重大公共衛生事件聯防聯控中個人數據的利用*

李曉秋，李雪倩

(重慶大學 法學院，重慶 400044)

隨著互聯網與各傳統領域的深度融合，云存儲、云計算等技術的快速發展，人類邁向了大數據時代。科技為人類賦能。在抗擊新冠肺炎疫情期間，個人數據為疫情防控貢獻了巨大的力量。例如，醫院提供的確診患者的數據，為幫助中央和地方政府了解各地疫情情況和醫療、物資援助的力度提供了科學的參考。確診患者的病情以及具體的治療方案和療效方面的數據是疫苗研制中不可或缺的信息。利用數據，政府才能宏觀把握疫情形勢，微觀了解具體情況，以此提高社會治理的效率。在疫情期間，互聯網產業不僅在精準有效防控方面起到了關鍵作用，而且還在數字基建、數字經濟、數字惠民和數字治理等方面取得了顯著成績，成為我國應對新挑戰的重要力量[1]。

黨的十九大提出建設“數字中國”“智慧社會”并推進“智慧治理”的目標，旨在順應國家治理體系和治理能力從傳統到現代的總體轉型的趨勢[2]。當下，數據的利用不僅影響著政府的現代化治理水平，而且關系到我國信息主權的安全與全球經濟競爭格局的重塑，因此，我國應重視數據的利用問題。本文試就新冠肺炎等重大公共衛生事件(1)根據《突發公共衛生事件應急條例》第2條規定，突發公共衛生事件是指突然發生，造成或者可能造成社會公眾健康嚴重損害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業中毒以及其他嚴重影響公眾健康的事件。在《國家突發公共衛生事件應急預案》中，第1.3條“突發公共衛生事件的分級”規定：根據突發公共衛生事件性質、危害程度、涉及范圍，突發公共衛生事件劃分為特別重大(Ⅰ級)、重大(Ⅱ級)、較大(Ⅲ級)和一般(Ⅳ級)四級。其中，特別重大突發公共衛生事件主要包括：(1)肺鼠疫、肺炭疽在大、中城市發生并有擴散趨勢，或肺鼠疫、肺炭疽疫情波及2個以上的省份，并有進一步擴散趨勢；(2)發生傳染性非典型肺炎、人感染高致病性禽流感病例，并有擴散趨勢；(3)涉及多個省份的群體性不明原因疾病，并有擴散趨勢；(4)發生新傳染病或我國尚未發現的傳染病發生或傳入，并有擴散趨勢，或發現我國已消滅的傳染病重新流行；(5)發生烈性病菌株、毒株、致病因子等丟失事件；(6)周邊以及與我國通航的國家和地區發生特大傳染病疫情，并出現輸入性病例，嚴重危及我國公共衛生安全的事件；(7)國務院衛生行政部門認定的其他特別重大突發公共衛生事件。中的聯防聯控要求如何在法治層面規范個人數據的利用，從而使其發揮更大的價值以及我國應如何應對數據跨國共享中的利用與保護議題展開研究，期冀對當前新冠肺炎疫情常態化防控中個人數據的利用問題盡綿薄貢獻。

一、重大公共衛生事件聯防聯控中暴露出的數據利用問題

(一)數據的多方采集致使數據存儲分散化

數據是荷載或記錄信息且按一定規則排列組合的物理符號。原始數據在流動過程中不斷地承載更多的信息，進而形成數據集合，海量數據集合匯聚成大數據[3]120。大數據的價值在于對包括個人信息在內的海量數據的整合提升、宏觀把控[4]。聯防聯控中各單位和各部門的決策需要依據采集到的數據，碎片化的數據越多、越集中，越利于政府全面了解疫情的情況，據此做出的決策才會更加精準。本次疫情中，數據的采集者眾多，其中不乏一些臨時接到上級指令但并不具有采集數據適格性的單位和部門。多方采集數據致使數據存儲分散化，形成數據孤島。這不僅不利于數據的整合分析，而且由于各部門和各單位缺乏及時對接，容易造成數據的重復采集，降低行政效率。

(二)立法的滯后性導致數據利用的規范缺失

1.數據利用的原則不明確

新冠肺炎具有極強的傳染性，人員的流動加劇了病毒傳播的風險。為了鎖定確診患者以及追溯密切接觸者，各大機場、火車站、客車站、商場、旅游景點等均要求旅客填寫相關信息，以健康碼的方式形成個人數據。在此期間出于防疫目的采集的個人數據不僅具有社會管理價值，同時也具有商業價值，例如，公眾的消費記錄有助于商家進行廣告的精準投遞。數據的控制者眾多，存在個人數據被濫用的可能。除此之外，疫情期間也出現某些媒體將確診患者的不相關信息(如工作單位、家庭住址等)公布于網絡的現象，給確診患者帶來不小的困擾。這也反映出部分數據的采集和利用超出了防疫的目的。

2.側重數據的利用導致數據的保護被弱化

我國在防控初期依靠確診患者的自述確定其活動軌跡，然后將相關內容發布于網絡，如微博、微信群等，以此引起密切接觸者的注意；后續公眾活動軌跡的記錄采用了健康碼的方式，大型商場、餐飲店、旅游景點、機場等都會要求公眾掃碼填寫個人信息，以此確保事后可追溯確診患者及與其密切接觸的公眾。由于新冠肺炎具有極強的傳染性，防控的速度需要追上病毒傳播的速度才能控制住疫情的發展，因此，聯防聯控中各部門和各單位側重于數據的快速利用，而忽視了數據中可能涉及公眾的重要隱私，如果不在利用前對相關數據加以保護，那么，一旦數據泄露，將對公眾的生活和工作造成極大的影響。

3.數據利用的監督機制缺位

疫情期間，很多部門和單位是受上級的要求臨時充當了信息收集的主體(如派出所、街道辦及居委會)，數據的管理機制不完善，個人數據在各環節的保護更多依靠的是操作人員的自覺性和職業操守[5]，僅憑數據控制者的道德自律對其利用行為進行約束顯然是不夠的。個人數據涉及公眾的隱私，疫情期間采集公眾的個人數據實則是個人利益對重大公共利益的讓渡，但當數據的防疫目的實現后，數據的商業價值仍然存在。今天，數據的價值堪比石油，引得商家“爭搶”，如何增進我們的數據安全感，是大數據時代必須回答的一道考題[6]。聯防聯控中涉及的數據控制者眾多，健全的監督機制是幫助其經受住利益誘惑和考驗的有效辦法。

(三)確診患者數據泄露引發網絡輿論失焦

2020年12月，成都一名女孩確診為新冠肺炎患者，由于該女孩確診前的活動范圍較廣且多為人員密集的公共場所，確診信息公開后，該女孩遭到無情的網絡暴力，謾罵聲不堪入耳，微信、手機號碼、家庭住址等與疫情防控不相關的信息也被曝光，直接嚴重影響了女孩的正常生活。除了“成都疫情女孩事件”外，疫情期間還出現了其他確診患者遭遇網絡暴力的事件(2)2021年1月7日，石家莊衛健委公布了新增確診病例，周女士的真實姓名一同被曝光在網絡中，周女士得知自己確診后發布了一條抖音視頻，隨后她的朋友圈等更多信息出現在網絡上，人們紛紛涌進她的抖音視頻留言謾罵。。這類事件的共性在于網民們把對疫情發展的恐懼與焦慮轉移到了確診患者身上，輿論導向從疫情防控本身偏離到對無辜傳播者的指責上。網絡言論發表的匿名性與網民從眾心理的共同作用致使網絡暴力不斷發酵，輿論導向迅速失控與失焦，這不僅給確診患者帶來嚴重的二次傷害，而且也不利于疫情防控工作的有序展開。規范網絡空間的言論以及把控網絡輿論的走向已成為重大公共衛生事件聯防聯控工作中一項亟需應對的挑戰。

(四)數據跨國共享規則尚未形成

由于新冠肺炎在全球蔓延，聯防聯控還涉及跨國合作。我國在疫情防控工作上取得的成績有目共睹。疫情在全球暴發后，許多海外華人選擇回國。在這期間出現不少隱瞞病情搭乘飛機的事件，這不僅對同一航班上的乘客的生命和健康造成嚴重威脅，而且也給國內防控工作加大了難度，因此，旅客數據共享在聯防聯控的跨國合作中顯得至關重要。但由于旅客數據關系到旅客的隱私甚至國家的信息主權安全，而目前我國尚未形成數據跨國共享的規則，所以，如何開展數據的跨國共享是我國面臨的一項重要議題。除此之外，新冠肺炎診療方案的國際經驗交流或許涉及相關確診患者個人數據的共享，假設某位患者的病史如HIV、乙肝等也被記錄其中，數據的跨國流通可能對其今后在海外的工作與生活造成影響。個人數據安全與隱私保護，數據存儲、使用與跨境流動中的風險防范等問題，對各國數字治理能力都構成新的挑戰[7]。我國于2020年9月8日發起了《全球數據安全倡議》，聯防聯控中數據跨國共享是該倡議中的應有之義。規則的形成才能使行動有章可循，才能對借數據安全之名、行保護主義之實的國家進行有力反擊。

二、從重大公共衛生事件聯防聯控看我國數據方面的立法發展

(一)相關立法與立法草案

目前正在施行的《網絡安全法》《電子商務法》《民法典》以及全國人大常委會通過的《關于維護互聯網安全的決定》《關于加強網絡信息保護的決定》主要構成了我國個人數據立法的整體框架。2012年12月發布并施行的《關于加強網絡信息保護的決定》中并未提出“數據”的概念，而是采用了“電子信息”的表述。盡管只有12條，但該決定確立了個人電子信息使用、收集過程中應當遵循的合法、正當、必要原則，同時明確了電子信息的保密義務以及電子信息泄露時應當立即采取補救措施的規定，后續頒布的《網絡安全法》與《民法典》也規定了前述內容。由此可見，《關于加強網絡信息保護的決定》的出臺具有深遠的意義，為后面的立法奠定了良好的基礎。2017年6月1日，《網絡安全法》正式實施，該法由總則、分則以及附則三部分組成，其中第40條至第50條是關于網絡信息安全的規定，規定的具體內容主要是關于網絡運營者的相關義務，同時該法明確了網絡安全監督管理的主要負責部門為國家網信部門。《網絡安全法》第76條對網絡數據與個人信息二者的概念進行了區分(3)《網絡安全法》第76條第4款規定：“網絡數據，是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。”第76條第5款規定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”，根據該條的表述，可推斷出網絡數據與個人信息存在交叉關系。2019年施行的《電子商務法》第23條、第24條規定了電子商務經營者收集、使用用戶個人信息的基本規則(4)《電子商務法》第23條規定：“電子商務經營者收集、使用其用戶的個人信息，應當遵守法律、行政法規有關個人信息保護的規定。”第24條第1款規定：“電子商務經營者應當明示用戶信息查詢、更正、刪除以及用戶注銷的方式、程序，不得對用戶信息查詢、更正、刪除以及用戶注銷設置不合理條件。”。2021年1月1日，我國正式邁入《民法典》時代，其中第1034條至第1039條對個人信息的保護作出了相關規定。《民法典》對個人信息的概念界定與《網絡安全法》中的表述基本保持一致，并且進一步明確了自然人對個人信息享有查閱權、復制權以及刪除權。2021年6月，《數據安全法》通過，這是我國頒布的首個與數據相關的單行法，該法對數據的利用與保護進行了詳細的規定。除此之外，我國也在加快推進《個人信息保護法》的立法進程，當前《個人信息保護法(草案)》第二次審議已經通過，草案對個人信息的處理規則、個人在信息處理中的權利與義務、個人信息的保護部門以及相關法律責任進行了規定。

(二)我國關于數據方面的立法發展特點

通過上述對數據方面的法律梳理，不難發現我國數據立法發展的兩大特點。第一，無論是正在施行的《網絡安全法》與《民法典》，還是將于2021年9月1日施行的《數據安全法》以及尚處于制訂階段的《個人信息保護法》，數據(信息)始終未被視為一項權利。從法條規范之國的、權益區分之標準以及利益衡量視野之考察等方面看，個人信息不具有絕對權的法律屬性[8]。2018年9月，《個人信息保護法》《數據安全法》被列入第十三屆全國人大常委會立法規劃，法律名稱中也未采取“權利”的表述，這一定程度上反映出立法機關在賦權方面的審慎[9]。然而，日本在2003年就通過了《個人信息保護法》，確立了個人信息權。歐盟于2016年通過了《一般數據保護條例》(以下簡稱《條例》)，該《條例》被視作全球個人數據保護的最重要立法之一，其中明確了個人數據屬于一項權利。與立法起步較早的歐盟和日本相比，我國選擇了不同的立法模式，將數據(信息)作為利益加以保護，這其中的原因主要是為了促進信息產業的經濟發展。第二，從《關于加強網絡信息保護的決定》到《數據安全法》，我國關于數據方面的法律呈現出由最初僅規定數據的保護轉變為到后面逐漸重視數據利用的特點。這主要是因為數據已成為一項新的生產要素，數據的開發與利用逐漸上升到國家戰略高度，國家治理體系的現代化要求法律的變革發展。

(三)權利保護與利益保護模式的比較與展望

權利是由“特定利益”與“法律上之力”兩個要素構成。其中，利益是客觀存在的，法律上是否對某種利益予以確認和保護，賦予其法律上之力，取決于立法者的價值判斷，故權利是利益與價值結合的產物[10]。立法發展是一個動態的過程，盡管當下我國有關數據方面的立法均選擇了利益保護的模式，但不妨礙我們思考權利保護模式的正當性與有效性，通過兩種保護模式的比較，展望我國在數據方面的立法發展。

1.權利保護模式的利弊分析

權利保護模式的優勢在于能夠增強對個人數據的保護力度，因為權利的位階高于法益，對數據賦權意味著法律將對個人數據予以更強有力的保障，彰顯法律的防范性與救濟性功能。當數據上升為一項權利后，個人、企業、政府部門才能更好地認識到此種利益的存在，進而預先依照權利的具體要求對自身的數據利用行為進行客觀評價，以此提高各方主體的數據保護意識。但權利保護模式存在過度妨礙他人自由的問題，可能會造成數據糾紛濫訴之嫌，沖突的增多又將增加司法的運行成本，對公共財力提出了更高的要求[11]。

2.利益保護模式的利弊分析

利益保護模式的優勢在于不會過多地限制數據的自由流通，有利于推動我國信息產業的發展，促進國家的經濟增長。尤其對于企業而言，利益保護模式能夠降低數據利用的合規成本，使企業從海量數據的整合、分析、利用中獲取更多的經濟收益。但利益保護模式的力度不足以引起個人、企業以及政府部門對數據保護的高度重視。加之個人信息泄露或濫用的危險一般是將來的、潛在的和不確定的，我們往往高估當期的收益而低估未來的成本[12]。在當期經濟收益的刺激下，利益保護模式將難以確保各方主體會嚴格遵循相關規定，事先就依照法律做出妥適的行為安排。

3.由利益保護模式逐漸過渡到權利保護模式

從法理的角度來看，在屬性上，數據既不屬于抽象的知識財產，也不是具體的物質存在，而是一種依賴于網絡空間的以比特形式存在的新型財產形態，在數據之上應當存在數據權利[13]。目前，我國關于數據方面的立法只是為義務主體設定了義務，并未規定數據主體的權利，存在較為明顯的基礎缺失問題[14]。因此，選擇權利保護模式具有正當性與必要性。從實踐的角度來看，歐盟、日本等發達國家和地區均對數據或個人信息采用了權利保護模式，為了與國際接軌，未來我國也應當選擇權利保護模式。只有國內對數據保護的力度與國外基本保持一致，才能吸引更多企業到我國進行投資。更為重要的是，當應對重大公共衛生事件需要涉及跨國數據共享時，數據保護標準的盡可能統一才能減少各國煩瑣的審批程序，進而提升數據的傳輸效率。隨著大數據時代的到來，未來將會更加重視個人信息或者數據的保護，在個人信息日益成為一種重要社會資源的背景下，只有以表彰私權屬性為基礎，才能夠對個人信息進行有效的保護[15]。但需要注意的是，保護模式的轉換應采用漸進式的方法，給各方主體留出緩沖適應期，同時持續關注轉換過程中出現的社會問題，及時采取相應措施予以積極回應與協調。

三、國外數據立法對我國重大公共衛生事件聯防聯控的積極啟示

(一)歐洲《一般數據保護條例》

1.數據處理的原則

歐洲議會于2016年通過的《條例》被視作全球個人數據保護的最重要立法之一。該《條例》規定了六項數據處理的一般原則，分別為合法性、合理性、透明性原則，目的限制原則，數據最小化原則，準確性原則，限期存儲性原則，可問責性原則[16]41。其中，數據最小化原則可以被理解為目的限制原則的延伸，該原則為數據的采集和利用的邊界提供了指導，“最小化”是指個人數據應當相關、適當、必要，是否符合最小化的要求應結合數據處理的目的進行考查。我國在聯防聯控數據利用中，出現了個人數據的采集超出防疫目的的情況，歐洲的數據最小化原則為我國解決該問題提供了一個不錯的范本。

2.數據的監督機制

《條例》第四章第四部分規定了數據保護官的設立，第六章規定了獨立監管機構的設置。數據保護官的職責是確保數據控制者和處理者遵守《條例》以及與監管機構展開合作，獨立監督機構的任務是負責監控該《條例》的實施[16]44。數據保護官與獨立監督機構履行的都是監督職責，兩者的區別在于數據保護官是基于特殊情況設置，如大規模數據處理或者公共機構的數據處理，由數據控制者或者處理者委任數據保護官，而獨立監督機構是常設機構。這種做法具有較大的啟發意義，常設機構與臨時監督員的組合不僅能對數據的利用起到監督作用，而且對資源的利用也能進行合理配置。當出現重大公共衛生事件涉及大規模數據處理時，投入更多的人力保障數據的合法、合理利用；當特殊情況解除時，由常設機構對數據的利用進行監控，以此節約執法成本。

3.數據的轉移規則

關于將個人數據轉移到第三國或國際組織的問題，《條例》對此分情況進行了規定，即基于充分保護的個人數據直接轉移，不需要特定授權；而基于非充分性保護的轉移需要數據控制者或者保護者提供保護措施以及為數據主體提供可執行的權利和有效的法律救濟措施，才能將個人數據轉移到第三國或者一個國際組織[16]43。該規定體現了分類管理的思路，數據的跨國共享始終需要面對利用與保護的平衡問題，側重于任何一方面，另一方面就會被弱化。針對數據的不同類型，設置不同的轉移條件，使得數據的流通更加高效，同時，也實現了數據的利用與保護并舉的目標，極具借鑒意義。

(二)日本《個人信息保護法》

數據是載荷或記錄信息且按一定規則排列組合的物理符號[3]120。大數據時代，信息以數據的方式被記載。日本在立法文件中并未使用“個人數據”而是用“個人信息”進行表述，但通過對比不難發現，日本個人信息權的具體內容與歐洲的個人數據權非常相似，均有更正、刪除、被遺忘等權利的規定以及數據利用合法、合理等原則的設定。因此，日本的《個人信息保護法》只是在名稱上略有不同，本質上還是針對信息(或者稱為數據)的利用進行的規范。

日本《個人信息保護法》的立法體系比較完善。除了作為基本法的《個人信息保護法》之外，日本還頒布了相應的配套法規，分別針對國家行政機關、獨立行政法人以及地方公共團體做出規定，規范個人信息的利用問題。《個人信息保護法》中的一大亮點為設置了個人信息保護委員會，并對委員會的設置、任務、職權行使的獨立性、委員長、專門委員、任期、身份保障、罷免、事務局、會議、保密義務、規則制訂等相關事項做出了詳盡的規定，同時為了增加域外適用，賦予了個人信息保護委員會更多權力，加強個人信息國際傳輸的監管[3]152。日本的個人信息保護委員會與歐洲的獨立監督機構近似，但其對委員會的規定更為詳細，且將國際傳輸監管的職責明確分配給了委員會，為個人信息的國際傳輸監督奠定了良好的基礎。

四、重大公共衛生事件聯防聯控中個人數據利用的優化建議

(一)完善中央和地方政府的數據共享機制

國務院早在2015年印發的《促進大數據發展行動綱要》中就提出，加快政府數據開放共享，推動資源整合，提升治理能力將成為我國的主要任務。2020年初，新冠肺炎疫情突發，數據間呈現的關聯關系為政府全面了解事態的發展，優化資源配置提供了科學的依據。然而，聯防聯控工作機制決定了數據采集的分散化，各地區、各部門間的數據共享又潛藏著諸多問題。當下，數據和人格的交疊使得“數據”不再是無知無覺的資源，而是“數字人格”和“生命政治”的一部分[17]。在智慧城市下，社會管理和公共服務中的各種信息都以數據形式存儲下來，在部門之間進行共享。我國對于個人信息共享限制較少，各種類型的共享現象廣泛存在[18]。因此，在突發公共衛生事件的新場景下，中央與地方政府的數據共享機制亟待完善。具體而言，可從法律和技術兩個層面應對聯防聯控中數據共享的挑戰。在法律層面，首先需要確立數據共享的目的明確原則與有限使用原則，禁止以不相容的目的進行數據整合，構建以核心需求為導向的共享機制，避免數據的過度共享與整合勾勒出的精準“數字人畫像”給數據主體帶來隱私安全隱患。與此同時，以數據共享的目的作為劃分標準，對于不需要精確到個人的數據匯總統計，明確規定須于共享前對相關數據進行匿名化處理，事先規避數據流轉過程中潛在的隱私泄露問題。除此之外，合理分配與界定數據共享者的義務與責任，各數據共享者應確保所提供數據的真實性、完整性與及時性，當共享數據出現問題時，應找準責任主體并合理界定其責任大小，避免處罰范圍過大挫傷各方共享數據的積極性。在技術層面，利用區塊鏈技術與數據標識技術為共享數據的確責溯源提供有力的支持。區塊鏈采用帶有時間戳的鏈式區塊結構存儲數據,使得處理產生的數據狀態變更都會按照時間順序記錄在區塊鏈上，從而具有可追溯性[19]。數據標識技術能夠使數據具有唯一識別性，就好像給數據頒發了“身份證”[20]。兩種技術的結合有助于分辨數據的原始來源，查明需要對數據質量負責的共享主體，以此合理公平地確定責任承擔問題。

(二)推進個人數據(信息)的立法進程

大數據時代，通過立法的方式對個人數據的利用加以規范已成為全球的主流趨勢。不管是面對重大公共衛生事件中大規模的數據處理，還是其他方面的數據處理都需要規范的指引。疫情期間暴露出的數據利用問題，很大部分原因在于我國缺少相應的法律法規對數據的利用進行規范。當下，我們的生活已經被算法和數據包圍。法律的作用不單是指導人的行為，法律還需要具有實質性的內容以此對抗技術在當代世界中享受的實質性內容，即起到終結技術力量無限增長的效果[21]。在立法過程中，建議注意以下幾個問題。

1.科學構建個人數據立法框架

立法框架的構建好比大廈的地基，唯有進行科學合理的設計才能保證法律的穩定。勞東燕教授指出，關于法律保護框架的整體往什么方向走，應該放在社會治理機制的整體性下來考慮[22]。數據的利用涉及各方主體，尤其是在重大公共衛生事件中，聯防聯控需要各單位和各部門的通力合作，因此，在制訂個人數據法的同時，需要注意配套法律法規的制訂，以此配合個人數據法的施行。與此同時，個人數據的保護應重視“軟法”的柔性治理作用，即賦予各領域、各行業更多的自主權，結合自身實際情況，制訂管理規定，創設多樣化的個人數據保護規則。相當部分的“軟法”源于實踐中的約定俗成，是相關主體自愿、主動認可的規則。在規則制訂過程中，參與各方的利益訴求已得到表達并得到回應，其柔性的特點能夠減少執法過程中的摩擦與對抗，執法成本更低[23]。重視“軟法”的作用，使其成為“硬法”的補充，兩者相互配合才能達到守住原則同時又保持靈活的效果。

有學者提出了個人信息法制訂的理論基礎，即通過對個人敏感隱私信息的強化保護，以及強化個人一般信息的商業利用和國家基于公共管理目的的利用，實現個人、信息業者和國家三方利益的平衡[24]。該理論可作為個人數據立法框架構建的參考。其中，對個人敏感信息的界定十分必要且迫切。因為目前我國法律對于信息的取得構筑了以同意規則為中心的信息保護模式，這不僅提高了互聯網企業的合規成本，而且嚴重阻礙了數據流通[25]。對于政府而言，劃分出個人敏感信息能夠明確重點保護的對象。隨著社會的發展，人臉、指紋、位置信息隨時都在被采集，該類數據具有唯一識別性，一旦泄露就意味著終身泄露。對于公眾而言，個人敏感信息的界定能提高其對相關信息的保護意識，保障其生命財產安全。但需要注意的是，在界定個人敏感信息時，立法者應當將其動態特征納入考慮范圍，可通過采用列舉加兜底條款的方式保障其適用的確定性與靈活性。

除此之外，我國應密切關注域外關于個人數據的立法動向，在構建立法框架時，考慮與域外主要國家立法相協調的問題，為開展數據跨國共享規則的制訂奠定基礎。

2.明確數據利用的原則

制訂新的法律將牽涉到社會方方面面的變動，涉及平衡各方利益的問題，因而立法活動的進程十分緩慢。在推進我國個人數據立法的過程中，不妨首先對數據的利用原則進行規定，提供應對問題的思路，以解燃眉之急。然后再根據我國實際情況，結合國外數據立法的經驗，制訂我國的個人數據法。新的社會情勢需要創新的制度，精細化治理需要將權限下放到各級政府手中，由其判斷本地具體的社會情勢[26]。明確數據的利用原則也能為各地政府因地制宜奠定良好的基礎。疫情期間，各地健康碼的采集基本都依托于支付寶平臺和微信平臺，數據的委托處理是數據控制者技術局限性的必然結果，這同時也意味著數據泄露和非法利用的風險[27]。明確數據的利用原則，才能使防控部門把握好數據利用的尺度，在合法的前提下，靈活處理數據問題。《條例》中規定的數據處理原則較為全面，可為我國參考，尤其是其中的數據最小化原則、限期存儲性原則以及可問責性原則。

3.通過數據分類協調利用與保護問題

個人數據的立法應當采取利用與保護并行的思路，但實際上兩者很難兼顧，側重于任何一方，另一方都會被弱化。因此，有必要對數據進行分類，區分重點利用與重點保護的數據，針對不同類型的數據，制訂不同的規則。具體而言，對于側重利用的數據類型，規定寬松的共享條件，少一些不必要的限制。對于側重保護的數據類型(如診療效果數據中涉及個人病史或者基因數據)，規定嚴格的共享條件，在確保數據安全的前提下才能進行共享。尤其需要重點關注對基因數據的保護，該類數據一旦泄露，將給數據主體帶來投保或就業方面的歧視，除此之外，由于基因中還包括家族成員的信息，因此，基因數據泄露帶來的負面影響可能會牽連數據主體的血親[28]。對于關系國家信息主權安全的數據(如國防軍事、黨政機密等)，規定只能存儲于我國境內服務器中，并對違反規定的主體進行嚴厲的處罰，提高其違法成本。數據的分類實際上是對數據的傳輸進行分流，以此協調數據的傳輸速度與數據安全保障的問題。

4.健全數據利用監督機制

健全數據利用監督機制首先需要設立監督機構，監督機構最好具有獨立的法律地位，以此保證其工作開展的中立性。與此同時，科學地設計監督機構內部的組織結構，明確監督者的職責、選任、任期、罷免、保密義務等事項。制訂的規則越詳細，機構的運轉才會越平穩。監督機構可以采用事前預防與事中監管相結合的方式規范數據的利用，即事前通過評估數據采集的目的與范圍等方面，對數據的存儲和傳輸做出風險評估，在數據的處理過程中，監管機構可根據事前劃分的風險等級明確監督的重點內容，對高風險類的數據加強監控。安全問題的解決并不取決于安保水平與能力最強的部門或企業，而是取決于其中水平最低與能力最差的[29]。監督機構應當重點關注這些安保水平薄弱的部門或企業，定期對其進行數據安保檢查。除此之外，還可借鑒歐盟的數據保護官規定，在涉及大規模個人數據處理的特殊時期(如重大公共衛生事件期間)，由數據控制者委任專業的數據保護官配合監督機構的工作，當特殊情況解除，數據利用的監督工作就交還給各監督機構負責，以此實現資源的合理配置，節約執法成本。

(三)規范網絡空間中關于確診患者數據的傳播及輿論導向

新冠疫情暴發以來，確診患者因個人數據的泄露遭遇網絡暴力的事件層出不窮，確診患者為此承受了極大的心理壓力與二次傷害。除此之外，偏離重心的網絡輿論還擾亂了疫情防控工作的有序展開。因此，規范網絡空間關于確診患者數據的傳播及輿論導向刻不容緩。建議從數據的傳播源進行事前預防性監管，嚴格壓實掌握確診患者數據的政府工作人員的保密責任，以嚴厲的處罰倒逼數據控制者謹慎地按照比例原則發布確診患者的相關數據。如果確診患者的個人數據不幸遭到過度公開，確診患者可以根據《民法典》第1024條與第1195條的規定，借助通知-刪除規則(5)《民法典》第1024條規定：“民事主體享有名譽權。任何組織或者個人不得以侮辱、誹謗等方式侵害他人的名譽權。名譽是對民事主體的品德、聲望、才能、信用等的社會評價。”《民法典》第1195條第1款規定：“網絡用戶利用網絡服務實施侵權行為的，權利人有權通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施。通知應當包括構成侵權的初步證據及權利人的真實身份信息。”，要求網絡平臺及時采取必要措施，對泄露數據的傳播進行有效阻斷，盡可能降低不當言論對其造成的不良影響。對于極其惡劣的網絡暴力事件，如果受害者以誹謗罪或侮辱罪提起自訴，檢察機關應積極展開調查，若法院最終認定罪名成立，該案例可以借助主流媒體進行宣傳報道，以此起到警示教育的作用。除此之外，當網絡輿論出現失控、失焦跡象時，政府以及權威官方媒體應當及時進行輿論引導，堅決制止網絡暴力，營造良好的疫情防控氛圍。

(四)盡早積極研究并制訂跨國數據共享規則

面對致死率高的全球大流行疾病，聯防聯控必將涉及跨國合作。政府應當對此予以高度重視，因為其與國內防控工作的成效緊密相關。國家主權是一個上位概念，具體又可以分為領土主權、領海主權、領空主權等，習近平總書記在多次重要講話中明確了我國所主張的網絡主權觀[30]。個人數據的跨國共享不僅涉及國民的隱私，甚至關乎國家信息主權安全，因此，跨國數據共享應當在保障國民隱私和國家信息主權安全的前提下展開。這是一項復雜且重要的議題，牽涉各國的利益。割裂的數據跨境流動政策將直接影響著此類業務的效率，甚至關系到業務模式本身能否持續開展[31]。整體上，我國數據跨境流動制度正處于探索期，雖然在重點領域提出了本地化要求，但在堅持改革開放不動搖，堅持國內國際雙循環的基本方略之下，需要為數字經濟的全球化發展提供相匹配的制度供給，提供更加多樣化的流動機制[32]。我國應盡早研究跨國數據共享規則的制訂，積極地與各國進行商議，以雙邊或多邊協議的形式確立數據跨國共享規則，使防控的跨國合作在規則的指引下有序進行。與此同時，規制數據的跨境流通需要重視刑法保護框架的調整，為打擊相關犯罪行為提供法律依據，織密個人數據保護這張網。在數據跨國共享方面，歐盟與美國早就展開了合作，簽訂了一系列數據分享協定，但有學者指出歐盟是美國規則的接受者，尤其是為了平衡安全和數據保護，美國施加了外部壓力，未來的全球安全領域數據保護標準將會受到美國的很大影響[33]。因此，我國應盡早地參與數據跨國共享規則的制訂，爭取與部分大國對該問題達成共識并簽訂協議，以此獲取更多的話語權，擺脫美國的牽制。

五、結 語

大數據時代擁抱大數據。重大公共衛生事件中大規模的個人數據處理難題需要從技術與法律兩個層面予以解決，從而確保科技向善、數據利用法治化。當下，在重大公共衛生事件聯防聯控工作中，我們應遵循習近平法治思想，全面貫徹新發展理念，采取數據利用與保護并舉的原則，進一步完善中央和地方政府的數據共享機制，確定數據的利用原則與監督機制，細化數據的分類保護規則，以此實現數據利用價值的最大化。與此同時，密切關注國際數據立法動態，積極參與數據跨境共享規則的制訂，重視相關配套制度的研究，織密數據保護的法治之網，為個人數據利用提供堅實的法治保障。