論疫情防控中對個人信息的保護

馬光

摘? ? 要：新冠疫情發生后，我國積極利用大數據予以應對，并取得了初步成效，但同時也有侵犯個人信息的案例發生，如何在積極防疫的同時對個人信息提供足夠保護是本文要研究的主要內容。結合與歐盟、韓國相關法律制度的比較，提出盡快制定《個人信息保護法》，堅持信息最小化原則，進一步明確信息收集和使用主體等方面的建議。

關鍵詞：疫情防控;個人信息保護;傳染病;大數據;位置信息

圖書分類號：D 994? ? ? ? 文獻標識碼：A? ? ? ? ? ? 文章編號：2096-9783（2021）04-0029-08

引? 言

在新冠疫情發生后，我國運用大數據、人工智能等新技術開展防控，并取得了抗擊疫情的初步成果。與此類似的，我們近鄰韓國在經歷早期的疫情擴散后也經過運用大數據使得疫情得到控制，其中接觸者追蹤是其流行病學調查的重要組成部分1。而對個人信息的保護采取最嚴管制的歐盟則尚未擺脫疫情的泛濫，甚至《通用數據保護條例》（以下簡稱為GDPR）被質疑對運用大數據抗擊疫情是不利的。

在抗擊新冠疫情方面取得初步成效的同時，我國也發生了部分個人信息遭到泄露的案例，特別是針對武漢返鄉人員的信息登記、活動監控在全國各地展開時，返鄉人員名單在各種親友、同事群中肆意流傳，大量敏感信息泄露事件頻發。如，山西省臨汾市公安局網絡警察支隊于2020年2月1日晚發布消息稱，當地一男子在微信群中傳播“35名密切接觸者名單”文件（名單內容涉及姓名、身份證號、家庭住址等公民個人信息），該男子已被依法行政拘留。而在韓國國內，也發生了多起針對確診人員和家屬身份信息的泄露案例。

對密切接觸者的準確追蹤在疫情防控中起到非常重要的作用，而只有當公民相信自己的隱私得到保護時，追蹤應用程序才能成為有效且能被廣泛使用以支持度過冠狀病毒大流行時期的工具。為了防止病毒大規模傳播，挽救人民和保護社會所做的努力是無價的，應該大力支持。但同時，各國也必須應對因新冠肺炎大流行對隱私權造成的威脅。在這些有限的期間內，必須仍然遵守相關國際法中關于人權的規定，對這些權利的克減或限制只能在法律緊急情況下進行2。

本次新冠疫情引發了諸多法律問題，其中一個重要議題便是疫情下對個人信息的保護問題，即如何確定在疫情等特殊情況下對個人信息保護的范圍和限度，以及如何在為防疫目的使用包括位置在內的個人信息的同時對其進行合理保護。法律在強調個人信息保護的同時，也要注重保護限度，處理好保護與使用之間的關系[1]。本文將選取歐盟、韓國和中國就疫情下對個人信息保護所采取的立法和相關措施為視角，分析疫情防控中對個人信息使用和保護的合理范圍，并且對我國相關立法和措施提出相應的建議。

一、疫情防控中對個人信息保護的立法新動向

新冠疫情發生后，各國和國際組織紛紛出臺相關立法和政策，就疫情中個人信息保護問題進行進一步的規定和解釋。

如，2020年1月30日，我國交通運輸部發布《關于統籌做好疫情防控和交通運輸保障工作的緊急通知》3; 2月4日，中央網絡安全和信息化委員會辦公室發布《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》（以下簡稱為《通知》）[2]。

2020年2月26日，韓國國會修訂《傳染病預防管理法》（以下簡稱為IDCPA）、《檢疫法》和《醫療法》，而正是這些被稱為新冠三法的法律對韓國利用大數據防疫起到了非常重要的作用。

2020年3月30日，歐洲理事會《關于個人數據自動化處理的個人保護公約》（以下簡稱為《108號公約》）委員會主席亞歷山德拉·皮魯奇和歐洲理事會數據保護專員讓·菲利普·沃爾特共同發表了《關于新冠肺炎大流行背景下的數據保護權的聯合聲明》（Joint Statement on the Right to Data Protection in the Context of the COVID-19 Pandemic，以下簡稱為《聲明》），呼吁為防止病毒大規模傳播，挽救人民和保護社會的同時，各國須應對因新冠肺炎大流行而對民主、法治和人權（包括隱私權和數據保護權）造成的威脅。

2020年4月6日，歐洲數據保護主管（以下簡稱為EDPS）沃杰斯依克·維洛斯基發布以《歐盟數字團結：呼吁采取全歐洲應對大流行的方法》（EU Digital Solidarity： a Call for a Pan-European Approach Against the Pandemic）為標題的文章，強調“針對有些人呼吁暫停數據保護法或根據當前的危機對其進行修訂，而該法律既不是積極行動的障礙，也不是導致效率不高的借口，因為該法律是在咨詢有經驗的專家下編寫的，這些專家廣泛使用了為人類服務的新技術。在遵守數據保護法同時，呼吁尊重數據保護權的實質，并提供適當和具體的措施來維護個人的基本權利和利益。GDPR不會成為處理個人數據的障礙，合法性、透明度和相稱性都應伴隨旨在對抗新冠疫情大流行的任何措施”。2020年4月21日，歐盟數據保護委員會（以下簡稱為EDPB）通過了《在新冠肺炎爆發背景下以科學研究為目的的有關健康數據處理的準則》（Guidelines 03/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the COVID-19 Outbreak）和《在新冠肺炎爆發中使用位置數據和接觸者跟蹤工具的準則》（Guidelines 04/2020 on the Use of Location Data and Contact Tracing Tools in the Context of the COVID-19 Outbreak，以下簡稱為《準則》）。

2020年5月14日，美國民主黨人在眾議院和參議院提出的“公共衛生緊急隱私法案”將為收集和披露用于減緩冠狀病毒傳播的健康數據制定臨時規則。該提案將要求政府機構確保通過追查接觸者收集的數據安全。“緊急”衛生數據在宣布公共衛生緊急情況結束后60天內不能再儲存或使用，民主黨法案還包括一個執行機制。而同一天，澳大利亞議會通過了《2020年隱私法修訂法案（公眾衛生聯絡資料）》（以下簡稱《法案》）。《法案》旨在減輕公眾對隱私的擔憂，取代COVID Safe啟動時根據《生物安全法》發布的臨時決定，將其上升為法律，并引入了加強隱私保護的其他措施。《法案》引入澳大利亞議會有史以來最強有力的隱私保護措施。

2020年6月1日，荷蘭政府向議會提交了一份關于使用疫情數據的臨時緊急法案。

在上述這些立法中，本文將選取《108公約》和歐盟、韓國和中國的立法進行介紹和分析，而在此之前，基于國際上存在個人信息和個人數據兩種概念，本文將首先對這兩個概念進行比較和分析，以此確認兩者是否屬于相同概念，以及是否具有可比性。

二、疫情防控中對個人信息收集、使用和保護的國內外比較

（一）對個人信息概念的中外比較

在國際上，《108號公約》被公認是最為重要的關于個人信息保護的國際條約，共有55個締約國，其中8國不屬于歐洲理事會成員國。《108號公約》第2條（a）項規定，個人數據系指與一個已識別或可識別的自然人（數據主體）有關的任何信息。GDPR第4條（1）項對個人數據的定義也與此相同4。

韓國《個人信息保護法》第2條將個人信息定義為：活著的個人相關信息5。

我國《中華人民共和國民法典》（以下簡稱《民法典》）人格權編專設隱私權和個人信息保護一章，第1034條寫明“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息6”。《網絡安全法》第七十六條也有類似規定。《信息安全技術個人信息安全規范》第3.1條還明確例示通信記錄和內容、賬號密碼、財產信息、征信信息、住宿信息、交易信息為個人信息，附錄A則提供關于個人信息的詳細范圍和類型。

從歐盟、韓國和中國的立法內容來看，除了歐盟采用個人數據的概念之外，中韓兩國都采用個人信息的概念，而從他們對這些概念的定義來看，可以看出其實兩者并無本質區別。不管是個人信息還是個人數據，本質都是可否單獨或與其他信息結合識別特定自然人，在此前提下，各方都對個人信息列出未窮盡的列表。基于此，筆者認為歐盟法上的個人數據和中韓立法中的個人信息屬于相同概念，具有可比性，因此在本文寫作中，將對兩個概念予以混用。

（二）疫情防控中個人信息保護的國內外比較

各國在利用大數據抗擊疫情的過程中不可避免地面臨對個人信息收集、使用和保護的問題，而如何更好地協調它們之間的關系則成為非常值得研究的問題。首先，有必要對現有部分國際條約和國內法中有關疫情下對個人信息收集、使用和保護的規定進行梳理和分析。

1.國際條約

國際條約層面，《108號公約》第11條明確承認，有必要以公共利益和個人切身利益為最緊迫的目標，允許實施一些例外和限制。如監測威脅生命的流行病，數據保護權利并不妨礙公共衛生當局與負責分發口罩的組織共享衛生專業人員的名單（姓名和聯系方式），也不能聲稱數據保護權利禁止進行流行病學監測。個人數據保護要求并沒有涵蓋到匿名數據。因此，數據保護要求不會阻止使用匯總的位置信息來發信號通知違反隔離要求的聚會，或指示遠離密切接觸區域的人員的移動。但同時，對這種原則和權利的限制也必須做出非常明確的要求和說明，即使在緊急狀態下也是如此。而且，這種例外應由法律規定，應尊重基本權利和自由的實質，實行的是民主社會中必要且相稱的措施。在施加限制的情況下，這些措施必須僅在臨時基礎上采取，并且只能在明確限于緊急狀態的一段時間內采取。同樣重要的是要采取具體的保護措施，并保證一旦緊急狀態解除后，將對個人數據提供全面保護。這主要應包括有關恢復正常數據處理制度的具體措施和程序，并特別注意包含與健康相關的數據或其他特殊類別數據的數據庫或為追蹤和防控目的而創建的數據庫;對在緊急狀態下進行處理的個人數據進行配置分析，數據保護機構應當仔細評估各國政府針對這些情況所采取的措施。只有在基于科學證據的情況下，才能進行大規模的個人數據處理，例如，這種流行病監測（例如接觸者追蹤）技術和應用的潛在公共衛生益處（包括準確性）超過了其他替代解決方案的益處，而其他替代解決方案的益處相對《聲明》來說要小得多。

2.歐盟

在歐盟層面，2002年的《隱私與電子通信指令》（Directive on Privacy and Electronic Communications，以下簡稱為《指令》）、2013年的《關于嚴重跨界健康威脅的決定》（Decision on Serious Cross-border Threats to Health，以下簡稱為《決定》）、GDPR和疫情后制定的《準則》對處理疫情防控中個人信息使用和保護問題均具有重要意義。相比《108號公約》，這些歐盟法所提供的規定更為詳細。

當出于依據歐盟或成員國法律實現在公共健康領域的公共利益而需要收集感染者狀況等健康數據時，歐盟法也允許進行此類數據處理（GDPR 第9條第2款（i）項）7。

《決定》提供了關于流行病學監測、觀察、預警和對健康的嚴重跨界威脅進行斗爭的規則，包括與這些活動有關的準備和響應計劃，以協調和補充國家政策。《決定》第16條專門規定，應采取適當的技術和組織措施以保護個人數據免遭意外或非法破壞，意外丟失或未經授權的訪問，以及任何形式的非法處理。實施接觸者追蹤措施的主管當局通過預警和響應系統傳遞接觸者追蹤目的所需的個人數據時，應使用選擇性消息傳遞功能，并且僅將數據傳遞給其他參與接觸者追蹤措施的成員國。且自發布之日起12個月后，包含個人數據的信息應自動從選擇性消息功能中刪除。如果主管當局確定其發出的個人數據通知因對于實施接觸者追蹤措施不必要，隨后被證明違反了規定，則應立即通知得到該通知的成員國。

《準則》主要對接觸者追蹤應用程序進行了規范。EDPB強調，數據保護法律框架的設計具有靈活性，因此能夠在限制流行病和保護基本人權與自由方面實現有效地應對。有效性、必要性和相稱性的一般原則必須指導成員國或歐盟機構采取的涉及處理個人數據以對抗新冠疫情的任何措施。這些指南闡明了為兩個特定目的而按比例使用位置數據和接觸者追蹤工具的條件和原則：利用位置數據通過對病毒的傳播進行建模來支持對大流行的反應，從而評估隔離措施的整體有效性;接觸者追蹤，旨在告知個人他們已經與某個最終被證實為該病毒攜帶者的人非常接近，以便盡早打破污染鏈。按照《指令》第5條第3款，直接從終端設備收集包括位置數據在內的信息，應經用戶同意或對于用戶明確要求的信息社會服務絕對必要。這意味著，決定不使用或無法使用此類應用程序的個人完全不會遭受任何不利影響。EDPB強調，在使用位置數據時，應始終優先處理匿名數據而不是個人數據。個人的行動痕跡與生俱來就與位置數據高度相關且獨特。因此，在某些情況下，它們可能容易受到重新識別嘗試的攻擊。考慮到匿名化過程的復雜性，強烈建議有關匿名化方法的透明性。此外，目的必須足夠具體，以排除與新冠病毒健康危機管理無關的目的（例如，商業或執法目的）。接觸者追蹤應用程序不需要追蹤單個用戶的位置，相反，應該使用接近度數據。由于接觸者追蹤應用程序可以在不直接識別個人的情況下運行，因此應采取適當措施以防止重新識別，所收集的信息應駐留在用戶的終端設備上。EDPB還建議在切實可行的范圍內盡快出臺包括確定何時刪除應用以及由哪個實體負責做出決定的標準。當前的健康危機不應作為建立不成比例的數據保留授權的機會。存儲限制應考慮實際需求和醫療相關性（這可能包括基于流行病學的考慮因素，例如潛伏期等），而個人數據應僅在新冠疫情危機期間保存。然后，作為一般規則，所有個人數據都應刪除或匿名化。EDPB的理解是，此類應用程序不能替代，而只能支持由合格的公共衛生人員執行的手動接觸者追蹤，他們可以找出密切接觸者是否可能導致病毒傳播（例如，與受足夠設備保護的人互動時）。EDPB強調，接觸者追蹤應用程序所執行的程序和過程（包括相應的算法）應在合格人員的嚴格監督下進行，以限制任何假陽性和陰性的發生。特別是，提供有關下一步建議的任務不應僅基于自動化處理。應用程序不應收集無關或不需要的信息，這些信息可能包括公民身份、通信標識符、設備目錄項、消息、呼叫日志、位置數據、設備標識符等。接觸者追蹤系統中涉及的任何服務器都必須僅收集接觸者歷史記錄或由于衛生當局進行適當評估以及用戶自愿采取行動而被診斷為感染的用戶的假名。或者，服務器必須僅在一定時間內保留受感染用戶的假名標識符列表或他們的聯系歷史，以告知可能受感染的用戶的暴露情況，并且不應嘗試識別潛在受感染的用戶。必須采用最先進的加密技術來保護存儲在服務器和應用程序中的數據，以及在應用程序和遠程服務器之間進行交換。還必須在應用程序和服務器之間執行相互身份驗證。

3.韓國

韓國則通過《個人信息保護法》、IDCPA和其施行令、施行規則應對疫情下對個人信息的保護問題。韓國的法律體系往往由一部法律和配套的施行令（總統令）、施行規則（部令）組成。韓國《個人信息保護法》第15條規定，個人信息處理者可在特定情況收集個人信息，并在其收集的目的范圍內予以使用8。

IDCPA第76條之2和其《施行規則》第47條之2規定，保健福祉部長官或疾病管理本部長在為預防傳染病和切斷感染傳播所需時，可向相關中央行政機關的長官、地方自治團體的長官以及公共機構、醫療機構和藥店、法人、團體、個人要求提供有關傳染病患者和疑似者的如下信息，收到上述要求的，應予以提供：（1）姓名、身份證號碼、家庭住址和電話號碼（包括手機號）等個人信息;（2）處方和診療記錄等;（3）保健福祉部長官指定期間的出入境管理記錄;（4）其它由總統令規定的，掌握路線所需信息。而按照IDCPA《施行令》（即為總統令）第32條之2，如下信息包括在里面：（1）信用卡、借記卡、預付卡使用明細;（2）交通卡使用明細;（3）通過影像信息處理設備收集的影像信息。保健福祉部長官、市（類似于地級市）和道知事、市（類似于縣級市）長、郡守、區長在為預防傳染病和切斷感染傳播所需時，可向警察廳、地方警察廳和警察署負責人要求提供有關傳染病患者和疑似者的位置信息，收到上述要求后，該負責人可向個人位置信息提供商、電訊服務提供商要求提供有關傳染病患者和疑似者的位置信息，收到上述要求后，無正當理由的情況下，應予以提供。保健福祉部長官或疾病管理本部長可將上述信息提供給相關中央行政機關的長官、地方自治團體的長官、國民健康保險公團理事長、健康保險審查評價院院長、保健醫療機構和其它團體（正在執行傳染病相關業務的醫務人員、醫療機構和藥店、醫務人員團體、藥師協會、醫療機構團體）。對保健醫療機構和其它團體提供的信息僅限于該機構為預防傳染病和切斷感染傳播所需的業務相關信息。為預防傳染病和切斷感染傳播所需的，保健福祉部長官或疾病管理本部長可使用如下信息系統將出入境管理記錄和路線信息提供給保健醫療機構，此類信息限于該機構業務相關信息：（1）國民健康保險公團的信息系統;（2）健康保險審查評價院的信息系統;（3）為預防傳染病和切斷感染傳播，保健福祉部長官或疾病管理本部長認為必要而指定的機構信息系統。醫務人員、藥師和保健醫療機構負責人在進行醫療行為或處方和調制醫藥品時，應通過上述信息系統確認所提供的信息。按上述規定取得的信息，不得以傳染病相關業務外的目的使用，業務結束后，應立即廢棄，并書面報告保健福祉部長官。保健福祉部長官、市和道知事、市長、郡守、區長應將如下事實以電子郵件、書面、傳真、電話或與此類似的方式通知信息主體：（1）為預防傳染病和切斷感染傳播所需信息被收集的事實;（2）上述信息提供給其它機構的事實;（3）不得以傳染病相關業務外的目的使用，業務結束后，會被立即廢棄的事實。按上述規定取得信息后，違反本法處理該信息的，按《個人信息保護法》予以處罰。

IDCPA《施行令》第32條之3規定，國家和地方自治團體（該權限被授權或委托時，包括被授權和被委托者）為了執行如下事務而所需的，可以處理有關健康的信息和包含身份證號碼或外國人登陸證號碼的資料：（1）有關傳染病患者診療和保護的事務;（2）有關培養預防傳染病專業人員的事務;（3）有關傳染病管理信息交流等國際合作的事務。保健福祉部長官、疾病管理本部長、市和道知事、市長、郡守、區長（包括市長、郡守、區長委托預防接種業務的醫療機構）、保健所長或被制定的傳染病樣本監控機構為執行如下事務所需的，可以處理包含個人信息的資料：（1）有關傳染病患者申告、報告、掌握、管理的事務;（2）有關傳染病樣本監控的事務;（3）有關現狀調查的事務;（4）有關流行病學調查的事務;（5）有關健康診斷的事務;（6）有關解剖命令的事務;（7）有關高危險病原體的事務;（8）有關預防接種的事務;（9）有關傳染病管理機構指定，傳染病管理設施、隔離站、療養院、診所的設立和運營的事務;（10）有關傳染病患者管理和傳染病防疫和預防措施的事務;（11）有關消毒業申告的事務;（12）有關消毒業從業者教育的事務;（13）有關損失賠償和預防接種引起損害的國家賠償的事務。

4.中國

中國的相關立法有《網絡安全法》《傳染病防治法》《突發事件應對法》《突發公共衛生事件應急條例》《通知》等。

《民法典》第1034條是關于個人信息受法律保護的規定，自然人的個人信息受法律保護。第1035條進而規定，處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并應征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外。中國《傳染病防治法》《突發事件應對法》《突發公共衛生事件應急條例》構成特別法上的明確授權，據此可以在征得被收集者同意之外，作為公民個人信息的收集、使用的合法性基礎[3]9。《信息安全技術個人信息告知同意指南》（征求意見稿）第6.3條詳細列舉了8種“收集使用個人信息時免于告知同意的情形”10。《傳染病防治法》第十二條和《突發公共衛生事件與傳染病疫情監測信息報告管理辦法》第七條均規定，任何單位和個人在面對包括傳染病在內突發公共衛生事件時均具有如實提供有關信息的義務11。依據《突發事件應對法》第38條，《突發公共衛生事件應急條例》第40條，《國家突發公共衛生事件應急預案》4.2.4（1）項規定使得疾病預防控制機構、醫療機構、縣級以上政府和衛生行政部門、街道、鄉鎮以及居民委員會、村民委員會等均成為法律授權的信息收集或協助收集主體12。盡管《網絡安全法》第42條規定，未經被收集者同意，網絡運營者不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。第57條對被收集者同意規定了例外，即因網絡安全事件，發生突發事件或者生產安全事故的，應當依照《突發事件應對法》《安全生產法》等有關法律、行政法規的規定處置。因此，在特定情況下是可以不經過被收集者同意便收集疫情相關信息的。

《傳染病防治法》分別對疾病預防控制機構和醫療機構的故意泄漏個人隱私行為予以規制13。因此，掌握個人信息的主體無論是向特定的人提供，還是通過互聯網發布個人信息的行為都違反法律規定，情節嚴重的可能構成侵犯公民個人信息罪。《通知》也對個人信息的收集主體、收集原則、信息用途、信息保護等事項做了詳細規定。

5.比較

綜上，歐盟、韓國和中國的相關立法有如下共同點：（1）有法律明文規定的，可不經信息主體同意即可收集和使用個人信息，而基于應對疫情等公共衛生方面考慮采取的個人信息收集和使用包含在法律明文規定情形之一;（2）脫敏處理并無法被重新識別的不受個人信息保護，即通過這些處理的信息是可以公開的;（3）收集和使用的個人信息僅限于必要范圍內，并由指定的機構和人員收集和使用;（4）事后廢棄信息的要求。

但除了這些共同點以外，其區別也是比較明顯的。整體上，歐盟的規定對疫情下個人信息的收集和使用設置了最為嚴格的限制，即使是在疫情這一例外情況中收集和使用個人信息，也要嚴格保護個人信息。而中國和韓國的立法則對疫情下的個人信息收集和使用提供了較為寬松的條件，并且將這一例外情況下的操作方式進行詳細規定。相比之下，韓國的相關立法更加有層次，能夠較為明確地規定哪些主體可在疫情下如何收集、使用和保護個人信息，特別是能夠從法律上明確可以使用位置信息、刷卡信息和監控信息等排查個人的移動經過。中國則因相應內容分散在《傳染病防治法》《突發事件應對法》《突發公共衛生事件應急條例》等法律和法規中，內容上銜接不足，且容易導致內容重復和不一致的情況。

三、完善我國個人信息保護制度的建議

疫情防控背景下，及時、完整的疫情信息公開必然能夠幫助人們增加其對“新型冠狀病毒肺炎”風險的了解，但由此造成個人信息泄露則得不償失，因此，有必要對兩者進行協調。

盡管我國尚無《個人信息保護法》，但如同上面所闡述，現有立法已經初步能夠應對疫情防控中對個人信息的收集、使用和保護的問題。當然，能夠應對并不意味著這些立法和制度已經非常完善，從這個角度出發，對于行政主體收集公民個人信息的行政行為，仍然缺乏完善的法律規制。在此問題上，結合歐盟和韓國的立法和經驗，還是有較大的完善空間，本文擬在如下幾個方面提出我國立法和措施的完善方案。

第一，我國在公民個人信息權益保護方面的立法顯得相對不足，層級低且效力弱，專門化、板塊化、碎片化問題突出[1]。相關制度分散在部分法律、行政法規、部門規章和規范性文件中，這樣很容易產生立法的不統一甚至有些相互不一致的情況。從這一點來看，制定《個人信息保護法》是大勢所在。為了能夠完善我國的個人信息保護機制，制定專門立法是必不可少的。以《個人信息保護法》為中心，將我國的個人信息保護相關法律法規予以整合非常必要。

第二，從信息最小化原則出發，在疫情等公共衛生事件中，除非確有需要，應盡量收集和使用無法識別個人的較為模糊信息，例如，就位置信息而言，可以選取范圍信息，不必要的信息要堅決不予收集。

第三，進一步明確責任主體，除了疾病預防控制機構和醫療機構外，縣級以上政府和衛生行政部門、街道、鄉鎮以及居民委員會、村民委員會等機構也具有法律授權的收集或協助收集信息的權利或義務，因此，這些機構也應納入監管范圍，并且明確非法收集和傳播時的責任和處罰。而從目前的立法來看，這部分顯然是屬于空白，法律僅規定了疾病預防控制機構和醫療機構的監管責任、處罰措施。有些立法則未對泄露信息作出處罰規定，如《突發公共衛生事件應急條例》就沒有規定對泄露信息的處罰事項。疾控機構及醫療機關常常忙于應對傳染病患者的確診和救治工作，真正實施信息收集的主體一般是地方各級政府。因此，有必要在《突發事件應對法》中明確在突發情形下，個人及企業為疫情需要配合政府收集信息之義務[4]。

第四，《通知》作為應對此次新冠疫情發布的規范性文件，在疫情期間對個人信息保護方面起到了較好的作用，盡管如此，其尚存有待完善的部分。因為《通知》是為做好新型冠狀病毒感染肺炎疫情聯防聯控中的個人信息保護而制定，所以其具有特定性，無法在疫情后對類似問題的發生反復適用。從這個角度來看，有必要制定專門針對衛生公共事件中個人信息保護的相關規章。從內容上來看，《通知》缺少對信息主體告知義務的相關規定，這一問題在《傳染病防治法》等相關法律中也同樣存在。《通知》規定收集對象原則上限于確診者、疑似者、密切接觸者等重點人群，一般不針對特定地區的所有人群，而此類有例外的規定應將例外明確。《通知》還規定，不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息，因聯防聯控工作需要，且經過脫敏處理的除外，而此處的脫敏應考慮無法恢復的相關限制。

參考文獻：

[1] 張勇.論大數據背景下涉疫情個人信息的法律保護[J].河南社會科學，2020（4）：56-65.

[2] 趙麗.公開涉疫個人信息防止泄露[N].法制日報，2020-02-20.

[3] 葛鑫，洪延青.大數據支撐聯防聯控工作中個人信息保護問題分析[J].中國信息安全，2020（2）：30-41.

[4] 田旭.突發性公共衛生事件中個人信息的法律保護[J].中國信息安全，2020（2）：42-43.

The Protection of Personal Information in Epidemic Prevention and Control

Ma Guang

（Guanghua Law School， Zhejiang University， Hangzhou 310008， China）

Abstract： After the outbreak of COVID-19， China actively used big data to deal with the epidemic and achieved initial results. However， there were also cases of personal information violations. How to provide sufficient protection for personal information while actively preventing epidemic is the main content of this paper. Based on the comparison with the relevant legal systems of the European Union and Korea， it is proposed to formulate the Personal Information Protection Law as soon as possible， adhere to the principle of information minimization， and further clarify the subjects of information collection and use.

Key words： epidemic prevention and control; personal information protection; infectious diseases; big data; location information