馬光

摘? ? 要：新冠疫情發(fā)生后，我國(guó)積極利用大數(shù)據(jù)予以應(yīng)對(duì)，并取得了初步成效，但同時(shí)也有侵犯?jìng)€(gè)人信息的案例發(fā)生，如何在積極防疫的同時(shí)對(duì)個(gè)人信息提供足夠保護(hù)是本文要研究的主要內(nèi)容。結(jié)合與歐盟、韓國(guó)相關(guān)法律制度的比較，提出盡快制定《個(gè)人信息保護(hù)法》，堅(jiān)持信息最小化原則，進(jìn)一步明確信息收集和使用主體等方面的建議。

關(guān)鍵詞：疫情防控;個(gè)人信息保護(hù);傳染病;大數(shù)據(jù);位置信息

圖書分類號(hào)：D 994? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? 文章編號(hào)：2096-9783（2021）04-0029-08

引? 言

在新冠疫情發(fā)生后，我國(guó)運(yùn)用大數(shù)據(jù)、人工智能等新技術(shù)開展防控，并取得了抗擊疫情的初步成果。與此類似的，我們近鄰韓國(guó)在經(jīng)歷早期的疫情擴(kuò)散后也經(jīng)過運(yùn)用大數(shù)據(jù)使得疫情得到控制，其中接觸者追蹤是其流行病學(xué)調(diào)查的重要組成部分1。而對(duì)個(gè)人信息的保護(hù)采取最嚴(yán)管制的歐盟則尚未擺脫疫情的泛濫，甚至《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱為GDPR）被質(zhì)疑對(duì)運(yùn)用大數(shù)據(jù)抗擊疫情是不利的。

在抗擊新冠疫情方面取得初步成效的同時(shí)，我國(guó)也發(fā)生了部分個(gè)人信息遭到泄露的案例，特別是針對(duì)武漢返鄉(xiāng)人員的信息登記、活動(dòng)監(jiān)控在全國(guó)各地展開時(shí)，返鄉(xiāng)人員名單在各種親友、同事群中肆意流傳，大量敏感信息泄露事件頻發(fā)。如，山西省臨汾市公安局網(wǎng)絡(luò)警察支隊(duì)于2020年2月1日晚發(fā)布消息稱，當(dāng)?shù)匾荒凶釉谖⑿湃褐袀鞑ァ?5名密切接觸者名單”文件（名單內(nèi)容涉及姓名、身份證號(hào)、家庭住址等公民個(gè)人信息），該男子已被依法行政拘留。而在韓國(guó)國(guó)內(nèi)，也發(fā)生了多起針對(duì)確診人員和家屬身份信息的泄露案例。

對(duì)密切接觸者的準(zhǔn)確追蹤在疫情防控中起到非常重要的作用，而只有當(dāng)公民相信自己的隱私得到保護(hù)時(shí)，追蹤應(yīng)用程序才能成為有效且能被廣泛使用以支持度過冠狀病毒大流行時(shí)期的工具。為了防止病毒大規(guī)模傳播，挽救人民和保護(hù)社會(huì)所做的努力是無價(jià)的，應(yīng)該大力支持。但同時(shí)，各國(guó)也必須應(yīng)對(duì)因新冠肺炎大流行對(duì)隱私權(quán)造成的威脅。在這些有限的期間內(nèi)，必須仍然遵守相關(guān)國(guó)際法中關(guān)于人權(quán)的規(guī)定，對(duì)這些權(quán)利的克減或限制只能在法律緊急情況下進(jìn)行2。

本次新冠疫情引發(fā)了諸多法律問題，其中一個(gè)重要議題便是疫情下對(duì)個(gè)人信息的保護(hù)問題，即如何確定在疫情等特殊情況下對(duì)個(gè)人信息保護(hù)的范圍和限度，以及如何在為防疫目的使用包括位置在內(nèi)的個(gè)人信息的同時(shí)對(duì)其進(jìn)行合理保護(hù)。法律在強(qiáng)調(diào)個(gè)人信息保護(hù)的同時(shí)，也要注重保護(hù)限度，處理好保護(hù)與使用之間的關(guān)系[1]。本文將選取歐盟、韓國(guó)和中國(guó)就疫情下對(duì)個(gè)人信息保護(hù)所采取的立法和相關(guān)措施為視角，分析疫情防控中對(duì)個(gè)人信息使用和保護(hù)的合理范圍，并且對(duì)我國(guó)相關(guān)立法和措施提出相應(yīng)的建議。

一、疫情防控中對(duì)個(gè)人信息保護(hù)的立法新動(dòng)向

新冠疫情發(fā)生后，各國(guó)和國(guó)際組織紛紛出臺(tái)相關(guān)立法和政策，就疫情中個(gè)人信息保護(hù)問題進(jìn)行進(jìn)一步的規(guī)定和解釋。

如，2020年1月30日，我國(guó)交通運(yùn)輸部發(fā)布《關(guān)于統(tǒng)籌做好疫情防控和交通運(yùn)輸保障工作的緊急通知》3; 2月4日，中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室發(fā)布《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》（以下簡(jiǎn)稱為《通知》）[2]。

2020年2月26日，韓國(guó)國(guó)會(huì)修訂《傳染病預(yù)防管理法》（以下簡(jiǎn)稱為IDCPA）、《檢疫法》和《醫(yī)療法》，而正是這些被稱為新冠三法的法律對(duì)韓國(guó)利用大數(shù)據(jù)防疫起到了非常重要的作用。

2020年3月30日，歐洲理事會(huì)《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》（以下簡(jiǎn)稱為《108號(hào)公約》）委員會(huì)主席亞歷山德拉·皮魯奇和歐洲理事會(huì)數(shù)據(jù)保護(hù)專員讓·菲利普·沃爾特共同發(fā)表了《關(guān)于新冠肺炎大流行背景下的數(shù)據(jù)保護(hù)權(quán)的聯(lián)合聲明》（Joint Statement on the Right to Data Protection in the Context of the COVID-19 Pandemic，以下簡(jiǎn)稱為《聲明》），呼吁為防止病毒大規(guī)模傳播，挽救人民和保護(hù)社會(huì)的同時(shí)，各國(guó)須應(yīng)對(duì)因新冠肺炎大流行而對(duì)民主、法治和人權(quán)（包括隱私權(quán)和數(shù)據(jù)保護(hù)權(quán)）造成的威脅。

2020年4月6日，歐洲數(shù)據(jù)保護(hù)主管（以下簡(jiǎn)稱為EDPS）沃杰斯依克·維洛斯基發(fā)布以《歐盟數(shù)字團(tuán)結(jié)：呼吁采取全歐洲應(yīng)對(duì)大流行的方法》（EU Digital Solidarity： a Call for a Pan-European Approach Against the Pandemic）為標(biāo)題的文章，強(qiáng)調(diào)“針對(duì)有些人呼吁暫停數(shù)據(jù)保護(hù)法或根據(jù)當(dāng)前的危機(jī)對(duì)其進(jìn)行修訂，而該法律既不是積極行動(dòng)的障礙，也不是導(dǎo)致效率不高的借口，因?yàn)樵摲墒窃谧稍冇薪?jīng)驗(yàn)的專家下編寫的，這些專家廣泛使用了為人類服務(wù)的新技術(shù)。在遵守?cái)?shù)據(jù)保護(hù)法同時(shí)，呼吁尊重?cái)?shù)據(jù)保護(hù)權(quán)的實(shí)質(zhì)，并提供適當(dāng)和具體的措施來維護(hù)個(gè)人的基本權(quán)利和利益。GDPR不會(huì)成為處理個(gè)人數(shù)據(jù)的障礙，合法性、透明度和相稱性都應(yīng)伴隨旨在對(duì)抗新冠疫情大流行的任何措施”。2020年4月21日，歐盟數(shù)據(jù)保護(hù)委員會(huì)（以下簡(jiǎn)稱為EDPB）通過了《在新冠肺炎爆發(fā)背景下以科學(xué)研究為目的的有關(guān)健康數(shù)據(jù)處理的準(zhǔn)則》（Guidelines 03/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the COVID-19 Outbreak）和《在新冠肺炎爆發(fā)中使用位置數(shù)據(jù)和接觸者跟蹤工具的準(zhǔn)則》（Guidelines 04/2020 on the Use of Location Data and Contact Tracing Tools in the Context of the COVID-19 Outbreak，以下簡(jiǎn)稱為《準(zhǔn)則》）。

2020年5月14日，美國(guó)民主黨人在眾議院和參議院提出的“公共衛(wèi)生緊急隱私法案”將為收集和披露用于減緩冠狀病毒傳播的健康數(shù)據(jù)制定臨時(shí)規(guī)則。該提案將要求政府機(jī)構(gòu)確保通過追查接觸者收集的數(shù)據(jù)安全。“緊急”衛(wèi)生數(shù)據(jù)在宣布公共衛(wèi)生緊急情況結(jié)束后60天內(nèi)不能再儲(chǔ)存或使用，民主黨法案還包括一個(gè)執(zhí)行機(jī)制。而同一天，澳大利亞議會(huì)通過了《2020年隱私法修訂法案（公眾衛(wèi)生聯(lián)絡(luò)資料）》（以下簡(jiǎn)稱《法案》）。《法案》旨在減輕公眾對(duì)隱私的擔(dān)憂，取代COVID Safe啟動(dòng)時(shí)根據(jù)《生物安全法》發(fā)布的臨時(shí)決定，將其上升為法律，并引入了加強(qiáng)隱私保護(hù)的其他措施?！斗ò浮芬氚拇罄麃喿h會(huì)有史以來最強(qiáng)有力的隱私保護(hù)措施。

2020年6月1日，荷蘭政府向議會(huì)提交了一份關(guān)于使用疫情數(shù)據(jù)的臨時(shí)緊急法案。

在上述這些立法中，本文將選取《108公約》和歐盟、韓國(guó)和中國(guó)的立法進(jìn)行介紹和分析，而在此之前，基于國(guó)際上存在個(gè)人信息和個(gè)人數(shù)據(jù)兩種概念，本文將首先對(duì)這兩個(gè)概念進(jìn)行比較和分析，以此確認(rèn)兩者是否屬于相同概念，以及是否具有可比性。

二、疫情防控中對(duì)個(gè)人信息收集、使用和保護(hù)的國(guó)內(nèi)外比較

（一）對(duì)個(gè)人信息概念的中外比較

在國(guó)際上，《108號(hào)公約》被公認(rèn)是最為重要的關(guān)于個(gè)人信息保護(hù)的國(guó)際條約，共有55個(gè)締約國(guó)，其中8國(guó)不屬于歐洲理事會(huì)成員國(guó)。《108號(hào)公約》第2條（a）項(xiàng)規(guī)定，個(gè)人數(shù)據(jù)系指與一個(gè)已識(shí)別或可識(shí)別的自然人（數(shù)據(jù)主體）有關(guān)的任何信息。GDPR第4條（1）項(xiàng)對(duì)個(gè)人數(shù)據(jù)的定義也與此相同4。

韓國(guó)《個(gè)人信息保護(hù)法》第2條將個(gè)人信息定義為：活著的個(gè)人相關(guān)信息5。

我國(guó)《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱《民法典》）人格權(quán)編專設(shè)隱私權(quán)和個(gè)人信息保護(hù)一章，第1034條寫明“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息6”。《網(wǎng)絡(luò)安全法》第七十六條也有類似規(guī)定?！缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》第3.1條還明確例示通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、住宿信息、交易信息為個(gè)人信息，附錄A則提供關(guān)于個(gè)人信息的詳細(xì)范圍和類型。

從歐盟、韓國(guó)和中國(guó)的立法內(nèi)容來看，除了歐盟采用個(gè)人數(shù)據(jù)的概念之外，中韓兩國(guó)都采用個(gè)人信息的概念，而從他們對(duì)這些概念的定義來看，可以看出其實(shí)兩者并無本質(zhì)區(qū)別。不管是個(gè)人信息還是個(gè)人數(shù)據(jù)，本質(zhì)都是可否單獨(dú)或與其他信息結(jié)合識(shí)別特定自然人，在此前提下，各方都對(duì)個(gè)人信息列出未窮盡的列表?；诖耍P者認(rèn)為歐盟法上的個(gè)人數(shù)據(jù)和中韓立法中的個(gè)人信息屬于相同概念，具有可比性，因此在本文寫作中，將對(duì)兩個(gè)概念予以混用。

（二）疫情防控中個(gè)人信息保護(hù)的國(guó)內(nèi)外比較

各國(guó)在利用大數(shù)據(jù)抗擊疫情的過程中不可避免地面臨對(duì)個(gè)人信息收集、使用和保護(hù)的問題，而如何更好地協(xié)調(diào)它們之間的關(guān)系則成為非常值得研究的問題。首先，有必要對(duì)現(xiàn)有部分國(guó)際條約和國(guó)內(nèi)法中有關(guān)疫情下對(duì)個(gè)人信息收集、使用和保護(hù)的規(guī)定進(jìn)行梳理和分析。

1.國(guó)際條約

國(guó)際條約層面，《108號(hào)公約》第11條明確承認(rèn)，有必要以公共利益和個(gè)人切身利益為最緊迫的目標(biāo)，允許實(shí)施一些例外和限制。如監(jiān)測(cè)威脅生命的流行病，數(shù)據(jù)保護(hù)權(quán)利并不妨礙公共衛(wèi)生當(dāng)局與負(fù)責(zé)分發(fā)口罩的組織共享衛(wèi)生專業(yè)人員的名單（姓名和聯(lián)系方式），也不能聲稱數(shù)據(jù)保護(hù)權(quán)利禁止進(jìn)行流行病學(xué)監(jiān)測(cè)。個(gè)人數(shù)據(jù)保護(hù)要求并沒有涵蓋到匿名數(shù)據(jù)。因此，數(shù)據(jù)保護(hù)要求不會(huì)阻止使用匯總的位置信息來發(fā)信號(hào)通知違反隔離要求的聚會(huì)，或指示遠(yuǎn)離密切接觸區(qū)域的人員的移動(dòng)。但同時(shí)，對(duì)這種原則和權(quán)利的限制也必須做出非常明確的要求和說明，即使在緊急狀態(tài)下也是如此。而且，這種例外應(yīng)由法律規(guī)定，應(yīng)尊重基本權(quán)利和自由的實(shí)質(zhì)，實(shí)行的是民主社會(huì)中必要且相稱的措施。在施加限制的情況下，這些措施必須僅在臨時(shí)基礎(chǔ)上采取，并且只能在明確限于緊急狀態(tài)的一段時(shí)間內(nèi)采取。同樣重要的是要采取具體的保護(hù)措施，并保證一旦緊急狀態(tài)解除后，將對(duì)個(gè)人數(shù)據(jù)提供全面保護(hù)。這主要應(yīng)包括有關(guān)恢復(fù)正常數(shù)據(jù)處理制度的具體措施和程序，并特別注意包含與健康相關(guān)的數(shù)據(jù)或其他特殊類別數(shù)據(jù)的數(shù)據(jù)庫或?yàn)樽粉櫤头揽啬康亩鴦?chuàng)建的數(shù)據(jù)庫;對(duì)在緊急狀態(tài)下進(jìn)行處理的個(gè)人數(shù)據(jù)進(jìn)行配置分析，數(shù)據(jù)保護(hù)機(jī)構(gòu)應(yīng)當(dāng)仔細(xì)評(píng)估各國(guó)政府針對(duì)這些情況所采取的措施。只有在基于科學(xué)證據(jù)的情況下，才能進(jìn)行大規(guī)模的個(gè)人數(shù)據(jù)處理，例如，這種流行病監(jiān)測(cè)（例如接觸者追蹤）技術(shù)和應(yīng)用的潛在公共衛(wèi)生益處（包括準(zhǔn)確性）超過了其他替代解決方案的益處，而其他替代解決方案的益處相對(duì)《聲明》來說要小得多。

2.歐盟

在歐盟層面，2002年的《隱私與電子通信指令》（Directive on Privacy and Electronic Communications，以下簡(jiǎn)稱為《指令》）、2013年的《關(guān)于嚴(yán)重跨界健康威脅的決定》（Decision on Serious Cross-border Threats to Health，以下簡(jiǎn)稱為《決定》）、GDPR和疫情后制定的《準(zhǔn)則》對(duì)處理疫情防控中個(gè)人信息使用和保護(hù)問題均具有重要意義。相比《108號(hào)公約》，這些歐盟法所提供的規(guī)定更為詳細(xì)。

當(dāng)出于依據(jù)歐盟或成員國(guó)法律實(shí)現(xiàn)在公共健康領(lǐng)域的公共利益而需要收集感染者狀況等健康數(shù)據(jù)時(shí)，歐盟法也允許進(jìn)行此類數(shù)據(jù)處理（GDPR 第9條第2款（i）項(xiàng)）7。

《決定》提供了關(guān)于流行病學(xué)監(jiān)測(cè)、觀察、預(yù)警和對(duì)健康的嚴(yán)重跨界威脅進(jìn)行斗爭(zhēng)的規(guī)則，包括與這些活動(dòng)有關(guān)的準(zhǔn)備和響應(yīng)計(jì)劃，以協(xié)調(diào)和補(bǔ)充國(guó)家政策?！稕Q定》第16條專門規(guī)定，應(yīng)采取適當(dāng)?shù)募夹g(shù)和組織措施以保護(hù)個(gè)人數(shù)據(jù)免遭意外或非法破壞，意外丟失或未經(jīng)授權(quán)的訪問，以及任何形式的非法處理。實(shí)施接觸者追蹤措施的主管當(dāng)局通過預(yù)警和響應(yīng)系統(tǒng)傳遞接觸者追蹤目的所需的個(gè)人數(shù)據(jù)時(shí)，應(yīng)使用選擇性消息傳遞功能，并且僅將數(shù)據(jù)傳遞給其他參與接觸者追蹤措施的成員國(guó)。且自發(fā)布之日起12個(gè)月后，包含個(gè)人數(shù)據(jù)的信息應(yīng)自動(dòng)從選擇性消息功能中刪除。如果主管當(dāng)局確定其發(fā)出的個(gè)人數(shù)據(jù)通知因?qū)τ趯?shí)施接觸者追蹤措施不必要，隨后被證明違反了規(guī)定，則應(yīng)立即通知得到該通知的成員國(guó)。

《準(zhǔn)則》主要對(duì)接觸者追蹤應(yīng)用程序進(jìn)行了規(guī)范。EDPB強(qiáng)調(diào)，數(shù)據(jù)保護(hù)法律框架的設(shè)計(jì)具有靈活性，因此能夠在限制流行病和保護(hù)基本人權(quán)與自由方面實(shí)現(xiàn)有效地應(yīng)對(duì)。有效性、必要性和相稱性的一般原則必須指導(dǎo)成員國(guó)或歐盟機(jī)構(gòu)采取的涉及處理個(gè)人數(shù)據(jù)以對(duì)抗新冠疫情的任何措施。這些指南闡明了為兩個(gè)特定目的而按比例使用位置數(shù)據(jù)和接觸者追蹤工具的條件和原則：利用位置數(shù)據(jù)通過對(duì)病毒的傳播進(jìn)行建模來支持對(duì)大流行的反應(yīng)，從而評(píng)估隔離措施的整體有效性;接觸者追蹤，旨在告知個(gè)人他們已經(jīng)與某個(gè)最終被證實(shí)為該病毒攜帶者的人非常接近，以便盡早打破污染鏈。按照《指令》第5條第3款，直接從終端設(shè)備收集包括位置數(shù)據(jù)在內(nèi)的信息，應(yīng)經(jīng)用戶同意或?qū)τ谟脩裘鞔_要求的信息社會(huì)服務(wù)絕對(duì)必要。這意味著，決定不使用或無法使用此類應(yīng)用程序的個(gè)人完全不會(huì)遭受任何不利影響。EDPB強(qiáng)調(diào)，在使用位置數(shù)據(jù)時(shí)，應(yīng)始終優(yōu)先處理匿名數(shù)據(jù)而不是個(gè)人數(shù)據(jù)。個(gè)人的行動(dòng)痕跡與生俱來就與位置數(shù)據(jù)高度相關(guān)且獨(dú)特。因此，在某些情況下，它們可能容易受到重新識(shí)別嘗試的攻擊?？紤]到匿名化過程的復(fù)雜性，強(qiáng)烈建議有關(guān)匿名化方法的透明性。此外，目的必須足夠具體，以排除與新冠病毒健康危機(jī)管理無關(guān)的目的（例如，商業(yè)或執(zhí)法目的）。接觸者追蹤應(yīng)用程序不需要追蹤單個(gè)用戶的位置，相反，應(yīng)該使用接近度數(shù)據(jù)。由于接觸者追蹤應(yīng)用程序可以在不直接識(shí)別個(gè)人的情況下運(yùn)行，因此應(yīng)采取適當(dāng)措施以防止重新識(shí)別，所收集的信息應(yīng)駐留在用戶的終端設(shè)備上。EDPB還建議在切實(shí)可行的范圍內(nèi)盡快出臺(tái)包括確定何時(shí)刪除應(yīng)用以及由哪個(gè)實(shí)體負(fù)責(zé)做出決定的標(biāo)準(zhǔn)。當(dāng)前的健康危機(jī)不應(yīng)作為建立不成比例的數(shù)據(jù)保留授權(quán)的機(jī)會(huì)。存儲(chǔ)限制應(yīng)考慮實(shí)際需求和醫(yī)療相關(guān)性（這可能包括基于流行病學(xué)的考慮因素，例如潛伏期等），而個(gè)人數(shù)據(jù)應(yīng)僅在新冠疫情危機(jī)期間保存。然后，作為一般規(guī)則，所有個(gè)人數(shù)據(jù)都應(yīng)刪除或匿名化。EDPB的理解是，此類應(yīng)用程序不能替代，而只能支持由合格的公共衛(wèi)生人員執(zhí)行的手動(dòng)接觸者追蹤，他們可以找出密切接觸者是否可能導(dǎo)致病毒傳播（例如，與受足夠設(shè)備保護(hù)的人互動(dòng)時(shí)）。EDPB強(qiáng)調(diào)，接觸者追蹤應(yīng)用程序所執(zhí)行的程序和過程（包括相應(yīng)的算法）應(yīng)在合格人員的嚴(yán)格監(jiān)督下進(jìn)行，以限制任何假陽性和陰性的發(fā)生。特別是，提供有關(guān)下一步建議的任務(wù)不應(yīng)僅基于自動(dòng)化處理。應(yīng)用程序不應(yīng)收集無關(guān)或不需要的信息，這些信息可能包括公民身份、通信標(biāo)識(shí)符、設(shè)備目錄項(xiàng)、消息、呼叫日志、位置數(shù)據(jù)、設(shè)備標(biāo)識(shí)符等。接觸者追蹤系統(tǒng)中涉及的任何服務(wù)器都必須僅收集接觸者歷史記錄或由于衛(wèi)生當(dāng)局進(jìn)行適當(dāng)評(píng)估以及用戶自愿采取行動(dòng)而被診斷為感染的用戶的假名?；蛘?，服務(wù)器必須僅在一定時(shí)間內(nèi)保留受感染用戶的假名標(biāo)識(shí)符列表或他們的聯(lián)系歷史，以告知可能受感染的用戶的暴露情況，并且不應(yīng)嘗試識(shí)別潛在受感染的用戶。必須采用最先進(jìn)的加密技術(shù)來保護(hù)存儲(chǔ)在服務(wù)器和應(yīng)用程序中的數(shù)據(jù)，以及在應(yīng)用程序和遠(yuǎn)程服務(wù)器之間進(jìn)行交換。還必須在應(yīng)用程序和服務(wù)器之間執(zhí)行相互身份驗(yàn)證。

3.韓國(guó)

韓國(guó)則通過《個(gè)人信息保護(hù)法》、IDCPA和其施行令、施行規(guī)則應(yīng)對(duì)疫情下對(duì)個(gè)人信息的保護(hù)問題。韓國(guó)的法律體系往往由一部法律和配套的施行令（總統(tǒng)令）、施行規(guī)則（部令）組成。韓國(guó)《個(gè)人信息保護(hù)法》第15條規(guī)定，個(gè)人信息處理者可在特定情況收集個(gè)人信息，并在其收集的目的范圍內(nèi)予以使用8。

IDCPA第76條之2和其《施行規(guī)則》第47條之2規(guī)定，保健福祉部長(zhǎng)官或疾病管理本部長(zhǎng)在為預(yù)防傳染病和切斷感染傳播所需時(shí)，可向相關(guān)中央行政機(jī)關(guān)的長(zhǎng)官、地方自治團(tuán)體的長(zhǎng)官以及公共機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)和藥店、法人、團(tuán)體、個(gè)人要求提供有關(guān)傳染病患者和疑似者的如下信息，收到上述要求的，應(yīng)予以提供：（1）姓名、身份證號(hào)碼、家庭住址和電話號(hào)碼（包括手機(jī)號(hào)）等個(gè)人信息;（2）處方和診療記錄等;（3）保健福祉部長(zhǎng)官指定期間的出入境管理記錄;（4）其它由總統(tǒng)令規(guī)定的，掌握路線所需信息。而按照IDCPA《施行令》（即為總統(tǒng)令）第32條之2，如下信息包括在里面：（1）信用卡、借記卡、預(yù)付卡使用明細(xì);（2）交通卡使用明細(xì);（3）通過影像信息處理設(shè)備收集的影像信息。保健福祉部長(zhǎng)官、市（類似于地級(jí)市）和道知事、市（類似于縣級(jí)市）長(zhǎng)、郡守、區(qū)長(zhǎng)在為預(yù)防傳染病和切斷感染傳播所需時(shí)，可向警察廳、地方警察廳和警察署負(fù)責(zé)人要求提供有關(guān)傳染病患者和疑似者的位置信息，收到上述要求后，該負(fù)責(zé)人可向個(gè)人位置信息提供商、電訊服務(wù)提供商要求提供有關(guān)傳染病患者和疑似者的位置信息，收到上述要求后，無正當(dāng)理由的情況下，應(yīng)予以提供。保健福祉部長(zhǎng)官或疾病管理本部長(zhǎng)可將上述信息提供給相關(guān)中央行政機(jī)關(guān)的長(zhǎng)官、地方自治團(tuán)體的長(zhǎng)官、國(guó)民健康保險(xiǎn)公團(tuán)理事長(zhǎng)、健康保險(xiǎn)審查評(píng)價(jià)院院長(zhǎng)、保健醫(yī)療機(jī)構(gòu)和其它團(tuán)體（正在執(zhí)行傳染病相關(guān)業(yè)務(wù)的醫(yī)務(wù)人員、醫(yī)療機(jī)構(gòu)和藥店、醫(yī)務(wù)人員團(tuán)體、藥師協(xié)會(huì)、醫(yī)療機(jī)構(gòu)團(tuán)體）。對(duì)保健醫(yī)療機(jī)構(gòu)和其它團(tuán)體提供的信息僅限于該機(jī)構(gòu)為預(yù)防傳染病和切斷感染傳播所需的業(yè)務(wù)相關(guān)信息。為預(yù)防傳染病和切斷感染傳播所需的，保健福祉部長(zhǎng)官或疾病管理本部長(zhǎng)可使用如下信息系統(tǒng)將出入境管理記錄和路線信息提供給保健醫(yī)療機(jī)構(gòu)，此類信息限于該機(jī)構(gòu)業(yè)務(wù)相關(guān)信息：（1）國(guó)民健康保險(xiǎn)公團(tuán)的信息系統(tǒng);（2）健康保險(xiǎn)審查評(píng)價(jià)院的信息系統(tǒng);（3）為預(yù)防傳染病和切斷感染傳播，保健福祉部長(zhǎng)官或疾病管理本部長(zhǎng)認(rèn)為必要而指定的機(jī)構(gòu)信息系統(tǒng)。醫(yī)務(wù)人員、藥師和保健醫(yī)療機(jī)構(gòu)負(fù)責(zé)人在進(jìn)行醫(yī)療行為或處方和調(diào)制醫(yī)藥品時(shí)，應(yīng)通過上述信息系統(tǒng)確認(rèn)所提供的信息。按上述規(guī)定取得的信息，不得以傳染病相關(guān)業(yè)務(wù)外的目的使用，業(yè)務(wù)結(jié)束后，應(yīng)立即廢棄，并書面報(bào)告保健福祉部長(zhǎng)官。保健福祉部長(zhǎng)官、市和道知事、市長(zhǎng)、郡守、區(qū)長(zhǎng)應(yīng)將如下事實(shí)以電子郵件、書面、傳真、電話或與此類似的方式通知信息主體：（1）為預(yù)防傳染病和切斷感染傳播所需信息被收集的事實(shí);（2）上述信息提供給其它機(jī)構(gòu)的事實(shí);（3）不得以傳染病相關(guān)業(yè)務(wù)外的目的使用，業(yè)務(wù)結(jié)束后，會(huì)被立即廢棄的事實(shí)。按上述規(guī)定取得信息后，違反本法處理該信息的，按《個(gè)人信息保護(hù)法》予以處罰。

IDCPA《施行令》第32條之3規(guī)定，國(guó)家和地方自治團(tuán)體（該權(quán)限被授權(quán)或委托時(shí)，包括被授權(quán)和被委托者）為了執(zhí)行如下事務(wù)而所需的，可以處理有關(guān)健康的信息和包含身份證號(hào)碼或外國(guó)人登陸證號(hào)碼的資料：（1）有關(guān)傳染病患者診療和保護(hù)的事務(wù);（2）有關(guān)培養(yǎng)預(yù)防傳染病專業(yè)人員的事務(wù);（3）有關(guān)傳染病管理信息交流等國(guó)際合作的事務(wù)。保健福祉部長(zhǎng)官、疾病管理本部長(zhǎng)、市和道知事、市長(zhǎng)、郡守、區(qū)長(zhǎng)（包括市長(zhǎng)、郡守、區(qū)長(zhǎng)委托預(yù)防接種業(yè)務(wù)的醫(yī)療機(jī)構(gòu)）、保健所長(zhǎng)或被制定的傳染病樣本監(jiān)控機(jī)構(gòu)為執(zhí)行如下事務(wù)所需的，可以處理包含個(gè)人信息的資料：（1）有關(guān)傳染病患者申告、報(bào)告、掌握、管理的事務(wù);（2）有關(guān)傳染病樣本監(jiān)控的事務(wù);（3）有關(guān)現(xiàn)狀調(diào)查的事務(wù);（4）有關(guān)流行病學(xué)調(diào)查的事務(wù);（5）有關(guān)健康診斷的事務(wù);（6）有關(guān)解剖命令的事務(wù);（7）有關(guān)高危險(xiǎn)病原體的事務(wù);（8）有關(guān)預(yù)防接種的事務(wù);（9）有關(guān)傳染病管理機(jī)構(gòu)指定，傳染病管理設(shè)施、隔離站、療養(yǎng)院、診所的設(shè)立和運(yùn)營(yíng)的事務(wù);（10）有關(guān)傳染病患者管理和傳染病防疫和預(yù)防措施的事務(wù);（11）有關(guān)消毒業(yè)申告的事務(wù);（12）有關(guān)消毒業(yè)從業(yè)者教育的事務(wù);（13）有關(guān)損失賠償和預(yù)防接種引起損害的國(guó)家賠償?shù)氖聞?wù)。

4.中國(guó)

中國(guó)的相關(guān)立法有《網(wǎng)絡(luò)安全法》《傳染病防治法》《突發(fā)事件應(yīng)對(duì)法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》《通知》等。

《民法典》第1034條是關(guān)于個(gè)人信息受法律保護(hù)的規(guī)定，自然人的個(gè)人信息受法律保護(hù)。第1035條進(jìn)而規(guī)定，處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并應(yīng)征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外。中國(guó)《傳染病防治法》《突發(fā)事件應(yīng)對(duì)法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》構(gòu)成特別法上的明確授權(quán)，據(jù)此可以在征得被收集者同意之外，作為公民個(gè)人信息的收集、使用的合法性基礎(chǔ)[3]9?！缎畔踩夹g(shù)個(gè)人信息告知同意指南》（征求意見稿）第6.3條詳細(xì)列舉了8種“收集使用個(gè)人信息時(shí)免于告知同意的情形”10?！秱魅静》乐畏ā返谑l和《突發(fā)公共衛(wèi)生事件與傳染病疫情監(jiān)測(cè)信息報(bào)告管理辦法》第七條均規(guī)定，任何單位和個(gè)人在面對(duì)包括傳染病在內(nèi)突發(fā)公共衛(wèi)生事件時(shí)均具有如實(shí)提供有關(guān)信息的義務(wù)11。依據(jù)《突發(fā)事件應(yīng)對(duì)法》第38條，《突發(fā)公共衛(wèi)生事件應(yīng)急條例》第40條，《國(guó)家突發(fā)公共衛(wèi)生事件應(yīng)急預(yù)案》4.2.4（1）項(xiàng)規(guī)定使得疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)、縣級(jí)以上政府和衛(wèi)生行政部門、街道、鄉(xiāng)鎮(zhèn)以及居民委員會(huì)、村民委員會(huì)等均成為法律授權(quán)的信息收集或協(xié)助收集主體12。盡管《網(wǎng)絡(luò)安全法》第42條規(guī)定，未經(jīng)被收集者同意，網(wǎng)絡(luò)運(yùn)營(yíng)者不得向他人提供個(gè)人信息。但是，經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。第57條對(duì)被收集者同意規(guī)定了例外，即因網(wǎng)絡(luò)安全事件，發(fā)生突發(fā)事件或者生產(chǎn)安全事故的，應(yīng)當(dāng)依照《突發(fā)事件應(yīng)對(duì)法》《安全生產(chǎn)法》等有關(guān)法律、行政法規(guī)的規(guī)定處置。因此，在特定情況下是可以不經(jīng)過被收集者同意便收集疫情相關(guān)信息的。

《傳染病防治法》分別對(duì)疾病預(yù)防控制機(jī)構(gòu)和醫(yī)療機(jī)構(gòu)的故意泄漏個(gè)人隱私行為予以規(guī)制13。因此，掌握個(gè)人信息的主體無論是向特定的人提供，還是通過互聯(lián)網(wǎng)發(fā)布個(gè)人信息的行為都違反法律規(guī)定，情節(jié)嚴(yán)重的可能構(gòu)成侵犯公民個(gè)人信息罪。《通知》也對(duì)個(gè)人信息的收集主體、收集原則、信息用途、信息保護(hù)等事項(xiàng)做了詳細(xì)規(guī)定。

5.比較

綜上，歐盟、韓國(guó)和中國(guó)的相關(guān)立法有如下共同點(diǎn)：（1）有法律明文規(guī)定的，可不經(jīng)信息主體同意即可收集和使用個(gè)人信息，而基于應(yīng)對(duì)疫情等公共衛(wèi)生方面考慮采取的個(gè)人信息收集和使用包含在法律明文規(guī)定情形之一;（2）脫敏處理并無法被重新識(shí)別的不受個(gè)人信息保護(hù)，即通過這些處理的信息是可以公開的;（3）收集和使用的個(gè)人信息僅限于必要范圍內(nèi)，并由指定的機(jī)構(gòu)和人員收集和使用;（4）事后廢棄信息的要求。

但除了這些共同點(diǎn)以外，其區(qū)別也是比較明顯的。整體上，歐盟的規(guī)定對(duì)疫情下個(gè)人信息的收集和使用設(shè)置了最為嚴(yán)格的限制，即使是在疫情這一例外情況中收集和使用個(gè)人信息，也要嚴(yán)格保護(hù)個(gè)人信息。而中國(guó)和韓國(guó)的立法則對(duì)疫情下的個(gè)人信息收集和使用提供了較為寬松的條件，并且將這一例外情況下的操作方式進(jìn)行詳細(xì)規(guī)定。相比之下，韓國(guó)的相關(guān)立法更加有層次，能夠較為明確地規(guī)定哪些主體可在疫情下如何收集、使用和保護(hù)個(gè)人信息，特別是能夠從法律上明確可以使用位置信息、刷卡信息和監(jiān)控信息等排查個(gè)人的移動(dòng)經(jīng)過。中國(guó)則因相應(yīng)內(nèi)容分散在《傳染病防治法》《突發(fā)事件應(yīng)對(duì)法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》等法律和法規(guī)中，內(nèi)容上銜接不足，且容易導(dǎo)致內(nèi)容重復(fù)和不一致的情況。

三、完善我國(guó)個(gè)人信息保護(hù)制度的建議

疫情防控背景下，及時(shí)、完整的疫情信息公開必然能夠幫助人們?cè)黾悠鋵?duì)“新型冠狀病毒肺炎”風(fēng)險(xiǎn)的了解，但由此造成個(gè)人信息泄露則得不償失，因此，有必要對(duì)兩者進(jìn)行協(xié)調(diào)。

盡管我國(guó)尚無《個(gè)人信息保護(hù)法》，但如同上面所闡述，現(xiàn)有立法已經(jīng)初步能夠應(yīng)對(duì)疫情防控中對(duì)個(gè)人信息的收集、使用和保護(hù)的問題。當(dāng)然，能夠應(yīng)對(duì)并不意味著這些立法和制度已經(jīng)非常完善，從這個(gè)角度出發(fā)，對(duì)于行政主體收集公民個(gè)人信息的行政行為，仍然缺乏完善的法律規(guī)制。在此問題上，結(jié)合歐盟和韓國(guó)的立法和經(jīng)驗(yàn)，還是有較大的完善空間，本文擬在如下幾個(gè)方面提出我國(guó)立法和措施的完善方案。

第一，我國(guó)在公民個(gè)人信息權(quán)益保護(hù)方面的立法顯得相對(duì)不足，層級(jí)低且效力弱，專門化、板塊化、碎片化問題突出[1]。相關(guān)制度分散在部分法律、行政法規(guī)、部門規(guī)章和規(guī)范性文件中，這樣很容易產(chǎn)生立法的不統(tǒng)一甚至有些相互不一致的情況。從這一點(diǎn)來看，制定《個(gè)人信息保護(hù)法》是大勢(shì)所在。為了能夠完善我國(guó)的個(gè)人信息保護(hù)機(jī)制，制定專門立法是必不可少的。以《個(gè)人信息保護(hù)法》為中心，將我國(guó)的個(gè)人信息保護(hù)相關(guān)法律法規(guī)予以整合非常必要。

第二，從信息最小化原則出發(fā)，在疫情等公共衛(wèi)生事件中，除非確有需要，應(yīng)盡量收集和使用無法識(shí)別個(gè)人的較為模糊信息，例如，就位置信息而言，可以選取范圍信息，不必要的信息要堅(jiān)決不予收集。

第三，進(jìn)一步明確責(zé)任主體，除了疾病預(yù)防控制機(jī)構(gòu)和醫(yī)療機(jī)構(gòu)外，縣級(jí)以上政府和衛(wèi)生行政部門、街道、鄉(xiāng)鎮(zhèn)以及居民委員會(huì)、村民委員會(huì)等機(jī)構(gòu)也具有法律授權(quán)的收集或協(xié)助收集信息的權(quán)利或義務(wù)，因此，這些機(jī)構(gòu)也應(yīng)納入監(jiān)管范圍，并且明確非法收集和傳播時(shí)的責(zé)任和處罰。而從目前的立法來看，這部分顯然是屬于空白，法律僅規(guī)定了疾病預(yù)防控制機(jī)構(gòu)和醫(yī)療機(jī)構(gòu)的監(jiān)管責(zé)任、處罰措施。有些立法則未對(duì)泄露信息作出處罰規(guī)定，如《突發(fā)公共衛(wèi)生事件應(yīng)急條例》就沒有規(guī)定對(duì)泄露信息的處罰事項(xiàng)。疾控機(jī)構(gòu)及醫(yī)療機(jī)關(guān)常常忙于應(yīng)對(duì)傳染病患者的確診和救治工作，真正實(shí)施信息收集的主體一般是地方各級(jí)政府。因此，有必要在《突發(fā)事件應(yīng)對(duì)法》中明確在突發(fā)情形下，個(gè)人及企業(yè)為疫情需要配合政府收集信息之義務(wù)[4]。

第四，《通知》作為應(yīng)對(duì)此次新冠疫情發(fā)布的規(guī)范性文件，在疫情期間對(duì)個(gè)人信息保護(hù)方面起到了較好的作用，盡管如此，其尚存有待完善的部分。因?yàn)椤锻ㄖ肥菫樽龊眯滦凸跔畈《靖腥痉窝滓咔槁?lián)防聯(lián)控中的個(gè)人信息保護(hù)而制定，所以其具有特定性，無法在疫情后對(duì)類似問題的發(fā)生反復(fù)適用。從這個(gè)角度來看，有必要制定專門針對(duì)衛(wèi)生公共事件中個(gè)人信息保護(hù)的相關(guān)規(guī)章。從內(nèi)容上來看，《通知》缺少對(duì)信息主體告知義務(wù)的相關(guān)規(guī)定，這一問題在《傳染病防治法》等相關(guān)法律中也同樣存在。《通知》規(guī)定收集對(duì)象原則上限于確診者、疑似者、密切接觸者等重點(diǎn)人群，一般不針對(duì)特定地區(qū)的所有人群，而此類有例外的規(guī)定應(yīng)將例外明確?！锻ㄖ愤€規(guī)定，不得公開姓名、年齡、身份證號(hào)碼、電話號(hào)碼、家庭住址等個(gè)人信息，因聯(lián)防聯(lián)控工作需要，且經(jīng)過脫敏處理的除外，而此處的脫敏應(yīng)考慮無法恢復(fù)的相關(guān)限制。

參考文獻(xiàn)：

[1] 張勇.論大數(shù)據(jù)背景下涉疫情個(gè)人信息的法律保護(hù)[J].河南社會(huì)科學(xué)，2020（4）：56-65.

[2] 趙麗.公開涉疫個(gè)人信息防止泄露[N].法制日?qǐng)?bào)，2020-02-20.

[3] 葛鑫，洪延青.大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作中個(gè)人信息保護(hù)問題分析[J].中國(guó)信息安全，2020（2）：30-41.

[4] 田旭.突發(fā)性公共衛(wèi)生事件中個(gè)人信息的法律保護(hù)[J].中國(guó)信息安全，2020（2）：42-43.

The Protection of Personal Information in Epidemic Prevention and Control

Ma Guang

（Guanghua Law School， Zhejiang University， Hangzhou 310008， China）

Abstract： After the outbreak of COVID-19， China actively used big data to deal with the epidemic and achieved initial results. However， there were also cases of personal information violations. How to provide sufficient protection for personal information while actively preventing epidemic is the main content of this paper. Based on the comparison with the relevant legal systems of the European Union and Korea， it is proposed to formulate the Personal Information Protection Law as soon as possible， adhere to the principle of information minimization， and further clarify the subjects of information collection and use.

Key words： epidemic prevention and control; personal information protection; infectious diseases; big data; location information