答：疾病防控大數(shù)據(jù)分析涉及大量個人信息,，甚至是對特定人群的追蹤分析,，不是任何單位或個人都有授權(quán),、有能力開展的,。首要關(guān)注的應(yīng)是合法性,，即是否具備明確的法律授權(quán),。目前,，我國有關(guān)個人信息保護(hù)的法律法規(guī)均規(guī)定，收集,、使用公民個人信息應(yīng)當(dāng)事先征得被收集者同意,。《傳染病防治法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》等法律法規(guī)中的有關(guān)規(guī)定,，可以視為征得個人同意的例外,，其目的是確保疫情防控的有效開展。在《傳染病防治法》《突發(fā)公共衛(wèi)生事件應(yīng)急條例》中,，獲得明確授權(quán)的有疾病預(yù)防控制機(jī)構(gòu),、醫(yī)療機(jī)構(gòu)，以及直接參與到國務(wù)院和省,、自治區(qū),、直轄市人民政府制定、實(shí)施的“突發(fā)事件應(yīng)急預(yù)案”中的單位和個人,。非上述單位和個人,，不應(yīng)在未征得個人同意的情況下將個人信息用于疫情管控、重點(diǎn)人群追蹤等目的,。

問：國外有沒有在應(yīng)對突發(fā)公共衛(wèi)生事件時可以利用個人信息的具體規(guī)定,？有什么經(jīng)驗(yàn)值得我們參考？

答：就以全球“最嚴(yán)”個人信息保護(hù)法著稱的歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）為例,，對于像新型冠狀病毒感染肺炎疫情這樣的突發(fā)公共衛(wèi)生事件,，除個人同意之外，GDPR還有另外三個合法性事由可供使用,，分別是個人數(shù)據(jù)處理“為履行數(shù)據(jù)控制者承擔(dān)法定義務(wù)所必須”,、“為保護(hù)數(shù)據(jù)主體重大利益或其他自然人重大利益所必須”,，“為執(zhí)行公共利益之目的任務(wù)或數(shù)據(jù)控制者行使法定職能所必須”。這三個合法性事由,，能有力地支撐其疾病預(yù)防控制機(jī)構(gòu),、醫(yī)療機(jī)構(gòu)，以及相關(guān)組織利用個人信息開展疫情防控工作,。

當(dāng)然,，在具備合法性的前提下，GDPR還要求具體的數(shù)據(jù)處理要遵循以下基本原則包括：合法,、公平,、透明原則；目的限定原則,；數(shù)據(jù)最少夠用原則,；準(zhǔn)確性原則；存儲期限限制原則,；完整性和保密性原則；以及權(quán)責(zé)一致原則,。