyfz.com/html/2349/2021-12-31/content-1549563.html,2021年12月31日。在公共卫生智慧应急管理中充分运用大数据、人工智能、云计算等数字技术能够有效提高应急管理工作的准确性、及时性及科学性,而数字技术的具体应用中涉及大量个人数据,因此应急管理中个人数据的收集是否有规范、合理、具体的规则作为指引,决定了应急管理工作能否高效开展以及公民隐私是否得到必要保护。
目前,我国公共卫生智慧应急管理工作相关的法律依据主要见于《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》等,而上述文件中均缺乏应急管理中个人数据收集的具体规定。原因在于,《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》等的制定或修订时间均早于2013年(2)现行《传染病防治法》于2013年修正实施,《突发事件紧急应对法》于2007年颁布实施,而《突发公共卫生实践应急条例》则于2011年修正实施。,而大数据、互联网技术在近几年才经历了爆发式发展,在上述法律法规制定或修订的背景下立法机关难以就公共卫生智慧应急管理中个人数据收集与保护作出相关规定。
2020年1月20日,国家卫健委在报国务院批准同意后将新冠病毒感染的肺炎纳入法定传染病乙类管理,采取甲类传染病的预防、控制措施。(3)《新型冠状病毒感染的肺炎纳入法定传染病管理》,参见中华人民共和国国家卫生健康委员会网站http://www.nhc.gov.cn/xcs/fkdt/202001/e4e2d5e6f01147e0a8df3f6701d49f33.shtml,2020年1月20日。2020年2月4日,国家卫健委发布《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》,提出强化防控工作中数据的采集应用分析,保障数据的规范使用及个人隐私安全。2020年2月9日,中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》),提出各地方部门应高度重视个人信息保护,为疫情防控中个人信息的收集、使用、公开提供了政策指引。数据是信息的载体,个人数据是通过电子方式记录的个人信息,[1]包含了能够直接或者间接识别特定个人的所有数据。[2]上述文件虽然为公共卫生智慧应急管理中个人数据的收集和保护确立了基本规则,但由于文件的制定发布具有一定的应急性,相关规则的内容较为简单概括,不足以为应急管理中个人数据的收集提供充分、有效、具体的指引。本文以新冠病毒肺炎的疫情防控工作为例,研究公共卫生智慧应急管理中个人数据收集的基本原则、个人数据收集工作中的现存问题及对策,以期为智慧应急管理中个人数据收集准确性、及时性、合法性的提升提供有价值的参考。
二、公共卫生智慧应急管理中个人数据收集的基本原则
公共卫生智慧应急管理中收集、使用个人数据是为了保障国家公共卫生安全,保护不特定多数人生命健康的安全利益,[3]保障公共利益与私人利益的共同需求,应当认定具备充分的正当性。但是,个人数据呈现出强烈的人身属性,透过个人数据能够识别特定自然人,因此在基于公共利益收集、使用个人数据时,必须认识到收集行为可能有损害公民隐私利益的隐患,并加以防范。综合考虑公共卫生智慧应急管理的特点、需求及公民的隐私利益保护要求,可将智慧应急管理中收集个人数据所应当遵循的基本原则概括为目的限定、数据最小必要及高效安全三大原则。
(一)目的限定原则
目前,我国对于个人数据的收集遵循严格的目的限定原则,目的限定原则是指个人数据的收集应当基于合法、正当、明确、必要的目的,要求数据收集者不得将其收集的个人数据用于超出原初收集的、无法预知的目的。[4]14《中华人民共和国网络安全法》第41条明确规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”前述《通知》规定:“为疫情防控、疾病防治收集的个人信息,不得用于其他用途。”可见,我国当前个人数据收集的“目的限定”,是以个人数据初次收集时所确定的目的作为使用的唯一目的,不允许数据使用者在后续阶段进行调整。欧盟对于个人数据使用的目的限定虽也较为严格,但却与我国有所区别,提出了评估个人数据使用后续目的与初始目的是否相符的主要考量因素,为个人数据后续使用目的的调整留出了空间。欧盟的《通用数据保护条例(GDPR)》基本沿用《数据保护指令》中对于目的限定原则的相关规定,[5]要求数据控制者只能够基于具体、明确、合法的目的收集、利用个人数据,一旦确定特定目的后,个人数据的收集、利用需一直遵循该目的,不得基于与个人数据收集时所定目的不相容的其他目的对个人数据进行处理、使用。[6]美国的《消费者隐私权利法案(草案)》则以场景理念彻底取代了传统的目的限定原则,提出个人数据的收集、使用应当遵循“在相应的场景中合理”的标准,(4)FTC Report of 2010,F.T.C.,Protecting Consumer Privacy in an Era of Rapid Change:A Proposed Framework for Businesses and Policymakers-Preliminary FTC Staff Report(2010),http://www.ftc.gov/os/2010/12/101201privacyreport.pdf。符合消费者的合理隐私期待。[7]在个人数据收集中采用场景理念,不仅能够大幅度拓展个人数据收集的合法事由,还能有效减轻个人数据使用主体的合规负担,促进个人数据的流通及合理利用。
借鉴国外经验,我国公共卫生智慧应急管理中个人数据的收集仍应遵循目的限定原则,但不宜僵化地将个人数据使用的初始目的和后续目的进行简单对比,而应灵活适用目的限定原则,将场景理念融入个人数据的收集当中。在目的限定原则的具体适用中,应当根据不同场景下个人数据的收集、使用是否带来了超出最初收集时的风险,判断个人数据收集、使用的目的符合性。
(二)数据最小必要原则
数据最小必要原则,是指个人数据的收集应当以实现特定目的的最小必要作为限制,个人数据的留存不得超出实现特定目的所必需的期限,并且在特定目的实现后应当及时删除个人数据。[4]7-8该原则要求个人数据的使用者在收集相关数据时必须作出合理努力,将个人数据的类型、收集个人数据的频率、数据体量及留存时间限制在合乎特定目的的最小必要范围之内。全国信息安全标准化技术委员会制定的《信息安全技术 个人信息安全规范》(以下简称《规范》)提出个人数据的使用应遵循最少够用原则,仅限实现用户授权同意的特定目的所需的最小数据类型和数量,目的达成之后相关主体应当及时根据约定删除个人数据,(5)《信息安全技术个人信息安全规范》规定:“最少够用原则——除与个人信息主体另有约定外,只处理满足用户授权同意的目的所需的最少信息类型和数量。目的达成后,应及时根据约定删除个人信息。”《通知》则要求疫情防控中个人数据的收集行为遵循最小范围原则,并限定了个人数据的收集对象。(6)《关于做好个人信息保护 利用大数据支撑联防联控工作的通知》提出:“收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。”考虑到公共卫生智慧应急管理中个人数据收集目的的公益性、后续使用场景的无法预知性以及大数据、人工智能、云计算等数字技术应用的需求,数据最小必要原则的适用亦可引入场景理念。公共卫生智慧应急管理中个人数据收集的数据最小必要原则,意味着不再苛求数据使用者在收集个人数据时严格限制最小必要范围,而是将限制重点转向应急管理中个人数据的利用当中,数据使用者在利用个人数据时应当合理控制隐私风险,使隐私风险降至相应场景中的最小范围。
(三)高效安全原则
高效安全原则,是指公共卫生智慧应急管理中个人数据的收集应当效率优先,同时谨慎考虑应急管理的公共利益保护需求与个人隐私利益保护需求间的平衡,[8]确保应急管理中个人数据的安全,采取必要的管理措施和技术手段保障个人数据的保密性、完整性及可用性。公共卫生智慧应急管理中个人数据的收集往往在时间上具有紧迫性,以新冠病毒疫情防控为例,一方面个人数据收集的低效率将可能拖慢传染病源、传染方式、诊疗方案、药物等问题的研究进度,另一方面个人数据收集的低效将直接影响对传染病确诊病例密切接触者的追踪,传染病传播范围的控制失灵将进一步扩大疫情影响,对不特定公民的生命健康造成更为严重的损害。公共卫生智慧应急管理中个人数据的收集应当遵循高效原则,但这并不意味着忽视个人数据的保护,数据收集者应当有效平衡应急管理需求与个人隐私利益保护间的关系,在高效收集个人数据进行应急管理的过程中,应给予个人数据必要保护。此外,公共卫生智慧应急管理中公民隐私利益的保护主要通过机密性和安全性来实现,[9]应急管理中个人数据收集行为的安全性也应当得到重视,《通知》提出了违规违法收集、使用、公开个人数据行为的举报处罚机制。(7)《关于做好个人信息保护 利用大数据支撑联防联控工作的通知》提出:“任何组织和个人发现违规违法收集、使用、公开个人信息的行为,可以及时向网信、公安部门举报。网信部门要依据《中华人民共和国网络安全法》和相关规定,及时处置违规违法收集、使用、公开个人信息的行为,以及造成个人信息大量泄露的事件;涉及犯罪的公安机关要依法严厉打击。”为确保个人数据的安全,相关部门应当保障个人数据不被违法主体破环或用于从事非预期行为,例如个人数据被第三方恶意截取、读取、盗取、篡改、污染等。
三、公共卫生智慧应急管理中个人数据收集的现存问题
收集数据是国家公共卫生智慧应急管理中个人数据利用的前提,应急管理中大数据、人工智能、云计算等数字技术的应用皆需数据作为基础资源,数据质量决定了数字技术应用的有效性及准确性,进而直接影响应急管理的精准性及及时性。新冠病毒肺炎疫情防控中个人数据的大规模收集是我国进入数字时代后的首次,但我国对于公共卫生智慧应急管理中个人数据收集的立法明显滞后于数字技术的发展,[10]在新冠病毒肺炎疫情防控的个人数据实际收集环节中出现了重复收集、无权收集、收集方式低效等情况,笔者认为,该类情况的出现主要有两大原因。
(一)被授权收集个人数据的主体过于分散
《突发公共卫生事件应急条例》《传染病防治法》《网络安全法》授权国务院有关部门和县级以上地方人民政府及其有关部门、各级疾病预防控制管理机构、医疗卫生机构、监测机构和科学研究机构在疫情防控中收集疫情信息,同时提出在传染病爆发、流行时街道、乡镇以及居民委员会、村民委员会应当协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告工作。由于新冠病毒肺炎疫情发展迅猛,且疫情首次爆发正值中国农历新年,恰逢全国人口流动量最高的时期,疫情传播范围较广,疫情排查工作异常艰巨。不论是确诊病例、疑似病例、密切接触者等重点人群的个人数据收集,还是普通民众健康情况、行为轨迹的排查都涉及大量个人数据收集工作,其个人数据收集的实际主体范围已超出了《突发公共卫生事件应急条例》《传染病防治法》《网络安全法》相关主体的限制,其中物业服务企业、用人单位和教学机构参与个人数据收集的情况最为常见。
虽然,在新冠病毒肺炎疫情防控紧急情况下将数据收集工作分散到街道、乡镇以及居民委员会、村民委员会、基层社区、用工单位等有一定的合理性及应急性,但由于疫情防控中个人数据收集规则尚未明确,有权主体过于分散而使被收集者面临更加严重的隐私风险也是显而易见的。同时,新冠病毒肺炎疫情防控中收集个人数据所使用的App、公众号、小程序、网站的运营者实际上也是有权进行数据收集的主体,因而有必要警惕运营者在提供服务的过程中借机过度收集公民个人数据的行为。
首先,有权收集数据的主体过于分散导致个人数据的重复收集。公民在疫情防控期间不仅需要根据《突发公共卫生事件应急条例》《传染病防治法》《网络安全法》授权主体的要求填报个人数据,还需向物业服务企业、用人单位、学校等提供内容相差不大的个人数据。收集主体分散但收集内容却基本相似,重复收集对于疫情防控并无实质性的促进作用,反而易导致形式化的“表格防疫”。其次,物业服务企业、用人单位、学校等数据收集主体通常没有专门从事数据收集的技术人员,公共卫生智慧应急管理中上述主体是否均有权、有能力收集处理个人数据尚待商榷,同时这类主体通常对于相关软件、数据目录等问题缺乏专业的解决能力,增加了错报、漏报、泄露相关数据的风险。最后,有权收集数据的主体过于分散将增加被收集者隐私利益遭受损害的风险。数据收集主体不统一且多采用不同渠道收集个人数据,可能给不法分子利用疫情侵犯公民个人信息制造机会。(8)《全市首例利用疫情侵犯公民个人信息案破获》,载涟水新闻网http://www.lsxw.net.cn/content.html?key=5e41f03c302a4588148b456b&father_key=5850e70046ac13f30c8b456c,2020年2月11日。
(二)个人数据收集方式难以有效保障应急管理需求及数据安全
我国《数据安全法》明确,任何组织、个人收集数据,应当采取合法、正当的方式,关系到重大公共利益的数据属于国家核心数据,应当实行更为严格的管理制度。(9)《数据安全法》第21条规定:“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”第32条规定:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”国家公共卫生应急管理中涉及的个人数据是应急管理工作开展的重要基础,关涉重大公共利益,数据收集方式应当兼顾疫情防控需求和数据安全保障要求,相关主体对数据应进行更为严格的管理。
新冠病毒肺炎疫情防控中,普通民众个人数据的初始收集主要为线下收集和线上收集两种方式。线下收集主要是指数据收集主体通过实地走访、登记、排查等方式获得填有被收集者个人信息的纸质表格或记录,再将表格或记录信息录入计算机整理汇总,需要消耗大量基层工作人员的时间和精力,线下的“表格防疫”大大影响了疫情防控中个人数据初始收集的效率。(10)《南京一监督建议叫停“表格防疫”》,载《新华日报》http://xh.xhby.net/mp3/pc/c/202002/06/c742340.html,2020年2月6日。线上收集,是指数据收集主体通过App、公众号、小程序、网站等线上方式收集个人数据。虽然,线上收集较线下收集更加便捷高效,但仍存在亟待改进的问题。首先,数据收集主体在新冠病毒肺炎疫情防控中采用不同的App、公众号、小程序、网站等线上渠道收集个人数据,社区、物业、居民委员会、村民委员会、志愿者、用人单位等各自收集数据并上报,基层的收集工作缺乏沟通交流机制,相互间不了解被收集者及其个人数据范围,不同数据收集主体面向同一公民多次收集基本相同的个人数据的情况较为突出。同时,各数据收集主体所收集到的个人数据的存储于不同的App、公众号、小程序、网站等之中,不利于被授权主体基于疫情防控和疾病收治目的对个人数据进行共享及二次利用。其次,数据收集主体利用微信、QQ等通讯群组收集个人数据存在较大的隐私风险。新冠病毒肺炎疫情防控初期,基层工作人员要求被收集者通过群对话或共同填写同一份在线文档的方式提供个人数据的情况较为常见,这意味着所有组内成员均能看到其他成员的个人数据,尤其当收集的个人数据涉及身份证号、详细居住地址、联系电话、家庭成员情况、健康生理信息等个人敏感数据时,被收集者个人隐私泄露风险较高。
四、公共卫生智慧应急管理中个人数据收集现存问题的解决对策
公共卫生智慧应急管理中个人数据收集主体过于分散和收集方式不够高效安全的问题,可通过建立国家级公共卫生应急管理个人数据收集平台、分区分级划定个人数据的合法收集范围、构建线上线下协同的个人数据收集机制以及明确应急管理中个人数据收集相关主体的法律责任等来进行完善。
(一)建立国家级公共卫生应急管理个人数据收集平台
首先,建立国家级公共卫生应急管理个人数据收集平台可避免因被授权主体过于分散而导致的数据重复收集问题。疫情防控中要求公民在规定时间内自行实名登录数据收集平台录入相关个人数据,由街道、乡镇以及居民委员会、村民委员会的基层负责人员进入平台对本辖区公民的个人数据进行筛查、补充、汇总,之后再通过系统上报给上级主管部门进一步利用,能够显著减轻基层人员的工作压力并提高工作效率。同时,街道、乡镇以及居民委员会、村民委员会的基层负责人员可通过平台授权查询本辖区公民的个人数据录入情况,有效改善因数据收集主体管辖范围重合而重复收集个人数据的问题。各级疾病预防控制管理机构、医疗卫生机构、监测机构和科学研究机构等专业机构收集到的重点人群个人数据也应由专门负责人员统一录入该平台,方便疫情防控部署及传染病诊治。
其次,建立国家级公共卫生应急管理个人数据收集平台能够保障数据收集的规范性及安全性,控制公民因个人数据收集可能面临的隐私风险,促进应急管理中个人数据的分析使用。统一的个人数据收集平台能够保证数据录入的格式、标准一致,有利于应急管理中不同机构、不同地区的数据共享及分析,特别有利于打通各级疾病预防控制管理机构、医疗卫生机构、监测机构和科学研究机构等专业机构与各地各级政府部门间应急管理相关个人数据共享的横向及纵向壁垒,为数字技术在全国公共卫生应急管理中的应用提供有利条件。以统一的数据收集平台推动被授权收集个人数据的专业机构与各地各级政府部门间共享应急管理相关个人数据,实际还能够起到监督各数据收集主体的作用,预防部分数据收集主体利用其他数据收集主体难以知晓其辖区范围内应急管理的相关个人数据,擅自隐瞒、更改、删除相关数据,影响应急管理的总体布局及效果。此外,通过国家级统一数据收集平台收集、存储并保护疫情相关的个人数据,能够更好地保障被收集者的隐私利益,实现应急管理与个人隐私利益保护之间的平衡,预防类似新冠病毒肺炎疫情防控中数据收集主体、收集平台或工具运营者泄露个人数据的事件再次发生。(11)《天柱一社区工作人员涉嫌泄露他人信息被行政拘留》,载搜狐网https://www.sohu.com/a/371775402_674455,2020年2月10日。
最后,国家级公共卫生应急管理个人数据收集平台中可设立求助通道,确保突发重大传染病患者被及时收治,预防疫情可能造成的“次生灾害”,保护求助者的隐私利益,提升我国的公共卫生应急管理效率。求助信息通过平台统一收集,不仅能够有效保护求助者的隐私利益,大大降低求助者因发布求助信息而遭受骚扰、威胁、他人违法使用个人数据等困扰的可能性,[11]还能保证政府相关部门及时收到求助信息并提供帮助或调整应急管理工作,兼具安全性与高效性。
(二)分区分级划定个人数据的合法收集范围
《数据安全法》中明确国家建立数据分级分类保护制度(12)《数据安全法》第21条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”,国务院在新冠病毒肺炎疫情防控中提出了分区分级防控的理念,要求各地以县(市、区、旗)为单位,根据人口数量、发病情况综合判断,科学划分疫情风险等级精准防控。(13)《国务院联防联控机制召开新闻发布会:分区分级施策 精准推进防控与复工》,见中共中央纪律检察委员会网站http://www.ccdi.gov.cn/yaowen/202002/t20200225_212238.html,2020年2月25日。公共卫生智慧应急管理中个人数据合法收集范围的确定也可引入分区分级理念,根据被收集者所在地区疫情防控的等级、遵循“目的限定原则”“数据最小必要原则”划定个人数据的收集范围。
参考新冠病毒肺炎疫情防控中个人数据收集的实际情况及《规范》中对个人数据的分类,可确定公共卫生智慧应急管理中需要收集的个人数据类别,包括但不限于个人基本数据、个人身份数据、个人健康生理数据、个人教育工作数据、个人位置数据、与特定地区人员接触数据。个人基本数据主要是指被收集者的姓名、性别、生日、民族、家庭关系等,个人身份数据在疫情防控中主要是指被收集者的身份证、护照、居住证等,两类数据主要用于在公共卫生智慧应急管理个人数据收集平台中进行实名登记。个人健康生理数据是指被收集者因生病医治等产生的相关记录以及与被收集者身体健康状况相关的数据。个人工作教育数据主要是指被收集者的职业、工作单位、教育经历等,公共卫生智慧应急管理中尤其需要收集确诊病例、疑似病例、密切接触者等重点人群的工作教育数据,该类数据对追踪密切接触者、查明传染病源均有重要作用。个人位置数据是指被收集者的行踪轨迹、旅行史、居住史、精准定位数据等,在应急管理中主要用于追踪突发重大传染病确诊病例及疑似病例的密切接触者。另外,应急管理中还需收集公民与特定地区人员的接触数据,突发公共卫生事件的初始发生地通常情况最为严重,此地区人员携带、感染病毒的概率较高,因此有必要收集特定时间段内公民与特定地区人员的接触数据,并对有接触史的公民进行较为严格的数据收集与观察。
(三)构建线上线下协同的个人数据收集机制
建立国家级公共卫生应急管理个人数据收集平台可通过线上收集方式显著提升工作效率,但公民通过线上平台录入个人数据需要使用电子设备并连接互联网,目前我国并非所有具备完全民事行为能力的公民均有条件或能力使用个人数据收集平台,因此在公共卫生智慧应急管理中有必要将线下个人数据收集作为必要补充,构建线上线下协同收集机制。中国互联网络信息中心于2021年2月发布的第47次《中国互联网络发展状况统计报告》中的统计数据显示,截止到2020年12月我国的网民规模达到9.89亿,互联网普及率达70.4%,其中农村网民占网民整体的31.3%,城镇网民则占68.7%,非网民规模为4.16亿,农村地区非网民占比为62.7%,60岁及以上非网民占比46%。可见,无条件或能力使用个人数据收集平台的完全民事行为能力人主要分布在农村地区,且以60岁及以上的老年人为主,因此公共卫生智慧应急管理中个人数据的线下收集主要针对农村地区,农村地区个人数据的线下收集主要由村民委员会负责,必要时可召集志愿者协助完成。同时,孤寡老人、留守儿童、孤儿、无监护人的精神障碍患者或残疾人等特殊人群的个人数据收集也应采用线下收集方式,并重点关注福利院、养老院、监狱、精神病院、禁毒所等,相关机构应派专人负责线下收集并将数据录入平台,机构所处地区的街道、乡镇以及居民委员会、村民委员会的基层工作人员负责核实、筛查、补充相关机构录入的数据。
(四)明确应急管理中个人数据收集相关主体的法律责任
国家应当制定《公共卫生智慧应急管理中个人数据安全应急预案》,当应急管理中个人数据发生大规模泄露、损毁、丢失时,应启动个人数据安全应急预案,预案应对事故基本情况分级、可能造成的后果类型、拟采取的紧急措施或补救措施、被收集者的自助措施建议等进行明确规定,尽可能保障个人数据安全且不影响应急管理工作进程,将损害降到最低。公共卫生智慧应急管理中,《传染病防治法》《突发公共卫生事件应急条例》等法律文件授权收集公民个人数据的主体应当按照要求收集数据,并将收集到的数据如实上报,不得泄露涉及公民个人隐私的相关数据。被授权收集个人数据的主体如出现怠于或不按照要求完成收集工作、侵害公民合法利益的情况,公民可依法申请行政复议或提起诉讼,被授权的数据收集主体的违法行为如造成严重后果,将被追究刑事责任。协助被授权主体完成数据收集工作的志愿者应当签署《个人数据保密协议书》,严格履行数据保密义务,及时上报收集到的个人数据,不得私自留存,严禁擅自复制、传播、倒卖其收集到的个人数据。政府是个人数据收集平台的建设者和维护者,[12]为国家级公共卫生应急管理个人数据平台提供技术支持的第三方企业应当承担数据保密及安全维护义务,为保障数据安全采取充分、必要的技术措施,不得擅自使用平台中的数据,应急管理工作结束后应当按照要求及时销毁相关数据,不得复制、留存、泄露平台中的个人数据。因第三方企业原因导致平台中的个人数据泄露、损毁、丢失的,单位及其直接负责的主管人员和其他直接责任人员将被追究法律责任。此外,被收集者应当依据《传染病防治法》及时如实地提供个人数据,(14)《传染病防治法》第12条规定:“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。”被收集者缓报、漏报、瞒报、谎报、隐瞒病史、重点地区旅行史、与患者或疑似患者接触史等,导致密切接触者发生感染或疫情蔓延扩散多人的,应当追究其刑事责任。在应急管理的个人数据收集中,对于缓报、漏报、瞒报、谎报、隐瞒病史、重点地区旅行史、与患者或疑似患者接触史等的被收集者,除应被追究其法律责任外,还应当将其列入个人失信黑名单,并在全国应急管理失信曝光平台中进行公布,曝光时间以一年为宜。