網上投稿
摘 要:傳染病疫情引發的突發公共衛生事件,是政府機構為防控傳染病蔓延采取的一種特殊社會控制措施。大數據、人工智能在流行病學調查,患者密切接觸人群的追蹤、排查以及疫情防控、疫情趨勢判斷等方面發揮了重大的作用。突發公共衛生事件中,政府疾病預防控制部門需要向有關的數據控制者調用數據,既需要考慮到數據開放在傳染病防控中的價值, 同時也需要考慮到數據的保護問題。
關鍵詞:傳染病;公共衛生事件;數據開放;數據保護
中圖分類號:D9 文獻標志碼:A
文章編號:1009-8054(2020)03-0024-06
引 言
突發公共衛生事件是指突然發生,造成或者可能造成社會公眾健康嚴重損害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業中毒以及其他嚴重影響公眾健康的事件。其中,以重大傳染病疫情對社會公共安全和公眾健康的影響尤為突出。2019 年底新型冠狀病毒肺炎在武漢傳播,并于 2020年 1 月觸發了重大突發公共衛生事件,對我國正常的經濟、社會運行秩序造成了巨大的影響。
面對疫情引發的突發公共衛生事件,大數據、人工智能算法在流行病學調查,以及疫情防控、疫情趨勢判斷等方面發揮了重大的作用,為各級人民政府和疾控部門的疫情防控工作助力。
中央網絡安全和信息化委員會辦公室于2020 年 2 月 4 日發布了《關于做好個人信息保護——利用大數據支撐聯防聯控工作的通知》。該通知明確提到,“鼓勵有能力的企業在有關部門的指導下,積極利用大數據,分析預測確診者、疑似者、密切接觸者等重點人群的流動情況,為聯防聯控工作提供大數據支持”
[1]。
2020 年 2 月 18 日,工業和信息化部辦公廳發布了《工業和信息化部辦公廳關于運用新一代信息技術支撐服務疫情防控和復工復產工作的通知》。通知明確規定,“支持運用互聯網、大數據、云計算、人工智能等新技術服務疫情監測分析、病毒溯源、患者追蹤、人員流動和社區管理,對疫情開展科學精準防控”
[2]。
在大數據運用于傳染病防治方面,由于通信、交通運輸、地理信息服務、票務代理、酒店賓館等機構掌握了大量的人口流動信息,如何配合政府進行有效的數據開放,是其面臨的重大問題。然而,基于數據來源的多樣性和數據權利的復雜性,數據開放也涉及多重法律關系。其中, 既包含政府機構與數據控制者的關系,也包含政府機構與病人及密切接觸人群等個人信息主體的關系。
疫情中獲取的開放的數據,在法律上具有特定的用途,如何在防控疫情的同時,保護數據各方權利人的利益,既是依法行政的要求, 也是數字時代商業秩序的要求。
1 數據權利的界定與歸屬
在疫情中,提到數據,人們往往會想到與疫情相關的個人信息保護。毫無疑問,個人信息保護是數據保護中非常重要的內容。但是同時,需要注意的是,個人信息保護只是與疫情相關信息的一個維度,數據控制者的利益,也是數據保護的重要內容。
1.1數據權利的界定
數據開放必然涉及對于數據控制者所擁有數據的權利界定問題,清晰界定數據的權利屬性, 對于數據開放的方式及范圍具有重要意義。
筆者認為,數據是一種具有二重性的權利狀態。對于數據的控制者而言,數據無疑可以帶來相應商業價值。因此,數據作為財產權的屬性是比較突出的。但同時,數據控制者所控制的數據構成還包括其個人信息。數據控制者所控制的數據一般是其在開展業務活動中通過服務關系而采集的第三方信息,以出行數據為例,在出行數據中,旅客的個人行程數據,屬于典型的個人活動情況,因而構成其個人信息。因此,從數據控制者角度看,數據的聚合屬于財產性權利,但從特定個人角度看,數據還包含了公民的一般人格權。政府疾控部門在要求數據控制者開放旅客出行數據過程中,也會必然涉及公民個人信息的開放。
1.2 數據權利的歸屬
如果從上述的權利二元角度看,數據權利不能簡單地歸入數據控制者的權利范疇。這意味著,僅僅從數據控制者的視角出發,并不能解決數據開放問題。如果僅僅將數據視為數據控制者的財產性權利,則只要數據控制者同意數據開放,那么數據開放的對象、范圍都不會成為障礙,因為財產權利的擁有者對其財產權擁有處分權。但是,由于數據往往由個人信息匯總而成,數據開放過程中必然需要同步考慮個人信息的歸屬,以及個人信息收集、轉移的規則。
2 突發公共衛生事件中的數據開放問題
出于傳染病防治的需要,在突發公共衛生事件中,負有傳染病防控義務的機構常常需要進行流行病學調查,或對有關疾病數據、人群密切接觸數據及人口流動數據進行調用,以實施必要的疾病防控措施,或對傳染病疫情的發展趨勢進行判斷。這就涉及公共利益、公共行政權力與數據權利的協調與平衡。
2.1 突發公共衛生事件中數據開放的法律依據
前述對于數據權利的分析不難看出,數據權利具有多重性。對于數據控制者而言,數據構成其財產性權益;對于個人數據主體而言, 數據則是其一般人格權的延伸。無論從哪一種權利的視角來看,數據權利都具有專屬性,不對其他主體開放,是法律的一般原則。
《網絡安全法》規定,網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意 [3]。同時,還規定網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。在以大數據方式對傳染病進行調查或追溯的過程中,數據控制者對相關政府機構開放數據,必然涉及改變個人信息使用目的、方式和范圍,因而需要征得個人信息主體的明示同意。顯然,在突發事件的背景下,數據控制者獲得用戶追加授權的可能性不大。
如果政府疾病預防控制機構在公共衛生事件中需要向數據控制者調取數據,則需要有明確的法律依據或授權。
在我國《傳染病防治法》和國務院的《突發公共衛生事件應急條例》中,對于傳染病防治中涉及的信息報送和數據開放作了規定。
(1)《傳染病防治法》的規定
《傳染病防治法》是疫情防治過程中的特別法,在涉及數據保護及公民個人信息保護領域,具有優先適用的效力 [4]。對于疫情中的數據開放,傳染病防治法的規定主要包括:例如,《傳染病防治法》第十八條規定了疾控部門“收集、分析和報告傳染病監測信息,預測傳染病的發生、流行趨勢”及“開展對傳染病疫情和突發公共衛生事件的流行病學調查”。《傳染病防治法》第二十條規定,縣級以上地方人民政府“傳染病的監測、信息收集、分析、報告、通報制度”。第三十一條規定,任何單位和個人發現傳染病病人或者疑似傳染病病人時,應當及時向附近的疾病預防控制機構或者醫療機構報告。第四十條規定,疾病預防控制機構發現傳染病疫情或者接到傳染病疫情報告時,應當及時對傳染病疫情進行流行病學調查,根據調查情況提出劃定疫點、疫區的建議,對被污染的場所進行衛生處理,對密切接觸者,在指定場所進行醫學觀察和采取其他必要的預防措施,并向衛生行政部門提出疫情控制方案。
上述規定中涉及的數據包括: 傳染病病人信息、疑似傳染病病人信息、密切接觸者信息等。
(2)《突發公共衛生事件應急條例》的規定
《突發公共衛生事件應急條例》(以下簡稱“《應急條例》”)及《國家突發公共衛生事件應急預案》(以下簡稱“《應急預案》”) 則以傳染病防治法為依據,對流行病防控的信息收集和流行病學調查作出了相應的規定 [5-6]。如《應急條例》第六條規定,縣級以上各級人民政府應當組織開展防治突發事件相關科學研究,建立突發事件應急流行病學調查。《應急預案》第 4.2.4 條款規定,疾病預防控制機構開展流行病學調查:疾控機構人員到達現場后, 盡快制訂流行病學調查計劃和方案,對傳染病病人、疑似病人、病原攜帶者及其密切接觸者進行追蹤調查,查明傳播鏈,并向相關地方疾病預防控制機構通報情況。
(3)《個人信息安全規范》的規定
《信息安全技術 個人信息安全規范》 (GB/T35273-2017)(以下簡稱“《個人信息安全規范》”)中,規定在與公共安全、公共衛生、重大公共利益直接相關的情形中,個人信息控制者收集、使用個人信息不必征得個人信息主體的授權同意 [7]。該條款對于數據控制者在重大公共衛生事件中對外提供數據無需征得個人信息主體的授權同意。這一條款僅解決了數據控制者對外提供數據無需征得同意的問題,并未解決政府機構是否有權獲取數據控制者所掌握數據的問題。并且,如果人民政府和疾控部門有權力實施數據調用,那么,這種數據究竟是個人信息還是其他信息,已經不再重要。因此,筆者認為, 作為國家推薦性規范的《個人信息安全規范》并不能成為數據控制者在重大疫情防控過程中進行數據開放的法源。當然,人民政府或疾控部門在獲取有關數據后,則可以參照《個人信息安全規范》的規定,對數據進行保存和使用。
2.2 數據開放的范圍
從《傳染病防治法》《應急條例》和《應急預案》的規定可以看出,各級人民政府及其疾控部門在傳染病防治過程中,有責任也有權力獲取病人的信息、疑似病人信息、病原攜帶者、密切接觸者信息,可以采用追蹤調查來查明傳播鏈。
傳染病病人、疑似病人、病原攜帶者的信息一般通過醫療機構或疾控部門的檢查可以獲取,對于此類信息的獲取、共享相對簡單,也容易劃定數據開放的范圍。但是,對于密切接觸者信息,以及行蹤的追蹤調查,規定比較籠統。如果用傳統的訪問、問詢等調查方式,不僅成本高,而且調查效率低下。采用大數據追蹤的方法,則會涉及向有關數據控制者的數據調用問題。如鐵路、民航的運營者,通常擁有同乘航班或列車乘客姓名與身份證信息;消費場所的經營者或其支付服務提供商,通常擁有同一場所某時段消費及支付信息;諸多擁有定位功能的 APP 運營者,通常擁有某特定場所特定時間段的個人位置信息。上述信息,在流行病學調查中對于了解傳染病病人的行蹤以及密切接觸者的范圍都有一定的作用。
基于對數據權利的分析,數據對于數據控制者具有財產權屬性,并且對于個人信息主體而言屬于一般人格權范疇。無論從哪個視角看, 調用數據,對于上述私權利的限制,需要明確的法律規定方可實施。筆者認為,數據開放的范圍,可以參照《網絡安全法》第四十一條的歸檔,該條款規定了網絡運營者獲取公民個人信息應遵循必要性原則,即為提供服務所需要獲取的最少信息。雖然這一條款并未直接規定適用于疾控機構的數據調取,但是從保護公民個人隱私及保護數據控制者權利來看,必要性原則也應適用于各級政府和疾控機構。
從《傳染病防治法》《應急條例》和《應急預案》來看,各級人民政府及疾控部門,能夠獲取的數據范圍應嚴格限定于現有的確診病人及疑似病例的病情、聯系方式、行蹤軌跡、密切接觸人群等。以及密切接觸人群的聯系方式、行蹤軌跡等信息。
對于有關數據控制者在服務過程中獲取的上述人群的其他信息,則不能直接予以調用, 而應由數據控制者對于相關數據進行清洗或脫敏后輸出給疾控部門。
2.3 數據開放的對象
在重大疫情引發的突發公共衛生事件應急機制中,哪些機構有權力向數據控制者獲取數據?這一問題,實際上存在廣義和狹義的兩種理解。從狹義的理解看,《傳染病防治法》《應急條例》和《應急預案》規定的機構包括各級人民政府及其疾控部門。從廣義的理解看,則還包括在應急機制中受地方政府指定承擔流行病學調查或疫情防控職能的相關政府機構,如公安機關、街道辦事處及其他臨時獲得授權的機構。
筆者認為,應該從廣義的角度理解數據開放的對象。法律將流行病防治的權力及啟動突發公共衛生事件應急機制的權力授予了相關的人民政府,除疾控部門作為法定的傳染病防治部門外,其他的政府機構作為各級人民政府的辦事機構,也有權力依據政府的授權對數據控制者控制的數據進行調用或要求有關的數據控制者予以提供。
3 突發公共衛生事件中的數據保護
在傳染病疫情引發的突發公共衛生事件應急處置中,各級人民政府及其疾控部門有權向數據控制者調用與傳染病防控有關的數據,并在此過程中成為新的數據控制者。在數據的保存和使用過程中,應按照《網絡安全法》及相關法律、規則對數據進行必要的保護。
3.1 以公民個人信息為視角的數據保護
由于在傳染病防治過程中調用的公民個人信息一般屬于敏感信息,因而對于公民個人信息保護,除遵循數據保存的一般原則外,還應著重從以下方面加以特殊保護。
首先,建議對相關數據在保存過程中進行去標識處理,去標識的目的是減少數據保存過程中數據泄露給相關個人信息主體造成侵害。但是在疾控機構與政府相關部門、醫院、公安機關等部門進行數據交換、共享過程中,可以通過標識還原讓數據能夠追溯到具體的個人。
其次,建議在疫情防控完成,突發公共衛生事件緊急狀態解除后,對已經排除的疑似病人、密切接觸者的個人信息予以刪除。因為數據調用的目的是傳染病防控,而非數據的持續利用。依據必要性原則,各級人民政府和疾控部門在緊急狀態結束后,已無必要再保留疑似人群和密切接觸者人群的信息。
再次,如果確實需要根據有關數據進行傳染病防控的模型構建或大數據分析,則僅應保留具有群體性特征的分析結論或趨勢判斷。相關數據應做到脫敏,且做到不能識別到特定個人、不能被復原。
3.2 以被調用企業為視角的數據保護
對于數據被調用的企業而言,大數據是其重要的競爭性財產權益,可以為其帶來商業競爭優勢和收益
[8]。
因此,各級政府和疾控部門除按照相關規則進行流行病學調查、追蹤,制作傳染病防控方案和報告外,不應將相關數據用于其他目的。也不能以大數據利用的名義,授權任何其他與傳染病防控無關的主體使用上述開放數據。在傳染病引發的突發公共衛生事件結束后,除對相關數據進行脫敏或刪除外,還應當限定大數據分析的用途。
4 結 論
在傳染病疫情引發的突發公共衛生事件應急機制實施過程中,出于流行病學調查和密切接觸者排查及疾病追蹤的需要,必然會對數據控制者所掌握的數據進行調用,數據控制者應予以配合。但同時,這一過程也應考慮公共利益與數據控制者的財產性權利及公民個人信息保護之間的平衡。在數據開放的同時,逐步完善數據保護機制。
參考文獻:
1.新華網 . 中央網信辦:做好個人信息保護利用大數據支撐聯防聯控工作 [EB/OL].(2020-02-09)[2020- 02-18] .ht http://www.xinhuanet.com/politics/2020-02/09/t p://www.xinhuanet.com/politics/2020-02/09/ http://www.xinhuanet.com/politics/2020-02/09/c_1125550019.htm.
2.工業和信息化部 . 工業和信息化部辦公廳關于運用新一代信息技術支撐服務疫情防控和復工復產工 作 的 通 知 [EB/OL].(2020-02-18)[2020-02-18] http://www.gov.cn/zhengce/zhengceku/2020-02/19/content_5480843.htm.
3.新華社 . 中華人民共和國網絡安全法 [EB/OL].(2016- 11-7)[2020-02-18] .ht http://www.cac.gov.cn/2016-11/07/t p://www.cac.gov.cn/2016-11/07/ http://www.cac.gov.cn/2016-11/07/c_1119867116.htm.
4.中國人大網 . 中華人民共和國傳染病防治法 [EB/ OL].(2013-06- 29)[2020-02-18].http://www.npc.gov.cn/ http://www.npc.gov.cn/wxzl/gongbao/2013-10/22/content_1811005.htm.
5.國務院辦公廳 . 突發公共衛生事件應急條例 [EB/ OL].(2005-05-20)[2020-02-18]. http://www.gov.cn/ http://www.gov.czwgk/2005-05/20/content_145.htm.
6.新華社 . 國家突發公共衛生事件應急預案 [EB/ OL].(2006-02-26)[2020-02-18]. http://www.gov.cn/yjgl/2006-02/26/content_211654.htm.
7.中華人民共和國國家質量監督檢驗檢疫總局,中國國家標準化管理委員會. 信息安全技術個人信息安全規范[EB/ OL].(2017-12-29) [2020-02-18].ht tps://www.tc260.org. http://www.tc260.org/cn/upload/2018-01-24/1516799764389090333.pdf.
8.吳衛明 . 數字金融法律實務與風險防控 [M]. 北京 : 中國法制出版社 ,2018:33-34.
滬公網安備 31010402007129號
