疫情防控下的个人信息收集与隐私保护，一个不得不重视的两难话题_风闻

尽管出于意识形态和国家自尊的原因，西方国家不愿意承认在抗击新冠疫情方面中国所取得的巨大成功，但我们自己不可以过于自谦，中国就是抗疫最成功的国家之一。

中国政府超强的组织动员能力与行动能力，民众对政府权威的遵从与积极配合，是中国抗击疫情取得阶段性成功的关键。

不可忽视的是，中国科技抗疫的贡献不可小觑，其在抗疫中对感染者、疑似感染者与密切接触者的追踪、定位、隔离措施功不可没。

目前，中国在抗疫中对个人信息的收集方式主要有四种：一种是通过手机定位个人出行轨迹，从而判定感染者或受感染者范围，为治疗和隔离提供决策依据；第二种是医院治疗感染患者储存的数据；第三种是核酸检测与抗体检测机构储存的感染者数据；第四种是健康码推行实施过程中收集储存的感染者数据。

不管是何种方式收集的个人疫情数据，都涉及到公民的个人隐私。

在个人隐私权的保护上，东西方表现出两种截然不同的态度。西方将个人隐私看得比个人生命还重要；而在东方中国，为了公共利益，为了生命健康，牺牲个人隐私似乎并无大碍。

但这个世界就怕走极端。西方张扬的个性自由与极端重视个人隐私，导致的灾难后果就是抗疫的失败、疫情的泛滥；东方中国如果没有防范的任由某些APP收集个人信息，或者医疗机构与技术公司无节操的收集、获取个人隐私，甚至泄露公民个人健康信息，那也是打着防疫之名行着人性之恶。

云南文山在抗击疫情期间爆出有5名医务人员利用工作便利，偷拍、散布新冠病毒患者的病程信息，具体包含姓名、家庭详细住址、工作单位、行程轨迹、接触人员、诊疗信息等信息，并通过微信转发，事后被公安机关予以行政处罚。

目前，各省市健康码使用过程中可能存在对个人数据的过度采集和超目的使用。正如有的专家指出的那样——

健康码施行中的突出问题是，一些地方的健康码信息不再只是个人的健康状况和行动轨迹，还包括既往病历、运动轨迹、作息时间、生活习惯等与疫情防控并无直接关联的个人隐私，健康码甚至化身对个人健康进行全面评价，进而对个人活动进行全面管控的万能码。

由于科技的发达，尤其是近年来大数据、人工智能的兴起，传统的个人隐私权正在被更为宽阔和更为通用的信息权（或数据权）所覆盖。

信息权包括两个不可分割的方面。一个是政府或政府授权的机构，为了国家社会与公共利益，有权收集、制作和掌握个人信息，包括隐私信息；另一个是公民信息自决权，即公民可自我决定在何时以及在何种范围内对外公开个人生活事实，未经个人同意，任何单位、机构不得擅自公布、泄露个人信息。

严格说来，隐私权与信息权有着不小的区别。隐私权主要更加看重保护个人私生活安宁和私生活秘密，信息权则不仅保护消极意义上的个人独处和生活秘密，还包括积极意义上个人对自身数据的控制，其保护对象覆盖所有直接或间接可以用以个人识别的数据信息。

对公民个人信息权如何保护，学界还难以达成一致共识，实践中还处于较为混乱中。各种手机APP还在肆无忌惮的未经允许收集、制作和掌控个人信息，甚至将掌握的个人信息倒卖牟利。近年《刑法》修改新添加的“侵犯公民个人信息罪”就是对遏制这一犯罪行为的刑法措施，但惩治效果并不理想。

不管怎样，一般说来，政府或政府授权的机构要获取个人信息前，应该履行的程序性职责是——

向公民个人进行提示，表明根据需要将获取公民个人信息；

征求个人同意，个人不同意时不能获取个人信息；

详细列入要获取个人信息的选项内容；

详细说明所要获取个人信息的用途。

如果国家基于人口普查、实现国家防卫、经济、社会、交通警察任务的数据收集；为了法律争点判断进行的事实调查；对于公民健康危险的防卫、对抗暴动或是暴力行为、预防犯罪目的而收集的数据，在刑事诉讼程序中的事实调查、国家基于平等税捐目的而收集数据等公益事项，都可以在征得个人同意后才能采集、提取、制作与掌控。

大数据、人工智能正在逐渐成为国与国之间竞争的领域。一方面，个体有免受个人数据被无限收集、储存、使用和传递的权利；但另一方面，为了国家的竞争能力，适当牺牲个人的信息权利，也是国家、社会发展的需要。为了迫切的公共利益，个人在原则上必须接受对其信息权的某种限制，这种限制也当然会触及其隐私信息。

另一方面，如果国家机关或授权的机构获取信息的目的与行为本身有问题，个人信息在数据时代下就会失去应有的保护，这是个人信息权的一体两面。

因此，对公民的个人信息的获取、制作、储存、使用与掌控，必须合乎下列要求：

一是合乎正当目的。即必须是国家需要与公共利益所需。例如，此次疫情爆发以来，各级政府就已经开始通过登记在册、上门观察、追踪到人等全覆盖式大排查来摸清人口底数、追踪人员流动轨迹等。这些信息收集行为是以疫情防控为目的，符合国家紧急需要与公共利益需要的目的。

二是合乎安全原则。即公权力机关或授权机构基于需要搜集和使用个人信息，需确保这些信息在储存、使用和传递等全部环节的安全性，泄露个人信息需要承担法律责任。

三是合乎程序规定。即相关机构在个人信息的获取、制作、储存、使用中，必须按照一定的程序规定进行，不合程序性规定的个人信息采集、制作、储存、使用行为，即使合乎目的性，也是一种非法行为。

四是合乎披露规范。即个人信息的披露要规范，除非出于确实需要，否则个人信息不得披露；如必须披露，一般不能过于详尽，以免对号入座给被披露人造成不必要人身麻烦。

在大数据时代下，我国既不能像西方国家那样过于强调保护个人的信息权利而牺牲公共利益与国家竞争力，也不能放任个人信息权被彻底剥夺和排除。

这无疑是个人信息保护立法中必须考虑的核心要义，对此我们有理由对个人信息安全立法抱有极大期待。