淺議疫情期間個人數據的保護

張瑜

摘要：“個人數據”的概念，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。根據《傳染病防疫法》、《突發公共衛生事件應急條例》等規定，任何機構和個人有義務配合國家有關機關防控傳染病有關的工作，這里的配合責任就包括傳染病有關的調查和個人數據收集。通過分析相關法律法規，本文首先闡述了個人數據的含義及特征，接著針對疫情期間的個人數據安全風險進行分析，最后提出了相應的建議措施。

關鍵詞：疫情;個人數據;數據安全

如何控制爆發式增長的新型冠狀病毒，成為了中國乃至全世界的一項挑戰。以大數據為代表的信息科學技術在此次戰疫中發揮著不可替代的作用，通過大數據信息識別和監控曾與被感染對象有過密切接觸的人員，可以有效的防止疫情傳染的態勢擴大，但這其中必然涉及到了個人數據的收集、獲取、使用，具體包括個人身份信息、地理位置信息、健康數據等，給個人數據安全帶來諸多風險。互聯網上甚至出現多起為尋找與確診患者有密切接觸的風險人員，而公布他人的姓名、透露他人手機號碼等個人隱私的行為。如何合法合規的收集個人數據，如何保護個人數據不被泄露、侵害，成為了疫情期間的重要話題。

1 個人數據的含義

根據歐盟《個人數據保護法》（PersonalDataProtectionAct）中第四條第一款的規定，“個人數據”指的是任何已識別或可識別的自然人（“數據主體”）相關的信息;一個可識別的自然人是指一個能夠被直接或間接識別的個體，特別是通過諸如姓名、身份編號、地址數據、網上標識或者自然人所特有的一項或多項的身體性、生理性、遺傳性、精神性、經濟性、文化性或社會性身份而識別個體。我國《民法總則》第一百二十七條中也概括規定了，“數據”依法受到保護。因此，手機APP、互聯網公司、電信部門等掌握的大量的公民聯系方式、地理位置信息和出行信息等，都屬于個人數據的范疇。

2 個人數據的特征

2.1 可電子化記錄性

大數據時代，使用手機、計算機等設備已經成為我們生活的不可或缺，通過 人機交互，個體終端的數據傳輸到互聯網終端進行存儲記錄，再由互聯網終端進 行整合、分析、反饋。例如每次使用 手機的時間、地點位置信息、瀏覽內容、瀏覽時長、使用何種網絡信號等都可以被記錄。通過大數據技術，每個用戶的客觀行為都可以被數字化記錄，轉化為計算機語言并進行數據化分析。

2.2 個人數據類型的多樣性

個人數據呈現類型的多樣化是其在大數據時代的顯著特征。區別于與傳統數據中一直存在的姓名、性別、出生年月等身份信息，更具時代特點的電話號碼、 網站 Cookies 記錄、電子郵箱帳號、微信帳號等也被列入個人數據的范圍。隨著大數據應用的不斷升級，網絡實名制的普及，指紋密碼、人臉識別數據、個人征信報告、征信得分、個人網上醫療數據等也將被納入其中。

2.3 個人數據的價值性

大數據背景下，個人數據的財產性價值逐漸強化，作為數據這一生產資料中 最重要的一環，個人數據的商業價值逐漸被開放利用。再者，隨著信息時代和數 字經濟時代的紛至沓來，個人數據已成為時刻伴隨著人們的個人標簽，成為識別 個人身份、彰顯個人能力、證明個人信用和體現個人行為習慣的重要信息。

2.4 個人數據的可識別性

可識別性（identifiability）是個人數據的最基本特征。“區分個人數據與非個人數據的關鍵是可識別性”， 即當某個特定的數據可以被識別并指向特定自然人時，這個數據就屬于個人數據。

3 疫情期間個人數據保護的風險

2020年1月20日，經國務院批準，國家衛生健康委員會發布了2020年第1號公告，將新冠肺炎納入《中華人民共和國傳染病防治法》規定的乙類傳染病，并采取甲類傳染病的預防、控制措施;將新冠肺炎納入《中華人民共和國國境衛生檢疫法》規定的檢疫傳染病管理。同時，根據《傳染病防治法》第十二條的規定：“在中華人民共和國領域內的一切單位和個人，必須接受疾病預防控制機構、醫療機構有關傳染病的調查、檢驗、采集樣本、隔離治療等預防、控制措施，如實提供有關情況。疾病預防控制機構、醫療機構不得泄露涉及個人隱私的有關信息、資料。”但是實踐中，有一些公司或者小區物業、社區人員對公民的個人數據進行整理，隨意對外公開，造成個人數據泄漏，甚至對隱私權造成損害。同時，數量龐大的個人數據在收集、統計、使用的過程中參與者眾多，無形中也帶來諸多風險。因此，雖然個人數據對疫情的防控十分重要，但是也不能突破法律的規定，必須嚴格禁止對個人數據的泄漏、傳播甚至商業化販賣等。《關于做好個人信息保護，利用大數據支撐聯防聯控工作的通知》中也要求：為疫情防控、疾病防治收集的個人信息，不得用于其他用途;任何單位和個人未經被收集者同意，不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息，因聯防聯控工作需要，且經過脫敏處理的除外。

4 完善疫情期間個人數據保護的建議

4.1 合法合理的個人數據收集的原則

遵守合法化的收集原則。嚴格按照《傳染病防治法》中第12條規定 ，限制收集個人數據的主體，即疾病預防控制機構，醫療機構，被指定的專業技術機構，街道、鄉鎮以及居 民委員會、村民委員會等。同時加強上述機構的個人數據、資料的保密義務。

遵守必要性的收集原則。必要性原則又稱最少侵害原則。即在個人數據收集過程中，應選擇對公民造成最小侵害的方式。具體包括，收集的手段侵害最小、收集的數據類型、內容必要即可（個人數據最小化原則），收集手段與內容直接必須具有關聯性。

4.2 加強個人數據的保護力度

目前來看，針對個人數據保護大多都是事后追懲，但事前防護同樣重要。政府層面，相關行政部門應當加大監管和執法力度，針對疫情，建立完整的個人數據收集、保管、使用方案，使相關法律法規真正落實到位。同時建立數據泄露追查機制，加大對個人數據泄露打擊力度。企業方面，應當制定行業內部的標準或公約，以及相互監督的權利和義務，建立完善相關行業協會對公民個人數據的收集、使用和管理的監督制約機制。最后，嚴格禁止對疫情中收集的個人數據進行商業化利用，個人數據在疫情期間的收集使用是為了公共利益，如果對此加以商業利用，就違背了個人數據合法收集利用的原則。

4.3 完善泄漏個人數據的相關法律責任

侵犯個人數據的法律責任，一般為如下三種：一是民事責任。依據《民法總則》及《侵權責任法》之規定，侵犯公民隱私權的，將承擔賠禮道歉、賠償損失等民事責任。二是行政處罰。依據《治安管理處罰法》之規定，散布他人隱私的，將處五日以下拘留或者五百元以下罰款;情節較重的，處五日以上十日以下拘留，可以并處五百元以下罰款。三是刑事處分。依據刑法相關規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。

4.4 加強民眾的個人數據保護意識

我國公民的個人數據保護需求不像國外那樣強烈，因此，疫情期間，保護個人數據安全的關鍵在于提高公民的自我保護意識，一旦個人的數據保護意識提高，維權意識提高，就可以從內在上主動避免某些數據風險。無論通過法律法規保護，或者依靠數據行業自律，都是外部力量的保護，提高自我數據保護意識和能力，謹慎使用網絡、APP等工具，才能從源頭上保護個人數據安全。

5 結語

作為特殊情況下的特殊規定，傳染病防治與應急管理法律體系對當前疫情防控工作中眾多特殊情況，包括大數據防控應用中對個人數據的抓取措施提供了相關依據，本次疫情防控中大數據獲得了廣泛的運用，大數據的價值進一步凸顯。但個人數據的泄漏、濫用風險依然存在。如何更好的保護個人數據，需要進一步的落實相關法律規定，規范數據規則，提高公民自身的數據保護意識。即便是在疫情防控期間，也應當重視個人數據的保護，避免公共利益壓倒個人的合法權益。

參考文獻：

[1] 迪莉婭.大數據環境下APP用戶隱私計算影響因素研究[J].現代情報，2019（12）.

[2] 何玉顏.歐盟《通用數據保護條例》解讀及其對我國個人數據保護的啟示[J].圖書情報導刊，2018（11）.

[3] 米新麗，衛洪光.論個人數據的使用、流通與監管[J].河南財經政法大學學報，2018（05）.

[4] 張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].互聯網金融法律評論，2015（02）.

[5] 史衛民.大數據時代個人信息保護的現實困境與路徑選擇[J].情報雜志，2013（12）.

（作者單位：西北政法大學法律碩士教育學院）