朱静洁 吴大华

原文载于《电子知识产权》2021年第4期

摘要:我国突发重大传染病疫情防控中个人数据公开披露的相关配套规则尚不完善,这直接影响了疫情防控工作中个人数据公开披露的合理性及规范性,不利于疫情防控工作的高效开展和公民个人隐私的必要保护。新冠病毒肺炎疫情防控中,个人数据公开披露的困境主要体现在个人数据公开披露不够集中、脱敏处理标准各异及监督机制不完善三个方面。为此,有必要通过构建统一规范的个人数据公开披露平台、建立分类分级的个人数据公开披露机制、完善个人数据公开披露的监督机制来优化突发重大传染病疫情防控中个人数据的公开披露机制。此外,有必要对突发重大传染病疫情防控中公开披露的个人数据进行后续控制,遵循目的限定原则及数据最小必要原则,以保障国家公共卫生安全、保护公民隐私利益为目的对个人数据的留存进行综合考量。

关键词:突发重大传染病疫情防控;新冠病毒肺炎疫情;个人数据;公开披露;后续控制

一、问题的提出

突发重大传染病疫情,是指某种传染病突然发生、在短时间内传染范围广泛并导致大量传染或死亡病例,其发病率远远高于常年发病率的情况。突发重大传染病疫情具有发生突然、传染性强、病原及疫情后续发展情况未知、损害结果复杂且破坏性强的特点,疫情防控工作的有效性与及时性直接关系到人民的生命安全与社会稳定。目前,我国突发重大传染病疫情防控工作相关的法律依据主要见于《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》之中,而上述文件中均缺乏疫情防控中个人数据使用和保护的具体规定。现行《网络安全法》虽对网络用户个人数据的使用与保护作出了相关规定,但只是针对网络运营者收集、使用用户个人数据的行为进行规制,并未对政府、医疗机构、科研机构等基于公共利益收集、使用个人数据的行为制定相关法律规定。此外,全国信息安全标准化技术委员会制定的《信息安全技术 个人信息安全规范》(以下简称《规范》)也对个人信息的采集、存储、共享、利用等进行了相关规定,通过设置安全规范对用户的个人隐私进行保护,但《规范》主要针对的是企业为实现产品或服务的业务功能而收集、处理、使用用户个人信息的行为,同时《规范》的效力层级不高、不具有可诉性且未明确相关主体违反规范的处罚措施,故难以为突发重大传染病疫情防控中个人数据的使用和保护提供有效指引。综上,我国突发重大传染病疫情防控中个人数据公开披露的相关配套规则尚不完善,直接影响了疫情防控工作中个人数据公开披露的合理性及规范性,不利于疫情防控工作的高效开展和公民个人隐私的必要保护。

2020年1月20日,国家卫生健康委员会报国务院批准同意后,将新冠病毒肺炎纳入法定传染病乙类管理,采取甲类传染病的预防、控制措施。截止至2020年1月26日全国已有30个省份启动突发公共卫生事件一级响应。截止至2021年3月7日24时,31个省(自治区、直辖市)和新疆生产建设兵团累计报告确诊病例89994例,累计死亡病例4636例。中央鼓励在疫情监测分析、病毒溯源、防控救治、资源调配等方面运用大数据、人工智能、云计算等数字技术。国家卫生健康委员会和中央网络安全和信息化委员会办公室分别发布《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》),强调了个人信息的采集、使用、公开披露在疫情防控中的重要作用,要求规范收集、使用个人信息。数据是信息的载体,个人数据是通过电子方式记录的个人信息。上述文件虽然为新冠病毒肺炎疫情防控中个人数据的公开披露确立了基本规则,但由于文件的制定发布具有一定的应急性,相关规则的内容较为简单概括,因此尚不能为疫情防控中个人数据的公开披露提供充分、有效、具体的指引。本文以新冠病毒肺炎的疫情防控工作为例,重点研究突发重大传染病疫情防控中个人数据公开披露的现存困境及优化建议,以期在提升疫情防控中个人数据公开披露准确性、及时性、合理性的基础上,切实保障公民的个人隐私利益。

二、突发重大传染病疫情防控中个人数据公开披露的现存困境

《传染病防治法》《突发公共卫生事件应急条例》等法律文件均明确公开披露疫情信息是突发重大传染病疫情防控的重要工作,一方面可以通过公开披露疫情信息追踪确诊病例,有效控制突发重大传染病疫情的扩散范围,另一方面公开披露可保障普通民众对于突发重大传染病疫情相关情况的知情权。疫情信息中涉及大量个人数据,在突发重大传染病疫情防控中公开披露个人数据是基于维护国家公共卫生安全的需要,在此情况下公民的隐私利益应让渡于公共利益。《传染病防治法》《突发公共卫生事件应急条例》等授权公开披露疫情信息的主体基于疫情防控和疾病收治的目的不经公民同意公开披露其个人数据的行为,应被视为合理正当的公共管理手段,同时《规范》也将维护公共安全、公共卫生、重大公共利益视为公开披露个人数据事先需经授权同意的例外情形。但是,这并不意味着突发重大传染病疫情防控中个人数据的公开披露均是合理正当的,实际工作中应当有效平衡公众知情权与个人隐私利益间的关系,遵循目的限定、数据最小必要、高效安全的基本原则,避免对病患造成二次伤害,防范疫情防控中出现歧视部分地区人员或对特定地区污名化的情况。

突发重大传染病疫情防控中公开披露的疫情信息主要分为两类:一类是疫情防控总体情况的相关数据,包括突发重大传染病疫情的性质、原因、发生地、范围、处理政策措施、控制情况以及当前确诊、疑似、密切接触、因病死亡、治愈出院的累积人数等,主要涉及疫情总体情况的统计描述,是对个人数据进行匿名化处理后的统计数据,此类数据中个人数据无法被识别,无法关联到特定主体,因此基本不会对公民的个人隐私利益造成影响;第二类是确诊病例活动轨迹的相关数据,此类信息可能涉及公民的个人基本数据、个人健康生理数据、个人教育工作数据、个人位置数据、与特定地区人员接触数据等,《传染病防治法》《突发公共卫生事件应急条例》《通知》等授权公开披露疫情信息的主体通常会在对相关数据进行去识别化处理后再公开披露,但相关配套文件的缺失导致实际操作中去识别化的效果差异较大,损害公民隐私利益的风险较高。由于相关配套文件不完善加之实际工作经验不足,新冠病毒肺炎疫情防控中个人数据公开披露的困境较为突出,具体体现在个人数据公开披露不够集中、脱敏处理标准各异及监督机制不完善三个方面。

(一)疫情防控中个人数据的公开披露不够集中

《传染病防治法》规定在传染病暴发、流行时,由国务院卫生行政部门负责向社会公开披露疫情信息,并可授权省、自治区、直辖市人民政府卫生行政部门向社会公开披露本行政区域的传染病疫情信息。在新冠病毒肺炎疫情防控中,全国疫情总体趋势数据的公开披露主要由国家卫生健康委员会负责,包括每日新增确诊病例数、新增死亡病例数、新增疑似病例数、当日新增治愈出院病例数、接触医学观察的密切接触者人数等,各省、自治区、直辖市的疫情总体趋势数据由各级人民政府或其卫生行政部门公开披露,疫情防控期间上述数据每天更新一次,公开披露的疫情总体趋势数据由匿名化之后的个人数据组成,基本不存在损害公民隐私利益的问题。确诊病例的活动轨迹数据则主要是由收治医院所在地区的人民政府或其卫生行政部门公开披露,公开披露时间多是在患者确诊后的1至3天。值得注意的是,国家卫生健康委员会对于各地区公开披露的确诊病例活动轨迹数据并没有如疫情总体趋势数据一样进行汇总,2020年2月13日国家卫生健康委员会开通了“新型冠状病毒肺炎患者同乘接触者查询通道”供公民查询与确诊病例同乘火车、飞机的情况,但并未包含确诊病例所到场所及乘坐其他公共交通工具的相关数据,尚不能完全替代公开披露确诊病例活动轨迹数据的作用。可见,新冠病毒肺炎疫情防控中所公开披露的确诊病例活动轨迹数据散见于各级人民政府或其卫生行政部门的官方网站,并没有集中汇总于同一权威、官方的网站或平台。

突发重大传染病疫情防控中个人数据过于分散地公开披露,恐将影响疫情信息发布的准确性。新冠病毒肺炎疫情防控中确诊病例活动轨迹数据公开披露过于分散的问题较为突出,该类数据通常由确诊病例所在市(县、区)级人民政府或其卫生行政部门首先通过其官方网站公开披露,之后部分省、自治区、直辖市人民政府或其卫生行政部门会在其官方网站转载本行政区域内的确诊病例的活动轨迹数据。同时,各级人民政府或其卫生行政部门还会将其公开披露的确诊病例活动轨迹数据通过官方公众号、微博帐号等方式进行传播。在突发重大传染病疫情防控的实际工作中,国家没有集中、规范的个人数据公开披露平台或机制,致使首次公开披露的确诊病例活动轨迹数据过度分散,既不利于社会公众全面、准确、及时地了解相关信息,协助追踪确诊病例的密切接触者,也不利于个人数据的高效安全利用。一方面,公开披露的确诊病例活动轨迹数据分散在各级人民政府或其卫生行政部门的官方网站、公众号、微博帐号之中,而普通民众目前对于各级人民政府或其卫生行政部门官方网站、公众号、微博帐号的关注度尚不高,过于分散的披露数据也提升了普通民众的注意力成本,使普通民众因收集信息负担过大或收集信息能力不足而难以及时、准确、充分地知晓被公开披露的确证病例活动轨迹数据,不利于公众参与确诊病例密切接触者的追踪,降低了被公开披露个人数据的价值。另一方面,普通民众对各级人民政府或其卫生行政部门官方网站、公众号、微博帐号等确诊病例活动轨迹数据首次公开披露渠道的认知度不高,民众主要通过新闻、关注公众号的推送、关注微博帐号的转发、其他社交平台用户的分享等途径获知确诊病例活动轨迹数据,被公开披露的确诊病例活动轨迹在被传播过程中面临被篡改、删除等安全风险,普通民众所获知的非官方渠道公开披露的确诊病例活动轨迹数据可能存在缺失、虚假等问题。在部分普通民众不具备核查相关数据能力的情况下,若直接利用失真、缺失的确诊病例活动轨迹数据追踪密切接触者将会大大影响个人数据利用的效率性。同时,突发重大传染病疫情防控中国家个人数据公开披露平台的缺失,使普通民众难以在短时间内通过权威、官方的数据汇总平台对其所获知的数据进行甄别,易导致普通民众因信息不对称而轻信以失真、缺失确诊病例活动轨迹数据为基础编造的谣言。

(二)疫情防控中个人数据公开披露的脱敏处理标准各异

《通知》提出因新冠病毒肺炎疫情联防联控需要公开披露的个人数据需经脱敏处理,脱敏处理是为了保护数据所属主体的隐私利益,降低个人隐私在公开披露阶段被泄露的风险。在突发重大传染病疫情防控中公开披露未经脱敏处理的个人数据将可能给数据所属主体带来隐私风险,对其造成身体、物质或非物质层面的损害,包括但不限于歧视待遇、身份冒用或欺诈、名誉损害、财产损失等。在个人数据的公开披露中匿名化和去标识化是较为常见的脱敏处理手段,匿名化是指将个人数据经技术化处理后,使其个人数据所属主体不被识别且被处理的个人数据不能复原的过程,去标识化则是指对个人数据进行技术处理,使他人在不借助额外信息的情况下无法识别个人数据所属主体的过程。在疫情防控总体趋势数据的公开披露中,通常对个人数据采取匿名化处理,而确诊病例活动轨迹数据的公开披露中则是对个人数据进行去标识化处理。确诊病例活动轨迹数据的去标识化处理较疫情防控总体趋势数据的匿名化处理更具灵活性,所涉个人数据脱敏处理的标准更难把控。同时,新冠病毒肺炎疫情中被授权公开披露确诊病例活动轨迹数据的主体过于分散,不同主体对去识别化标准理解各异,进一步加剧了个人数据实际脱敏处理的标准差异性,导致疫情防控中出现了个人数据公开披露脱敏处理标准各异的困境。

从各地公开披露的确诊病例活动轨迹数据的情况可以看出,公开披露的内容通常包括确诊病例的个人基本数据、个人身份数据、个人健康生理数据、个人教育工作数据、个人位置数据等,其中性别、年龄、有无武汉旅居史、是否与湖北地区人员接触等是必含内容,而各地对于确诊病例的居住地、确诊之前的行动轨迹等的处理方式则各不相同。

个人基本数据方面,被授权公开披露个人数据的主体对于确诊病例姓名的脱敏处理主要有三种不同标准,部分被授权主体直接以编号(病例或患者*号)代替确诊病例姓名,另有部分被授权主体则是公开披露确诊病例的姓氏或是其名字的首尾汉字,现有数据中均披露了确诊病例的年龄、性别,部分被授权主体还披露了确诊病例的户籍所在地,当被公开披露个人数据的确诊病例与其他确诊病例有亲属关系时,被授权主体也会对确诊病例相关的亲属关系进行披露。

个人健康生理数据方面,被授权主体均公开披露了确诊病例的确诊时间、就诊医院,部分被授权主体还公开披露了确诊病例体温以及是否有咳嗽、发热、流涕、关节酸痛等症状。个人教育工作数据方面,新冠病毒肺炎疫情防控中被授权公开披露个人数据的主体尚未出现公开学生确诊病例就读学校的情况,大部分被授权主体未公开确诊病例的工作单位,但也有少数被授权主体直接公开披露了确诊病例所在单位的全称。

个人位置数据方面,被授权主体主要公开披露确诊病例的常住地、现居地、所乘交通工具、特定时间所到地点及从事的活动。在新冠病毒肺炎疫情防控中,不同被授权主体对于确诊病例常住地、现居地的脱敏标准也存在差异,具体可划分为三类:第一类的脱敏标准最为严格,仅公开披露确诊病例常住地、现居地所在的市、县、区;第二类是将确诊病例常住地、现居地的公开披露细化到所在小区名称甚至单元楼;第三类是直接公开披露精确到门牌号的确诊病例常住地、现居地的地址。同时,不同被授权主体对于确诊病例所乘交通工具相关信息的脱敏处理标准也有所差异,被授权主体通常会公开披露确诊病例乘坐公交、飞机、火车、地铁等公共交通工具的航班号、车次及确诊病例的乘坐时间,但就是否公开披露确诊病例在公共交通工具上具体座次的问题,不同被授权主体的处理存在区别。在公开披露确诊病例自行驾驶或乘坐私家车前往特定地点的相关信息时,少数被授权主体直接公开确诊病例所驾私家车的车牌号,其他被授权主体则不公开确诊病例的私家车车牌号。此外,被授权主体对于确诊病例到达不同地点时间的披露标准亦有精确到日期、准点或分钟的差别,部分被授权主体将多个确诊病例所到的地点全部列出且不显示具体关联于哪一个确诊病例,另有部分被授权主体则将特定确诊病例所到地点列出,并同时披露该地点与特定确诊病例的关系(例如:地点是确诊病例亲属的家庭住址、确诊病例经营的店铺等)。新冠病毒疫情肺炎防控中,大部分被授权主体不会将确诊病例在特定时间特定地点所从事的具体活动及同行人员关系公开披露出来,但也有少数被授权主体详尽地披露了确诊病例从事的各类活动,或是确诊病例与同行人员的关系及同行人员的姓氏。

综上,突发重大传染病疫情防控中个人数据公开披露的脱敏处理标准差异明显,被授权公开披露个人数据的主体对脱敏处理标准的把控不统一。不同被授权主体脱敏处理各异的情况较为常见,即使同一被授权主体在同一天公开披露的不同确诊病例活动轨迹数据的脱敏处理标准也会存在差异,例如在海南省卫生健康委员会于2020年2月15日公布的第161、162号新冠病毒肺炎确诊病例活动轨迹数据中,海南省卫生健康委员会公开披露第161号确诊病例的常住地址为湖北孝感市,而162号确诊病例的常住地址则精确到海南省海口市琼山区凤翔东路江畔人家小区。在新冠病毒肺炎疫情防控中,绝大多数确诊病例活动轨迹数据的公开披露是以单个确诊病例为单位,将其个人基本数据、个人身份数据、个人健康生理数据、个人教育工作数据、个人位置数据等关联于特定确诊病例,多类个人数据的同时披露有助于追踪密切接触者,但同时也增加了确诊病例所面临的隐私风险。中山市人民政府于2020年2月2日公布的三例脱敏处理后的确诊病例活动轨迹数据仅涉及确诊病例的性别、年龄、慢性病史、从武汉返回中山的日期、就诊医院及确诊日期,未包含最为关键的确诊病例个人位置数据,该数据的公开披露对于相关部门追踪密切接触者或是公民自查均无太大作用,对疫情防控工作没有太大的促进作用。而伊春市人民政府于2020年2月19日公开披露的确诊病例活动轨迹数据的脱敏处理标准又过于宽松,公开披露内容包含确诊病例精确到门牌号的家庭地址、私家车牌号、工作单位、确诊病例妻子的工作单位、亲戚的家庭住址等,公开披露的个人数据未经有效的脱敏处理,将导致公开披露的数据具有极强的身份识别性,能够关联或识别到特定个人。同时,未经有效脱敏处理的个人数据的公开披露违反了数据最小必要原则,将直接损害确诊病例及其家人的隐私利益,并可能使其因此遭受歧视、骚扰、威胁、他人违法使用其个人数据等困扰。可见,突发重大传染病疫情防控中个人数据公开披露的脱敏处理标准不宜过严或过松且需要规范统一,新冠病毒肺炎疫情防控中个人数据公开披露脱敏处理标准各异,将对疫情防控效果和公民个人的隐私利益产生消极影响。

(三)疫情防控中个人数据公开披露的监督机制亟待完善

突发重大传染病疫情防控中被授权主体所收集到的个人数据包括但不限于个人基本数据、个人身份数据、个人健康生理数据、个人教育工作数据、个人位置数据、与特定地区人员接触数据,其中包含大量能够关联或识别到特定个人的敏感数据,涉及被收集者的姓名、年龄、性别、住址、联系方式、工作、亲属关系、病史、生理健康、活动范围、社交关系等内容。新冠病毒肺炎疫情防控中,部分主体违法公开披露武汉返乡人员、确诊病例等重点人群个人数据的情况并不少见,数据所属主体遵循国家疫情防控要求向社区、单位、疾病控制中心等提供个人数据,其个人数据未经脱敏处理就被公开披露,内容包含数据所属主体多项涉及个人隐私的内容,记录个人数据的文件首次公开后还在各大社交平台中广泛传播,其他平台用户的大量转发再一次扩大了个人数据泄露对数据所属主体的损害。然而,我国对于疫情防控中违法公开披露个人数据的监管却较为松懈,一方面没有专门的监管机构审核被授权主体对个人数据的公开披露是否符合要求,在《通知》发布前甚至没有相关支撑文件要求在疫情防控中公开披露个人数据需经脱敏处理,另一方面相比数据所属主体因个人数据泄露所遭受的精神损害、财产损害,现行法律文件对于违法公开披露个人数据行为的处罚力度较轻,现有案例中即使已经造成了重点人群个人数据的大范围泄露,违法主体所受到的也仅限于诫勉谈话、党内警告处分、通报批评、行政拘留等较轻的处罚。另外,疫情防控中在首次公开披露后对他人个人数据进行二次公开、传播的主体并未受到相应惩处,事实上其行为加速扩大了个人数据的传播范围,加重了个人数据违法公开披露对数据所属主体隐私利益和财产利益的损害,而监管机制的不完善却使这类主体免于承担法律责任,同时也助长了该类主体借疫情防控之名任意公开披露他人个人数据的行为。最后,《通知》虽明确了疫情防控中个人数据违法公开披露的举报机制,但对于举报渠道、举报要求、举报反馈机制等问题并未进行规定,实际操作中仍将面临诸多问题。

疫情防控中个人数据公开披露监督机制的不完善,将直接导致个人数据泄露行为猖獗,不仅无法及时、有效地维护数据所属主体的隐私利益,还可能使普通民众产生“信任危机”,不再愿意或不敢在疫情防控中向有关部门如实、全面地提供个人数据,阻碍突发重大传染病疫情防控中大数据、人工智能、云计算等数字技术的广泛应用,不利于精准、科学、高效的防控疫情,难以有效保障国家的公共卫生安全。

三、突发重大传染病疫情防控中个人数据公开披露的优化建议

突发重大传染病疫情防控中个人数据的公开披露意义重大,一方面能够保障普通民众对于疫情的知情权,有效稳定普通民众面对疫情的情绪,破除谣言滋生的土壤,避免疫情期间公众因信息不对称而轻信、传播谣言;另一方面能够确保疫情防控工作的精准性和及时性,通过确诊病例活动轨迹数据的公开可以帮助普通民众自查,尽快追踪到密切接触者,阻断突发重大传染病的传染渠道,保障国家的公共卫生安全。分析新冠病毒肺炎疫情防控中个人数据公开披露的实际情况可以发现,我国当前个人数据公开披露不集中、脱敏处理标准各异及监督机制不完善的问题较为突出,上述问题的存在不仅会影响疫情防控工作的高效性及安全性,还会对数据所属主体的隐私利益造成损害。为此,有必要通过构建统一规范的个人数据公开披露平台、建立分类分级的个人数据公开披露机制、完善个人数据公开披露的监督机制,优化突发重大传染病疫情防控中个人数据的公开披露机制,充分发挥个人数据公开披露对疫情防控的积极作用,并在此基础上切实保障数据所属主体的隐私利益。

(一)构建统一规范的个人数据公开披露平台

新冠病毒肺炎疫情防控中个人数据公开披露过于分散,直接影响了数据公开披露的准确性,同时增加了普通民众接收相关信息的难度及时间成本,不利于通过个人数据公开披露实现保障普通民众知情权、督促普通民众集体自查、准确快速追踪密切接触者的目的。构建统一规范的个人数据公开披露平台可以将疫情总体趋势数据和确诊病例活动轨迹数据集中起来,提升疫情防控中个人数据公开披露的准确性、规范性及安全性。

首先,普通民众能够通过官方、统一、规范的个人数据公开披露平台接收、查找到准确、真实的疫情总体趋势数据和确诊病例活动轨迹数据,避免出现新冠病毒肺炎疫情防控初期普通民众因相关数据的公开披露渠道过于分散而无法及时了解疫情发展情况、协助寻找密切接触者的问题,官方、统一、规范的个人数据公开披露平台能够为普通民众提供疫情信息的筛查渠道,防止普通民众轻信不准确、虚假的疫情信息,有效控制涉及疫情的网络谣言的传播,避免在疫情防控期间因谣言引起不必要的民众恐慌和社会不稳定。

其次,构建国家级官方的个人数据公开披露平台能够统一脱敏处理标准,被授权主体在平台中公开披露个人数据时需按照平台规定的统一标准进行脱敏处理,可以有效改善新冠病毒肺炎疫情中不同被授权主体适用不同脱敏处理标准的问题。同时,官方、统一、规范的个人数据公开披露平台可以提升数据的规范性及可用性,在新冠病毒肺炎疫情防控中个人数据公开披露的形式包括表格、文字、图片等多种形式,虽然均能展现数据的内容,但公开披露形式的不统一也限制了个人数据的二次使用,不利于第三方企业或个人基于疫情防控和疾病收治目的对已公开披露的个人数据进行合法收集、利用。

最后,将疫情防控中被授权主体公开披露的个人数据集中在同一个平台还有利于保障数据的安全性。相比新冠病毒肺炎疫情中众多被授权主体各自存储、管理未经脱敏处理的个人数据,国家级个人数据公开披露平台能够为未经脱敏处理的个人数据提供更加集中、强大的安全保障技术和机制,平台的建立和运行提高了数据存储、管理的效率并且可以减少经手未脱敏个人数据的人员数量,显著降低疫情防控中个人数据被违法公开披露的可能性,保障数据所属主体的隐私利益不受到非法损害。

(二)建立分类分级的个人数据公开披露机制

在新冠病毒肺炎疫情防控中,确诊病例活动轨迹数据的公开披露成为了重要的防疫措施,但由于相关法律文件及配套机制的不完善,实践中出现了相关数据脱敏处理不充分的问题,同时确诊病例或湖北籍公民所到小区、办公场所等的其他住户或使用者以行使知情权为由,要求物业或社区公开确诊病例个人敏感信息的情况也较为突出。值得注意的是,突发重大传染病疫情防控中个人数据的公开披露机制不应仅考虑普通公众,还应考虑国务院有关部门和县级以上地方人民政府及其有关部门、各级疾病预防控制管理机构、医疗卫生机构、监测机构和科学研究机构等疫情防控相关机构的公职人员、医务人员或研究人员为实现疫情防控和疾病收治目的需要获得相关数据的情况。在突发重大传染病疫情防控中分类分级公开披露个人数据,依据接收个人数据主体的不同类型确立相应的公开披露机制,符合目的限定、数据最小必要及高效安全的基本原则,能够在实现疫情防控和疾病收治两大目的的前提下,对数据所属主体的隐私利益给予必要保护。具体而言,突发重大传染病疫情防控中个人数据的公开披露可以依数据接收主体的类型分为两类,一类是面向国务院有关部门和县级以上地方人民政府及其有关部门、各级疾病预防控制管理机构、医疗卫生机构、监测机构和科学研究机构等疫情防控相关机构的公职人员、医务人员或研究人员的公开披露机制,另一类则是面向普通民众的公开披露机制。

第一类情况下的个人数据公开披露应是无条件的,国务院有关部门和县级以上地方人民政府及其有关部门、各级疾病预防控制管理机构、医疗卫生机构、监测机构和科学研究机构等疫情防控相关机构的公职人员、医务人员或研究人员为了疫情防控和疾病收治需要获取相关个人数据的,可在疫情防控个人数据公开披露平台中验证身份后直接获取。为保障疫情防控和疾病收治的及时性、精准性,此类情况下被公开披露的个人数据应是未经脱敏处理的原始数据,但数据接收人员同样需要遵循相关法律规定以及目的限定、数据最小必要及高效安全的基本原则,不得从事出售、向他人提供相关个人数据等违法行为。

第二类情况下则应充分考虑普通民众知情权和数据所属主体隐私利益的平衡,建立疫情防控中个人数据的分级公开披露机制,依据主动公开披露、依申请公开披露和不予公开披露三个等级,分别明确不同的个人数据公开披露范围。其一,突发重大传染病疫情防控中被授权主体应当面向所有普通民众主动公开披露的个人数据包括疫情总体趋势数据和确诊病例活动轨迹数据,两类数据皆需进行较为严格的脱敏处理。疫情总体趋势数据经匿名化处理后已无法复原并识别特定主体,故分级公开披露主要针对确诊病例活动轨迹数据。确诊病例活动轨迹数据的主动公开披露是主要为了告知普通民众确诊病例的个人位置数据,即确诊病例在特定时间到过哪些特定地点,方便普通民众自查并提高防疫意识。确诊病例的个人位置数据主要涉及到达时间、所乘交通工具、居住地点及其他所到地点,主动公开披露的具体范围应当在考虑突发重大传染病的致病原因及传染途径后再行确认,保障确诊病例的隐私利益。以新冠病毒肺炎疫情防控为例,确诊病例如乘坐火车、飞机、公交车、出租车等公共交通工具则应当公开披露具体的航班、车次、车牌号等,如果确诊病例乘坐的是私家车且未载过陌生人则不得公开披露车牌号码,公开披露确诊病例居住地点或其所到过的其他人员居住地点不得包含单元号、门牌号,其他公共场所则应充分公开披露具体地址及名称。

其二,被授权主体可依申请进一步公开披露确诊病例的活动轨迹数据,普通民众依据主动公开披露的确诊病例活动轨迹数据自查认为其有接触确诊病例可能性的,可在疫情防控个人数据公开披露平台中实名申请进一步公开确诊病例的活动轨迹数据,以确认自己是否属于密切接触者。以新冠病毒肺炎疫情防控为例,普通民众自查发现其存在曾经与确诊病例同乘公共交通工具、同住一个小区等情况的,可申请进一步公开确诊病例的活动轨迹数据,被授权主体在收到申请后应及时联系申请主体,向其披露确诊病例所乘火车、飞机等公共交通工具中的座次、确诊病例居住地点或其所到过的其他人员居住地点的单元号等,并尽快通知申请主体所在省、自治区、直辖市人民政府或卫生行政部门帮助申请主体完成自查。

其三,对于确诊病例的姓名(姓氏)、年龄、身份信息、工作、职务、联系方式、亲属关系、居住地点或其所到过的其他人员居住地点的门牌号等个人数据不予公开。原因在于,疫情防控中公开披露确诊病例活动轨迹数据的目的是追踪密切接触者,主要是追踪特定时间内与确诊病例到达过同一地点的陌生人,因为与确诊病例相识相伴且与其在特定时间内到达过同一地点的密切接触者可直接通过确诊病例追踪到,无需通过公开披露个人数据的方式追踪。疫情防控中公开披露确诊病例个人位置数据已经能够达到追踪密切接触者的目的,在此基础上再公开披露确诊病例的姓名(姓氏)、年龄、身份信息、工作、职务、联系方式、亲属关系、居住地点或其所到过的其他人员居住地点的门牌号等数据并无必要,且会损害确诊病例的隐私利益。

(三)健全疫情防控中个人数据公开披露的监督机制

在新冠病毒肺炎疫情防控中,个人数据的公开披露出现了去标识化处理标准不一、被授权主体违法向他人提供未经脱敏处理的个人数据、普通公众二次传播泄露的个人数据等问题,导致数据所属主体面临匿名效果丢失、个人身份标识重构、个人身份属性泄露等数据隐私泄露风险,严重损害数据所属主体的隐私利益,不利于疫情防控与个人隐私利益的有效平衡。为此,有必要健全疫情防控中个人数据公开披露的监督机制,确保公开披露主体、内容、方式、目的等符合相关法律文件的要求,切实保障数据所属主体的隐私利益。

第一,应当组建专门的突发重大传染病疫情防控中个人数据公开披露与隐私保护管理机构,该机构应当负责制定个人数据公开披露的隐私保护管理规范、公开披露平台安全技术指南、个人数据公开披露与隐私检测技术规范等相关标准,同时派专门人员指导、监督被授权公开披露个人数据的相关机构或组织,在保障被公开披露数据的准确性、及时性及全面性的同时保护数据所属主体的隐私利益。

第二,应当通过法律法规明确二次传播被泄露个人数据的相关主体法律责任,该类主体售卖或向他人提供个人数据均应当被追责,同时应当加重违法公开披露个人数据行为的处罚力度,及时消除影响,告知数据所属主体违法公开披露其个人数据主体的相关信息,便于隐私利益受到损害的数据所属主体通过法律途径维护自身权利。

第三,公民不得擅自传播其依申请获得的确诊病例个人数据,不得将其依申请获得的数据用于自查行为轨迹以外的其他用途或目的,更不得利用数据从事违法犯罪活动。申请人申请公开披露个人数据数据的范围、频次明显超出合理范围的,被授权公开披露个人数据的主体可要求其说明理由,被授权主体认定申请人所提供理由不合理时,应告知其不予公开披露相关个人数据;认定申请人所提供理由合理的,则应及时向其公开披露相关个人数据。

第四,新冠病毒肺炎疫情防控中个人数据的违法公开披露主要是通过社交平台、视频平台中的图文音视频,相关平台的运营者应当承担监管责任,对用户在本平台发布的疫情防控相关个人数据进行及时、全面的监督审查,发现非法公开披露个人数据行为应当及时上报有关部门,并通过技术手段立即阻断相关个人数据的传播、及时删除平台内的相关内容,保存有关记录数据,协助监管部门追踪违法公开披露个人数据的用户。

第五,应当健全疫情防控中违法公开披露个人数据的举报机制,明确举报人所需提供的举报材料要求,开通快捷、高效的举报接收渠道,举报接收主体在核实举报内容后应当在规定时间内对接相关部门,及时处置疫情防控中违法公开披露个人数据的行为。此外,举报接收主体还应当建立快速、透明、公开的举报反馈机制,将举报的处理情况及时反馈给举报者。

四、突发重大传染病疫情防控中个人数据的后续控制

突发重大传染病疫情防控中个人数据的收集、使用、公开披露均以疫情防控和疾病收治为目的,疫情结束即意味着个人数据收集、使用、公开披露的目的已充分实现,应当对疫情防控中所收集、使用、公开披露的个人数据进行有序、有效的后续控制。尤其是疫情防控中公开披露的个人数据,虽经过脱敏处理,但如果在疫情结束后仍永久留存于各个公共平台,有目的性的数据收集者可通过多次持续收集疫情期间公开披露的个人数据,关联到疫情结束后数据所属主体在各个平台中分享的个人数据,对多个数据集进行组合、深挖、分析后可能将去标识化的数据再次标识、关联到数据所属主体,并对其数据隐私和安全造成威胁。虽然在疫情防控期间,相关主体对个人数据的脱敏处理使其无法关联到特定主体,但在疫情结束后仍可能对数据所属主体的个人隐私造成不利影响。另外,确诊病例在疫情防控中被收集、使用、公开披露的个人数据如果在疫情结束后被还原、泄露等,还可能导致确诊病例因传染病史这一个人敏感数据的泄露而被歧视、威胁或诈骗等。然而,《通知》及我国现行的《传染病防治法》《突发公共卫生事件应急条例》《网络安全法》等法律法规并未就突发重大传染病疫情防控中个人数据的后续控制进行明确的规定。为此,有必要对突发重大传染病疫情防控中收集、使用、公开披露的个人数据进行后续控制,遵循目的限定原则及数据最小必要原则,以保障国家公共卫生安全、保护公民隐私利益为目的对个人数据的留存进行综合考量。

第一,突发重大传染病疫情防控中个人数据的更正。疫情防控中个人数据的收集、使用、公开披露工作量大、时间要求紧、参与主体众多,当疫情防控中个人数据因相关人员疏忽而错误或不完整时,应当为数据所属主体提供更正或补充的方法和路径,同时为被授权主体提供更正或补充的权限,但应当在突发重大传染病疫情防控个人数据收集或公开披露平台中明确记录更正或补充时间、内容及主体的详细信息。第二,突发重大传染病疫情防控中个人数据的封存或删除。数据最小必要原则要求疫情防控中个人数据的留存不得超过实现疫情防控和疾病收治目的所需的最小时间,并应当在目的实现后及时封存或删除个人数据。突发重大传染病疫情防控的国家个人数据平台及在被授权主体指导下收集、使用个人数据的第三方企业掌握了大量个人敏感数据,在疫情结束后储存个人数据的理由就已经不再成立,封存个人数据可以严格限制数据的访问主体,删除个人数据则更能够直接保护数据所属主体的隐私利益。如果疫情防控中收集、使用、公开披露的个人数据无法删除,加之疫情结束后数据安全措施有所松懈,则公民的个人隐私将可能被他人非法获取并恶意公开、传播,个人数据的滥用可能危害公民的尊严和自由。第三,应当赋予数据所属主体获取个人数据副本的权利。数据所属主体在突发重大传染病疫情防控中提供的个人数据与其身份、生理健康等密切相关,尤其是确诊病例在疫情防控中提供的个人生理健康数据对其将来就医、购买保险等活动都有重要作用,故应当允许数据所属主体获得其在疫情防控期间提供的以可机读形式呈现的结构化、通用化的个人数据,数据所属主体有权将个人数据转移给其他主体控制。需要明确的是,数据所属主体仅能获取疫情防控中由其提供的个人数据,而并不包括突发重大传染病疫情防控中被授权主体对个人数据分析后获得的衍生或推测数据,同时数据所属主体也无权要求删除以其个人数据为基础分析产生的衍生或推测数据。

五、结语

大数据、人工智能、云计算等数字技术在突发重大传染病疫情防控中得以充分运用,是我国国家治理体系及治理能力现代化水平有所提升的重要表现。从新冠病毒肺炎疫情防控中个人数据公开披露的实际情况可以发现,我国尚未制定规范、完善、科学的突发重大传染病疫情防控中个人数据的公开披露规则,亟待通过修订《传染病防治法》《网络安全法》等法律法规进行完善,在时机成熟时还应尽快制定《个人数据保护法》为个人数据在疫情防控中的使用及保护提供更为直接的法律依据,各地可通过制定突发重大传染病疫情防控中个人数据使用与保护相关的地方性法规先行先试。

本公众号定期推送知识产权及竞争政策相关的法律政策与政府文件、最新全球行业信息、国外国防产权动态、原创文章与专家观点、业内高端活动消息、《电子知识产权》(月刊)&《竞争政策研究》(双月刊)文章节选及重磅全文、专利态势发布、中心最新成果发布及相关新闻报道等诸多内容,欢迎各界人士关注!