公共衛生事件防控中的大數據應用及其法律保護

文/彭德雷（華東理工大學 法學院/商學院，上海 200237）

一、問題的提出

互聯網、物聯網、云計算等快速發展不斷拓展了大數據在實踐中的應用。2017 年5 月，《經濟學人》便刊文指出，“世界上最重要的資源不再是石油而是數據”。①The Economist，“The World’s Most Valuable Resource Is No Longer Oil，But Data，”May 6th 2017，https：//www.economist.com/leaders/2017/05/06/the-world's?-most-valuable-resource-is-no-longer-oil-but-data.當前，大數據不僅在經濟、技術領域得到廣泛應用，公共衛生領域的治理也越來越依賴于大數據。2020 年2 月14 日，習近平總書記在中央全面深化改革委員會第十二次會議中指出，“要鼓勵運用大數據、人工智能、云計算等數字技術，在疫情監測分析、病毒溯源、防控救治、資源調配等方面更好發揮支撐作用”。事實上，此次新型冠狀病毒肺炎疫情的有效防控，很大程度上得益于大數據的應用。

一方面，在我國推進國家治理體系和治理能力現代化的背景下，需要不斷提高公共衛生事件處置和應急管理能力，其中大數據的輔助功能不容忽視；另一方面，在數字經濟蓬勃發展的今天，如何合法地利用和保護個人數據信息，權衡公共利益與個人權利，劃定個人信息保護與利用邊界等，是當前經濟社會發展關注的一個重要命題。在公共衛生事件中，如何防止個人數據信息不被泄露，防止在公共衛生事件之后引發網絡安全事件，更是需要密切關注的問題。為此，聯合國專門發布了一份《COVID-19 應對中的數據保護與隱私的聯合聲明》，特別指出：“此類用于數字接觸追蹤和一般健康監測的數據收集和處理，可能涉及收集大量個人和非個人的敏感數據。如果采取此類措施的目的與應對COVID-19 沒有直接或具體的關系，就可能導致對基本權利和自由的侵犯。”①UN：“Joint Statement on Data Protection and Privacy in the COVID-19 Response，”18 November 2020，https：//www.un.org/en/node/112200.

二、公共衛生事件防控中的大數據應用與風險

（一）公共衛生事件防控中大數據應用及特征

《國際衛生條例（2005）》從全球范圍內對公共衛生事件進行了界定。根據其規定，“國際關注的突發公共衛生事件”是指按該條例規定所確定的不同尋常的事件，包括：（1）通過疾病的國際傳播構成對其他國家的突發公共衛生危害；以及（2）可能需要采取協調一致的國際應對措施。②世界衛生組織：《國際衛生條例（2005）》，2005 年。例如，2009 年H1N1 流感大流行、2014 年西非埃博拉疫情、2020 年新冠肺炎疫情等都屬于國際范圍內有一定影響力的公共衛生事件。我國在2003 年頒布的《突發公共衛生事件應急條例》（中華人民共和國國務院令第376 號）對突發公共衛生事件也進行了規定，它是指突然發生，造成或者可能造成社會公眾健康嚴重損害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業中毒以及其他嚴重影響公眾健康的事件。③《突發公共衛生事件應急條例》（中華人民共和國國務院令第376 號），第二條。

當前，公共衛生事件的預測和防控正越來越依靠大數據的應用。這包括：（1）公共衛生事件防控中的大數據監控與干預；（2）公共衛生事件防控中大數據的輿情分析；（3）公共信息安全（傳統與非傳統安全）的監測；（4）公共衛生事件防控中后期的信息歸集與管理等。④此外，大數據在公共事件中的應用還包括物資供應，流言、謠言的應對與管控，公共管理中的糾錯機制等。周中華：《大數據在重大公共事件中的應用》，人民數據研究院，http：//www.peopledata.com.cn/html/NEWS/Dynamics/187.html，訪問日期2021 年6 月30 日。例如，國內搜索引擎公司提供春運客流分析，美國谷歌公司開發流感、登革熱等流行病預測等。①王融：《大數據時代數據保護與流動規則》，人民郵電出版社，2017 年，第2-3 頁。以此次新冠肺炎疫情為例，大數據在公共醫療衛生領域內得到廣泛應用。借助大數據分析，有關方面可以追蹤、繪制病患的行動軌跡，并推斷出病患密切接觸者。“互聯網+”醫療平臺推出在線問診服務有效緩解疫情期間醫療資源緊缺，避免了人員聚集和交叉感染。大數據服務為疫苗接種提供高效保障工作等。與此同時，大數據應用（如電子商務、在線教育、互聯網審判等），為居民日常生活保障、企業復工復產、公共教育、政務服務等提供了整體解決方案，保障了疫情期間的正常社會秩序。

基于疫情期間對大數據應用的觀察，我們發現存在以下特征。第一，數據信息來源面廣、收集主體多樣化。以此次新冠肺炎疫情為例，大數據的應用涉及領域十分廣泛，涵蓋醫療、交通、教育、企業復工復產等。收集主體呈現多樣化特征，例如公路、鐵路、航空等交通部門對旅客實名信息的收集，基層組織對本地人員的信息登記等。第二，數據應用范圍廣、頻率高。在疫情期間，“健康碼”被廣泛使用，應用范圍覆蓋全國主要城市和主要人群。例如，我國高校作為人員集中的場所，云計算和大數據應用在本次高校疫情防控中發揮了重要作用。②胡寶國：《構建校園安全共同體：從疫情防控的角度思考高校校園安全機制的健全和完善》，《華東理工大學學報》（社會科學版）2020 年第3 期。第三，數據信息流動性強、泄露風險高。公共衛生事件對數據共享性和流動性都有一定要求，但是如果保護措施不當，數據也極易被泄露。由于疫情防控的需要，目前各機構的出入都需要信息登記或人臉識別，但是這些機構對于數據保護的能力存在差異，存在個人信息被泄露的風險。第四，數據信息覆蓋周期長、影響群體廣。由于大量數據涉及個人的敏感信息，具有很強的個人屬性，例如姓名、家庭住址、身份證號、手機號等均屬于個人長期有效的信息，影響的周期長。從數據涉及的主體來看，公共衛生事件與每個人相關，為做好公共衛生事件防控，各地開展有關人員的信息申報登記工作，涵蓋龐大的學生群體、企業勞動者、消費者、患者等。總之，利用大數據應對公共衛生事件，我們需要充分評估可能存在的各種數據泄露、侵犯隱私的風險，確保大數據在公共衛生事件中得到負責任的利用，不斷提高數字社會的治理水平。

（二）公共衛生事件防控中的大數據風險

1986 年，德國學者貝克系統地提出了“風險社會”的理論。“風險社會”也成為描述當代社會最常用的概念。③[德]烏爾里希·貝克：《風險社會：新的現代性之路》，張文杰、何博聞譯，譯林出版社，2018 年。大數據風險治理是當前全球治理關注的一個重要領域。近年來，大數據泄露的事件屢見不鮮。例如，2018 年3 月，Facebook 超過5000 萬用戶信息的數據被“劍橋分析”公司泄露，為此扎克伯格赴國會參議院接受質詢；2020 年3 月，新浪微博App 數據泄露而被工信部約談。此次新冠肺炎疫情期間，也發生個人信息泄露的案例，不法分子利用疫情實施各類詐騙。④郝成：《海量涉疫情個人信息泄露 兩地公安做出行政拘留處罰》，新浪網，http：//news.sina.com.cn/o/2020-02-05/dociimxyqvz0398976.shtml，訪問日期2021 年6 月30 日。世界經濟論壇發布的《2020 年全球風險報告》統計，數據欺詐或竊取、網絡攻擊分別排在全球十大風險的第六位和第七位，網絡安全形勢極為嚴峻。①World Economic Forum，The Global Risks Report 2020，p.12.公共衛生事件期間，需要特別防范各種數據泄露和侵犯個人隱私事件的發生。

1. 就外部而言，網絡詐騙與網絡黑客等引發大數據風險

在發生公共衛生事件期間，一些不法分子利用其掌握的信息，實施各類詐騙。例如，他們利用民眾對疫情防護用品的迫切需求，通過冒充防疫工作人員、發布虛假防控信息等方式套取個人信息。此次新冠肺炎疫情發生以來，一些不法分子以使館發放“健康包”的名義，要求當事人提供信用卡號碼、支付郵寄費用，實施詐騙。有不法分子通過虛構包機回家、團購防疫物資等實施詐騙。還有不法分子冒充衛生防控部門或者醫學研究機構推廣特效藥騙取錢款，甚至冒充慈善機構進行錢款詐騙。

在發生公共衛生事件期間，一些網絡黑客利用與公共衛生相關的題材實施網絡攻擊。根據有關研究機構報告，在此次疫情期間，監控到國內外諸多網絡犯罪團伙通過疫情熱點信息，傳播病毒木馬惡意程序，并冠以“新型肺炎”“口罩廠家名單”等涉及疫情的關鍵詞；有黑客團伙借機向一些政府部門、醫療機構的網站發起攻擊，受到類似黑客攻擊的國家還包括美國、日本等。②⑤中國信息通信研究院安全研究、中國衛生信息與健康醫療大數據學會衛生信息安全與新技術應用專業委員會、數據保護官（DPO）社群：《2020 數字醫療：疫情防控期間網絡安全風險研究報告》，http：//www.100ec.cn/detail--6549056.html，訪問日期2021 年6 月30 日。我國在醫療信息化的推進過程中，醫療機構、電子病歷、智能終端等數據健康數據采集已初步成型，醫療數據量日趨龐大。③馬化騰：《數字經濟：中國創新增長新動能》，中信出版社，2017 年，第153 頁。國家衛生健康委員會官方網站統計數據顯示，截至2019 年11 月，全國醫療衛生機構數達101.4 萬個，其中公立醫院有11 891 個、民營醫院有22 081 個，這些醫療機構日常工作中涉及大量的個人信息。④國家衛生健康委員會：《2019 年11 月底全國醫療衛生機構數》，http：//www.nhc.gov.cn/mohwsbwstjxxzx/s7967/202001/d73a47fbda0e4ea4bbb8d 20387992871.shtml，訪問日期2021 年6 月30 日。相比而言，民營醫院在安全漏洞修復、防范黑客攻擊等方面，措施有待完善，相應的安全隱患和風險也更多。同時，對于很多企業來說，遠程辦公意味著部分內部業務系統需要開放互聯網訪問權限，這給黑客攻擊提供了機會。

2. 就內部而言，數據保護措施和數據主體安全意識欠缺引發大數據風險

在發生公共衛生事件期間，如果數據使用方式不當，容易引發個人數據信息泄露。一些數據控制主體擅自將個人數據信息上傳至互聯網或二次轉發至微信群等公共區域，導致數據泄露。有些平臺網站數據安全保護措施不足，容易導致數據安全風險。當前，一些App 軟件存在漏洞。國內有研究團隊對健康醫療行業App 進行漏洞掃描，發現大量的漏洞記錄，平均每款App 存在19 個漏洞。有些平臺由于缺少或簡化安全評估流程，致使數據安全保障能力缺失，為數據泄露埋下隱患。⑤

數據主體安全意識不足也容易引發風險。在發生公共安全事件期間，數據主體需要借助互聯網來實現正常工作和學習，由于安全意識不足，甚至隨意登錄相關的網絡平臺，個人數據被不當收集和利用。如果安全防護手段不到位，缺乏可靠的安全接入平臺，接入通道和傳輸通道都存在較高風險。以此次新冠肺炎疫情為例，人們的一些工作和學習都需要通過網絡進行，這些都需要進行個人信息的登記和注冊，如果通過一些不正規的網站進行，那么很可能導致個人數據信息的泄露。

三、公共衛生事件防控中的大數據信息法律保護

1.現有法律對公共衛生事件中的信息保護

數據是信息的具體表現形式，信息則往往依靠各類數據的整合、加工。2021 年8 月，我國頒布的《中華人民共和國個人信息保護法》，成為個人信息保護領域的“基本法”。關于公共衛生領域的個人信息保護，《中華人民共和國傳染病防治法》第十二條規定，疾病預防控制機構、醫療機構不得泄露涉及個人隱私的有關信息、資料；第六十九條規定，醫療機構故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息、資料的，將視情節追究不同的行政責任或刑事責任。①《中華人民共和國傳染病防治法》，第十三條、第六十九條。不過該法僅是從醫學角度，對疾病預防控制機構、醫療機構的主體責任做了規定，事實上，公共衛生事件涉及的數據控制主體遠遠超過上述范圍。2021 年6 月通過的《中華人民共和國數據安全法》規定，應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。②《中華人民共和國數據安全法》，第二十九條。上述立法都為公共衛生事件中的信息保護提供有效保障，表1 是我國目前與個人數據信息緊密相關的法律。

表1 個人信息法律保護立法

除了通過已有法律加強信息保護外，由于公共衛生事件具有突發性特征，國家還需要在政策層面進一步加強個人信息保護。2020 年2 月，中央網絡安全和信息化委員會辦公室發布《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》，要求高度重視個人信息保護工作，除依據有關法律授權的機構外，其他任何單位和個人不得以疫情防控、疾病防治為由，未經被收集者同意收集使用個人信息；收集個人信息應參照國家標準《信息網絡技術個人信息安全規范》（GB/T 35273-2020），堅持最小范圍原則，相關個人信息不得用于其他用途，采取嚴格防護措施，防止被竊取、被泄露，針對違規違法收集、使用、公開個人信息的行為，將依法處理。③《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》，http：//www.gov.cn/xinwen/2020-02/10/content_54767 11.htm，訪問日期2021 年6 月30 日。此外，一些地方政府還專門出臺了有關規定。甘肅省要求各教育行政部門、各學校要高度重視個人信息保護工作，除依法授權的機構外，其他任何單位和個人不得以疫情防控、疾病防治為由，未經被收集者同意收集使用個人信息。①甘肅省教育廳：《關于做好個人信息保護利用大數據做好疫情聯防聯控工作的通知》（甘教體函〔2020〕5 號）。

2.歐盟在公共衛生防控中對數據信息的法律保護

早在2013 年，歐盟便通過了《關于嚴重的跨境健康威脅的決定》（從下簡稱《決定》）。《決定》第16條（個人數據保護）規定，在適用本決定時，應按照95/46/EC①Decision No 1082/2013/EU of the European Parliament and of the Council of 22 October 2013 on Serious Crossborder Threats to Health and Repealing Decision No 2119/98/EC，https：//ec.europa.eu/health/sites/default/files/preparedness_ response/docs/decision_serious_crossborder_threats_22102013_en.pdf.指令以及45/2001/EC 法規②Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data，https：//eur-lex.europa.eu/legalcontent/EN/TXT/?uri=OJ：L：1995：281：TOC.處理個人數據。應采取適當的技術和措施保護此類個人數據免遭意外或非法破壞，以及意外丟失或未經授權的訪問和任何形式的非法處理。③Regulation （EC）No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the Protection of Individuals with Regard to the Processing of Personal Data by the Community Institutions and Bodies and on the Free Movement of Such Data，https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ：L：2001：008：TOC.同時，歐盟在成員國層面建立了針對嚴重健康威脅的早期預警和響應系統（Early Warning and Response System，EWRS），為歐盟委員會和各成員國機構之間建立了信息互通共享渠道。④寧宣鳳、吳涵、陳勝男、高銳：《政務數據資源共享與公開》，https：//www.chinalawinsight.com/2020/02/articles/compliance/24626，訪問日期2021 年6 月30 日。《決定》第6 條第2 款、第16 條第5 款規定，早期預警和響應系統，針對暴露于健康威脅、存在感染危險或已經感染的人可以采取接觸追蹤措施。早期預警和響應系統應該包括選擇性的消息傳遞功能，該功能僅允許將個人數據傳遞給參與接觸者跟蹤措施的國家主管部門。該選擇性消息傳遞功能應確保安全合法地交換個人數據。《決定》同時規定，包含個人數據的信息，應該自信息發布之日起12 個月后自動從選擇性消息功能中刪除。⑤Decision No 1082/2013/EU of the European Parliament and of the Council of 22 October 2013 on Serious Crossborder Threats to Health and Repealing Decision No 2119/98/EC，https：//ec.europa.eu/health/sites/default/files/preparedness_ response/docs/decision_serious_crossborder_threats_22102013_en.pdf.這些規定有效地保證了數據傳播的最小范圍和限時利用。

2018 年歐盟通過的《通用數據保護條例》（以下簡稱《條例》），進一步加強了歐盟域內對數據信息的保護。《條例》以全球最嚴個人信息保護法著稱，但也保留了一些例外，例如“為履行數據控制者承擔法定義務所必須”“為保護數據主體重大利益或其他自然人重大利益所必須”“為執行公共利益之目的任務或數據控制者行使法定職能所必須”。序言第46 段明確傳染病監測除構成公共利益之外，還構成“重大生命利益”，依據第6 條1（d）規定，當個人數據處理為“保護數據主體或其他自然人的重要利益所必要”時，可不征得數據主體的同意。序言第52 段明確傳染病預防和控制構成第9條2（i）中所述的公共利益。序言第54 段還進一步指出，在公共衛生領域未征得數據主體同意而進行特殊類型數據處理可能是必要的，上述例外規定也充分體現了公共利益保護和個人數據保護的平衡。⑥Regulation（EU）2016/679 of the European Parliament and of the Council of 27 April 2016，on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data，and Repealing Directive 95/46/EC（General Data Protection Regulation）.

這些例外規定，為疾病防控機構、醫療機構等利用個人信息開展衛生防疫工作提供了合法性基礎。當然，在此前提下，《條例》要求具體的數據處理要遵循以下基本原則：合法、公正、透明，目的限制，數據最小化，準確性，存儲期限限制，完整性、保密性和問責制等。①General Data Protection Regulation，Article 5.對于變更初始目的的個人信息處理行為，《條例》第13 條第3 款規定，當數據控制者進行個人數據處理的目的與初始收集的目的不一致時，應對變更后的數據處理目的向數據主體進行告知。

3.公共衛生防控中數據信息的國際法保護

與公共衛生事件最相關的國際條約是《國際衛生條例（2005）》。《國際衛生條例》第四十五條（Treatment of Personal Data，個人數據的處理）規定：（1）按照國家法律，締約方根據本條例從另一締約方或從世界衛生組織收集或收到的、涉及身份明確或可查明身份的個人的健康信息，應保守秘密并匿名處理。（2）雖然有第1 款的規定，締約方為了評估和管理突發公共衛生事件危害，可透露和處理個人數據，但是締約方和世界衛生組織必須確保個人數據：1）得到公平、合法處理，并且不以與該目的不一致的方式予以進一步處理；2）與該目的相比充分、相關且不過量；3）準確且在必要時保持最新；必須采取一切合理措施確保刪除或糾正不準確或不完整的數據；4）保留期限不超過必需的時間。②世界衛生組織：《國際衛生條例（2005）》，2005 年。此外，世界衛生組織應當在可行的情況下向個人提供相應的數據，無不當延誤或收費，且在必要時允許予以糾正。

同時，針對本次疫情，聯合國發布的《COVID-19 應對中的數據保護與隱私的聯合聲明》特別指出，在新冠肺炎疫情期間，聯合國組織體系的任何數據收集、使用和處理，應當充分考慮適用的國際法律、數據保護和隱私原則，包括聯合國個人數據保護和隱私原則。在數據收集的范圍和時間上合法，有節制，有必要；確保對數據進行保密與保護，有時限地保留和適當銷毀或刪除數據；確保任何數據交換都符合適用的國際法、數據保護和隱私原則，并進行適當的盡職調查和風險評估；確保數據使用采取的措施符合上述原則和目的，并在不再需要此類措施時立即停止。③UN：“Joint Statement on Data Protection and Privacy in the COVID-19 Response”，18 November 2020，https：//www.un.org/en/node/112200..

四、公共衛生事件防控中大數據法律保護的政策建議

1.完善公共衛生事件中的個人信息保護

首先，推進公共衛生事件中個人信息保護立法。盡管我國諸多法律涉及個人信息的保護，但是仍在完善之中，且國家層面尚無針對公共數據管理的立法。《中華人民共和國個人信息保護法》第十三條規定“符合下列情形之一的，個人信息處理者方可處理個人信息：（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需”①《中華人民共和國個人信息保護法》，第十三條。，這為今后公共衛生事件中的個人數據收集提供了法律依據。

國家互聯網信息辦公室于2019 年發布了《網絡信息內容生態治理規定》《個人信息出境安全評估辦法（征求意見稿）》，全國人民代表大會常務委員會第二十九次會議于2021 年通過了《中華人民共和國數據安全法》。國家互聯網信息辦公室于2019 年發布的《數據安全管理辦法（征求意見稿）》規定，對于個人敏感信息，要求網絡運營者以經營為目的收集重要數據或個人敏感信息的，應向當地網信部門備案。②國家互聯網信息辦公室：《數據安全管理辦法（征求意見稿）》，第七條、第十五條，http：//www.gov.cn/xinwen/2019-05/28/content_5395524.htm，訪問日期2021 年6 月30 日。上述立法的完善，將有助于數字時代的個人信息保護。

其次，加強公共衛生事件中個人數據信息的程序管理和執法監督。在實踐中，有關部門需加強個人數據收集的程序管理，確保數據收集實踐合法。在發生公共衛生事件期間，在保障公眾知情權的同時，有關部門要做好個人信息保護工作。建立個人信息保護評估制度，制定完整的個人信息采集、上報、處理、保管方案，并組織專家對方案進行安全評估，確保疫情防控各環節個人信息的安全。明確具有收集使用相關個人信息權力的指揮機構、執行機構，建立統一集中管理機制，采用嚴密的訪問控制、審計、加密等安全措施，防止數據泄露、丟失、未授權的使用。③中國信息通信研究院安全研究、中國衛生信息與健康醫療大數據學會衛生信息安全與新技術應用專業委員會、數據保護官（DPO）社群：《2020 數字醫療：疫情防控期間網絡安全風險研究報告》，http：//www.100ec.cn/detail--6549056.html，訪問日期2021 年6 月30 日。在實踐中，需要強調基于公共衛生需要收集的個人信息，不得用于其他用途特別是商業用途。同時，加強數據信息安全保護執法，通過一些專項行動，對侵犯個人數據信息的犯罪行為加大刑事手段打擊力度，確保公共衛生事件防控中的信息安全。目前，我國尚未建立起較為明確的、專門的個人數據機構，金融、電信和醫療等部門都只是在傳統職責中延伸管理個人數據保護，而日本、韓國、新加坡等國家都設立了獨立的信息監管機構。④京東法律研究院：《歐盟數據憲章——〈一般數據保護條例〉（GDPR）評述及實務指引》，法律出版社，2018 年，第158頁。

2.加強行業數據合規制度建設與行業自律，有效保障公共衛生事件中的數據安全

首先，加強企業內部數據合規制度建設。加強應對數據風險的組織人員制度、數據保護制度、風險評估制度、合作監督制度以及意識教育制度等。⑤惠志斌：《數據經濟時代企業跨境數據流動風險管理》，社會科學文獻出版社，2018 年，第176-177 頁。2015 年，國務院辦公廳發布了《關于運用大數據加強對市場主體服務和監管的若干意見》（國辦發〔2015〕51 號），但是還需要從制度層面不斷完善。互聯網公司等機構參與疫情防控的渠道與模式應通過制度建設加以規范，要設計相應的個人信息安全影響評估方案，對其商業行為獲取的數據和參與疫情防控獲取的數據實施雙軌隔離管理制度，禁止將參與疫情防控獲取的數據進行商業化利用，并將其設為紅線。這既是對個人信息的保護，也是對互聯網公司等商業機構的保護。①李亞娟：《數字化疫情防控如何保護個人信息》，《學習時報》，2020 年3 月6 日。行業主體在設計數據合規方案時，應充分聽取專業人士建議，確保采集信息遵循合法、正當和必要的原則，充分認識涉及數據安全的相關民事責任、行政責任和刑事責任，重視數據合規。

其次，加強安全培訓，增強安全意識。在公共衛生事件防控期間，特定領域的網絡安全保護等級需要升級。個人數據信息的安全隱患，都直接或間接與人員網絡安全意識不足有關。建立健全醫療機構內部網絡安全管理規章制度，規范內部安全操作流程，切實增強相關人員的網絡安全意識，落實網絡安全責任，勢在必行。②中國信息通信研究院安全研究、中國衛生信息與健康醫療大數據學會衛生信息安全與新技術應用專業委員會、數據保護官（DPO）社群：《2020 數字醫療：疫情防控期間網絡安全風險研究報告》，http：//www.100ec.cn/detail--6549056.html，訪問日期2021 年6 月30 日。尤其是健康醫療行業，應提升自身網絡數據安全綜合防護能力，加大在網絡數據安全領域的投入，建立系統化安全保障體系。③中國信息通信研究院安全研究、中國衛生信息與健康醫療大數據學會衛生信息安全與新技術應用專業委員會、數據保護官（DPO）社群：《2020 數字醫療：疫情防控期間網絡安全風險研究報告》，http：//www.100ec.cn/detail--6549056.html，訪問日期2021 年6 月30 日。一些數字行業企業應有專門的數據合規部門或團隊，構建全生命周期的數據保護合規方案。

最后，完善行業標準，加強行業自律。當前，我國尤其需要加強醫療、教育和金融等行業領域的數據保護，因為上述領域尤其是一些App 軟件的使用，涉及個人敏感信息。2020 年年初，中國移動發布了《重大突發公共衛生事件網信安全法律風險合規指引》，針對運營商在重大突發公共衛生事件中如何合規發布公益信息、如何在利用數據支撐聯防聯控的同時保護個人隱私等重點問題，系統梳理了現有法律法規要求，并提出潛在法律風險和相應的可操作性合規建議，這對特殊時期的數據信息保護起到了示范作用。在行業標準方面，2019 年8 月30 日，國家市場監督管理總局、中國國家標準化管理委員會聯合發布《信息技術數據交易服務平臺通用功能要求》（GB/T 37728-2019）、《信息安全技術數據交易服務安全要求》（GB/T 37932-2019）兩項國家標準，并于2020 年3 月1 日起正式實施。中國國家標準化管理委員會發布的《信息安全技術個人信息安全規范》（GB/T 35273-2020）于2020 年10月1 日起生效實施。這些國家標準的制定和完善，有助于個人數據信息的保護。

3.借鑒國外信息保護法律制度，加強國際合作，確保公共衛生事件中的跨境數據安全

首先，借鑒歐盟《通用數據保護條例》的設計，在一些特殊公共領域設置數據保護官。當前，全球數據治理日趨走向規范，中國在完善自身數據治理體系的進程中，可以借鑒一些國際經驗。在公共醫療、教育等服務領域內設置數據保護官，加強有關機構的內部數據合規培訓。數據保護官這一制度在歐洲的大學中普遍存在，但是目前國內的大學很少有這一機制設計。④在國際交流的實踐中，筆者就多次碰到類似的困境。在與歐洲的一些大學簽署合作協議時，對方提供的協議范本都有關于個人數據保護的專門規定，同時要求中方院校提供數據保護官人員名單。在商業領域，《通用數據保護條例》第37 條是關于數據保護官的規定，實踐中已經成為歐美大型企業和互聯網公司的標配，它們普遍設有由外聘人員或內部員工擔任的數據保護官或隱私官（Chief Privacy Officer，CPO）。《通用數據保護條例》要求數據保護官以獨立的方式履行職責，確保企業的一些行為符合有關法律規定，監督企業內部的數據處理活動，強化員工的數據保護意識，并負責對接數據保護監督執法機構等。①王融：《大數據時代數據保護與流動規則》，人民郵電出版社，2017 年，第192-193 頁。

其次，借鑒韓國等國家的數據保護實踐，建立數據泄露通知制度。韓國法律要求在發生大規模（涉及超過1 萬個數據主體）、嚴重的數據泄露事故時，企業應當向用戶以及韓國行政安全部、韓國互聯網安全院等主管部門報告。②同上書，第70-71 頁。

最后，加強國際合作。在后續的個人數據保護過程中，我國需要加強個人數據保護的國際合作，因為公共衛生事件尤其是一些傳染性的疾病沒有國界，需要各國共同應對。正如《國際衛生條例（2005）》所規定，在公共衛生事件中應該考慮到個人信息保護以及跨境數據流動的安全性問題。與此同時，各國還應該加強在應對網絡黑客或網絡恐怖主義等領域的反恐合作，保護國家數據安全。

4.加強公共安全事件后的信息安全管理

有關機構需要制定公共衛生事件發生后的個人信息安全保障方案，對個人數據及時刪除或進行匿名化處理。已經開始實施的《信息安全技術個人信息安全規范》（GB/T 35273-2020）要求“個人信息存儲時間最小化”，具體而言，“個人信息存儲期限應為實現個人信息主體授權使用的目的所必需的最短時間，法律法規另有規定或者個人信息主體另行授權同意的除外；超出上述個人信息存儲期限后，應對個人信息進行刪除或匿名化處理”。③中國國家標準化管理委員會：《信息安全技術 個人信息安全規范》（GB/T 35273-2020），第6 條。由于公共衛生事件涉及面廣，為此，事件結束后仍需警惕數據竊取事件。在疫情之后，如相關數據確無必要繼續保存，對疫情科學研究沒有價值，出于對公民個人信息的安全負責的態度，相關部門應將這些數據銷毀。

做好留存數據的保密措施。公共安全事件中的一些數據信息，尤其是公共衛生信息往往具有一定的科學研究價值，需要繼續留存。例如，《通用數據保護條例》序言第65 段規定，“當為了在公共健康領域執行有公共利益的任務或者行使控制者被授予的官方權利時，進一步保留個人數據是合法的”。這體現出在公共衛生事件中，個人數據的利用與公共衛生、重大公共利益的價值平衡。因此，如果相關數據需要保存，那么應采用加密存儲等技術進行封存，以免產生數據泄露，并警惕黑客可能發動的盜取攻擊。

五、結論

全球正進入“數據驅動”的時代，數據流動創造價值但也蘊藏風險。大數據分析在公共衛生中得到普遍應用并發揮重要作用，但與此同時，需要防止公共衛生事件之后發生網絡安全事件，保護好個人數據信息。黨的十九屆四中全會提出推進國家治理能力和治理體系現代化，要求“建立健全運用互聯網、大數據、人工智能等技術手段進行行政管理的制度規則。推進數字政府建設，加強數據有序共享，依法保護個人信息”。①《中共中央關于堅持和完善中國特色社會主義制度推進國家治理體系和治理能力現代化若干重大問題的決定》，新華社北京2019 年11 月5 日電。因此，我們要推進網絡安全治理體系和治理能力現代化，完善公共領域網絡安全標準化體系建設。當前，在大數據治理體系建設中，我國仍需加強數據信息保護頂層立法設計，加強程序管理和執法監督，積極推進行業數據合規制度、標準建設與行業自律，借鑒國外數據法律規制的先進實踐，加強公共安全事件后的數據安全管理，尤其是需要防止在公共衛生事件中獲取的個人信息事后被商業化利用，為后續的信息收集提供保障。

公共衛生事件防控中的數據利用與實踐經驗，為完善個人數據信息保護提供了新的觀察視角，對后續數據管理制度的完善具有特殊意義。大數據產業在公共衛生事件中的價值得到進一步體現，因此當前在加快數字經濟發展的同時，我們需要不斷提升數字經濟治理能力，將數字經濟發展能力和水平納入國家治理能力和治理體系現代化的范疇。同時，全球性公共衛生事件沒有國界，需要秉持人類命運共同體理念，加強跨境數據保護的國際合作。在大數據時代，各國如何做好公共衛生事件防控既是對國家治理的挑戰，也是提升治理能力的重要契機。總之，公共衛生事件防控中的大數據應用與個人信息保護，是數字經濟發展與社會公共安全領域中值得繼續關注的一項重要課題。