浅议疫情期间个人数据的保护

张瑜

摘要：“个人数据”的概念，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。根据《传染病防疫法》、《突发公共卫生事件应急条例》等规定，任何机构和个人有义务配合国家有关机关防控传染病有关的工作，这里的配合责任就包括传染病有关的调查和个人数据收集。通过分析相关法律法规，本文首先阐述了个人数据的含义及特征，接着针对疫情期间的个人数据安全风险进行分析，最后提出了相应的建议措施。

关键词：疫情;个人数据;数据安全

如何控制爆发式增长的新型冠状病毒，成为了中国乃至全世界的一项挑战。以大数据为代表的信息科学技术在此次战疫中发挥着不可替代的作用，通过大数据信息识别和监控曾与被感染对象有过密切接触的人员，可以有效的防止疫情传染的态势扩大，但这其中必然涉及到了个人数据的收集、获取、使用，具体包括个人身份信息、地理位置信息、健康数据等，给个人数据安全带来诸多风险。互联网上甚至出现多起为寻找与确诊患者有密切接触的风险人员，而公布他人的姓名、透露他人手机号码等个人隐私的行为。如何合法合规的收集个人数据，如何保护个人数据不被泄露、侵害，成为了疫情期间的重要话题。

1 个人数据的含义

根据欧盟《个人数据保护法》（PersonalDataProtectionAct）中第四条第一款的规定，“个人数据”指的是任何已识别或可识别的自然人（“数据主体”）相关的信息;一个可识别的自然人是指一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。我国《民法总则》第一百二十七条中也概括规定了，“数据”依法受到保护。因此，手机APP、互联网公司、电信部门等掌握的大量的公民联系方式、地理位置信息和出行信息等，都属于个人数据的范畴。

2 个人数据的特征

2.1 可电子化记录性

大数据时代，使用手机、计算机等设备已经成为我们生活的不可或缺，通过 人机交互，个体终端的数据传输到互联网终端进行存储记录，再由互联网终端进 行整合、分析、反馈。例如每次使用 手机的时间、地点位置信息、浏览内容、浏览时长、使用何种网络信号等都可以被记录。通过大数据技术，每个用户的客观行为都可以被数字化记录，转化为计算机语言并进行数据化分析。

2.2 个人数据类型的多样性

个人数据呈现类型的多样化是其在大数据时代的显著特征。区别于与传统数据中一直存在的姓名、性别、出生年月等身份信息，更具时代特点的电话号码、 网站 Cookies 记录、电子邮箱帐号、微信帐号等也被列入个人数据的范围。随着大数据应用的不断升级，网络实名制的普及，指纹密码、人脸识别数据、个人征信报告、征信得分、个人网上医疗数据等也将被纳入其中。

2.3 个人数据的价值性

大数据背景下，个人数据的财产性价值逐渐强化，作为数据这一生产资料中 最重要的一环，个人数据的商业价值逐渐被开放利用。再者，随着信息时代和数 字经济时代的纷至沓来，个人数据已成为时刻伴随着人们的个人标签，成为识别 个人身份、彰显个人能力、证明个人信用和体现个人行为习惯的重要信息。

2.4 个人数据的可识别性

可识别性（identifiability）是个人数据的最基本特征。“区分个人数据与非个人数据的关键是可识别性”， 即当某个特定的数据可以被识别并指向特定自然人时，这个数据就属于个人数据。

3 疫情期间个人数据保护的风险

2020年1月20日，经国务院批准，国家卫生健康委员会发布了2020年第1号公告，将新冠肺炎纳入《中华人民共和国传染病防治法》规定的乙类传染病，并采取甲类传染病的预防、控制措施;将新冠肺炎纳入《中华人民共和国国境卫生检疫法》规定的检疫传染病管理。同时，根据《传染病防治法》第十二条的规定：“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”但是实践中，有一些公司或者小区物业、社区人员对公民的个人数据进行整理，随意对外公开，造成个人数据泄漏，甚至对隐私权造成损害。同时，数量庞大的个人数据在收集、统计、使用的过程中参与者众多，无形中也带来诸多风险。因此，虽然个人数据对疫情的防控十分重要，但是也不能突破法律的规定，必须严格禁止对个人数据的泄漏、传播甚至商业化贩卖等。《关于做好个人信息保护，利用大数据支撑联防联控工作的通知》中也要求：为疫情防控、疾病防治收集的个人信息，不得用于其他用途;任何单位和个人未经被收集者同意，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息，因联防联控工作需要，且经过脱敏处理的除外。

4 完善疫情期间个人数据保护的建议

4.1 合法合理的个人数据收集的原则

遵守合法化的收集原则。严格按照《传染病防治法》中第12条规定 ，限制收集个人数据的主体，即疾病预防控制机构，医疗机构，被指定的专业技术机构，街道、乡镇以及居 民委员会、村民委员会等。同时加强上述机构的个人数据、资料的保密义务。

遵守必要性的收集原则。必要性原则又称最少侵害原则。即在个人数据收集过程中，应选择对公民造成最小侵害的方式。具体包括，收集的手段侵害最小、收集的数据类型、内容必要即可（个人数据最小化原则），收集手段与内容直接必须具有关联性。

4.2 加强个人数据的保护力度

目前来看，针对个人数据保护大多都是事后追惩，但事前防护同样重要。政府层面，相关行政部门应当加大监管和执法力度，针对疫情，建立完整的个人数据收集、保管、使用方案，使相关法律法规真正落实到位。同时建立数据泄露追查机制，加大对个人数据泄露打击力度。企业方面，应当制定行业内部的标准或公约，以及相互监督的权利和义务，建立完善相关行业协会对公民个人数据的收集、使用和管理的监督制约机制。最后，严格禁止对疫情中收集的个人数据进行商业化利用，个人數据在疫情期间的收集使用是为了公共利益，如果对此加以商业利用，就违背了个人数据合法收集利用的原则。

4.3 完善泄漏个人数据的相关法律责任

侵犯个人数据的法律责任，一般为如下三种：一是民事责任。依据《民法总则》及《侵权责任法》之规定，侵犯公民隐私权的，将承担赔礼道歉、赔偿损失等民事责任。二是行政处罚。依据《治安管理处罚法》之规定，散布他人隐私的，将处五日以下拘留或者五百元以下罚款;情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款。三是刑事处分。依据刑法相关规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

4.4 加强民众的个人数据保护意识

我国公民的个人数据保护需求不像国外那样强烈，因此，疫情期间，保护个人数据安全的关键在于提高公民的自我保护意识，一旦个人的数据保护意识提高，维权意识提高，就可以从内在上主动避免某些数据风险。无论通过法律法规保护，或者依靠数据行业自律，都是外部力量的保护，提高自我数据保护意识和能力，谨慎使用网络、APP等工具，才能从源头上保护个人数据安全。

5 结语

作为特殊情况下的特殊规定，传染病防治与应急管理法律体系对当前疫情防控工作中众多特殊情况，包括大数据防控应用中对个人数据的抓取措施提供了相关依据，本次疫情防控中大数据获得了广泛的运用，大数据的价值进一步凸显。但个人数据的泄漏、滥用风险依然存在。如何更好的保护个人数据，需要进一步的落实相关法律规定，规范数据规则，提高公民自身的数据保护意识。即便是在疫情防控期间，也应当重视个人数据的保护，避免公共利益压倒个人的合法权益。

参考文献：

[1] 迪莉娅.大数据环境下APP用户隐私计算影响因素研究[J].现代情报，2019（12）.

[2] 何玉颜.欧盟《通用数据保护条例》解读及其对我国个人数据保护的启示[J].图书情报导刊，2018（11）.

[3] 米新丽，卫洪光.论个人数据的使用、流通与监管[J].河南财经政法大学学报，2018（05）.

[4] 张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].互联网金融法律评论，2015（02）.

[5] 史卫民.大数据时代个人信息保护的现实困境与路径选择[J].情报杂志，2013（12）.

（作者單位：西北政法大学法律硕士教育学院）