疫情封控之下公民個人信息保護——數據安全、數據合規問題值得關注

凌凌律師/上海市海華永泰律師事務所高級合伙人、仲裁員

今年新冠疫情的爆發出現面廣、頻發的特點，“早發現、早報告、早隔離、早治療”成為了落實任務要求。最近一到兩個月以來，上海居民更是為了抗疫情封控在家，經常聽到這句話“青春沒幾年，疫情占三年”。通過大數據、智能科技對大量的個人信息進行收集，查找病毒源頭、進行患者追蹤，的確在疫情防控工作中起到了有效的作用。為了實現及時、高效、精準的防控，有關部門力求全面掌握關于確診者、疑似者、密切接觸者的個人信息，劃定風險區域，快速采取措施。然而，如何在做好相關防控工作的同時有效保護公民的個人信息安全，做好數據安全、數據合規工作，則面臨著前所未有的挑戰，更是不容小覷的問題。

去年、今年數據安全問題頻發：2021年8月，鄭州的劉先生在做核酸檢測時發現有人冒用他的身份信息做了核酸檢測，還貸了11筆款；2021年12月，浙江寧波的邱先生，收到詐騙短信要求其輸入身份證號等個人信息，并3小時內完成核酸檢測，否則就要承擔法律責任；2022年3月，沈陽市蘇家屯公安分局在工作中發現，區內某園區物業工作人員唐某某（女，43歲）在社區工作微信群中獲取密切接觸者個人信息文件后，轉發至其一個生活微信群中，造成文件中的密切接觸者個人信息被泄露并在網絡上傳播；2022年4月在上海的浦江鎮居民曾有投訴稱其居民身份證信息被泄露，且被他人注冊為志愿者。這些事件都在警醒我們，疫情防控期間個人信息保護、數據安全問題仍然需要得到重視，否則會造成侵害后果，嚴重地甚至產生社會危害性以及更大的后果。

數據安全、數據合規為何如此重要？因為它正是當前國家間實力博弈的重要戰場。2021年6月9日，美國白宮簽署行政令，要求美國商務部等相關部門對可能影響美國國家安全和敏感數據（包括身份信息、健康和基因信息等）安全構成風險的“外國敵手（foreign adversary）”的應用程序開展評估，并視情況采取必要措施。該行政令被部分西方媒體解讀為“美方對華政策的最新風向”。因而在疫情防控期間我們也不能松懈信息管理，數據安全、數據合規更是不能忘記。2021年6月10日，經第十三屆全國人民代表大會常務委員會第二十九次會議審議，通過了《中華人民共和國數據安全法》（以下簡稱“《數據安全法》”），該法于 2021年9月1日起施行?！稊祿踩ā芬幎?，根據數據的重要程度以及遭受破壞后的危害程度，國家建立數據分級分類保護制度，同時進一步強調數據安全保護義務?！稊祿踩ā返氖┬袩o疑是加大對重點數據的保護力度，收緊數據使用的限度，對企業的信息數據合理使用提出更高的要求，前述規定無疑也適用于目前的疫情防控期間。

一、疫情期間收集個人信息的合法主體

基于精準流調的需要，各種被收集的精準個人信息被使用在防疫上。疫情下收集個人信息的各種app、小程序收集的信息的內容主要包括：姓名、性別、身份證號、住址、個人行程信息、以及核酸檢測信息、疫苗接種信息等，即通常所謂的“碼”：健康碼、行程碼、登記碼、核酸碼、場所碼等。

在疫情防控的工作中，國家的有關部門以防控疫情為由對個人信息進行收集的情況已經不再罕見，而實際生活中，商場的入口、小區門衛處為了掌握人流動態，均設立了行程碼及健康碼、場所碼等掃碼點，那么到底哪些才算是疫情期間收集個人信息的合法主體呢？

《中華人民共和國傳染病防治法》（以下簡稱“《傳染病防治病》”）第十二條明確規定: “在中華人民共和國領域內的一切單位和個人, 必須接受疾病預防控制機構、醫療機構有關傳染病的調查、檢驗、采集樣本、隔離治療等預防、控制措施, 如實提供有關情況......”以及該法第三十一條規定: “任何單位和個人發現傳染病病人或者疑似傳染病病人時, 應當及時向附近的疾病預防控制機構或者醫療機構報告?！?/span>

中央網信辦發布的《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》第一條規定：“各地方各部門要高度重視個人信息保護工作，除國務院衛生健康部門依據《網絡安全法》、《傳染病防治法》《突發公共衛生事件應急條例》授權的機構外，其他任何單位和個人不得以疫情防控、疾病防治為由，未經被收集者同意收集使用個人信息。法律、行政法規另有規定的，按其規定執行。  

《突發公共衛生事件應急條例》第四十條規定：“傳染病暴發、流行時，街道、鄉鎮以及居民委員會、村民委員會應當組織力量，團結協作，群防群治，協助衛生行政主管部門和其他有關部門、醫療衛生機構做好疫情信息的收集和報告、人員的分散隔離、公共衛生措施的落實工作，向居民、村民宣傳傳染病防治的相關知識?！?/span>

由此可見縣級以上人民政府及其有關部門、各級疾病防控機構享有信息收集權，而街道、鄉鎮以及居民委員會、村民委員會有權協助有關部門采集信息。

除了上述法律規定中明確的主體外，其他企業、事業單位是否能夠收集個人信息，在2022年5月上海市政府發布的《上海市工業企業復工復產疫情防控指引》第二版中明確了在員工健康管理方面，結合當前企業的實際操作經驗，細化分類要求，比如對新返崗和新進入企業的人員，要求落實 “一日兩測”，早上做抗原、下午做核酸；對于在廠人員，根據企業所在區的“三區”劃分，落實相應的核酸和抗原檢測要求，封控區內企業，一日兩測；管控區內企業，每日抗原加兩日一測核酸；防范區內企業，每天抗原檢測，5天內一次核酸。

以上指引內容也明確了復工企業為了防疫要求有必要收集部分個人信息。為了可以順利安全地復產復工，企業中若存在員工感染新冠肺炎，或是新冠肺炎疑似患者、密切接觸者的情況，企業出于對自身利益和其他員工的健康安全考慮，可以對員工的具體健康狀況、過往旅居史、密切接觸史進行了解。 

二、疫情期間收集個人信息的基本原則

1、知情同意原則

根據《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）第十三條的規定：“符合下列情形之一的，個人信息處理者方可處理個人信息：（一）取得個人的同意；”第十四條的規定：“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定?！薄毒W絡安全法》中第四十一條亦規定了“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意?！?/span>

因此，收集者在收集個人信息時，應當向被收集者告知收集或使用個人信息的目的、方式和范圍等相關信息，在被收集者清楚知悉并且表示同意后，才可對個人信息進行收集。

2、最小且必要原則

出于疫情防控的必要性，收集個人信息不可避免，但這并不意味著各相關部門或企業、事業單位可以無任何限制的大肆收集個人信息?！白钚∏冶匾笔鞘占邞斪裱幕驹瓌t，收集信息的范圍應當在所需的必要范圍之內，且為了疫情防控而收集的個人信息不得用于其他用途。

簡而言之，從收集對象來說，應當對于新冠疫情的確診者、疑似者、密切接觸者等重點人群進行信息采集，無關人員非必要不得進行采集；收集信息的范圍，僅限于該個體一段時間以內的旅居史、接觸史等與疫情相關的信息，對于其具體的私人關系、學歷信息等無關信息也不得擅自進行采集；在使用所采集的個人信息時，不得用于與疫情無關或非法目的，且應當采用專事專辦的處理方式，不得在沒有授權的情況下對個人信息進行公開，必須公開的信息應當進行脫敏處理；企業在對員工的信息進行采集時，不得將信息披露給其他員工，只需讓專門部門的員工進行處理；基于疫情原因所采集到的個人信息，在疫情解除后原則上應當及時刪除，不得擅自保留。

三、疫情防控背景之下如何對公民個人信息進行有效保護

1、信息收集者應當公開其收集信息范圍、使用規則并嚴格遵照執行

疫情期間，快速高效收集某些個人信息被收集屬于必然事件，但在一定的基礎上也應當提高個人信息保護的意識。在防疫工作中，信息收集主體應當遵循合法、正當、必要和誠信原則，不應超出必要進行收集、處置個人信息。

《數據安全法》第九條中規定：“國家支持開展數據安全知識宣傳普及，提高全社會的數據安全保護意識和水平，推動有關部門、行業組織、科研機構、企業、個人等共同參與數據安全保護工作，形成全社會共同維護數據安全和促進發展的良好環境?！备鶕稊祿踩ā返诙邨l的規定：“重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任?！惫市畔⑹占块T或個人應當加強對個人信息收集管理相關人員的監管，設立相關獎懲制度和告知明確的法律責任，要求員工不得借職務之便對已經收集到的個人信息進行泄漏或者販賣從而牟利，員工應當遵守相應的職業道德。

《網絡安全法》第二十一條、第三十四條、第三十六條均有明確規定關鍵信息基礎設施的運營者均需履行安全保護義務，以及在采購網絡產品和服務時，應當按照規定與提供者簽訂安全保密協議，明確安全和保密義務與責任。

2、公民個人需要提高信息保護意識，注重收集信息的主體合法性、范圍必要性

疫情期間，個人需要加強個人信息的保護和管理意識，對政府和相關媒體進行宣傳的關于涉及個人信息的文章或新聞時需要積極關注，對于相應的詐騙電話、詐騙短信等樹立警惕意識，也就是俗話說的“腦子里須有根弦”。在使用微信、QQ、微博等信息技術時，有關個人信息尤其是個人敏感信息、人臉識別信息需要有非必要不提供的基本意識，人臉識別技術因其識別準確、操作便捷的特點越來越受到人們的歡迎。但同時，人臉識別系統的安全性也一直受到質疑?！叭四樞畔ⅰ北厝话四樚卣餍畔⒁约叭四槇D像信息。公民個人需要注重配合合法正當的防疫抗疫目的的信息采集和過度采集、非必要提供的信息提供的區別，從而自身具有一定的判斷力和保護力。

3、疫情防控期間可以采取的具體保護措施

2022年4月份，國家計算機病毒應急處理中心監測發現十七款移動app存在隱私不合規行為，違反了《數據安全法》、《個人信息保護法》等相關規定，涉嫌超范圍采集個人隱私信息。為了防止在疫情期間，有不法分子乘虛而入竊取個人信息，在一些情形下我們可以做到盡可能的保護自己的個人信息。

首先，在對相關app進行注冊和登錄時應當仔細閱讀用戶協議和隱私政策說明，不隨意開放和同意不必要的隱私權限。

其次，在填寫相關資料時，盡可能填寫與疫情相關的必填信息，對于具有相似功能的軟件或app，可以對需要提供的個人信息進行比較，選擇需要個人信息較少的進行注冊及登錄。

最后，疫情期間如有搜集包括抗原及核酸檢測結果等敏感個人信息的網絡運營主體應避免向境外提供個人信息，否則不僅對其應對追究民事違法和行政違法責任，嚴重者還應被追究刑事責任。

另外，需注意的是注冊、登錄環節如非必要，謹慎填寫如身份證號、銀行卡號等敏感信息。部分app和軟件在用戶注銷賬號后，還會繼續給用戶打電話、發短信進行騷擾，根據《數據安全法》第十二條：“任何個人、組織都有權對違反本法規定的行為向有關主管部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。有關主管部門應當對投訴、舉報人的相關信息予以保密，保護投訴、舉報人的合法權益?！比舫霈F無法注銷或持續騷擾情形時，可以向相關部門進行舉報。

相關部門在收集公民個人信息時，需要注意避免出現“無期限限制、不可撤銷、可任意轉授權”三種無效的情形。同時，服務提供者應盡最大注意義務考慮到信息提供者的權益，避免實施一些危害信息安全的行為或因不作為泄露的違法情形。

今天的一小步也許就是明天的一大步，保護個人信息安全，維護數據安全、做好數據合規工作，人人有責！