前言

在数字时代，将ICT技术运用于传染病疫情的监测和防控是题中之义。在此次2019-nCoV病毒疫情中，我们也在公开媒体中初步见到了大数据技术在这方面的威力。

比如百度推出了【百度迁徙升级版上线，人口迁徙大数据向公众开放】。第一财经等媒体也利用百度迁徙地图，就武汉人流进行了专门的报道：【500万人离开了武汉，他们都去了哪儿？】

如果说上述实践中主要展示了集合性数据（aggregated data），基本上不存在个人信息保护风险的话，部分新闻媒体报道中披露出的直接披露、共享武汉人民个人信息的做法（例如【武汉人是否还应该有隐私？】），就存在违法违规的风险。

本系列短文，旨在初步探讨传染病疫情与个人信息保护之间的复杂关系。在文章中，很多时候是提出问题，但确切的答案，我自己也没有。请大家见谅。此前已经发出的该系列文章：

• 传染病疫情防控与个人信息保护初探之一：个人信息的性质
  

• 传染病疫情防控与个人信息保护初探之二：同意的例外

• 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

• 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

• 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范
  

本系列此前文章已经分析了大数据用于接触追踪的可行思路，并对欧盟接触追踪的数据安全规范进行了介绍。在欧盟法之下，除了“关于严重的跨境健康威胁的决定”中对早期预警和响应机制、接触追踪等特别规定之外，其余疫情防控的个人信息处理仍应一般性地纳入GDPR框架考量，因此本文对基于GDPR的一般框架对运用数据技术进行传染病疫情监测和防控的合规义务加以分析。

GDPR将个人数据保护作为公民基本权利，但仍允许基于重大公共利益等事项对此项权利加以克减，在序言中多处体现了公共利益和个人数据保护的平衡考虑，基本立场在于公共卫生构成重大公共利益，同时传染病监测还构成重大生命利益，由此在个人数据处理的合法性基础、特殊数据处理、数据主体权利限制等方面予以特别规定。详细内容见下：

一是数据主体同意的例外。序言第（45）条明确公共卫生构成重大公共利益，依据第6条1（e）的规定，当个人数据处理为“为公共利益目的执行任务或履行所赋予公共职能所必要”时，可不征得数据主体的同意。

序言第（46）条明确传染病监测除构成公共利益之外，还构成“重大生命利益”，依据第6条1（d）规定，当个人数据处理为“保护数据主体或其他自然人的重要利益所必要”时，可不征得数据主体的同意。

二是特殊数据处理的例外。序言第（52）明确传染病预防和控制构成第9条2（i）中所述的公共利益，从而允许处理第9条1中所规定的特殊类型个人数据，如基因数据、生物识别数据、健康相关数据等；

序言（54）还进一步指出在公共卫生领域未征得数据主体同意而进行特殊类型数据处理可能是必要的。

三是对数据主体权利的限制。序言第（65）（73）则明确针对公共卫生的公共利益，允许欧盟或成员国通过立法对数据主体权利、数据保护基本原则等施加限制。

就数据处理的合法性而言，如本系列此前文章所述，在GDPR框架下，对于基于疫情监测、防控、隔离等目的，互联网公司、电信运营商基于已掌握的个人信息为相关部门进行传染病防控提供数据支撑，不必拘泥于数据主体的同意要件，可援引第6条（d）“为保护数据主体或其他自然人重大利益”或第6条（e）“公共利益目的执行任务或数据控制者履行所赋予的公共职能所必要”作为数据处理的合法性基础。以下将对此等数据处理行为中的具体合规义务加以分析。

首先需要明确此等数据处理行为中具体涉及的数据处理行为性质和双方所负角色。互联网公司、电信运营商基于已掌握的个人信息为相关部门进行传染病防控提供数据支撑：对于互联网公司或电信运营商而言，属于变更初始目的的个人信息处理行为；对于接收数据的有关部门而言，构成个人信息的间接收集；对双方而言属于个人信息共享行为，双方构成共同控制者。

具体的合规要求分析：

• 对于变更初始目的的个人信息处理行为

GDPR第13条3规定，当数据控制者进行个人数据处理的目的与初始收集的目的不一致时，应当在此之前基于变更后的数据处理目的向数据主体进行告知，尤其是变更后的个人数据处理目的、个人数据处理的法律依据、数据接收方或其类别等。对于互联网公司、电信运营商而言，可以通过App、手机号码等直接触达信息主体，完成告知义务。

• 对于间接收集个人信息的行为

GDPR第14条规定，数据控制者应当向数据主体进行告知，包括数据控制者的身份、数据处理目的、个人数据处理的法律依据、个人数据的种类、存储期限、数据主体享有的各项权利等内容。同时，该条第5款规定了例外情形，如果是数据主体已知前述信息，或者向数据主体进行告知不可能或需要付出不合比例的努力、或者告知可能导致处理目的无法实现或受到严重影响时，可免于进行告知，但要采取适当措施保护数据主体的合法权益。

对于接收数据的政府部门而言，需要判断向信息主体进行告知，是否会导致处理目的无法实现或受到严重影响，如不存在此等情形，则应当向信息主体进行告知。明确负有告知义务后，存在告知的实现方式问题。对于政府部门而言，由于其并非相应数据的直接掌控方，可能在确定告知对象方面存在一定的困难，相比之下互联网公司、电信运营商可以通过App、手机号码等直接触达信息主体，更具便利性和时效性，因此可通过提供数据的互联网公司、电信运营商完成告知，可由政府部门承担相应的成本。

• 对于数据共享行为

GDPR第26条规定共同控制者之间应当以明确各自的责任，特别是有关数据主体权利行使、向数据主体履行告知义务等事项。对此，互联网公司、电信运营商与政府部门之间可以通过签订数据共享协议等方式明确双方的角色、数据共享的目的等重大事项，并在数据共享过程中遵守GDPR中有关数据处理公平性、透明度、数据最小化等原则性要求，确保数据安全，保障数据主体权利的实现。

下一篇将介绍美国的情况。

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下：

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）

24. 《个人信息安全规范》的效力与功能

25. 结合良好实践，细说APP自评估指南之二（DPO社群成员观点）

26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

27. 实施已满三月，区块链新规“回头看”（DPO社群成员观点）

28. 从“布拉格提案”看美国政府的策略

29. 《欧盟GDPR合规指引》前言：从一个损毁的雕像说起

30. 对《网络安全审查办法（征求意见稿）》的几点观察

31. 使命与界限：近期个人信息和数据安全新规的一些思考（DPO社群成员观点）

32. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路

33. “惟危惟微，允执厥中”：对《数据安全管理办法》中“定向推送”部分的思考

34. 《儿童个人信息网络保护规定（征求意见稿）》评析：与美国COPPA对比的视角

35. 网安法中的“范围”如何理解和落地：从头条案说起

36. 《数据安全管理办法》的监管诉求及文本改进建议：DPO社群的现场讨论

37. 数据安全的内部和外部视角初探
    

38. 《个人信息出境安全评估办法》的流程改进建议：DPO社群的现场讨论

39. GDPR与相关数据保护法律处罚案例调研（DPO社群成员观点）

40. 个人信息侵权纠纷类型化试解（DPO社群成员观点）

41. 英法两国对 AdTech和广告类SDK的监管案例分析

42. 金控监管办法草案发布 有望扫清信息共享障碍（DPO社群成员观点）

43. GDPR对用户画像的合规要求分析（DPO社群成员观点）
    

44. IAPP新加坡会议上关于27701的Panel和PPT

45. FTC vs Facebook：50亿美元和解令的来龙去脉（DPO社群成员观点）

46. 人脸识别技术的法律规制研究初探（DPO社群成员观点）

47. 澳《消费者数据权利法案》对数据共享与数据可携权的探索（DPO社群成员观点）

48. FTC vs. YouTube：解读违规处理儿童个人信息之最大罚单（DPO社群成员观点）

49. 个人数据在美欧外国投资审查中的角色初探（一）

50. HiQ vs. LinkedIn案的启示与未决之题（DPO社群成员观点）

51. 国家标准《个人信息安全规范（征求意见稿）》修订解读（DPO社群成员观点）

52. 解析欧盟法院对与Cookies相关的告知和同意的最新判决（DPO社群成员观点）

53. 推动域外应用商店下架“HKmap.live全港抗争即时地图”App的思路

54. “客场作战”，法律先行：以“HKmap.live”为例

55. 墨迹天气IPO被否 App治理工作组收集个人信息通报成依据之一

56. 解读世界首例警方使用人脸识别技术合法性判决（DPO社群成员观点）

57. 从墨迹IPO被否看拟境内上市企业的数据合规工作（DPO社群成员观点）

58. 对美国外国投资审查新规的观察和评价（DPO社群成员观点）

59. 《个人信息安全规范》在安标委重庆会议周上的汇报

60. 人脸识别技术运用的六大场景及法律规制框架的适配（DPO社群成员观点）

61. 他山之石：美国20年间33个儿童信息保护违法案例分析（DPO社群成员观点）

62. 人脸识别技术的规制框架（PPT+讲稿）

63. 全球视野中的金融数据安全

64. 公司IPO/重组/投融资时，监管部门审查要点汇总及问题分析（DPO社群成员观点）

65. 个人金融信息收集和共享的基本原理：基于中美欧规则的展开（文字稿+PPT）

66. 透析印度《个人数据保护法2019年草案》

67. 北京市关于自动驾驶车辆道路测试的立法综述及动态（DPO社群成员观点）

68. 违反俄罗斯数据本地化的行政罚款新规（DPO社群成员观点）

69. 零售门店使用人脸识别技术的主要法律问题（DPO社群成员观点）