惠志斌 李顾元丨突发公共卫生事件的数据安全治理——基于全球主要国家新冠疫情防控的实例分析

突发公共卫生事件的数据安全治理

——基于全球主要国家新冠疫情防控的实例分析

节选自《国外社会科学前沿》2020年第08期【专家特稿】栏目，全文可在“知网”或“超星”下载

内容提要丨新冠疫情成为全球近年来最大的突发公共卫生事件，为防疫需要，各国政府鼓励公共和私营机构积极利用数字技术开展联防联控工作。由于个人数据用于疫情防控的必要性以及数据本身的特殊性，高效防疫与数据保护的矛盾日益凸显，集中体现在不同场景下涉疫数据的采集、处理和披露全过程中。本文对中国、欧盟、美国、英国和新加坡在疫情期间数据保护指南进行梳理，认为突发公共卫生事件中数据安全治理机制的建立应基于应用场景，以合法性为基本要求，建立问责制，坚持透明度、目的限制、保密性、最小必要原则，基于此规范数字技术设计标准，并进行有效的监管。

作者简介丨惠志斌，上海社会科学院信息研究所研究员；李顾元，上海社会科学院信息研究所硕士研究生

新冠疫情爆发初期，线上和线下充斥着各种无序、复杂、海量的数据，通过传统方式利用这些数据对于疫情防控作用并不大。因此，各国纷纷利用大数据技术将疫情防控各个环节的数据进行聚集整合，并通过数据建模、数据分析等技术手段充分发挥数据集聚效应以支持决策。因此，疫情期间线上和线下个人数据收集、处理、披露过程中的合规问题成为减少数据安全事件和有效联防联控的关键。

总体来看，新冠疫情期间主要数据安全风险集中表现在四个方面：线上线下涉疫数据采集和共享；公共部门涉疫信息和数据开放；疫情溯源应用程序中匿名化位置数据的使用问题；钓鱼软件和勒索软件。而这期间，对于数据的安全治理，不仅有利于提高公民对政府的信任度，调动全社会力量积极抗疫，而且有利于统一数据安全治理标准，加强各方数据治理主体的联动性。更为重要的是，它有利于提升突发公共卫生事件防控中风险预测的前瞻性。在这方面，世界各主要国家做法各不相同，也取得了各自的治理经验和成效。

01

新冠疫情期间全球主要国家的数据安全治理应对

（一）中国：实施涉疫数据网格化管控

2020年1月，国务院颁布的《近期防控新型冠状病毒感染的肺炎工作方案》中指出，要充分应用“大数据+网格化”等手段助力疫情防治工作。“大数据+网格化”主要是指将城市按社区、街道等划分为大小网格单元，实施网格片区化管理，利用大数据技术等按网格化片区进行信息收集和数据整合建立网格化的数据库，并及时汇报给上级数据库。

1.公共卫生领域疫情防控

2020年2月3日，国家卫生健康委办公厅发布《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》，从强化数据采集分析应用、积极开展远程医疗服务、规范互联网诊疗咨询服务、深化“互联网+”政务服务、加强基础和安全保障五个方面鼓励各地卫生健康委充分发挥信息化在辅助疫情研判、创新诊疗模式、提升服务效率等方面的支撑作用。

2.政府公共部门联防联控中的个人数据保护

2020年2月4日，中央网络安全和信息化委员会办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，对政府公共部门的疫情防控工作制定基本原则。随后工信部发布《关于支撑开展疫情联防联控工作切实加强个人信息保护的通知》，从包括责任主体、数据收集原则、管理和技术安全、应急响应和通报机制在内的6个方面要求将个人信息保护落到实处。

3.社区疫情防控

2020年3月2日，民政部办公厅、中央网信办秘书局、工业和信息化部办公厅和国家卫生健康委办公室四部委联合发布《新冠肺炎疫情社区防控工作信息化建设和应用指引》，对社区疫情防控中的疫情监测、出入管理、信息报送、宣传教育、环境整治、困难帮扶、社区服务方面的工作作出安排。提出社区防控信息化产品应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件；具有数据加密、脱敏和防爬取能力，保障数据安全。社区防控信息化产品因疫情防控工作要求，需要收集社区居民信息的，应向社区居民明确提示并取得同意，明确用于此次疫情防控，对于用于其他目的的，必须重新征得社区居民本人同意。

（二）美国：平衡行业监管与企业自律

1.远程医疗中个人数据保护

美国卫生与公共服务部2020年3月30日发布“执行自由裁量权通知”，授权承保范围内的医疗服务商可以使用通信设备进行远程服务，并且不会因为服务中一些技术及其使用方式不完全符合《健康保险携带和责任法案》要求而受到处罚。但是远程医疗服务商只能使用“非公开”的且与HIPAA签订商业伙伴协议的远程通信产品供应商进行合作。HHS通过开“白名单”的方式将Facebook Live、Twitch和抖音等“公开”社交平台排除在外，保障健康数据在平台端的安全管理。

2.雇主对雇员个人健康数据的收集及披露

为解决疫情期间雇主积极防疫和数据合规的矛盾，美国平等就业机会委员会强调，根据《美国残章法案》规定，雇主可以就是否出现感染症状询问雇员。新冠疫情期间，雇主可以收集的信息包括发烧、寒颤、呼吸急促、喉咙疼痛以及疾病预防控制中心、公共卫生机构和信誉良好的医疗组织最新确定的疫情症状。

医疗信息的保密性要求方面，ADA认为雇员的医疗信息为机密文件，应该与该雇员的个人文件分开存储，从而限制对该机密信息的访问。因此雇主可以将与新冠病毒的相关的医疗信息存储在单独的医疗文件中，雇主也应对日常测量的体温数据进行保密处理。

在企业招聘和入职场景下，雇主在提供有条件的聘用机会后，可以对求职者进行症状筛查。根据美国疾控中心指示，雇主可以推迟确诊和疑似求职者的入职日期，其中，如果因工作需要立刻上岗，雇主可以对其解雇。对于易感人群，雇主不能以此为由单方面推迟其上岗日期或予以解雇。

（三）欧盟：强调安全、自由和隐私不可侵犯

欧洲数据保护委员会强调，虽然GDPR不妨碍公共和私营部门采取特殊防疫措施，但是即使在特殊时期，数据控制者和数据处理者也必须保障数据安全。

1.公共卫生领域疫情防控

GDPR允许公共卫生部门在国家法律规定的条件下，处理疫情期间的个人健康数据。例如GDPR出于公共卫生领域重大公共利益考虑需要进行数据处理时，无需征求公民个人同意。处理个人数据时应遵循目的限制原则，即为特定的、明确的、合法的目的收集个人数据，不符合以上目的不得以任何方式进一步处理。对于数据存储期限和处理目的应及时披露，并以易于访问且清晰明了的方式提供给数据主体，确保数据处理过程遵循透明度原则，同时，个人数据的处理应采取适当的安全措施和保密政策，以确保不会将个人数据泄露给未经授权的第三方。公共部门也应适当记录当前紧急情况下采取的管理措施和相关决策过程。

2.通信技术用于病毒追踪

公共部门首先应当以匿名的方式处理位置数据，例如生成特定位置的集中度报告。如果位置数据已匿名处理，那么个人数据保护规则将不再适用于此类数据。但是对于电信移动位置数据的处理，匿名化和假名化需要作以区分，单个数据本身不能被匿名化，只有作为整体的数据集才能被匿名化处理，因此对单一数据的任何处理只能视为假名化。而人员流动痕迹具有高度相关性和唯一性，很多可能匿名化的位置数据实际上并非匿名化。当无法只处理匿名数据时，基于《电子隐私指令》第5条，EDPB允许成员国采取单独的立法措施保障公共安全，应遵循相称性原则，具体体现在有限的数据存储时间和数据收集范围的目的限制。同时应为使用电子通信服务的个人提供司法救济渠道。

3.雇主对雇员个人健康数据的收集及披露

在数据采集方面，比例原则和最小化原则尤其重要，雇主应仅在国家法律允许的范围内要求雇员或访客提供健康数据。当组织内员工确诊感染新冠病毒时，雇主应将此信息告知其他员工，但是不得披露非必要个人信息。如果在国家法律允许的情况下有必要透露确诊员工姓名，则应提前通知员工本人。

各成员国在雇主对雇员数据个人健康数据收集方面做出了一些具体规定。法国和意大利提出雇主在收集健康数据方面不得采取可能侵犯个人隐私的措施，必须避免采用系统性和全面性的方式收集雇员及其近亲可能出现的症状信息。德国认为雇主可收集的雇员/访客的数据包括：是否为已确诊或已证实的密切接触者；是否在特定期间去过“危险区”。

（四）英国：注重场景化涉疫数据安全实践指导

英国信息专员办公室基于疫情防控场景将数据安全指南划分为数据提供和使用两个方面。数据提供方面，强调数据主体关于数据采集和处理拥有知情权和数据访问权，并警惕个人健康和家人健康数据需要谨慎提供。数据使用方面，提出组织在数据保护方面应遵循的六大步骤：仅收集和使用必要数据、收集尽可能少的信息、对员工保持开放和诚信的态度、公平对待员工、保障信息安全、保障员工能够行使其信息权。

1.通信技术用于病毒追踪

英国ICO支持疫情防控中采用通信技术进行位置追踪，提倡使用对公民隐私风险侵犯最小的方案。通过对苹果和谷歌联合发起的新冠病毒接触追踪技术方案进行初步审查，ICO关于此场景下的数据保护要求主要体现在以下几个方面：（1）数据最小化，移动设备之间的信息交换不应包括账户信息和用户名等非必要信息，核心功能的实现不使用位置数据；（2）安全措施，不同设备之间的数据传输应该进行加密，并附有额外的安全保障措施；（3）目的限制，个人数据的使用应限制在收集个人数据的目的范围内；（4）同意授权，此类应用的使用应要求用户做出具体的同意。但是目前CTF有些数据处理事项没有确定清楚，并且随着疫情防控需求的变化，这些位置数据处理的目的可能会发生变化，因此CIO对此类应用将保持持续关注。

2.雇主对雇员个人健康数据的收集及披露

在企业中，雇主可以将某员工感染了新冠病毒的信息告知其他员工，但是不能提供该员工的姓名等非必要的信息，可以与公共机构共享特定员工的个人信息。对于非盈利的社区防疫团体，在处理居民信息时需要对其信息负责，遵循基本的数据保护原则，告诉人们收集数据的原因、使用方式、与谁共享；紧急情况下可以共享数据；合法共享，共享数据前考虑是否征求了数据主体的同意，是否关乎重大公共利益，是否会将数据主体置于危险中；保障安全，采取措施降低数据泄露风险；数据收集最小化，且疫情结束后及时删除或销毁；记录所有操作。

（五）新加坡：保障数字技术和系统的安全可控

1.通信技术用于病毒追踪

2020年3月下旬新加坡科技局与卫生部合作推出一款名为Trace Together的移动应用程序，新加坡成为最早将蓝牙技术用于病毒追踪的国家之一。同时，该应用程序也为新加坡政府指定的官方联系人追踪程序，鼓励疫情防控场景下各机构组织下载使用。该应用在个人数据处理方面具有以下特点：（1）不收集或使用任何类型的位置数据，也不会访问用户的电话联系人列表或通讯录，它仅使用蓝牙数据建立联系，不存储联系发生地点的信息；（2）数据不上传到政府，该应用程序收集的所有数据都存储在本地用户的手机上并进行加密；（3）如果确认某人感染了新冠病毒，则政府将要求他/她上载数据，以方便追踪他/她的近亲。如果用户未与新冠病毒患者密切联系，则其数据将只保存21天。从该应用中采取的个人数据保护措施来看，新加坡对于通信设备中个人数据的收集遵循最小必要原则，且避免采集饱受争议的匿名位置数据，对数据存储期限也做出限制。

2.公共机构对公民健康数据的处理

新加坡个人数据保护委员会认为，由于疫情期间，组织可能需要新加坡公民身份证号码（NRIC）/外籍居民身份证号码（FIN）/护照号码来准确识别个人，因此组织可能会出于此目的收集访客的NRIC，FIN或护照号码。收集此类个人数据的组织必须通过使用Safe Entry来进行，Safe Entry由新加坡政府开发，收集的数据仅存储在政府的服务器上，并由政府用于联系人追踪。同时也必须遵守《个人数据保护法案》的数据保护规定。当不再需要数据时，组织还应该删除数据。

02

新冠疫情防控中常见的数据安全治理模式总结

（一）“网格”式数据安全治理

此次疫情期间，我国主要采取“大数据+网格化”的疫情防控措施。网格化可以按区域划分，也可以按组织进行划分。疫情发生后，各种机关单位、学校等组织也通过打卡填表等方式实时统计相关人员的身体健康情况及近期行程等数据信息，并应用大数据技术和数据管理构建组织相关的数据库。通过这种多重网格化的信息收集，可以使数据的统计更加精确，有利于建立疫情防控的数据库，有利于及时更新疫情相关动态信息。网格化管理实现了管、控、防的三位一体，可以做到城市中的全区域监控，而大数据技术的助力使得网格化管理更加方便，通过各种数据的数字化落实精准防控。

（二）“行业监管+企业自律”式数据安全治理

美国的数据安全立法以分散式为主要特点，目前尚未出台联邦层面的数据安全立法，以联邦层面针对行业性数据安全的规制法律和州数据安全立法为主。新冠疫情期间受其数据安全立法分散式特点影响，以“行业监管+企业自律”为主要数据安全治理方式。欧盟在数据安全立法方面强调公民的安全、自由和隐私不可侵犯，以《一般数据保护条例》为主要合规性判定法案，认为在疫情防控中不应该助长技术滥用、访问歧视和政府监视，相关应用程序的信息收集和跟踪定位应当受到严格管制。

（三）“场景实践”式数据安全治理

英国在疫情防控方面注重场景化涉疫数据安全实践指导，通过对不同防控场景下的数据主体进行数据安全意识普及，力图在数据采集源头切断数据过度采集、数据泄露风险。新加坡注重疫情防控中数字安全系统的统一部署，通过国家层面开发联系人追踪应用程序Trace Together和数据采集安全系统Safe Entry来规范各防控环节的涉疫数据采集、共享流程，保持互操作性和安全可控。

03

对我国在突发公共卫生事件中数据安全治理的建议

（一）通过立法明确突发公共卫生事件中数据处理基本原则

此次疫情期间欧美两国在立法过程中确定了特殊时期个人数据处理知情同意的例外规则，且数据权限限制必须以合法性为基础，遵循透明度原则、目的限制原则、保密原则和最小必要原则。

当前，我国个人信息保护制度尚未明确确立不需个人同意而进行个人信息收集和利用的例外规则。从各部门发布的疫情防控文件来看，基本覆盖了以上提到的相关数据收集和处理的原则，但是不具备系统性。我国应当在立法层面体现出与国际接轨的数据安全立法原则和理念，并为紧急情况和例外条款保留政策空间，保证立法的连贯性、一致性和稳定性。另外，加强立法也有利于与各国在数据安全和个人信息保护领域消除分歧和深化合作。

（二）基于防疫场景加强突发公共卫生事件中数据安全指导

突发公共卫生事件中的数据安全治理应当涵盖数据应用的各个场景。新冠疫情期间，涉疫数据的应用场景不胜枚举。实际案例包括：各大互联网平台利用平台影响力和自身的数据聚集优势，及时上线疫情信息发布平台，帮助人们及时了解疫情动态；科技企业依靠数字技术优势开发智能问诊服务，并结合各大医院开启远程医疗平台，避免人们线下就医导致交叉感染，等等。因此，疫情期间不仅需要解决传统的数据安全问题，而且还要预判潜在的数据安全隐患。

基于细分场景制定数据安全指南能够实现将数据安全治理的原则性指导落实到具体实践，解决一线抗疫工作人员因个人信息保护与数据安全治理意识缺失而导致的敏感个人数据泄露和不合规共享。英国信息专员办公室分别就数据产生者和数据使用者两个主体出发将涉疫数据应用分为远程教育、网络诈骗、复工复产、社区防疫等场景，并提供相关指导，划清数据提供和数据使用的界限，加强公民数据安全教育的同时也强调了行业自律。加强细分场景的数据安全治理指导也有利于在实践中总结经验，为相关立法提供应用实践支持。

（三）规范突发公共卫生实践中数字技术要求

此次新冠疫情防控中，各大互联网科技企业“各显神通”，充分发挥了数字技术在联防联控中的作用，包括联系人追踪技术、人工智能诊断技术、病毒基因测序自动化检测技术等。疫情在某种程度上加速了我国城市数字化治理进程。健康码最初主要功能是通过民众自查上报，帮政府了解疫情形势。而在复工复产的实际进展中，健康码不断融合社会化服务等功能，在后疫情时代，健康码正逐渐升级为“城市码”，健康码平台也在转变为日常性的数字化公共服务平台。

数据安全治理不仅涉及到法律维度和管理维度的约束，还应包括技术维度约束。2020年4月21日，欧盟通过《关于新冠疫情爆发背景下使用位置数据和接触追踪工具的指南》，强调在位置数据应用于模拟病毒传播和通知密切接触者两个应用场景下应遵循的一般原则，结合《一般数据保护条例》和位置数据的特性提出关于位置数据收集、使用方面的一般性要求，力图在数字防疫和数据保护之间找到平衡。我国也应借鉴欧盟的对技术应用的规制手段，对应用数字技术收集、使用、披露、删除个人数据的行为做出明确规定和合规指引，从而保护公民隐私，减少数据泄露和信息滥用。

（四）对突发公共卫生事件中的数据应用进行有效的监管

建立有效的数据监管机制是突发公共卫生事件中数据安全治理的最后一重保障。在数据采集、数据流通和数据共享过程中采取一些监管措施，对后疫情时代的数据安全治理也具有推动作用。我国目前在数据监管上仍然存在一些瓶颈，主要包括法律监管理念存在偏差、缺乏专业的监管机构、监管措施不完善和法律监管制度透明度低等。在应对突发公共卫生事件的工作中，数据监管需要覆盖数据从采集到销毁的全生命周期。

建立问责制是欧美等国在此次疫情中常用的手段。美国共和党提案《新冠疫情期间消费者数据保护法案》对寻求处理与新冠疫情防控工作相关的精确地理位置数据、接近度数据、持久标识符和个人健康信息的机构提出了问责制要求，要求相关机构“在突发公共卫生事件期间，每两个月发布一次公开报告，确定相关机构出于疫情防控目的收集、处理或传输涵盖数据的总人数，并详细说明如何以及为何使用这些信息”。在要求涉疫数据采集与处理机构建立问责制的同时，也需要为数据生产者提供司法救济渠道，欧洲数据保护委员会基于《电子隐私指令》认为采取非匿名数据处理措施的机构有义务为使用电子通信服务的个人提供司法救济渠道。特别强调的是，突发公共卫生事件防控后期，应确保相关数据及时销毁，避免导致存量数据的滥用。

04

结语

将个人数据用于联防联控是应对突发性公共卫生事件的必要手段，加强数据安全治理首先有利于提高公民对政府的信任度，消除公民在疫情防控中的数据安全顾虑，鼓励积极抗疫。其次有助于统一数据安全标准，加强各方助力联防联控中数据共享和使用的互操作性。最后还可以提高突发公共卫生事件防控中风险预测的前瞻性。在具体疫情应对场景中，相关部门能够基于风险预测按照既定处置预案调配资源，从容应对、迅速将疫情的破坏性降至最低。

在突发公共卫生事件中，立法层面需要明确个人数据的收集、处理和披露应遵循的基本原则，并建立起联防联控中的问责制。根据场景化防控特点，数据安全治理应从场景出发制定个人数据保护指南以指导实践，包括对公民的数据安全风险意识教育以及企业、政府公共部门的数据安全应用教育。再者，对于数字技术的应用需要规范其开发设计标准，从技术层面保障数据处理与存储的安全。最后，基于问责制建立有效的监管机制是最后一重安全防线。探索长效的数据安全治理机制将是突发公共卫生事件防控中的一个永久话题。

投稿邮箱：gwskqy@sass.org.cn

主办：上海社会科学院信息研究所

联系电话：021-54908089

刊号：CN31-2161/C0 邮发代号：4-280