疫情封控之下公民个人信息保护——数据安全、数据合规问题值得关注

凌凌律师/上海市海华永泰律师事务所高级合伙人、仲裁员

今年新冠疫情的爆发出现面广、频发的特点，“早发现、早报告、早隔离、早治疗”成为了落实任务要求。最近一到两个月以来，上海居民更是为了抗疫情封控在家，经常听到这句话“青春没几年，疫情占三年”。通过大数据、智能科技对大量的个人信息进行收集，查找病毒源头、进行患者追踪，的确在疫情防控工作中起到了有效的作用。为了实现及时、高效、精准的防控，有关部门力求全面掌握关于确诊者、疑似者、密切接触者的个人信息，划定风险区域，快速采取措施。然而，如何在做好相关防控工作的同时有效保护公民的个人信息安全，做好数据安全、数据合规工作，则面临着前所未有的挑战，更是不容小觑的问题。

去年、今年数据安全问题频发：2021年8月，郑州的刘先生在做核酸检测时发现有人冒用他的身份信息做了核酸检测，还贷了11笔款；2021年12月，浙江宁波的邱先生，收到诈骗短信要求其输入身份证号等个人信息，并3小时内完成核酸检测，否则就要承担法律责任；2022年3月，沈阳市苏家屯公安分局在工作中发现，区内某园区物业工作人员唐某某（女，43岁）在社区工作微信群中获取密切接触者个人信息文件后，转发至其一个生活微信群中，造成文件中的密切接触者个人信息被泄露并在网络上传播；2022年4月在上海的浦江镇居民曾有投诉称其居民身份证信息被泄露，且被他人注册为志愿者。这些事件都在警醒我们，疫情防控期间个人信息保护、数据安全问题仍然需要得到重视，否则会造成侵害后果，严重地甚至产生社会危害性以及更大的后果。

数据安全、数据合规为何如此重要？因为它正是当前国家间实力博弈的重要战场。2021年6月9日，美国白宫签署行政令，要求美国商务部等相关部门对可能影响美国国家安全和敏感数据（包括身份信息、健康和基因信息等）安全构成风险的“外国敌手（foreign adversary）”的应用程序开展评估，并视情况采取必要措施。该行政令被部分西方媒体解读为“美方对华政策的最新风向”。因而在疫情防控期间我们也不能松懈信息管理，数据安全、数据合规更是不能忘记。2021年6月10日，经第十三届全国人民代表大会常务委员会第二十九次会议审议，通过了《中华人民共和国数据安全法》（以下简称“《数据安全法》”），该法于 2021年9月1日起施行。《数据安全法》规定，根据数据的重要程度以及遭受破坏后的危害程度，国家建立数据分级分类保护制度，同时进一步强调数据安全保护义务。《数据安全法》的施行无疑是加大对重点数据的保护力度，收紧数据使用的限度，对企业的信息数据合理使用提出更高的要求，前述规定无疑也适用于目前的疫情防控期间。

一、疫情期间收集个人信息的合法主体

基于精准流调的需要，各种被收集的精准个人信息被使用在防疫上。疫情下收集个人信息的各种app、小程序收集的信息的内容主要包括：姓名、性别、身份证号、住址、个人行程信息、以及核酸检测信息、疫苗接种信息等，即通常所谓的“码”：健康码、行程码、登记码、核酸码、场所码等。

在疫情防控的工作中，国家的有关部门以防控疫情为由对个人信息进行收集的情况已经不再罕见，而实际生活中，商场的入口、小区门卫处为了掌握人流动态，均设立了行程码及健康码、场所码等扫码点，那么到底哪些才算是疫情期间收集个人信息的合法主体呢？

《中华人民共和国传染病防治法》（以下简称“《传染病防治病》”）第十二条明确规定: “在中华人民共和国领域内的一切单位和个人, 必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施, 如实提供有关情况......”以及该法第三十一条规定: “任何单位和个人发现传染病病人或者疑似传染病病人时, 应当及时向附近的疾病预防控制机构或者医疗机构报告。”

中央网信办发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第一条规定：“各地方各部门要高度重视个人信息保护工作，除国务院卫生健康部门依据《网络安全法》、《传染病防治法》《突发公共卫生事件应急条例》授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息。法律、行政法规另有规定的，按其规定执行。  

《突发公共卫生事件应急条例》第四十条规定：“传染病暴发、流行时，街道、乡镇以及居民委员会、村民委员会应当组织力量，团结协作，群防群治，协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作，向居民、村民宣传传染病防治的相关知识。”

由此可见县级以上人民政府及其有关部门、各级疾病防控机构享有信息收集权，而街道、乡镇以及居民委员会、村民委员会有权协助有关部门采集信息。

除了上述法律规定中明确的主体外，其他企业、事业单位是否能够收集个人信息，在2022年5月上海市政府发布的《上海市工业企业复工复产疫情防控指引》第二版中明确了在员工健康管理方面，结合当前企业的实际操作经验，细化分类要求，比如对新返岗和新进入企业的人员，要求落实 “一日两测”，早上做抗原、下午做核酸；对于在厂人员，根据企业所在区的“三区”划分，落实相应的核酸和抗原检测要求，封控区内企业，一日两测；管控区内企业，每日抗原加两日一测核酸；防范区内企业，每天抗原检测，5天内一次核酸。

以上指引内容也明确了复工企业为了防疫要求有必要收集部分个人信息。为了可以顺利安全地复产复工，企业中若存在员工感染新冠肺炎，或是新冠肺炎疑似患者、密切接触者的情况，企业出于对自身利益和其他员工的健康安全考虑，可以对员工的具体健康状况、过往旅居史、密切接触史进行了解。 

二、疫情期间收集个人信息的基本原则

1、知情同意原则

根据《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）第十三条的规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；”第十四条的规定：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。”《网络安全法》中第四十一条亦规定了“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”

因此，收集者在收集个人信息时，应当向被收集者告知收集或使用个人信息的目的、方式和范围等相关信息，在被收集者清楚知悉并且表示同意后，才可对个人信息进行收集。

2、最小且必要原则

出于疫情防控的必要性，收集个人信息不可避免，但这并不意味着各相关部门或企业、事业单位可以无任何限制的大肆收集个人信息。“最小且必要”是收集者应当遵循的基本原则，收集信息的范围应当在所需的必要范围之内，且为了疫情防控而收集的个人信息不得用于其他用途。

简而言之，从收集对象来说，应当对于新冠疫情的确诊者、疑似者、密切接触者等重点人群进行信息采集，无关人员非必要不得进行采集；收集信息的范围，仅限于该个体一段时间以内的旅居史、接触史等与疫情相关的信息，对于其具体的私人关系、学历信息等无关信息也不得擅自进行采集；在使用所采集的个人信息时，不得用于与疫情无关或非法目的，且应当采用专事专办的处理方式，不得在没有授权的情况下对个人信息进行公开，必须公开的信息应当进行脱敏处理；企业在对员工的信息进行采集时，不得将信息披露给其他员工，只需让专门部门的员工进行处理；基于疫情原因所采集到的个人信息，在疫情解除后原则上应当及时删除，不得擅自保留。

三、疫情防控背景之下如何对公民个人信息进行有效保护

1、信息收集者应当公开其收集信息范围、使用规则并严格遵照执行

疫情期间，快速高效收集某些个人信息被收集属于必然事件，但在一定的基础上也应当提高个人信息保护的意识。在防疫工作中，信息收集主体应当遵循合法、正当、必要和诚信原则，不应超出必要进行收集、处置个人信息。

《数据安全法》第九条中规定：“国家支持开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平，推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。”根据《数据安全法》第二十七条的规定：“重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。”故信息收集部门或个人应当加强对个人信息收集管理相关人员的监管，设立相关奖惩制度和告知明确的法律责任，要求员工不得借职务之便对已经收集到的个人信息进行泄漏或者贩卖从而牟利，员工应当遵守相应的职业道德。

《网络安全法》第二十一条、第三十四条、第三十六条均有明确规定关键信息基础设施的运营者均需履行安全保护义务，以及在采购网络产品和服务时，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

2、公民个人需要提高信息保护意识，注重收集信息的主体合法性、范围必要性

疫情期间，个人需要加强个人信息的保护和管理意识，对政府和相关媒体进行宣传的关于涉及个人信息的文章或新闻时需要积极关注，对于相应的诈骗电话、诈骗短信等树立警惕意识，也就是俗话说的“脑子里须有根弦”。在使用微信、QQ、微博等信息技术时，有关个人信息尤其是个人敏感信息、人脸识别信息需要有非必要不提供的基本意识，人脸识别技术因其识别准确、操作便捷的特点越来越受到人们的欢迎。但同时，人脸识别系统的安全性也一直受到质疑。“人脸信息”必然包含人脸特征信息以及人脸图像信息。公民个人需要注重配合合法正当的防疫抗疫目的的信息采集和过度采集、非必要提供的信息提供的区别，从而自身具有一定的判断力和保护力。

3、疫情防控期间可以采取的具体保护措施

2022年4月份，国家计算机病毒应急处理中心监测发现十七款移动app存在隐私不合规行为，违反了《数据安全法》、《个人信息保护法》等相关规定，涉嫌超范围采集个人隐私信息。为了防止在疫情期间，有不法分子乘虚而入窃取个人信息，在一些情形下我们可以做到尽可能的保护自己的个人信息。

首先，在对相关app进行注册和登录时应当仔细阅读用户协议和隐私政策说明，不随意开放和同意不必要的隐私权限。

其次，在填写相关资料时，尽可能填写与疫情相关的必填信息，对于具有相似功能的软件或app，可以对需要提供的个人信息进行比较，选择需要个人信息较少的进行注册及登录。

最后，疫情期间如有搜集包括抗原及核酸检测结果等敏感个人信息的网络运营主体应避免向境外提供个人信息，否则不仅对其应对追究民事违法和行政违法责任，严重者还应被追究刑事责任。

另外，需注意的是注册、登录环节如非必要，谨慎填写如身份证号、银行卡号等敏感信息。部分app和软件在用户注销账号后，还会继续给用户打电话、发短信进行骚扰，根据《数据安全法》第十二条：“任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。有关主管部门应当对投诉、举报人的相关信息予以保密，保护投诉、举报人的合法权益。”若出现无法注销或持续骚扰情形时，可以向相关部门进行举报。

相关部门在收集公民个人信息时，需要注意避免出现“无期限限制、不可撤销、可任意转授权”三种无效的情形。同时，服务提供者应尽最大注意义务考虑到信息提供者的权益，避免实施一些危害信息安全的行为或因不作为泄露的违法情形。

今天的一小步也许就是明天的一大步，保护个人信息安全，维护数据安全、做好数据合规工作，人人有责！