近期,，在社會各界齊心協(xié)力共同應對疫情的過程中,，網(wǎng)上出現(xiàn)多起以尋找確診病例密切接觸者為名公布他人員姓名,、手機號碼等個人信息,，甚至是戶籍地詳址,、身份證號碼等個人敏感信息的事件,，個別被公開信息的人員還受到了陌生人電話,、微信等方式的騷擾。另據(jù)報道,，某市轄區(qū)衛(wèi)生局副局長將病毒感染人員病例調(diào)查報告轉(zhuǎn)發(fā)無關人員后傳播至微信群,，造成不良社會影響。與此同時,，有專家呼吁運用手機信令,、大數(shù)據(jù)等技術支撐疫情態(tài)勢監(jiān)測和傳染源追蹤。

針對上述問題,，App專項治理工作組的專家,，從保護好個人信息、合法科學使用大數(shù)據(jù)等方面，對有關社會關切給出專業(yè)意見,。

問：對于曝光的返鄉(xiāng)人員的姓名,、住址、身份證號碼,、手機號碼等信息被公開傳播的情況,，是否涉及到違反法律法規(guī)？傳播這些信息會帶來哪些危害,？

答：根據(jù)《網(wǎng)絡安全法》等法律法規(guī),，姓名、住址,、身份證號碼,、手機號碼等信息能夠識別特定個人身份，無疑屬于個人信息,。結合當前疫情防控背景和民眾的恐慌情緒影響,，肺炎確診者、疑似者及密切接觸者往往被視為高危人群,，其個人信息一旦泄露,、傳播可能會引發(fā)一些騷擾、恐嚇行為,，甚至出現(xiàn)已被確診的謠言等等,，這可能會使得信息被公開人員及其家人的身心健康受到損害或者引發(fā)歧視性待遇等，這些信息理應作為個人敏感信息受到更高程度的保護,。

不僅《網(wǎng)絡安全法》要求“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,，不得非法出售或者非法向他人提供個人信息”，《傳染病防治法》中也明確規(guī)定了不得故意泄露傳染病病人,、病原攜帶者,、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息,。顯而易見,，沒有明確法律授權的組織和機構，或者不是依法參與政府組織開展的疫情防控工作的人員,，不得未經(jīng)被收集者同意而收集使用確診者,、疑似者及密切接觸者的個人信息，更不能在微信群,、朋友圈等私自傳播上述信息,，否則屬于侵害公民個人信息的行為，情節(jié)嚴重的可能構成侵害公民個人信息罪,。如果是疾病預防控制機構,、醫(yī)療機構,、基層工作人員等泄露上述信息，還會構成加重情節(jié),。對于已經(jīng)泄露的確診者,、疑似者及密切接觸者個人信息，各地網(wǎng)信部門,、公安機關也應當及時制止或阻斷,，以減少不利影響，避免對合法信息采集工作造成阻礙,。同時,，呼吁廣大網(wǎng)友不要傳播此類信息，積極向有關部門舉報惡意傳播人員,。

問：有關組織或個人在統(tǒng)計和利用返鄉(xiāng),、返工人員信息時，應該秉承什么樣的原則,？具體可以采取哪些措施保護個人信息,？

答：對返鄉(xiāng)、返工人員信息的統(tǒng)計和利用,，最重要的是做好疫情有效防控和個人信息保護之間的平衡,。出于傳染病防治等公共衛(wèi)生保障目的，從武漢等疫情嚴重地區(qū)返鄉(xiāng),、返工人員應當接受并配合疾病防控有關部門開展的走訪調(diào)查等工作，同時疾病防控相關部門內(nèi)部之間也需要共享此類信息,。

目前各地疾病防控機構,、基層街道社區(qū)等普遍開展走訪調(diào)查工作，統(tǒng)計相關人員個人信息,。這個過程涉及到個人信息的采集,、匯總、共享,、披露等多個環(huán)節(jié),，每個環(huán)節(jié)都應當注意做好個人信息保護工作，以防出現(xiàn)數(shù)據(jù)泄露,、丟失,、濫用等情形。

比如,，采集過程中,，如果各地疾病防控機構、基層街道社區(qū)等以紙質(zhì)填表方式開展的走訪調(diào)查,，則需要嚴格要求紙質(zhì)材料不被拍照,、復印,，進行統(tǒng)一回收，保管妥當,。如果以電子方式記錄或匯總相關信息,，需要責任到人，并保存在特定的終端,，并將數(shù)據(jù)和備份數(shù)據(jù)加密存儲,。

在匯總存儲環(huán)節(jié)，盡可能相對集中管理和處理個人信息,，采用嚴密的訪問控制,、審計、加密等安全措施,。

在向疫情防控工作相關方共享,、傳輸相關數(shù)據(jù)時，應確認對方是有權獲取數(shù)據(jù)的機構或個人,，并采取加密傳輸?shù)拇胧?/p>

最后,，在個人信息使用過程中，需要做到專采專用,，嚴格限制于疾病防控目的,，不得挪作他用，并且在疫情防控結束后按照規(guī)定予以妥善處置,。

問：有關組織對外披露疫情相關的信息時,，在保護個人信息方面有什么注意點？

答：對于疫情報告,、通報和公布等對外披露工作,，僅公開返鄉(xiāng)人員流動統(tǒng)計數(shù)據(jù)、確診患者僅公開性別,、確診日期,、發(fā)病癥狀等非個人信息，即可滿足社會一般公眾對疫情狀況的知情權,，而不應公開姓名,、年齡、身份證號碼,、電話號碼,、家庭住址等。對于確診或疑似病例所在地區(qū)的公眾,，可公開確診或疑似病例的大致居住區(qū)域,，滿足此類公眾對防控需求的知情權，都不必要公開其具體的個人信息,。

如果掌握涉及“密切接觸傳染源”的重點人群信息,，需要與其直接取得聯(lián)系的,，應安排專人負責，保證其聯(lián)系方式不被擴大傳播,，相關人員名單應進一步限定知曉范圍,，予以重點保護。

問：目前有專家建議利用手機信令或互聯(lián)網(wǎng)大數(shù)據(jù)開展精準疫情防控,，是否可行,？能起到什么樣的效果？

答：我國幾乎全民手機上網(wǎng),，據(jù)統(tǒng)計,，我國網(wǎng)民規(guī)模達8.54億，其中使用手機上網(wǎng)的比例達99.1%,，手機和App已成為絕大多數(shù)人的生活必備品,，電信運營商和各大互聯(lián)網(wǎng)公司等事實上掌握了大量公民的個人信息，特別是聯(lián)系方式,、地理位置和行蹤軌跡信息,，這為利用大數(shù)據(jù)助力疫情防控提供了可能。

一方面,，上述信息經(jīng)過處理無法識別特定個人且不能復原就不再是個人信息,，其匯總后分析可得形成人群聚集熱點分布以及人群跨區(qū)域流動等信息，對疫情發(fā)展預測分析,、醫(yī)療資源調(diào)度等,，具有重要意義。

另一方面,，對于重點人群,，例如傳染病病人、病原攜帶者等,，疾病預防控制機構等利用其位置信息能夠有效地實施隔離等防護措施。同時通過數(shù)據(jù)回溯分析,，疾病預防控制機構可以盡早發(fā)現(xiàn)疑似病患,、密切接觸者，也即是所謂的“接觸追蹤”,，有助于及時隔離,、切斷傳染源。

可以看到,，相較于傳統(tǒng)的走訪,、摸排、登記,，將信息技術和大數(shù)據(jù)分析運用于傳染病防控和監(jiān)測,，更加及時,、準確，也更加有效,。此外,，大數(shù)據(jù)還有一個特點是可以不斷學習、更迭,、完善,，有利于更好的分析掌握疾病傳播規(guī)律，消除更多的“盲區(qū)”和不確定性,，化被動為主動,。在國外，也早就有利用通話明細記錄開展埃博拉病毒防控的成功實踐,。

問：是否任何單位或者個人都能開展上述大數(shù)據(jù)分析,？對此，我國目前的法律法規(guī)是如何規(guī)定的,？

答：疾病防控大數(shù)據(jù)分析涉及大量個人信息,，甚至是對特定人群的追蹤分析，不是任何單位或個人都有授權,、有能力開展的,。首要關注的應是合法性，即是否具備明確的法律授權,。目前,，我國有關個人信息保護的法律法規(guī)均規(guī)定，收集,、使用公民個人信息應當事先征得被收集者同意,。《傳染病防治法》《突發(fā)公共衛(wèi)生事件應急條例》等法律法規(guī)中的有關規(guī)定,，可以視為征得個人同意的例外,，其目的是確保疫情防控的有效開展。在《傳染病防治法》《突發(fā)公共衛(wèi)生事件應急條例》中,，獲得明確授權的有疾病預防控制機構,、醫(yī)療機構，以及直接參與到國務院和省,、自治區(qū),、直轄市人民政府制定、實施的“突發(fā)事件應急預案”中的單位和個人,。非上述單位和個人,，不應在未征得個人同意的情況下將個人信息用于疫情管控、重點人群追蹤等目的,。

問：國外有沒有在應對突發(fā)公共衛(wèi)生事件時可以利用個人信息的具體規(guī)定,？有什么經(jīng)驗值得我們參考,？

答：就以全球“最嚴”個人信息保護法著稱的歐盟《通用數(shù)據(jù)保護條例》（GDPR）為例，對于像新型冠狀病毒感染肺炎疫情這樣的突發(fā)公共衛(wèi)生事件,，除個人同意之外,，GDPR還有另外三個合法性事由可供使用，分別是個人數(shù)據(jù)處理“為履行數(shù)據(jù)控制者承擔法定義務所必須”,、“為保護數(shù)據(jù)主體重大利益或其他自然人重大利益所必須”,，“為執(zhí)行公共利益之目的任務或數(shù)據(jù)控制者行使法定職能所必須”。這三個合法性事由,，能有力地支撐其疾病預防控制機構,、醫(yī)療機構，以及相關組織利用個人信息開展疫情防控工作,。

當然,，在具備合法性的前提下，GDPR還要求具體的數(shù)據(jù)處理要遵循以下基本原則包括：合法,、公平,、透明原則；目的限定原則,；數(shù)據(jù)最少夠用原則,；準確性原則；存儲期限限制原則,；完整性和保密性原則,；以及權責一致原則。

體現(xiàn)上述思路的一個典型例子是2013年歐盟通過的“關于嚴重的跨境健康威脅的決定”,。該“決定”在歐盟范圍內(nèi)建立預警和響應系統(tǒng),，并明確可針對暴露于健康威脅、存在感染危險或已經(jīng)感染的人可以采取接觸追蹤措施,。在符合接觸追蹤的目的時,，允許有權機構收集，并在相關成員國之間共享必要的個人信息,。而在開展此種數(shù)據(jù)收集,、使用時，“決定”要求數(shù)據(jù)收集,、使用完全遵守歐盟個人信息保護法律框架的規(guī)定,，也就是符合上述基本原則,。

總的來說,，我國《網(wǎng)絡安全法》和《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》等法律法規(guī)，建立了與國際接軌的個人信息保護法律框架,?！秱魅静》乐畏ā泛汀锻话l(fā)公共衛(wèi)生事件應急條例》則在傳染病暴發(fā)這樣的突發(fā)公共衛(wèi)生事件中,，進一步建立了個人信息收集使用的法律授權，同時明確了法律責任,。因此,，在此次疫情防控工作中，所有單位和個人均應在法律框架內(nèi)開展工作,，高度重視個人信息保護工作,，實現(xiàn)個人信息利用和安全之間的平衡，取得疫情防控阻擊戰(zhàn)的勝利,。（完）