突发公卫事件应急处置中的个人信息权保护

　　这次新冠肺炎疫情防控，让我们看到了由于信息权保护缺失导致信息泄露的“次生灾害”。一是缺乏根据应用场景对个人信息的分类分级保护，导致个人信息无序传播。二是掌握个人信息的主体多元，对这些机构主体在信息收集、使用、处理和保护方面缺乏规范和监管，个人信息泄露渠道不可控。三是法制不健全。缺乏收集、使用和处理个人信息的合法性基础，无法保证个人信息有效用于合法性事由，导致隐私泄露。四是个人信息泄露直接影响公众对公共机构的信任，对应急管理带来负面影响。应总结经验教训，多措并举，加强对个人信息的保护。

　　建议在“个人信息保护法”中设立对个人信息进行分类分级保护的条款。借鉴欧盟通用数据保护条例(GDPR)，个人信息分为一般个人信息和特殊类型信息(也被称为敏感个人信息)。“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等”的信息，应将其作为特别类型信息予以保护。在突发公共卫生事件应急处置中，姓名、身份证号码、家庭住址、电话、定位数据、在线活动等与健康相关的信息，也应作为特殊类型信息，基因数据、生物数据和健康数据等本身作为特殊类型信息更应特别保护，应在“个人信息保护法”相关条款中进行充分考虑。

　　应规范行政机关、公共机构对个人信息的收集、使用和处理行为。我国《传染病防治法》《突发公共卫生事件应急条例》对重大传染病疫情突发公共卫生事件应急处置中，授权进行个人信息收集和使用均做出明确规定。但现实中掌握个人信息的主体众多，这些主体在什么条件下可以收集信息、收集哪些信息、如何收集信息以及这些信息在收集后的安全使用，都应划定边界并依法规范。对基于数据关联分析的个人信息应加大监管力度，对未经授权披露在传染病暴发期间收集的个人信息可能会使个人面临污名化、歧视、暴力等风险，要依法提供足够的保护。

　　应加快编制“重大传染病疫情突发公共卫生事件应急处置中个人信息保护管理指引”。借鉴世界卫生组织发布的《传染病暴发中伦理问题的管理指南》，明确具有收集与使用相关个人信息权力的指挥机构、执行机构，并明确相关工作启动条件和流程规范。建立统一集中管理机制、运用脱敏技术、去标识化、加密等措施对数据进行预处理，基于大数据关联分析结果不触达相关人员。对公共卫生监测、临床研究、个例患者遭遇以及传染病暴发期生物样本数据的快速共享，建立严密访问机制，防止数据泄露、丢失及未授权使用，并做好疫情退散后的数据处理方案。

　　应尽快启动建立专门的个人信息保护监管机构。借鉴香港个人资料私隐专员公署的做法，不管是政府组织还是个人，所有资料使用者必须遵守香港法例中设定的6项保障资料的核心原则。如果违反其中任何一项，隐私署有权发布强制执行通知、有权约谈数据使用者，并有权系统调查数据使用情况。

　　针对在重大传染病疫情突发公共卫生事件应急处置中侵害众多公民个人信息权的行为以及相关行政机关违法行使职权或不作为，致使众多公民个人信息权被侵害的，应当提起公益诉讼。

作者系全国政协委员、北京市朝阳区政协副主席、北京国际城市发展研究院院长

责任编辑 刘墨非