原标题：评论丨传染病疫情防控与个人信息保护初探

　　编者按：在去全国抗击新冠疫情的时候，如何依法保护个人信息也值得探讨，App治理工作组副组长、中国自贸区信息港智库首席专家洪延青博士抛砖引玉，对此做了相关分析探讨。

 

　　在数字时代，将ICT技术运用于传染病疫情的监测和防控是题中之义。在此次2019-nCoV病毒疫情中，我们也在公开媒体中初步见到了大数据技术在这方面的威力。

　　比如百度推出了“百度迁徙升级版上线，人口迁徙大数据向公众开放”。如果说上述实践中主要展示了集合性数据(aggregated data)，基本上不存在个人信息保护风险的话，部分报道中披露出的直接披露、共享武汉人民个人信息的做法，例如“武汉人是否还应该有隐私？”，就存在违法违规的风险。

　　本系列短文，旨在初步探讨传染病疫情与个人信息保护之间的复杂关系。在文章中，很多时候是提出问题，但确切的答案，我自己也没有。

　　个人信息保护，针对的是个体层面的数据。媒体报道中提出的问题很明了：

　　针对武汉返乡人员的信息登记、活动监控也迅速在全国各地展开，绝大部分武汉返乡人员都积极配合防疫工作，主动申报，自行隔离。

　　然而，一些政府部门统计的信息本来是为了实时监控、掌握情况而用，却变成了一张张公开被线上追杀的“通缉令”。

　　各地武汉返乡人员的名单开始在各种家人群、同学群中疯传，家庭住址、身份证号、手机号的隐私信息一应俱全。

　　因此，首先我们要明确的是，这些无序共享的个人信息的性质。姓名、家庭住址、身份证号、手机号、行踪轨迹等，均属于个人信息，这个没有任何疑问。但这些信息类型的性质和保护水平，是我们需要弄清楚的问题，以便后续做利益冲突方面的平衡时能知道多大程度上公共利益能够压倒个人的合法权益。

　　目前，在国内现行法律中，没有明确的将某些类型的个人信息赋予更高等级的保护。在国家标准GB/T35273《个人信息安全规范》中，提出了个人敏感信息这个概念，以此区别于个人信息。

　　本质上，标准采取的是场景式的定义，有些信息，例如姓名、电话号码，在平日仅仅是个人信息，但是部分武汉人民(及从武汉返乡人员)的这些信息，在当下特殊的情形中，应当认为是个人敏感信息。理由如这个报道中提到的情况：“在外地的湖北人：我们现在是老鼠过街，人人喊打”。

　　换句话说，这个定义的提出站在个人信息控制者的角度。如果其意识到这些信息，“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等”的，就应当自觉将这些信息“升格”为个人敏感信息来保护。因此，个人敏感信息这个定义是依赖于场景的——即何种信息在何时落入个人敏感信息这个类别，是和场景密切相关的。

　　这样一种逻辑，实际上也是欧盟GDPR定义特殊类型个人信息的逻辑。请看看GDPR第九条，翻译起来就是：禁止以下数据处理行为：处理个人数据，揭露出其种族、民族、政治观点、宗教和哲学信仰，或工会成员身份；处理基因数据、生物识别数据，以识别出特定个人；处理与健康相关的数据，或与自然人性取向或性经历有关的数据。

　　要非常注意GDPR这个条文的措词——“处理个人数据，揭露出”(processing of personal data revealing)。也就是说，GDPR中的特殊类型数据，绝不是单纯的种族、民族、政治观点、宗教和哲学信仰、工会成员身份这几类具体的信息，而是数据控制者能够用一些数据来推断出上述信息即可。

　　与健康相关的信息(data concerning health)也如此。在当下，武汉市民(及从武汉返乡人员)几乎等同于2019-nCoV病毒高危人群，其家庭住址、身份证号码等，被各个方面用于隔离、劝勉等目的。此时，其家庭住址、身份证号码等在GDPR中就会被当成与健康相关的信息(data concerning health)，而“升格”为特殊类型数据。

同意的例外

　　前述我们分析了各地武汉返乡人员的名单中的家庭住址、身份证号、手机号等信息的性质。在当前情形下，各个掌握这些信息的组织和个人，都应当将这些信息当成个人敏感信息予以保护。

　　但事实上还有个前置问题还没解决——这些组织或个人，其取得(包括收集和共享获得等方式)上述个人敏感信息是否具备合法性？

　　目前，哪些组织或个人掌握了这些敏感信息？在南都隐私护卫队的报道中，“被骂”武汉毒人“”要求公开全家信息“ 超7000武汉公民信息泄露之后”，主要有三类主体：

　　有负责疫情防控工作的地方政府人员告诉南都记者，泄露的信息源头和地方上登记武汉返乡人员的途径直接相关，目前主要有三种：一是地方教育部门统计16到19年高中毕业录取在武汉的大学生名单；二是公安部门掌握的公共交通大数据(铁路、航空实名信息)；三是政府安排村委会、街道办事处、社区的基层工作人员进行逐户排查上报。

　　此外，中国城市和小城镇改革发展中心首席经济学家李铁先生还建议——“李铁：建议利用手机信令大数据科学控制疫情”，其中李铁先生建议：

　　从技术上来说，利用手机定位完全可以对一个地区甚至更大空间范围内的人口流动，进行详细地数据搜集。近些年一些城市在举办大型活动、人口调查和旅游人口流向分析上，都采用了手机信令的数据搜集和整理，为提高大型活动的安全治理，人口空间的分布情况以及旅游景区的管理都提供了重要的科学和数据保障。因此可以说，目前真正能覆盖所有位置定位的数据源，手机信令相比于其他的互联网公司的数据更为可靠，因为手机基本实现了全覆盖。因为无论是腾讯还是阿里巴巴等各类互联网公司，只能做到对重点用户的数据搜集，不能做到全覆盖。

　　掌握手机信令数据的是中国三大手机运营商，其中中国移动占有70%，中国电信和中国联通各占用15%。如果把这三家公司的手机数据拿到，就可以完全掌握近期中国人口的流向和分布，特别是针对某一个地区的人口流向和分布。例如对于武汉来说，近半年内的人口流入和流出情况，手机信令数据可以做到每天每人24小时内任何时间的的定位。不仅仅是手机用户在本地的流动状况，即使是去外地，也可以通过分析去向，找到当地的手机运营公司，完全可以拿到这些数据。外地来武汉的人员，也可以通过手机信令数据得到他们流动和去向的具体情况。

　　结合本系列第一篇文章中有关百度人口迁徙地图的能力可以推知，很多互联网公司也具备掌握各地武汉返乡人员行踪轨迹的能力。如此看来，至少有五类主体值得我们高度关注：

　　1、地方教育部门

　　2、公安部门(掌握铁路、航空等实名信息)

　　3、基层工作人员

　　4、电信运营商

　　5、互联网公司(包括SDK类的企业)

　　这五类主体中，只有基层工作人员需要主动收集这些个人敏感信息，其他主体则是通过改变信息使用目的的方式，将原本(自身或者别的主体)已经掌握的信息，转用于疫情监测、防控和感染源的隔离这个新的目的。

　　在个人信息保护法理中，无论是收集信息还是改变信息使用目的，均需要有合法性基础。在我国，合法性基础主要是个人的同意。在其他法域则有更多的设计。例如欧盟GDPR，则存在六个合法性事由，分别是：

　　满足下列条件之一，且仅在下列条件规定的范围内，处理个人数据合法：

　　a 数据主体对出于单个或多个特定目的而处理其个人数据表示同意；

　　b 因履行合同，且数据主体是合同的一方，而必须处理个人数据的，或因数据主体要求，完成合同签署前步骤，而必须处理个人数据的；

　　c 因履行数据控制者承担的法律义务而必须处理个人数据的；

　　d为保护数据主体重大利益或其他自然人重大利益而必须处理个人数据的；

　　e 为公共利益而执行任务，或数据控制者履行赋予的公共职能时，必须处理个人数据的；

　　f 因数据处理者正当利益或第三方正当利益而必须处理个人数据的，除非这样的利益小于数据主体的利益或基本权利和自由，特别当数据主体尚未成年时。当公权力部门在履行职责时处理个人数据的，不受(f)的约束。

　　再回过头来看我国。实际上在过去的一段时间内，笔者知道数家互联网公司日以继夜地工作，通过自己的数据和技术能力，给有关部门提供了大量的数据支撑，为传染源/人员的筛查、追踪、控制和隔离作出了巨大的贡献。

　　同时，这些公司及有关部门都主动问过笔者：数据共享行为是否具备合法性？《网络安全法》并没有给同意的例外情形，能靠国家标准《个人信息安全规范》中关于同意的例外规定(如下图所示)，抵御将来可能的法律纠纷吗？

　　虽然笔者是《个人信息安全规范》的主笔人，但还是认为单纯依靠国家标准合法性存在欠缺。相反，在笔者看来：另外一部法律和一部行政法规，能够给此种场景下的数据收集和共享行为提供合法性基础。

　　《中华人民共和国传染病防治法》(2013年修订)总则第十二条：

　　在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。

　　卫生行政部门以及其他有关部门、疾病预防控制机构和医疗机构因违法实施行政管理或者预防、控制措施，侵犯单位和个人合法权益的，有关单位和个人可以依法申请行政复议或者提起诉讼。

　　总则的这条规定，配合第三章“疫情报告、通报和公布”中第三十二、三十三条要求疾病预防控制机构“应当主动收集、分析、调查、核实传染病疫情信息”等，以及第四章“疫情控制”中第三十九至四十一条要求医疗机构和疾病预防控制机构采取的措施，可以解释成当：疾病预防控制机构、医疗机构为了疫情管控，具备改变个人信息使用目的的法定授权。

　　另外一部行政法规是《突发公共卫生事件应急条例》(2003年制定)

　　《突发公共卫生事件应急条例》(2003年制定)第三章“报告与信息发布”中的第二十一条：

　　任何单位和个人对突发事件，不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。

　　这条规定，配合第二章“预防与应急准备”第十、十一条中国务院和省、自治区、直辖市人民政府制定、实施“突发事件应急预案”，以及“突发事件应急预案”中应包含“(二)突发事件的监测与预警；(三)突发事件信息的收集、分析、报告、通报制度；(四)突发事件应急处理技术和监测机构及其任务”等内容的要求，再配合第四章“应急处理”第四十四条的规定：

　　在突发事件中需要接受隔离治疗、医学观察措施的病人、疑似病人和传染病病人密切接触者在卫生行政主管部门或者有关机构采取医学措施时应当予以配合；拒绝配合的，由公安机关依法协助强制执行。

　　可以解释成：人民政府在突发事件应急预案中，可以将除了卫生行政机构、疾病预防控制机构和医疗机构之外的部门、机构、组织、个人纳入，并赋予其信息收集、分析的任务。

　　综合上述分析，可得到以下结论：

　　1、《传染病防治法》和《突发公共卫生事件应急条例》给了人民政府、卫生行政部门、疾病预防控制机构、医疗机构非常强的信息收集、发现的授权。

　　2、人民政府可以在“突发公共卫生事件应急预案”中将信息收集、发现的权力再次授权给相关部门、机构、组织，这其中就可能包括公安部门、基层一线工作人员。另见报道“上海目前已隔离观察9804人”中提到的：“目前，上海已经梳理了两周以来重点地区来沪人员，要求各区及时上门，逐一入户对接。目前共隔离观察9804人，居家隔离8706人，集中隔离1098人。”

　　3、《传染病防治法》和《突发公共卫生事件应急条例》中均要求任何单位和个人均应该配合，这自然包括相关信息的提供。

　　4、由于《传染病防治法》《突发公共卫生事件应急条例》属于特别法，优于一般法(即《网安法》)，因此，法律合法性方面没有问题，即便《网安法》中个人信息收集和使用没有例外。

　　此外，在“应急预案”中，对于疑似病人和传染病病人密切接触者，都可以采取强制措施，包括人身方面的强制。在条文中，措施后面都带上了“等”字，由于人身自由方面的强制措施都可以用，那自然，个人信息强制收集方面的措施也包含在内，可以认为在“等”字中包含了。

　　当然，这些广泛的强制性权力并非没有边界和规范，以及这些信息在收集后的安全使用问题，留待后续文章探讨。