后疫情時代個人涉疫信息的控制特點及其路徑修正*——以隱私場景理論為視角

蘇 今

(華東理工大學(xué)法學(xué)院 上海 200237)

0 引 言

距2020年初湖北新冠疫情爆發(fā)已一年有余，在舉國努力之下，我國取得了抗疫的階段性勝利。根據(jù)世衛(wèi)組織和防疫專家判斷，新冠病毒將與人類長期共存，其完全滅絕時間仍不確定。在面對與疫共存和急需復(fù)產(chǎn)的雙重壓力下，我國已率先進入到后疫情時代。

不同于重大疫情期間，后疫情時代面臨的社會基本問題，已從公共衛(wèi)生健康與個人行為自由的協(xié)調(diào)，轉(zhuǎn)化成周期性、區(qū)域性抗疫、全民防疫與全面復(fù)工問題之間的協(xié)調(diào)。后疫情時代，全國范圍啟動“重大突發(fā)衛(wèi)生事件一級響應(yīng)”的情況應(yīng)該不會出現(xiàn)。一旦發(fā)生疫情，也力爭控制為區(qū)域、點狀的范圍。與重大疫情期間一樣，政府仍需和各部門配合，對涉疫人群的個人信息進行控制使用，以此抑制病毒擴散。在非疫區(qū)，社會重心轉(zhuǎn)移到復(fù)產(chǎn)復(fù)工，人們在滿足基本防疫需求的前提下，自由開展工作和生活。

后疫情時代，是疫情防控常態(tài)化、社會生活逐步穩(wěn)定化的一段攻堅時期。在全民普及疫苗并一定程度免疫病毒之前，涉疫個人信息的控制活動，依舊是常態(tài)化的工作內(nèi)容，信息的合理控制與否，依舊是數(shù)據(jù)防疫的重要一環(huán)。2021年初的區(qū)域抗疫和整體防疫相結(jié)合的成功模式，為今后防疫常態(tài)化提供了寶貴經(jīng)驗。當然，除了一些重大疫情期間的信息控制問題依舊存在，也衍生出了一些后疫情時代的新問題，如信息控制方式和力度是否需要做出改變。

隨著個人信息保護納入《中華人民共和國民法典》，《個人信息保護法》(草案)已進入審議程序，法律對個人信息的基本回應(yīng)，勢必會在將來引發(fā)對特殊環(huán)境、不同場景下的個人信息控制問題的討論。如何在既有法律框架下，規(guī)范個人涉疫信息的控制，是本文研究的主要內(nèi)容。本文研究的個人涉疫信息，是指在疫情防控中，由信息收集或控制者(以下簡稱授權(quán)主體)收集控制的，能夠識別到具體自然人的相關(guān)信息，其中包括個人基本識別信息，如姓名、身份證號、手機號碼等，以及與疫情有關(guān)的信息，如涉疫行為軌跡信息，個人健康信息等。個人涉疫信息屬于個人信息，其應(yīng)然范圍小于個人信息，是疫情防控場景中，需要特殊排列組合出來用于防疫的信息。為了便于論述，本文將涉疫個人信息根據(jù)涉疫時期和涉疫范圍的不同，分為個人抗疫信息(重大疫情期間或區(qū)域性抗疫中所需要控制的個人信息)和個人防疫信息(非疫區(qū)全民防疫中所需要控制的個人信息)。本文的觀點是，個人防疫信息和個人抗疫信息的范圍、控制力度和方式理應(yīng)有所不同。文章從不同防疫時期、場景、人群、階段入手，旨在細化和規(guī)范后疫情時代個人涉疫信息的合理控制，在滿足公共衛(wèi)生安全的前提下，協(xié)調(diào)公眾知情權(quán)益和個人信息權(quán)益之間的平衡問題。

1 重大疫情期間個人抗疫信息控制的正當性基礎(chǔ)和經(jīng)驗總結(jié)

1.1重大疫情期間個人抗疫信息控制的正當性基礎(chǔ)對個人信息的控制，按照不同的方式可以劃分為：收集、儲存、使用、共享、轉(zhuǎn)讓和披露[1]。在重大疫情期間，個人抗疫信息的控制可分為：收集、儲存、共享、使用和披露五類。其中，收集和共享是原始獲取信息控制權(quán)的主要方式：即通過直接獲取(從信息主體處直接收集)或者間接獲取(從其他授權(quán)主體處共享獲取)。為了便于討論，本文將個人涉疫信息控制活動劃分為：獲取、儲存、使用和披露四個主要階段。

根據(jù)個人信息控制的邏輯，合法獲取信息，是有權(quán)儲存、使用和披露信息的前提。在信息的存儲、使用和披露階段，也會存在相應(yīng)的合法性要求。涉疫人群在被要求提供個人信息時，首先產(chǎn)生的疑問是：授權(quán)主體是否有權(quán)獲取其信息。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)安法》)第41條，收集、使用個人信息應(yīng)當經(jīng)過信息主體的同意。即個人信息處理活動的一般合法性基礎(chǔ)：知情同意。在知情同意機制之外，是否存在例外情形，《網(wǎng)安法》并沒有做出明確規(guī)定。根據(jù)國家標準《信息安全技術(shù) 個人信息安全規(guī)范》(以下簡稱《個人信息安全規(guī)范》)中列舉的一些知情同意例外，其中就包括：“當與公共安全、 公共衛(wèi)生、 重大公共利益直接相關(guān)的情形發(fā)生時，個人信息控制者收集、使用、共享、轉(zhuǎn)讓、公開披露個人信息無需征得個人信息主體的授權(quán)同意。”[1]

基于公共利益對知情同意機制做出例外規(guī)定，在域外個人信息保護的國家和地區(qū)也都存在共識。例如，歐盟《通用數(shù)據(jù)保護條例》(以下簡稱GDPR)中規(guī)定：當處理個人數(shù)據(jù)是為公共利益而執(zhí)行任務(wù)，或者履行官方授權(quán)而進行的某項任務(wù)時；或者當傳染病構(gòu)成公共利益和重大生命利益，為了保護數(shù)據(jù)主體或者他人的重要利益而必須處理個人數(shù)據(jù)時，可不征得數(shù)據(jù)主體同意。而針對基因數(shù)據(jù)、生物識別數(shù)據(jù)，以及和健康相關(guān)的數(shù)據(jù)處理，在公共健康領(lǐng)域，為了實現(xiàn)公共利益的必要，也存在一定合理使用的可能性(GDPR Article 9.1, 2(g))。因此，在涉及公共利益時，授權(quán)主體可以強制收集個人信息。

同樣，在我國既有法律規(guī)范中也可以找到類似規(guī)定：《中華人民共和國傳染病防治法》(以下簡稱《傳染病防治法》)第12條、第32條、第33條針對疫情環(huán)境下的涉疫信息控制和使用做出了基本規(guī)定。根據(jù)《中華人民共和國突發(fā)事件應(yīng)對法》規(guī)定，各級人民政府及其有關(guān)部門、專業(yè)機構(gòu)應(yīng)當通過多種途徑收集突發(fā)事件的相關(guān)信息(第20條、第三章)。除此之外，根據(jù)《突發(fā)公共衛(wèi)生事件應(yīng)急條例》，國務(wù)院、各級人民政府以及下級授權(quán)主體，有義務(wù)做好涉疫信息的收集、分析、報告等工作(第10條、第11條、第40條等)。而新冠肺炎也被納入《傳染病防治法》中乙類傳染病和《中華人民共和國衛(wèi)生檢疫法》規(guī)定的檢疫傳染病中，并按照甲類傳染病進行預(yù)防和控制。

2020年2月9日，中央網(wǎng)絡(luò)安全和信息化委員會辦公室《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》第5點指出“鼓勵有能力的企業(yè)在有關(guān)部門的指導(dǎo)下，積極利用大數(shù)據(jù)，分析預(yù)測確診者、疑似者、密切接觸者等重點人群的流動情況，為聯(lián)防聯(lián)控工作提供大數(shù)據(jù)支持?！盵2]國家衛(wèi)健委在《關(guān)于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》中也強調(diào)強化各部門和各數(shù)據(jù)控制階段的信息聯(lián)動和使用[3]。因此，在面對重大疫情時，疾病預(yù)防控制和醫(yī)療機構(gòu)有權(quán)獲取和使用個人涉疫信息。各級政府可以授權(quán)相關(guān)組織及個人來協(xié)助控制個人信息。信息主體也應(yīng)配合授權(quán)主體，做好聯(lián)防聯(lián)控工作。

1.2重大疫情期間個人抗疫信息控制中出現(xiàn)的問題及原因從2020年初新冠爆發(fā)，到2021年初河北、東北，再到4月份云南，我國防疫的基本模式已從全國抗疫階段轉(zhuǎn)化為區(qū)域抗疫和全民防疫相結(jié)合的階段。在重大疫情期間，出現(xiàn)了信息泄露或不當披露的情況(見圖1)。究其原因，是既有的一攬子授權(quán)方式，在網(wǎng)格化防疫管理機制中形成了3種信息控制困境：a.授權(quán)主體范圍不確定、權(quán)責(zé)界限不明確致使信息獲取途徑繁雜重復(fù)；b.個人信息收集范圍沒有標準和限制，沒有遵循最小必要原則；c.沒有區(qū)分不同的涉疫人群進行信息控制，使網(wǎng)格化共享加劇了信息的不必要移轉(zhuǎn)。

圖1 重大疫情和區(qū)域抗疫場景下信息控制節(jié)點及風(fēng)險

1.2.1 授權(quán)主體的范圍和權(quán)責(zé)不明確 在登記排查的過程中，由于收集和披露個人信息時存在疏忽和不規(guī)范，出現(xiàn)了一些損害信息主體合法權(quán)益的事件[4]。無論是在信息的獲取階段還是儲存階段，排除違法竊取的情形，信息泄露的源頭一定是具備合法授權(quán)的控制者。沒有明確權(quán)責(zé)，各級授權(quán)主體都有泄露信息的風(fēng)險。一攬子授權(quán)之下的信息獲取模式，在獲取階段就存在著各類授權(quán)主體都有權(quán)收集信息的現(xiàn)象，一旦發(fā)生信息泄露，幾乎不可溯及追責(zé)。即使有追責(zé)可能，對抗疫大局來說也屬沉沒成本，影響效率。因此，唯從源頭上將授權(quán)主體劃分明確，權(quán)責(zé)落實到具體組織和個人，才能夠有效的在此環(huán)節(jié)實現(xiàn)個人信息保護的預(yù)防效果。

1.2.2 個人抗疫信息的范圍無明確劃分和限制 信息獲取階段，沒有遵循最小必要原則。所謂最小必要原則，指數(shù)據(jù)最小化(Data Minimisation)，即處理個人數(shù)據(jù)應(yīng)當是為了實現(xiàn)特定的目的而獲取的適當?shù)?、相關(guān)的以及必要的個人數(shù)據(jù)(GDPR Article 5.1(c))。根據(jù)《網(wǎng)安法》第41條的規(guī)定，網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當遵循合法、正當、必要的原則?！秱€人信息安全規(guī)范》中也將其規(guī)定為最少夠用原則[1]。簡言之，抗疫個人信息的控制范圍應(yīng)當以能夠滿足抗疫需求為標準，不應(yīng)當獲取超出抗疫需求范圍的信息。

在信息收集權(quán)力下放的過程中，具體獲取信息的范圍并沒有明確的規(guī)定和限制，加之抗疫任務(wù)艱巨，失職責(zé)任十分嚴重，使得大部分授權(quán)主體盡可能地獲取更大范圍的信息以求穩(wěn)妥，超過必要范圍的收集隨處可見。在網(wǎng)格化管理系統(tǒng)中，轄區(qū)的要道設(shè)立信息強制登記節(jié)點(如機場、火車站)，進入轄區(qū)的人員需要掃描二維碼完成信息填報[5]。所填報的信息包括：姓名、身份證號、手機號、工作單位、來源省市、是否有12歲以下兒童同行、緊急聯(lián)系人及其電話、進入城市的明確居住地址等。這樣的規(guī)范有其優(yōu)勢，但也存在一定的隱患，即信息主體所到之處，都會留存其個人信息，且范圍并沒有限定?；谑跈?quán)疏漏，在網(wǎng)格化共享信息時，不同層級授權(quán)主體掌握著同范圍、同粒度的信息，一些基層組織掌握了大量的、不必要的個人信息。

1.2.3 沒有按照涉疫程度區(qū)分信息控制力度 重大疫情期間，信息主體主要分為四類：即A(有疫區(qū)接觸史的，分散到全國各地的人群)、B(與A在公共場所接觸但互不認識也不知道對方存在的人群)、C(A到達目的地后接觸的人群，如親友、同事、鄰居)、D(已避開涉疫區(qū)域并居家沒有外出的人)[6]。根據(jù)ABCD疫情傳染矩陣，A類通過不同行蹤軌跡節(jié)點(如火車站、飛機場等)獲取其個人信息，是目前信息權(quán)益被侵犯最嚴重的信息主體；B類是潛在隱患，需要采取通知并自覺報備和主動排查等手段去尋找；C類相較于B類好找一些，需根據(jù)A類的報備尋找；D類本身并不涉疫，做好防護和居家隔離即可排除風(fēng)險。

信息控制的問題在于：在直接獲取階段，沒有區(qū)別對待各類人群的信息，D類的信息的收集程度和A、C類一樣多；在間接獲取時，通過從前授權(quán)主體處獲取信息，并采取網(wǎng)格化共享。在共享中，一些授權(quán)主體采取1：1的共享模式。沒有區(qū)分范圍，使得一些授權(quán)主體控制了其無權(quán)獲取的信息；除D類人群，ABC類屬于重點防控人群，其信息被控制的幾率更高，泄露風(fēng)險也更大，但這三類人群所產(chǎn)生的風(fēng)險程度并不同。因此，對這三類人群的信息采取區(qū)分控制就顯得尤為重要。

綜上所述，三種原因環(huán)環(huán)相扣引發(fā)信息控制風(fēng)險：授權(quán)主體權(quán)責(zé)不明，導(dǎo)致信息控制范圍擴大；信息范圍界定不清，導(dǎo)致信息的過度收集；信息主體不加區(qū)分，導(dǎo)致信息控制失衡。解決以上問題，需要以信息收集目的為基準，以不同的信息處理環(huán)境為前提，從不同的信息處理階段入手，對不同層級授權(quán)主體劃分權(quán)限，對個人抗疫信息的收集范圍以不同階段、人群區(qū)分對待，才能有效降低信息控制風(fēng)險。

2 后疫情時代個人涉疫信息控制的特殊性、正當性及其思路

2.1個人涉疫信息控制的特殊性及其正當性基礎(chǔ)

2.1.1 特殊性：區(qū)域性抗疫和全民防疫的信息控制并存 重大疫情期間，由于面臨病毒和自由受限的雙重心理壓力，信息主體對授權(quán)主體的信息控制力度會存在較高容忍度。而在后疫情時代，這些壓力會逐漸緩解。如何在新環(huán)境下對信息主體展開有效、必要的信息控制，是協(xié)調(diào)防疫工作和復(fù)工任務(wù)的重要條件。因此，需要從對新環(huán)境的特點分析入手。

結(jié)合2019-2020年底東北地區(qū)、2021年初河北、上海地區(qū)和2021年4月份云南地區(qū)的抗疫情況。目前，我國已經(jīng)進入到周期性、區(qū)域性抗疫和全民防疫工作并行的后疫情時代。周期性抗疫，即在每年年底到次年年初的新冠高發(fā)期展開的抗疫工作；區(qū)域性抗疫，即針對疫情爆發(fā)的個別地區(qū)實行預(yù)警升級并全區(qū)抗疫的情況。全民防疫，即在非涉疫地區(qū)，持續(xù)穩(wěn)定地展開基礎(chǔ)防疫工作。

無論是一個省、市，還是一個區(qū)(如2021年初上海黃浦區(qū))，區(qū)域抗疫都有別于全國抗疫。而全民防疫工作的有效展開，也會將可能出現(xiàn)的周期性抗疫轉(zhuǎn)化成區(qū)域抗疫。在抗疫和防疫狀態(tài)并存的環(huán)境中，需要重新權(quán)衡公眾知情利益和個人信息利益的協(xié)調(diào)問題。與重大疫情相似，區(qū)域抗疫環(huán)境下，需要更細粒度，而非更廣范圍的信息，精準抗疫會成為后疫情時代一種常態(tài)化的工作方式。疫區(qū)和非疫區(qū)的信息控制也應(yīng)存在根本性差異，以此區(qū)別重大疫情下的利益平衡模式，將公眾知情利益和個人信息利益做出平衡的修正(見圖2)：重大疫情期間或區(qū)域性抗疫時，個人信息利益相對克減的控制方式，得益于信息主體較高的容忍度；而在全民防疫場景下，心理和生理壓力的緩解，個體行為自由的釋放，使信息主體對其信息利益的關(guān)注開始影響整個社會的發(fā)展。高強度、無差別的信息控制方式已無法兼容新的場景需求。對個人信息利益的保護從對其的控制力度緩和展開，下文詳述，此處不贅。

圖2 后疫情時代公眾知情利益和個人信息利益平衡的修正

2.1.2 正當性：一般公共衛(wèi)生利益場景中的信息控制必要 與重大疫情相似的區(qū)域性抗疫場景中，信息控制的正當性前文已述。但后疫情時代下的全民防疫場景中，類“緊急狀態(tài)”的情形逐漸消失，授權(quán)主體控制個人信息的正當性基礎(chǔ)就存在差別，其并不基于重大公共衛(wèi)生等情急場景下所代表的重大公共利益(如《個人信息安全規(guī)范》)或重大生命利益(如GDPR)，而是基于一般公共利益、公共衛(wèi)生項下的信息控制正當性。且前述法律規(guī)定對公共利益、公共衛(wèi)生、重大公共利益、重大生命利益等事由做出了枚舉式的表述。因此，在涉及一般公共利益、公共衛(wèi)生的場景中，也存在信息控制正當性。根據(jù)圖2的利益平衡修正，全民防疫場景中對個人信息利益的克減應(yīng)需緩和，但由于疫情風(fēng)險仍舊存在，且隨時可能轉(zhuǎn)化為區(qū)域性抗疫。所以，對個人防疫信息的控制實屬必要。個人抗疫信息和個人防疫信息的范圍和控制力度差異也由此體現(xiàn)，否則會出現(xiàn)同質(zhì)化信息控制，侵害信息主體利益。

2.2基本思路：以場景理論區(qū)分抗疫和防疫中的信息控制方式

2.2.1 信息控制場景：決定信息控制目的和信息主體的合理預(yù)期 根據(jù)《網(wǎng)安法》第41條，在收集和使用個人信息時，應(yīng)當在滿足合法、正當、必要的前提下，對收集和使用信息之目的、方式、范圍進行明示。而收集目的作為信息控制活動的起因，對收集和使用的方式、范圍起到?jīng)Q定性作用。無論是基于知情同意機制下的自愿收集，還是基于公共利益下的強制收集，首次獲取和后續(xù)使用目的必須合法明確。GDPR中也規(guī)定了目的限定原則，即對個人信息的收集應(yīng)當具有具體、清晰和合法的目的，對個人信息的處理不應(yīng)當違反初始目的(GDPR Article 5.1(b))。

在不同的涉疫情形之下，對信息的控制目的也需解構(gòu)和細化，以此限制個人信息的不合理流動?；谀康南薅ㄔ瓌t，從信息處理的源頭進行規(guī)范，以此滿足信息主體的合理預(yù)期。而影響這種合理預(yù)期的因素稱為“場景”[7]。該因素源自美國康奈爾大學(xué)教授Helen Nissenbaum最早提出的隱私場景完整性理論[8]：對個人信息收集時的語境應(yīng)當受到尊重，對個人信息的合理保護應(yīng)當置于相應(yīng)的場景之中進行具體審視，以免做出脫離環(huán)境的預(yù)判。以信息主體的合理期待為標準，來衡量信息控制的合理性問題。雖然場景理論因構(gòu)成因素的多樣性，使其在判斷信息控制的合理性時變得較為復(fù)雜，但目前已逐漸被國際所認可[7]。國內(nèi)也有學(xué)者支持這種理論并展開研究[9]，確定其作為一種信息控制合理性的判斷依據(jù)。后疫情時代，對區(qū)域性抗疫和非疫區(qū)防疫兩種場景進行細化，在探究信息控制目的的基礎(chǔ)上，通過匹配信息主體的合理預(yù)期來修正信息控制的路徑。

2.2.2 區(qū)域性抗疫中的場景劃分及信息控制思路 區(qū)域性抗疫中，對疫區(qū)內(nèi)的信息控制活動，應(yīng)區(qū)別于非疫區(qū)。疫區(qū)中可以采取等級較高的信息控制力度，這種力度與重大疫情下的力度相似。不同之處在于，其副作用不會像全國抗疫那么嚴重，通過其他地區(qū)的政策協(xié)調(diào)，完全可以做到抗疫成本反哺。將隱私場景理論適用于區(qū)域抗疫環(huán)境中，從抗疫主要目的出發(fā)，根據(jù)聯(lián)防聯(lián)控中的具體場景入手，分別對不同場景下收集信息的情況做出基本的規(guī)范。在收集個人信息時，信息主體應(yīng)當知曉其信息被收集的初始目的。不同場景下的收集目的不同，所以信息主體對信息控制的合理期待也不同。若授權(quán)主體違背這種合理期待并做出超出預(yù)期的控制行為，則侵犯個人信息權(quán)益。根據(jù)抗疫實踐，可將信息控制場景歸為以下幾種(見表1)：

表1 區(qū)域性抗疫中的信息控制場景

場景一，授權(quán)主體是醫(yī)療機構(gòu)和相關(guān)防疫組織，其收集的對象也限于確診患者和重點排查人員。因此，信息控制目的有3個：科研治療、排查疑似和找尋密切接觸者。因此，信息控制必須是以這3個目的為限，而收集方式和范圍也會有所不同。場景二，是針對區(qū)域內(nèi)封閉化管理并進行疫情排查時，授權(quán)主體(主要有公安機關(guān)、社區(qū)工作人員、小區(qū)物業(yè)等)對個人信息的控制。此場景下，信息收集的目的主要就是排查和尋找密接者。而信息主體對不同的授權(quán)主體也存在不同的合理期待，這種期待是建立在信任基礎(chǔ)之上。例如，對公安機關(guān)的信任度就會高于社區(qū)工作人員或小區(qū)物業(yè)，相應(yīng)的收集范圍就會因為這種合理期待的不同而有區(qū)別；場景三，是城際間交通工具運行者(火車站、汽車站、高速路、飛機場等交通節(jié)點)，依授權(quán)對個人信息的控制。例如，乘坐飛機時，航空公司會通過掃碼的方式要求乘客填寫個人信息，并明確收集目的是用于排查疑似。乘客在提交這些信息時，對航空公司的合理期待就是限定排查疑似和尋找密接范圍內(nèi)使用其信息，而不能轉(zhuǎn)作他用。

2.2.3 非疫區(qū)防疫中的場景劃分及信息控制思路 與區(qū)域性抗疫不同，在全民防疫環(huán)境下，數(shù)據(jù)防疫的基本方式是以健康碼為主，額外提交信息為輔。從數(shù)據(jù)控制方式上來看，健康碼降低了數(shù)據(jù)獲取、使用、披露等環(huán)節(jié)的泄露問題，但在數(shù)據(jù)生成、移轉(zhuǎn)和儲存等方面依舊存在風(fēng)險；健康碼之外，個別區(qū)域會繼續(xù)執(zhí)行線上或者線下的信息提交和報備程序。如工作單位，是除了衛(wèi)生部門之外最主要的涉疫信息控制節(jié)點。每天的健康信息報備和外出返鄉(xiāng)的信息額外報備，是此場景中的主要信息控制模式；后疫情時代，還存在信息收集之后的再次利用問題，一些地區(qū)主管部門計劃對這些信息進行二次開發(fā)利用，并提供額外的大數(shù)據(jù)服務(wù)(見表2)。

表2 非疫區(qū)防疫中的信息控制場景

場景四，主要是指用工單位和網(wǎng)格化區(qū)域內(nèi)對返工人員個人信息的控制，如各城市對返回人員進行健康碼掃碼登記，單位要求員工填寫個人信息作防疫報備，市內(nèi)公交車實名掃碼等情況。此場景下，存在多種復(fù)雜的小場景，且不同的小場景中對信息的控制會有區(qū)別。如，城市管理部門對返工人員統(tǒng)一登記，與用工單位對員工進行登記應(yīng)當存有差別；而公交車掃碼實名登記和前兩者的區(qū)別就會更大，因為其收集目的更加單一，是否應(yīng)當收集也存在爭議。本場景中存在一些返工人員網(wǎng)格間流動的情況，此時的信息控制活動歸屬場景三。場景五，是復(fù)工穩(wěn)定之后的常態(tài)化報備，目標是對行動軌跡相對穩(wěn)定的信息主體，設(shè)定行為和風(fēng)險預(yù)判機制，以應(yīng)對可能的精準防疫目標。常態(tài)化報備的信息應(yīng)更加嚴格地執(zhí)行最少必要原則，且對授權(quán)主體的禁止性規(guī)范應(yīng)當更明確，如，非必要不移轉(zhuǎn)信息。場景六，是后疫情時代最普遍的一種信息控制，很多涉疫信息在初次收集時，無論基于知情同意還是公益強制，都沒有明確使用目的，甚至有概括授權(quán)情形。有些授權(quán)主體就計劃發(fā)揮其“額外價值”。這是后疫情時代涉疫信息風(fēng)險的最終來源。如何設(shè)置信息的被遺忘制度，二次使用的再授權(quán)制度，都是此場景中的重點控制路徑。

綜上，隱私場景理論的優(yōu)勢在于可以區(qū)分設(shè)定不同場景中的權(quán)利義務(wù)，但同時其缺陷也在于此，信息主體在不同場景下的“合理期待”不同，甚至是對同一信息的合理期待也可能存在差異。筆者認為，法律規(guī)范無法將所有的情況枚舉式窮盡，這不符合法的一般性；同時，法律規(guī)范卻可以設(shè)定相對化的標準，將所有可能且合理的情況都錨定在這個范圍內(nèi)，從而實現(xiàn)法的彈性。因此，應(yīng)當依據(jù)不同場景，設(shè)置出該場景下，針對同一信息，一般理性人的合理期待范疇(如同經(jīng)濟學(xué)和法學(xué)中的理性人參照系)，從而構(gòu)建一個相對一致的合理期待體系。后文中的信息范圍劃定，也是按照一般理性人的標準設(shè)定。

3 后疫情時代個人涉疫信息的控制路徑選擇

后疫情時代，信息主體對不同的涉疫場景和信息控制目的所產(chǎn)生的合理期待不同。根據(jù)場景將信息控制的目的區(qū)別和細化，結(jié)合不同場景下授權(quán)主體身份和職能的不同，來區(qū)別具體的信息控制權(quán)責(zé)、范圍和方式。

3.1明確控制權(quán)責(zé)：不同授權(quán)主體依據(jù)場景設(shè)定不同權(quán)限在網(wǎng)格化防疫管理中，由于排查權(quán)限不斷下放和無差別共享，使信息控制風(fēng)險增加。因此，設(shè)定明確的權(quán)責(zé)范圍，是涉疫信息保護的基礎(chǔ)。根據(jù)相關(guān)法律法規(guī)和防疫實踐，授權(quán)主體歸為以下幾類(見表3)：

表3 授權(quán)主體分類及信息獲取方式

第一類，是重大疫情下的抗疫統(tǒng)籌部門。職責(zé)主要是發(fā)布防控決定、命令，調(diào)整相關(guān)細則和文件，統(tǒng)籌疫情檢測、排查和防控工作。例如公安機關(guān)，特殊的社會職能允許其在涉疫信息控制中享有較大的權(quán)限，掌握和能夠使用的信息范圍是最廣的。因此，其信息控制職責(zé)也需更嚴格。第二類，是作為救治和疫情預(yù)測職能的承擔(dān)者(場景一)，其在信息控制中主要以這兩點職責(zé)劃分權(quán)力范圍。在履職中會獲取到更多的生物健康識別類信息，其中涉及個人隱私保護職責(zé)。第三類，職責(zé)是管理和統(tǒng)籌轄區(qū)內(nèi)的各單位和社區(qū)落實防控措施(場景二、場景四)。收集、登記、核實和報送涉疫信息及配合工作，應(yīng)當以防疫排查目的為限，遵循最小必要原則控制信息。第四類，是承擔(dān)特殊社會職能的組織和機構(gòu)。如承擔(dān)運輸職能的交通運營者、承擔(dān)通訊的電信運營者以及承擔(dān)防疫大數(shù)據(jù)分析工作的大數(shù)據(jù)從業(yè)者。其信息控制正當性來源于政府臨時授權(quán)，對其控制權(quán)限設(shè)定，應(yīng)當以其職能的輻射范圍為依據(jù)，明確具體的信息控制范圍、方式。第五類，是防疫常態(tài)化下信息主體的主要軌跡節(jié)點(場景五)，用人單位的職責(zé)是獲取報備信息內(nèi)容并監(jiān)督疫情風(fēng)險。

五類主體在信息獲取的方式上存在差異，后三類主體，不能通過共享間接獲取信息：第三類主體的授權(quán)層級較低，不應(yīng)當通過共享獲取個人信息，且對信息的使用限制更加嚴格[10]。第四類主體存在數(shù)據(jù)市場化能力，通過共享的方式獲取不必要的信息會產(chǎn)生數(shù)據(jù)信用風(fēng)險。應(yīng)當避免打著防疫的旗號大肆收集個人信息的行為[11]。第五類主體的信息控制權(quán)力范圍最小，附加的義務(wù)更重，例如不能共享信息，不能對信息做出非初始目的的二次利用等。

3.2限定控制范圍：依據(jù)場景設(shè)定不同的信息可控范圍依據(jù)場景將不同授權(quán)主體權(quán)責(zé)劃分，對個人涉疫信息控制范圍進行限定，減少不必要的控制。從信息控制源頭上遵循最小必要原則，以達到事前保護個人信息的目的。

《網(wǎng)安法》第76條規(guī)定，個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證號碼、個人生物識別信息、住址、電話號碼等?！秱€人信息安全規(guī)范》中規(guī)定個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。包括：姓名、出生日期、身份證號、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。比較法上，歐盟GDPR規(guī)定個人數(shù)據(jù)，是指與已識別或者可識別的自然人相關(guān)的任何數(shù)據(jù)；可識別的自然人尤其是指通過姓名、身份證號、定位數(shù)據(jù)、網(wǎng)絡(luò)標識符號以及特定的身體、心理、基因、精神狀態(tài)、經(jīng)濟、文化、社會身份等識別符，能夠被直接或間接識別到身份的自然人(GDPR Article 4 (1))。個人信息的范圍廣泛，在實踐中對其的判定存在兩種路徑：一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人；二是關(guān)聯(lián)，即從個人到信息，如已知特定自然人，則由該特定自然人在其活動中產(chǎn)生的信息(如個人位置信息、個人通話記錄、個人瀏覽記錄等)即為個人信息。符合上述兩種情形之一的信息，均應(yīng)判定為個人信息[1]。

在區(qū)域抗疫場景中，依據(jù)傳染矩陣和聯(lián)防聯(lián)控要求，授權(quán)主體除了對姓名、電話號碼、家庭住址等基本的個人信息進行處理之外，對個人定位、行蹤軌跡信息以及生物識別和健康生理信息的使用尤為頻繁。而此類信息在實踐中定義為個人敏感信息，即一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。這類信息包括：身份證號、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下(含)兒童個人信息等[1]。根據(jù)一些信息泄露事件不難發(fā)現(xiàn)，個人涉疫信息不光包含個人基本信息，還包括個人敏感信息。本文不討論兩者區(qū)別問題，只從兩種信息包含的內(nèi)容出發(fā)，規(guī)范在不同場景下的各類信息控制。

不同的場景中，不同的授權(quán)主體所需掌握的信息范圍應(yīng)當存在差異。通用的個人涉疫信息包括：姓名、手機號碼、身份證號、性別、家庭住址。通過這幾個要素就基本可以識別和定位到特定的自然人，而不需要其他信息進行輔助識別。因此，在每個場景中收集以上信息內(nèi)容，是符合一般理性人標準下的信息主體對數(shù)據(jù)防疫的合理期待。而不必要收集的信息，如民族、郵箱，甚至是婚姻狀況、近親屬個人信息等情況應(yīng)當禁止。場景一中，除了對以上個人基本信息的收集之外，還會涉及對個人敏感信息的收集，如生物識別信息、健康信息等。作為救治和防疫預(yù)測職能的承擔(dān)者，第二類主體依職權(quán)可以收集這些敏感信息。但同時，其也需要對所控制的個人信息，尤其是敏感信息盡到保護義務(wù)。在場景二和場景三中，除了基本信息之外，車次班次、座位、始發(fā)和到達站、乘車日期、票號、戶籍地址、活動軌跡是依防疫目的所必要的登記事項。在區(qū)域排查中，如小區(qū)住戶的登記，具體到門牌號的信息是必要登記事項，但在場景三中這類信息不應(yīng)當成為必要登記事項。此外，對于活動軌跡類信息，也是以官方提出的14～21天隔離安全期間為限。針對一般人群，活動軌跡的節(jié)點應(yīng)當盡量采取大致范圍收集方式，如某某火車站、某某小區(qū)，而不應(yīng)該過分細化。對于重點涉疫人群，可以依據(jù)場景適當放寬收集范圍，且需要把控披露環(huán)節(jié)下的信息保護。在場景四和場景五中，用工單位每天要求員工登錄相關(guān)系統(tǒng)填寫個人信息，如姓名、性別、聯(lián)系方式、員工號、健康狀況、目前定位地址以及是否有涉疫地區(qū)接觸史(此處報備內(nèi)容應(yīng)當僅限于點狀行蹤，而非線狀行蹤，線狀行蹤適用于場景二、三中)。用工單位作為授權(quán)主體，應(yīng)當減少不必要的重復(fù)填報(包括線上填報之后線下重復(fù)填報)，禁止以防疫為由收集額外的信息，禁止非必要轉(zhuǎn)移、非必要他用的情況。

結(jié)合前文的控制權(quán)責(zé)明確，可以從一定程度上減少信息的超范圍控制。但現(xiàn)實防疫的情況是，出于疫情的敏感性和防控的有效性要求，授權(quán)主體(如場景一中的醫(yī)療機構(gòu))不得不獲取一些超出其一般權(quán)限范圍的信息(如行蹤軌跡)。筆者認為，可以采取兩種方式解決此類問題：方式一，簡報共享式，通過有權(quán)獲取特定信息的授權(quán)主體以簡報形式(信息分析結(jié)果)傳遞必要咨詢。此種方式優(yōu)勢在于，權(quán)責(zé)限定明確，減少原始信息的不必要共享和收集。缺點是會產(chǎn)生額外數(shù)據(jù)分析和傳送成本。方式二，差異化信息管理式，根據(jù)場景必要性，將獲取信息的范圍適當擴大，并對超范圍獲取到的信息進行差異化管理：如嚴格禁止共享超范圍獲取到的信息，在該類信息使用目的實現(xiàn)之后進行刪除或去識別。此種方式也可以嚴格遵守權(quán)責(zé)明確制度，但同時也會對授權(quán)主體的信息管理能力提出更高要求。

3.3細化控制階段：依據(jù)場景細化各階段合規(guī)內(nèi)容個人涉疫信息的控制分為獲取、存儲、使用、披露，以及后疫情時代必然存在的再利用或被遺忘階段。結(jié)合前述兩點規(guī)范路徑，將不同階段依據(jù)場景進行解構(gòu)，設(shè)定合規(guī)細節(jié)(見表4)。

表4 個人涉疫信息控制的不同階段及合規(guī)內(nèi)容

3.3.1 信息獲取階段 信息控制的初始階段，需要規(guī)范獲取方式和途徑。直接獲取，是指授權(quán)主體以防疫為目的，主動去收集個人涉疫信息；間接獲取，是指授權(quán)主體從其他信息控制者處，通過共享的形式獲取信息。前述控制者在收集相關(guān)信息時的目的并非防疫，而是依其社會職能不同有區(qū)別，如火車站、飛機場等以通行便捷和安全為目的收集個人信息，通訊公司以其業(yè)務(wù)為目的收集個人信息。前述第一類、第二類授權(quán)主體在直接獲取信息較為困難時，會采取間接獲取信息的方式。以公共利益為目的地獲取信息不受知情同意限制，但因為改變了信息收集的初始目的，應(yīng)當告知信息主體，以此匹配信息主體對新收集目的的合理期待。

此階段從四個部分規(guī)范：a.主體合規(guī)。包括授權(quán)主體權(quán)責(zé)限定和信息主體合理區(qū)分。授權(quán)主體在不同場景下應(yīng)設(shè)定不同權(quán)限，如后三類主體(基本活動于場景二、三、四、五中)就不應(yīng)當通過共享的方式獲取信息。信息主體合理區(qū)分，是指在不同場景下對不同涉疫人群區(qū)別對待，以免過度收集。例如在場景三、四中，應(yīng)對前述ABCD四類人群的信息區(qū)分收集，切忌一攬子收集；b.信息收集目的限定：場景一中會有特殊的診療目的，甚至有后續(xù)的科研目的。場景三、四、五的信息控制主要以密接者查詢儲備為目的，不同目的的告知，讓信息主體產(chǎn)生不同合理期待。c.告知義務(wù)。根據(jù)《網(wǎng)安法》，授權(quán)主體應(yīng)當在獲取信息時履行相應(yīng)的告知義務(wù)，包括使用目的，范圍、方式、承諾保護以及其他相關(guān)必要的告知事項。不通過知情同意機制，不代表不需要向信息主體告知其信息的具體流動情況，告知義務(wù)是之后責(zé)任溯及和實現(xiàn)信息主體相關(guān)權(quán)利(如場景六的被遺忘權(quán))的必要保障；也是其合理期待的依據(jù)，如場景一中，收集生物識別信息應(yīng)當告知信息主體后續(xù)可能的科研目的等。d.范圍限定。應(yīng)當避免重復(fù)、超范圍收集，應(yīng)遵循最小必要原則。作為前手控制者，應(yīng)當在共享時采取篩選和必要的去識別方式，保護相關(guān)主體的可識別利益。根據(jù)《個人信息安全規(guī)范》最小化的標準，收集的個人信息類型應(yīng)當與實現(xiàn)相關(guān)業(yè)務(wù)功能直接關(guān)聯(lián)，即沒有該信息參與則無法實現(xiàn)防疫目的，前述的通用個人防疫信息就屬此類，且在自動采集和間接獲取時應(yīng)當保持必要的最低頻率和最少數(shù)量[1]。同一場景中，針對同一信息，信息主體的合理期待相對一致。不同場景中，針對同一信息的合理期待就有可能不同。例如診療場景中收集個人體溫信息，與其他場景中收集個人體溫信息，信息主體的合理期待一定會不同，信息主體不會期待個人體溫信息在其他場景中被用于診療和科研，所以，體溫信息在這些場景中只能用于檢測排查，不能收集。在收集方式上也應(yīng)當做出規(guī)范，目前防疫實踐中采取紙質(zhì)和電子收集兩種，各有利弊，應(yīng)當在避免重復(fù)收集的前提下，做好授權(quán)主體責(zé)任的可追溯工作。在健康碼生成的各階段也需要提供申請者的涉疫信息，需要做到避免重復(fù)收集(如碼上加碼、碼外填寫等)。

3.3.2 信息存儲階段 信息合規(guī)使用的前置階段，應(yīng)從兩個部分規(guī)范：第一，規(guī)范控制主體。應(yīng)當對授權(quán)主體的控制行為予以規(guī)范，責(zé)任到人，以減少控制風(fēng)險；第二，規(guī)范控制方式。首先，規(guī)范信息的存儲方式，對應(yīng)當保密的設(shè)定訪問權(quán)限，必要時采取匿名化，如場景一中的生物健康信息，應(yīng)當去識別或者加密保存，使用時應(yīng)在防疫效率和信息保護之間合理平衡。場景三、四、五的體溫信息就屬于非必要存儲內(nèi)容，不應(yīng)當存儲。其次，明確信息存儲期限，個人涉疫信息具有一定的時效性，疫情結(jié)束后控制其的目的已不存在，應(yīng)當設(shè)定存儲期限(如疫情結(jié)束后3個月內(nèi))[12]和刪除義務(wù)，保障信息主體被遺忘權(quán)等相關(guān)權(quán)利(場景六)。

3.3.3 信息使用階段 信息控制目的的實現(xiàn)階段。網(wǎng)格化共享具有特殊性：首先，目的特殊，即抗疫防疫為主；其次，方式特殊，共享即是信息的主要使用方式；最后，形式特殊，通過網(wǎng)格化共享來實現(xiàn)排查功能時，基本不需要改變原始數(shù)據(jù)形式。此階段應(yīng)當從四個部分規(guī)范：第一，明確共享目的。限定并細化具體防疫目的，如場景二、三、四中即時溫度、行蹤軌跡審查等。第二，差別共享。在不同層級的授權(quán)主體之間應(yīng)當避免1:1的無差別共享，建立網(wǎng)格間、授權(quán)主體間以及場景間的差別共享機制，如醫(yī)療機構(gòu)與公安之間共享信息時應(yīng)當剔除不必要的信息(如生物識別信息)。必要時建立網(wǎng)格共享正面或負面清單，以貫徹最小必要原則。第三，責(zé)任溯及。有時信息泄露發(fā)生在使用階段，根源卻是在獲取階段。所以應(yīng)當設(shè)置信息來源的可溯及化，實現(xiàn)責(zé)任的可追溯。紙質(zhì)信息來源應(yīng)當標明抬頭和授權(quán)主體落款或簽章，電子信息來源應(yīng)當加設(shè)水印或信息流動日志。第四，脫敏義務(wù)，網(wǎng)格化共享因其特性，使得大部分情況都是原始信息的共享。在不能及時采取差別共享時，授權(quán)主體應(yīng)當做好去識別的工作，降低識別風(fēng)險。除此之外，共享的授權(quán)主體作為信息的共同控制者(GDPR Article 26.)，應(yīng)當明確各自的責(zé)任，遵循相應(yīng)的合規(guī)要求，不能消極對待義務(wù)和推諉責(zé)任。

3.3.4 信息披露階段 滿足公眾知情權(quán)的重要階段，存在信息泄露或不當披露問題(見圖1)。從四個部分規(guī)范：a.主體合規(guī)。其中包括披露主體合規(guī)和被披露的信息主體合規(guī)。根據(jù)《中華人民共和國政府信息公開條例》，政府及相關(guān)授權(quán)部門有權(quán)對涉及公共利益的事宜進行必要、適當?shù)墓_。根據(jù)《傳染病防治法》第38條，只有國務(wù)院、省、自治區(qū)、直轄市人民政府衛(wèi)生行政部門有權(quán)披露全國和區(qū)域內(nèi)的傳染病信息。因此，應(yīng)當嚴格把控有權(quán)披露信息的主體。在授權(quán)之下，根據(jù)《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條，相關(guān)網(wǎng)絡(luò)服務(wù)提供者本著社會公共利益，應(yīng)在合法、必要的范圍內(nèi)公開自然人的病歷資料、健康檢查資料等敏感信息b.公開透明。信息披露是滿足公眾知情權(quán)的重要甚至是唯一手段，應(yīng)當在保護信息安全的基礎(chǔ)上做到公開透明、真實。c.程度適當。為防止不當披露，應(yīng)結(jié)合具體場景，對是否需要涉及密切接觸者的具體信息，人員定位細化程度，以及具體披露人群范圍做出審慎決定(如場景二、三)。d.匿名義務(wù)。《網(wǎng)安法》第42條提供了匿名化或脫敏化機制，經(jīng)過匿名脫敏處理無法識別特定個人且不能復(fù)原的個人信息，可以作為必要的披露內(nèi)容。我國施行的《信息安全技術(shù) 個人信息去標識化指南》雖然屬于建議性國家標準，但對姓名、身份證號等常見標識符提供了技術(shù)參考，如姓名的泛化編碼、抑制屏蔽、隨機替代、假名化、可逆編碼等形式[1]。此次疫情實踐中，日本厚生勞動省和香港特別行政區(qū)政府衛(wèi)生署都提供了很好的范例：一方面，政府充分保障公民的知情權(quán)。在公示確診病例信息中，列舉了患者的確診日期、性別、年齡、居住地、報告來源、入院情況、化驗結(jié)果、患者狀況、點狀行程等與疫情相關(guān)的必要信息。另一方面，充分保護了每位確認患者及疑似患者的個人信息，刪除了患者的姓名、國籍等可識別要素。其中在公布的具體新疫情案例中，也只是將感染者的性別、居住地、年齡以及點狀活動軌跡[13]。日本厚生勞動省在公布患者的個人信息時，只公布了年齡、性別、居住地、癥狀、經(jīng)過、點狀行動軌跡來說明感染情況和狀態(tài)[14]。

3.3.5 信息再利用或被遺忘階段 涉疫信息的兩個截然相反的最終路徑。根據(jù)數(shù)據(jù)控制基本原則，信息主體對其信息的最終控制方式有決定的權(quán)利。在完成防疫目的之后，信息主體有權(quán)依照相關(guān)規(guī)定要求信息控制者刪除其個人信息。參照GDPR，我國《個人信息保護法》(草案)第47條也明確規(guī)定，個人信息控制者應(yīng)當主動或者根據(jù)信息主體申請，刪除個人信息。而鑒于數(shù)據(jù)的再利用價值，授權(quán)主體往往欲對信息采取二次利用，如杭州的漸變色健康碼，就是健康碼常態(tài)化利用的典型。隨著后疫情時代社會部分運行方式的線上化遷移，教育、醫(yī)療、飲食以及辦公領(lǐng)域都在探索線上化的模式，而疫情期間存留的海量涉疫信息，就成了這些領(lǐng)域窺視的“寶藏”，不合理的利用會對信息主體的控制利益造成沖擊。而完全禁止信息的再利用也不現(xiàn)實。堵不如疏，如何正確引導(dǎo)再利用方式，設(shè)定再利用的二次或多次授權(quán)制度，是后疫情時代信息控制的重點內(nèi)容。在保證信息主體對其信息合理控制利益基礎(chǔ)上，實現(xiàn)再利用。如果信息主體明確拒絕授權(quán)，應(yīng)當設(shè)定合理的被遺忘制度，在特定條件成就時，刪除相關(guān)個人涉疫信息。

4 結(jié) 語

個人涉疫信息是連接公共利益和個人利益的重要媒介。在區(qū)域抗疫和全民防疫并存的后疫情時代，合理有序地控制個人涉疫信息，是實現(xiàn)后疫情時代社會活動方式轉(zhuǎn)型的重要環(huán)節(jié)。首先，區(qū)分抗疫和防疫兩種環(huán)境下對信息控制的不同模式，區(qū)域抗疫的控制強度應(yīng)當高于非疫區(qū)防疫的控制強度；其次，在兩種環(huán)境下劃分不同的抗疫、防疫場景，針對不同場景下的授權(quán)主體設(shè)定不同權(quán)責(zé)，并限定有差別的信息控制范圍，以此降低信息控制風(fēng)險；再次，以最小必要原則為基礎(chǔ)，對信息控制中的獲取、存儲、使用、披露階段設(shè)定不同的合規(guī)方式；最后，充分重視涉疫信息的二次利用機制和被遺忘機制，在滿足信息主體對其信息控制的基礎(chǔ)上，實現(xiàn)個人涉疫信息在后疫情時代中的數(shù)據(jù)價值。