论疫情防控中对个人信息的保护

2021-09-26马光

科技与法律 2021年4期

马光

摘要：新冠疫情发生后，我国积极利用大数据予以应对，并取得了初步成效，但同时也有侵犯个人信息的案例发生，如何在积极防疫的同时对个人信息提供足够保护是本文要研究的主要内容。结合与欧盟、韩国相关法律制度的比较，提出尽快制定《个人信息保护法》，坚持信息最小化原则，进一步明确信息收集和使用主体等方面的建议。

关键词：疫情防控;个人信息保护;传染病;大数据;位置信息

图书分类号：D 994 文献标识码：A 文章编号：2096-9783（2021）04-0029-08

引言

在新冠疫情发生后，我国运用大数据、人工智能等新技术开展防控，并取得了抗擊疫情的初步成果。与此类似的，我们近邻韩国在经历早期的疫情扩散后也经过运用大数据使得疫情得到控制，其中接触者追踪是其流行病学调查的重要组成部分1。而对个人信息的保护采取最严管制的欧盟则尚未摆脱疫情的泛滥，甚至《通用数据保护条例》（以下简称为GDPR）被质疑对运用大数据抗击疫情是不利的。

在抗击新冠疫情方面取得初步成效的同时，我国也发生了部分个人信息遭到泄露的案例，特别是针对武汉返乡人员的信息登记、活动监控在全国各地展开时，返乡人员名单在各种亲友、同事群中肆意流传，大量敏感信息泄露事件频发。如，山西省临汾市公安局网络警察支队于2020年2月1日晚发布消息称，当地一男子在微信群中传播“35名密切接触者名单”文件（名单内容涉及姓名、身份证号、家庭住址等公民个人信息），该男子已被依法行政拘留。而在韩国国内，也发生了多起针对确诊人员和家属身份信息的泄露案例。

对密切接触者的准确追踪在疫情防控中起到非常重要的作用，而只有当公民相信自己的隐私得到保护时，追踪应用程序才能成为有效且能被广泛使用以支持度过冠状病毒大流行时期的工具。为了防止病毒大规模传播，挽救人民和保护社会所做的努力是无价的，应该大力支持。但同时，各国也必须应对因新冠肺炎大流行对隐私权造成的威胁。在这些有限的期间内，必须仍然遵守相关国际法中关于人权的规定，对这些权利的克减或限制只能在法律紧急情况下进行2。

本次新冠疫情引发了诸多法律问题，其中一个重要议题便是疫情下对个人信息的保护问题，即如何确定在疫情等特殊情况下对个人信息保护的范围和限度，以及如何在为防疫目的使用包括位置在内的个人信息的同时对其进行合理保护。法律在强调个人信息保护的同时，也要注重保护限度，处理好保护与使用之间的关系[1]。本文将选取欧盟、韩国和中国就疫情下对个人信息保护所采取的立法和相关措施为视角，分析疫情防控中对个人信息使用和保护的合理范围，并且对我国相关立法和措施提出相应的建议。

一、疫情防控中对个人信息保护的立法新动向

新冠疫情发生后，各国和国际组织纷纷出台相关立法和政策，就疫情中个人信息保护问题进行进一步的规定和解释。

如，2020年1月30日，我国交通运输部发布《关于统筹做好疫情防控和交通运输保障工作的紧急通知》3; 2月4日，中央网络安全和信息化委员会办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》（以下简称为《通知》）[2]。

2020年2月26日，韩国国会修订《传染病预防管理法》（以下简称为IDCPA）、《检疫法》和《医疗法》，而正是这些被称为新冠三法的法律对韩国利用大数据防疫起到了非常重要的作用。

2020年3月30日，欧洲理事会《关于个人数据自动化处理的个人保护公约》（以下简称为《108号公约》）委员会主席亚历山德拉·皮鲁奇和欧洲理事会数据保护专员让·菲利普·沃尔特共同发表了《关于新冠肺炎大流行背景下的数据保护权的联合声明》（Joint Statement on the Right to Data Protection in the Context of the COVID-19 Pandemic，以下简称为《声明》），呼吁为防止病毒大规模传播，挽救人民和保护社会的同时，各国须应对因新冠肺炎大流行而对民主、法治和人权（包括隐私权和数据保护权）造成的威胁。

2020年4月6日，欧洲数据保护主管（以下简称为EDPS）沃杰斯依克·维洛斯基发布以《欧盟数字团结：呼吁采取全欧洲应对大流行的方法》（EU Digital Solidarity： a Call for a Pan-European Approach Against the Pandemic）为标题的文章，强调“针对有些人呼吁暂停数据保护法或根据当前的危机对其进行修订，而该法律既不是积极行动的障碍，也不是导致效率不高的借口，因为该法律是在咨询有经验的专家下编写的，这些专家广泛使用了为人类服务的新技术。在遵守数据保护法同时，呼吁尊重数据保护权的实质，并提供适当和具体的措施来维护个人的基本权利和利益。GDPR不会成为处理个人数据的障碍，合法性、透明度和相称性都应伴随旨在对抗新冠疫情大流行的任何措施”。2020年4月21日，欧盟数据保护委员会（以下简称为EDPB）通过了《在新冠肺炎爆发背景下以科学研究为目的的有关健康数据处理的准则》（Guidelines 03/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the COVID-19 Outbreak）和《在新冠肺炎爆发中使用位置数据和接触者跟踪工具的准则》（Guidelines 04/2020 on the Use of Location Data and Contact Tracing Tools in the Context of the COVID-19 Outbreak，以下简称为《准则》）。

2020年5月14日，美国民主党人在众议院和参议院提出的“公共卫生紧急隐私法案”将为收集和披露用于减缓冠状病毒传播的健康数据制定临时规则。该提案将要求政府机构确保通过追查接触者收集的数据安全。“紧急”卫生数据在宣布公共卫生紧急情况结束后60天内不能再储存或使用，民主党法案还包括一个执行机制。而同一天，澳大利亚议会通过了《2020年隐私法修订法案（公众卫生联络资料）》（以下简称《法案》）。《法案》旨在减轻公众对隐私的担忧，取代COVID Safe启动时根据《生物安全法》发布的临时决定，将其上升为法律，并引入了加强隐私保护的其他措施。《法案》引入澳大利亚议会有史以来最强有力的隐私保护措施。

2020年6月1日，荷兰政府向议会提交了一份关于使用疫情数据的临时紧急法案。

在上述这些立法中，本文将选取《108公约》和欧盟、韩国和中国的立法进行介绍和分析，而在此之前，基于國际上存在个人信息和个人数据两种概念，本文将首先对这两个概念进行比较和分析，以此确认两者是否属于相同概念，以及是否具有可比性。

二、疫情防控中对个人信息收集、使用和保护的国内外比较

（一）对个人信息概念的中外比较

在国际上，《108号公约》被公认是最为重要的关于个人信息保护的国际条约，共有55个缔约国，其中8国不属于欧洲理事会成员国。《108号公约》第2条（a）项规定，个人数据系指与一个已识别或可识别的自然人（数据主体）有关的任何信息。GDPR第4条（1）项对个人数据的定义也与此相同4。

韩国《个人信息保护法》第2条将个人信息定义为：活着的个人相关信息5。

我国《中华人民共和国民法典》（以下简称《民法典》）人格权编专设隐私权和个人信息保护一章，第1034条写明“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息6”。《网络安全法》第七十六条也有类似规定。《信息安全技术个人信息安全规范》第3.1条还明确例示通信记录和内容、账号密码、财产信息、征信信息、住宿信息、交易信息为个人信息，附录A则提供关于个人信息的详细范围和类型。

从欧盟、韩国和中国的立法内容来看，除了欧盟采用个人数据的概念之外，中韩两国都采用个人信息的概念，而从他们对这些概念的定义来看，可以看出其实两者并无本质区别。不管是个人信息还是个人数据，本质都是可否单独或与其他信息结合识别特定自然人，在此前提下，各方都对个人信息列出未穷尽的列表。基于此，笔者认为欧盟法上的个人数据和中韩立法中的个人信息属于相同概念，具有可比性，因此在本文写作中，将对两个概念予以混用。

（二）疫情防控中个人信息保护的国内外比较

各国在利用大数据抗击疫情的过程中不可避免地面临对个人信息收集、使用和保护的问题，而如何更好地协调它们之间的关系则成为非常值得研究的问题。首先，有必要对现有部分国际条约和国内法中有关疫情下对个人信息收集、使用和保护的规定进行梳理和分析。

1.国际条约

国际条约层面，《108号公约》第11条明确承认，有必要以公共利益和个人切身利益为最紧迫的目标，允许实施一些例外和限制。如监测威胁生命的流行病，数据保护权利并不妨碍公共卫生当局与负责分发口罩的组织共享卫生专业人员的名单（姓名和联系方式），也不能声称数据保护权利禁止进行流行病学监测。个人数据保护要求并没有涵盖到匿名数据。因此，数据保护要求不会阻止使用汇总的位置信息来发信号通知违反隔离要求的聚会，或指示远离密切接触区域的人员的移动。但同时，对这种原则和权利的限制也必须做出非常明确的要求和说明，即使在紧急状态下也是如此。而且，这种例外应由法律规定，应尊重基本权利和自由的实质，实行的是民主社会中必要且相称的措施。在施加限制的情况下，这些措施必须仅在临时基础上采取，并且只能在明确限于紧急状态的一段时间内采取。同样重要的是要采取具体的保护措施，并保证一旦紧急状态解除后，将对个人数据提供全面保护。这主要应包括有关恢复正常数据处理制度的具体措施和程序，并特别注意包含与健康相关的数据或其他特殊类别数据的数据库或为追踪和防控目的而创建的数据库;对在紧急状态下进行处理的个人数据进行配置分析，数据保护机构应当仔细评估各国政府针对这些情况所采取的措施。只有在基于科学证据的情况下，才能进行大规模的个人数据处理，例如，这种流行病监测（例如接触者追踪）技术和应用的潜在公共卫生益处（包括准确性）超过了其他替代解决方案的益处，而其他替代解决方案的益处相对《声明》来说要小得多。

2.欧盟

在欧盟层面，2002年的《隐私与电子通信指令》（Directive on Privacy and Electronic Communications，以下简称为《指令》）、2013年的《关于严重跨界健康威胁的决定》（Decision on Serious Cross-border Threats to Health，以下简称为《决定》）、GDPR和疫情后制定的《准则》对处理疫情防控中个人信息使用和保护问题均具有重要意义。相比《108号公约》，这些欧盟法所提供的规定更为详细。

当出于依据欧盟或成员国法律实现在公共健康领域的公共利益而需要收集感染者状况等健康数据时，欧盟法也允许进行此类数据处理（GDPR 第9条第2款（i）项）7。

《决定》提供了关于流行病学监测、观察、预警和对健康的严重跨界威胁进行斗争的规则，包括与这些活动有关的准备和响应计划，以协调和补充国家政策。《决定》第16条专门规定，应采取适当的技术和组织措施以保护个人数据免遭意外或非法破坏，意外丢失或未经授权的访问，以及任何形式的非法处理。实施接触者追踪措施的主管当局通过预警和响应系统传递接触者追踪目的所需的个人数据时，应使用选择性消息传递功能，并且仅将数据传递给其他参与接触者追踪措施的成员国。且自发布之日起12个月后，包含个人数据的信息应自动从选择性消息功能中删除。如果主管当局确定其发出的个人数据通知因对于实施接触者追踪措施不必要，随后被证明违反了规定，则应立即通知得到该通知的成员国。

《准则》主要对接触者追踪应用程序进行了规范。EDPB强调，数据保护法律框架的设计具有灵活性，因此能够在限制流行病和保护基本人权与自由方面实现有效地应对。有效性、必要性和相称性的一般原则必须指导成员国或欧盟机构采取的涉及处理个人数据以对抗新冠疫情的任何措施。这些指南阐明了为两个特定目的而按比例使用位置数据和接触者追踪工具的条件和原则：利用位置数据通过对病毒的传播进行建模来支持对大流行的反应，从而评估隔离措施的整体有效性;接触者追踪，旨在告知个人他们已经与某个最终被证实为该病毒携带者的人非常接近，以便尽早打破污染链。按照《指令》第5条第3款，直接从终端设备收集包括位置数据在内的信息，应经用户同意或对于用户明确要求的信息社会服务绝对必要。这意味着，决定不使用或无法使用此类应用程序的个人完全不会遭受任何不利影响。EDPB强调，在使用位置数据时，应始终优先处理匿名数据而不是个人数据。个人的行动痕迹与生俱来就与位置数据高度相关且独特。因此，在某些情况下，它们可能容易受到重新识别尝试的攻击。考虑到匿名化过程的复杂性，强烈建议有关匿名化方法的透明性。此外，目的必须足够具体，以排除与新冠病毒健康危机管理无关的目的（例如，商业或执法目的）。接触者追踪应用程序不需要追踪单个用户的位置，相反，应该使用接近度数据。由于接触者追踪应用程序可以在不直接识别个人的情况下运行，因此应采取适当措施以防止重新识别，所收集的信息应驻留在用户的终端设备上。EDPB还建议在切实可行的范围内尽快出台包括确定何时删除应用以及由哪个实体负责做出决定的标准。当前的健康危机不应作为建立不成比例的数据保留授权的机会。存储限制应考虑实际需求和医疗相关性（这可能包括基于流行病学的考虑因素，例如潜伏期等），而个人数据应仅在新冠疫情危机期间保存。然后，作为一般规则，所有个人数据都应删除或匿名化。EDPB的理解是，此类应用程序不能替代，而只能支持由合格的公共卫生人员执行的手动接触者追踪，他们可以找出密切接触者是否可能导致病毒传播（例如，与受足够设备保护的人互动时）。EDPB强调，接触者追踪应用程序所执行的程序和过程（包括相应的算法）应在合格人员的严格监督下进行，以限制任何假阳性和阴性的发生。特别是，提供有关下一步建议的任务不应仅基于自动化处理。应用程序不应收集无关或不需要的信息，这些信息可能包括公民身份、通信标识符、设备目录项、消息、呼叫日志、位置数据、设备标识符等。接触者追踪系统中涉及的任何服务器都必须仅收集接触者历史记录或由于卫生当局进行适当评估以及用户自愿采取行动而被诊断为感染的用户的假名。或者，服务器必须仅在一定时间内保留受感染用户的假名标识符列表或他们的联系历史，以告知可能受感染的用户的暴露情况，并且不应尝试识别潜在受感染的用户。必须采用最先进的加密技术来保护存储在服务器和应用程序中的数据，以及在应用程序和远程服务器之间进行交换。还必须在应用程序和服务器之间执行相互身份验证。

3.韩国

韩国则通过《个人信息保护法》、IDCPA和其施行令、施行规则应对疫情下对个人信息的保护问题。韩国的法律体系往往由一部法律和配套的施行令（总统令）、施行规则（部令）组成。韩国《个人信息保护法》第15条规定，个人信息处理者可在特定情况收集个人信息，并在其收集的目的范围内予以使用8。

IDCPA第76条之2和其《施行规则》第47条之2规定，保健福祉部长官或疾病管理本部长在为预防传染病和切断感染传播所需时，可向相关中央行政机关的长官、地方自治团体的长官以及公共机构、医疗机构和药店、法人、团体、个人要求提供有关传染病患者和疑似者的如下信息，收到上述要求的，应予以提供：（1）姓名、身份证号码、家庭住址和电话号码（包括手机号）等个人信息;（2）处方和诊疗记录等;（3）保健福祉部长官指定期间的出入境管理记录;（4）其它由总统令规定的，掌握路线所需信息。而按照IDCPA《施行令》（即为总统令）第32条之2，如下信息包括在里面：（1）信用卡、借记卡、预付卡使用明细;（2）交通卡使用明细;（3）通过影像信息处理设备收集的影像信息。保健福祉部长官、市（类似于地级市）和道知事、市（类似于县级市）长、郡守、区长在为预防传染病和切断感染传播所需时，可向警察厅、地方警察厅和警察署负责人要求提供有关传染病患者和疑似者的位置信息，收到上述要求后，该负责人可向个人位置信息提供商、电讯服务提供商要求提供有关传染病患者和疑似者的位置信息，收到上述要求后，无正当理由的情况下，应予以提供。保健福祉部长官或疾病管理本部长可将上述信息提供给相关中央行政机关的长官、地方自治团体的长官、国民健康保险公团理事长、健康保险审查评价院院长、保健医疗机构和其它团体（正在执行传染病相关业务的医务人员、医疗机构和药店、医务人员团体、药师协会、医疗机构团体）。对保健医疗机构和其它团体提供的信息仅限于该机构为预防传染病和切断感染传播所需的业务相关信息。为预防传染病和切断感染传播所需的，保健福祉部长官或疾病管理本部长可使用如下信息系统将出入境管理记录和路线信息提供给保健医疗机构，此类信息限于该机构业务相关信息：（1）国民健康保险公团的信息系统;（2）健康保险审查评价院的信息系统;（3）为预防传染病和切断感染传播，保健福祉部长官或疾病管理本部长认为必要而指定的机构信息系统。医务人员、药师和保健医疗机构负责人在进行医疗行为或处方和调制医药品时，应通过上述信息系统确认所提供的信息。按上述规定取得的信息，不得以传染病相关业务外的目的使用，业务结束后，应立即废弃，并书面报告保健福祉部长官。保健福祉部长官、市和道知事、市长、郡守、区长应将如下事实以电子邮件、书面、传真、电话或与此类似的方式通知信息主体：（1）为预防传染病和切断感染传播所需信息被收集的事实;（2）上述信息提供给其它机构的事实;（3）不得以传染病相关业务外的目的使用，业务结束后，会被立即废弃的事实。按上述规定取得信息后，違反本法处理该信息的，按《个人信息保护法》予以处罚。

IDCPA《施行令》第32条之3规定，国家和地方自治团体（该权限被授权或委托时，包括被授权和被委托者）为了执行如下事务而所需的，可以处理有关健康的信息和包含身份证号码或外国人登陆证号码的资料：（1）有关传染病患者诊疗和保护的事务;（2）有关培养预防传染病专业人员的事务;（3）有关传染病管理信息交流等国际合作的事务。保健福祉部长官、疾病管理本部长、市和道知事、市长、郡守、区长（包括市长、郡守、区长委托预防接种业务的医疗机构）、保健所长或被制定的传染病样本监控机构为执行如下事务所需的，可以处理包含个人信息的资料：（1）有关传染病患者申告、报告、掌握、管理的事务;（2）有关传染病样本监控的事务;（3）有关现状调查的事务;（4）有关流行病学调查的事务;（5）有关健康诊断的事务;（6）有关解剖命令的事务;（7）有关高危险病原体的事务;（8）有关预防接种的事务;（9）有关传染病管理机构指定，传染病管理设施、隔离站、疗养院、诊所的设立和运营的事务;（10）有关传染病患者管理和传染病防疫和预防措施的事务;（11）有关消毒业申告的事务;（12）有关消毒业从业者教育的事务;（13）有关损失赔偿和预防接种引起损害的国家赔偿的事务。

4.中国

中国的相关立法有《网络安全法》《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》《通知》等。

《民法典》第1034条是关于个人信息受法律保护的规定，自然人的个人信息受法律保护。第1035条进而规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并应征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。中国《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》构成特别法上的明确授权，据此可以在征得被收集者同意之外，作为公民个人信息的收集、使用的合法性基础[3]9。《信息安全技术个人信息告知同意指南》（征求意见稿）第6.3条详细列举了8种“收集使用个人信息时免于告知同意的情形”10。《传染病防治法》第十二条和《突发公共卫生事件与传染病疫情监测信息报告管理办法》第七条均规定，任何单位和个人在面对包括传染病在内突发公共卫生事件时均具有如实提供有关信息的义务11。依据《突发事件应对法》第38条，《突发公共卫生事件应急条例》第40条，《国家突发公共卫生事件应急预案》4.2.4（1）项规定使得疾病预防控制机构、医疗机构、县级以上政府和卫生行政部门、街道、乡镇以及居民委员会、村民委员会等均成为法律授权的信息收集或协助收集主体12。尽管《网络安全法》第42条规定，未经被收集者同意，网络运营者不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。第57条对被收集者同意规定了例外，即因网络安全事件，发生突发事件或者生产安全事故的，应当依照《突发事件应对法》《安全生产法》等有关法律、行政法规的规定处置。因此，在特定情况下是可以不经过被收集者同意便收集疫情相关信息的。

《传染病防治法》分别对疾病预防控制机构和医疗机构的故意泄漏个人隐私行为予以规制13。因此，掌握个人信息的主体无论是向特定的人提供，还是通过互联网发布个人信息的行为都违反法律规定，情节严重的可能构成侵犯公民个人信息罪。《通知》也对个人信息的收集主体、收集原则、信息用途、信息保护等事项做了详细规定。

5.比较

综上，欧盟、韩国和中国的相关立法有如下共同点：（1）有法律明文规定的，可不经信息主体同意即可收集和使用个人信息，而基于应对疫情等公共卫生方面考虑采取的个人信息收集和使用包含在法律明文规定情形之一;（2）脱敏处理并无法被重新识别的不受个人信息保护，即通过这些处理的信息是可以公开的;（3）收集和使用的个人信息仅限于必要范围内，并由指定的机构和人员收集和使用;（4）事后废弃信息的要求。

但除了这些共同点以外，其区别也是比较明显的。整体上，欧盟的规定对疫情下个人信息的收集和使用设置了最为严格的限制，即使是在疫情这一例外情况中收集和使用个人信息，也要严格保护个人信息。而中国和韩国的立法则对疫情下的个人信息收集和使用提供了较为宽松的条件，并且将这一例外情况下的操作方式进行详细规定。相比之下，韩国的相关立法更加有层次，能够较为明确地规定哪些主体可在疫情下如何收集、使用和保护个人信息，特别是能够从法律上明确可以使用位置信息、刷卡信息和监控信息等排查个人的移动经过。中国则因相应内容分散在《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》等法律和法规中，内容上衔接不足，且容易导致内容重复和不一致的情况。

三、完善我国个人信息保护制度的建议

疫情防控背景下，及时、完整的疫情信息公开必然能够帮助人们增加其对“新型冠状病毒肺炎”风险的了解，但由此造成个人信息泄露则得不偿失，因此，有必要对两者进行协调。

尽管我国尚无《个人信息保护法》，但如同上面所阐述，现有立法已经初步能够应对疫情防控中对个人信息的收集、使用和保护的问题。当然，能够应对并不意味着这些立法和制度已经非常完善，从这个角度出发，对于行政主体收集公民个人信息的行政行为，仍然缺乏完善的法律规制。在此问题上，结合欧盟和韩国的立法和经验，还是有较大的完善空间，本文拟在如下几个方面提出我国立法和措施的完善方案。

第一，我国在公民个人信息权益保护方面的立法显得相对不足，层级低且效力弱，专门化、板块化、碎片化问题突出[1]。相关制度分散在部分法律、行政法规、部门规章和规范性文件中，这样很容易产生立法的不统一甚至有些相互不一致的情况。从这一点来看，制定《个人信息保护法》是大势所在。为了能够完善我国的个人信息保护机制，制定专门立法是必不可少的。以《个人信息保护法》为中心，将我国的个人信息保护相关法律法规予以整合非常必要。

第二，从信息最小化原则出发，在疫情等公共卫生事件中，除非确有需要，应尽量收集和使用无法识别个人的较为模糊信息，例如，就位置信息而言，可以選取范围信息，不必要的信息要坚决不予收集。

第三，进一步明确责任主体，除了疾病预防控制机构和医疗机构外，县级以上政府和卫生行政部门、街道、乡镇以及居民委员会、村民委员会等机构也具有法律授权的收集或协助收集信息的权利或义务，因此，这些机构也应纳入监管范围，并且明确非法收集和传播时的责任和处罚。而从目前的立法来看，这部分显然是属于空白，法律仅规定了疾病预防控制机构和医疗机构的监管责任、处罚措施。有些立法则未对泄露信息作出处罚规定，如《突发公共卫生事件应急条例》就没有规定对泄露信息的处罚事项。疾控机构及医疗机关常常忙于应对传染病患者的确诊和救治工作，真正实施信息收集的主体一般是地方各级政府。因此，有必要在《突发事件应对法》中明确在突发情形下，个人及企业为疫情需要配合政府收集信息之义务[4]。

第四，《通知》作为应对此次新冠疫情发布的规范性文件，在疫情期间对个人信息保护方面起到了较好的作用，尽管如此，其尚存有待完善的部分。因为《通知》是为做好新型冠状病毒感染肺炎疫情联防联控中的个人信息保护而制定，所以其具有特定性，无法在疫情后对类似问题的发生反复适用。从这个角度来看，有必要制定专门针对卫生公共事件中个人信息保护的相关规章。从内容上来看，《通知》缺少对信息主体告知义务的相关规定，这一问题在《传染病防治法》等相关法律中也同样存在。《通知》规定收集对象原则上限于确诊者、疑似者、密切接触者等重点人群，一般不针对特定地区的所有人群，而此类有例外的规定应将例外明确。《通知》还规定，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等個人信息，因联防联控工作需要，且经过脱敏处理的除外，而此处的脱敏应考虑无法恢复的相关限制。

参考文献：

[1] 张勇.论大数据背景下涉疫情个人信息的法律保护[J].河南社会科学，2020（4）：56-65.

[2] 赵丽.公开涉疫个人信息防止泄露[N].法制日报，2020-02-20.

[3] 葛鑫，洪延青.大数据支撑联防联控工作中个人信息保护问题分析[J].中国信息安全，2020（2）：30-41.

[4] 田旭.突发性公共卫生事件中个人信息的法律保护[J].中国信息安全，2020（2）：42-43.

The Protection of Personal Information in Epidemic Prevention and Control

Ma Guang

（Guanghua Law School， Zhejiang University， Hangzhou 310008， China）

Abstract： After the outbreak of COVID-19， China actively used big data to deal with the epidemic and achieved initial results. However， there were also cases of personal information violations. How to provide sufficient protection for personal information while actively preventing epidemic is the main content of this paper. Based on the comparison with the relevant legal systems of the European Union and Korea， it is proposed to formulate the Personal Information Protection Law as soon as possible， adhere to the principle of information minimization， and further clarify the subjects of information collection and use.

Key words： epidemic prevention and control; personal information protection; infectious diseases; big data; location information