導語：重大疫情防控個人信息的利用與限制一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要:重大疫情防控中，公權力主體利用個人信息可以預測疫情發生、切斷疫情傳播路徑，并為政府的防疫決策提供建議。但因公權力主體利用個人信息的正當性基礎不清晰、利用個人信息類型不明確及權責不清晰，個人信息安全面臨風險。為了保護信息主體的權益，公權力主體在重大疫情防控中利用個人信息的行為應當受到限制，需廓清公權力主體利用個人信息的正當化基礎，確立區別利用原則，明確公權力主體利用個人信息的權責，以期平衡公權力主體在疫情防控中對個人信息的利用與限制。

關鍵詞:重大疫情防控;公權力主體;個人信息

一、問題的提出

重大傳染病疫情①(下文簡稱“重大疫情”)在發生時間上具有突發性和持續性，傳播范圍上具有廣泛性，造成危害上具有復雜性。預防和控制是解除危機的主要途徑。大數據背景下，公權力主體利用個人信息可以實現對重大疫情的預測預警及防控，進而采取一系列的防控措施。2014年“埃博拉(Ebola)事件的悲劇已經展現并確認了傳染病防治中需要信息共享”［1］。在2019年12月開始的病毒肺炎(COVID－19)防治中，我國利用個人信息，依托大數據技術追蹤疫情傳播路徑、構建疫情發展模型預測預警，實現了“大數據+網格化”的精準防疫，取得了較好的成效。但公權力主體在利用個人信息防控過程中，出現了過度利用甚至濫用個人信息的情形，致使個人信息頻繁泄露。一方面，公權力主體利用個人信息防控疫情有益于控制疫情傳播擴散，維護公共利益;另一方面，濫用個人信息，個人信息安全會面臨風險。在重大疫情暴發時，公權力主體基于疫情防控可在突破個人信息常規保護下利用個人信息，但這種利用應當受到一定的限制。這種限制會為公權力主體采取合法適度的疫情防控措施提供指引，同時也避免了個人信息權益頻遭侵犯。研究重大疫情防控中公權力主體對個人信息利用與限制之間的沖突，需解決三個核心問題:第一，明確重大疫情防控中的維護公共利益目的，僅以泛化的公共衛生利益為由利用個人信息，很容易侵犯他人的個人信息相關權益;第二，區分重大疫情防控中所涉及的個人信息種類，區別利用不同種類的個人信息;第三，明確在重大疫情防控中公權力主體利用個人信息的具體權責，做到權責相對應，法律是保護個人信息安全的最后一道防線。

二、重大疫情防控中個人信息的利用

重大疫情防控中利用個人信息可以準確地預測疫情、切斷傳播路徑及為政府的防疫決策提供建議。1854年，約翰•斯諾運用個人信息防控倫敦的霍亂疫情，在疫情防控過程中，約翰•斯諾［2］112記錄了被感染家庭的具體位置，在此基礎上建立疾病假說，實施驗證性干預措施，有效地控制了倫敦的霍亂傳播。有學者認為約翰•斯諾的這種方法為疫情防控的關聯性研究提供了合法性的依據，為依托大數據對疫情預測預警奠定了基礎［2］112。“2008年，谷歌在將大數據技術應用于疫情預測預警方面走出了第一步……”［2］113在H1N1型流感暴發前幾周，谷歌公司通過谷歌流感趨勢(GIT技術)搜尋個人網頁瀏覽信息，并與美國疾控中心2003—2008年的流感傳播資料加以比對分析，精準預測出H1N1型流感的暴發。2015年非洲抗擊埃博拉疫情后期，利用移動設備和大數據技術實現了個人信息有效共享，為衛生部門了解疫情及采取防疫措施提供了依據，阻止了潛在病毒的進一步蔓延。可見個人信息在疫情防控中的作用已經從傳統的發現傳染源、控制疫情擴散擴展到疫情預測預警、追蹤傳播途徑、控制疫情擴散等方面，可見有效、及時和可靠的個人信息對重大疫情的防控至關重要。傳統重大疫情防控，著眼于疫情暴發后的補救措施，以“事件防控為中心”，對信息的收集利用依賴于傳統的層級上報，且僅能對收集的信息做線性分析，依賴線性分析做因果關系分析，探求疫情發生的原因，以此為政府的防控決策的依據。這種“以事件為中心開展公共安全管理耗費巨額社會成本，至多只是‘亡羊補牢’”［3］。2015年，國家衛生計生委辦公廳印發的《傳染病信息報告管理規范的通知》中規定了疾病預防控制機構工作既要控制疫情發展，也要預測重大傳染病發生、流行趨勢。在大數據背景下，疫情防控不僅表現為疫情暴發后的補救，而且表現為通過預測、追蹤和分析個人信息，阻斷傳播途徑，或者對已經發生的疫情予以止損［4］。大數據背景下依賴于“客觀事實”做防控決策，“對公共事件所涉及的人與物的各類數據進行安全風險關聯性對比分析，探知安全風險點，并對可能發展的趨勢進行預測”［5］。(一)利用個人信息可預測預警重大疫情的發生。傳統的疫情防控過程中，沒有大數據技術支持，很難實現對發生流行病的預測及對傳播路徑的精準追蹤，只有在疫情暴發后個人信息才能發揮效用。大數據背景下，流行病尚未暴發時，“挖掘巨量與健康相關的數據能提升研究、監測及傳染病預防，有利于早期發現全球公共衛生威脅”［6］。這一階段，主要利用個人網頁瀏覽信息和個人可識別健康信息對疫情加以預測。具體而言，網絡運營者通過對個人網頁瀏覽信息進行分析，可以預測疫情的發生。如前述美國谷歌公司通過監測全美的網絡搜索，發現特定時間段人們對“發燒”“咳嗽”“流感”等詞的搜索熱度較高，據此精確預測了H1N1型流感的暴發時間及傳播范圍。隨著大數據技術的進一步發展，衛生主管部門能夠對醫療機構的診療記錄、疾病預防控制中心的監測信息予以整合。無論是診療記錄，還是疾病預防控制機構的監測信息都是以個人健康信息為基礎，衛生主管部門及疫情監測主體第一時間對個人健康信息加以分析，判斷所患疾病是否為傳染病，盡可能快速、準確地預測疫情的發生。相關衛生部門越早知道可能要發生的流行病，就可以越早地實施干預措施，阻止潛在傳染源轉化為大規模疫情的可能。我國在傳染病疫情的預測預警方面取得了一定的成績，2018年的國家科技重大專項新聞會上，傳染病工程院院士徐建國透露，中國目前已經建立了綜合監測預警技術體系，顯著提升了流感疫情的預警預測能力［7］。(二)利用個人信息有益于阻斷疫情傳播途徑。李蘭娟院士在接受央視《新聞1+1》采訪時提及專家正利用大數據技術梳理病毒肺炎感染者的生活軌跡，追蹤人群接觸史，鎖定感染源及密切接觸人群，為疫情防控提供寶貴信息①。重大疫情暴發后，應當通過一系列的公共衛生干預措施(如傳染源控制、隔離和檢疫)阻斷傳播路徑［8］。采取有效公共衛生干預措施的前提是依靠及時、精準的個人相關信息準確地鎖定密切接觸者。在病毒肺炎防控中，主要通過三種方式獲取利用個人信息:第一，以傳統紙質化的方式收集個人相關信息，隨后錄入計算機系統內逐層上報，如若登記簿中有確診感染者，可以據此追溯確診者的活動軌跡，以此鎖定密切接觸者。在疫情防控之初，各基層社區、單位及公共場所都以這種方式獲取和利用個人信息。第二，利用電信數據及定位系統獲取個人地理位置信息，勾勒人員流動軌跡。據網信辦統計，我國目前有16億手機用戶①，通過電信大數據可以動態分析人員流動，為疫情防控提供精細化的數據支持;同時，利用定位系統可掌握疫情防控中人員流向，找尋密切接觸者。如內蒙古一出租車司機被確診為病毒肺炎患者，相關部門利用四維圖新解析出租車接收的北斗信號，3小時內成功調取了精準的行車軌跡及時間，為尋找密切接觸者發揮了很大作用［9］。第三，利用手機移動應用程序(App)獲取個人地理位置或者電話號碼等相關信息，能夠準確地判斷密切接觸者和高風險人群。一旦感染者確診，感染者近期的行蹤軌跡、活動范圍、同一時間段及之后在該范圍內活動的人群，后臺系統會自動生成數據。當接觸者被快速定位后，有關部門會通過短信、電話等方式向其發出提示，提醒接觸者關注自己的身體狀況，視情況居家隔離或到定點醫院就診，借此切斷傳播途徑。國際社會中出現了兩種模式:一是以我國為代表研發出的“健康碼”，以一系列個人信息(包括姓名、身份證號碼、手機號碼、當前地理位置信息及健康信息)和后臺公共大數據自動對比形成的動態健康碼，根據疫情風險等級健康碼會呈現出紅、黃、綠三種顏色，針對持有不同顏色健康碼的用戶采取不同的防控措施;二是以美歐為代表的以藍牙技術為核心的“健康碼”，只需要用戶注冊電話號碼，便可通過智能手機交換藍牙信號，一旦有用戶被確診，與該用戶近距離接觸者在App上會收到預警，密切接觸者就可以采取相應措施，防止疫情傳播，新加坡、美國及歐盟等地都采用這種方式阻斷傳播途徑。(三)利用個人信息助力政府重大疫情防控決策的科學作出。“通過對個人信息的處理和利用，政府也可以實現科學和理性決策……”［10］在重大疫情防控中，政府一系列防控決策的作出依賴于個人信息。宏觀上看，利用個人信息能夠確定疫情發展階段，在疫情發展的不同階段，政府會采取不同的防控措施。就微觀而言，在疫情尚未暴發時，根據個人信息預警重大疫情的發生，提前出臺應急預案，采取相應的防護措施，盡可能阻止疫情規模擴大。在疫情暴發后，一方面利用個人信息確認傳播途徑，采取隔離、注射疫苗等措施，在重大疫情防控中甚至可以采取“封城”等行政措施，防止疫情擴散;另一方面，利用疫情防控應急資源中工作人員的相關信息，尤其是其地理位置信息，可以優化防控資源的分配，促進資源在疫情防控中的合理配置。在疫情消退階段，利用個人信息確定各地復工復產的時間、區域及人員流動。如中國城市規劃設計研究院2020年4月23日利用百度地圖慧眼人口大數據對2020年1月31日至3月31日北京累計活躍人口進行時空觀察，分析北京當時復產復工的基本特征，結合疫情數據對未來北京的復工復產做了預測。

三、我國重大疫情防控中個人信息利用面臨的挑戰

個人信息基于個人產生，具有私人屬性，但個人信息又是維持社會正常運轉的資源，因而具有公共屬性［11］。在重大疫情防控的背景下，個人信息的公共屬性尤為明顯，為保護不特定大多數人的健康權免受侵害，公權力主體可突破對個人信息的常規保護利用個人信息。但因個人信息利用的法制建設不完善，在病毒肺炎疫情防控中出現了公權力主體過度利用個人信息的現象。重大疫情防控中個人信息利用的法制建設面臨一系列挑戰。(一)重大疫情防控中公權力主體利用個人信息的正當性基礎不明確。在病毒肺炎防控中，中央網信辦出臺的《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》(以下簡稱《聯防聯控通知》)中提出了公權機關利用個人信息的正當性基礎，即符合全國信息化安全標準化技術委員會的《信息安全技術個人信息安全規范》(以下簡稱《規范》)的規定。《規范》中規定信息控制者利用個人信息，應當取得信息主體的授權同意或者屬于授權同意例外的情形，但因重大疫情防控事件的特殊性，本文只對授權同意的例外予以分析。在重大疫情防控中，公權機關利用個人信息的正當性基礎為:其一，履行法律法規規定的義務;其二，維護公共衛生及重大公共利益。《中華人民共和國傳染病防治法》(以下簡稱《傳染病防治法》)、《突發公共衛生事件應急條例》(以下簡稱《應急條例》)等相關法規中明確規定了各級政府、衛生行政部門、疾病預防控制機構及醫療機構為法定收集、利用個人信息的主體;街道、鄉鎮、村委會和居委會為授權性主體。法定主體和授權主體無須經過信息主體的授權同意即可直接利用個人信息。法定主體以外的公權力主體可以公共利益為由利用個人信息，但相關法律未對疫情防控中的“公共利益”予以明確規定，公共利益即“意味著在分配和行使個人權利時決不可以超越的外部界限，否則全體國民就會蒙受嚴重損害”［12］。在重大疫情防控中，個人信息相關權益勢必會受到公共利益的約束，在不同時代、不同社會、不同國家，社會公共利益都是有所差異的，切不可泛化公共利益。泛化的公共利益“無異將當事人之資訊自決權架空，保障資訊自決權即形同具文”［13］。公共利益的泛化很容易引發公權機關濫用或者過度利用個人信息的情形［14］。在重大疫情防控中，因“公共利益”泛化，邊界不明確，出現了眾多以維護“公共利益”為由收集、利用個人信息的主體。在重大疫情防控中除法定主體和授權主體，還存在第三類主體:實際利用個人信息的主體，即企業、事業單位以及機關、團體等。這些不同性質的單位既不是法律直接規定的法定收集個人信息的主體，也不是法律或行政法規授權的主體，但在實踐中以維護“公共利益”之名收集、利用個人信息。在實際防疫過程中，收集個人信息主體涉及小區物業公司、各類企業(尤其是從事大數據行業的企業)、除衛生行政機關之外的其他行政機關、管理公共事務組織。同時《傳染病防治法》中明確規定任何單位有向疾病預防控制機構或醫療機構強制報告的義務，單位只有在收集到相關信息時，才能履行報告義務;《聯防聯控通知》中也規定任何單位未經收集者同意，不得泄露個人信息，由此可以推定各單位已經實際享有收集、利用個人信息的權力，但其行使權力的正當性不明確。可見，重大疫情防控期間，泛化的“公共利益”成為各主體收集、利用個人信息的正當理由，疫情防控中收集、利用個人信息的主體范圍明顯大于法律規定與授權的范圍。在重大疫情防控中，部分公權力主體以公共利益之名擴大了對個人信息利用的范圍。在病毒肺炎防控中，一些地區不分階段地廣泛收集個人基本信息、地理位置信息、住宿信息等，有些地區甚至收集個人收入信息［15］，在收集的海量信息中很多信息不一定與疫情防控相關，泛化的公益目的使公權機關無法預知信息收集的范圍，只能收集海量的個人信息以備防疫不時之需。但“傳染病疫情的防控通常也是包括幾個階段的，每個階段因防控目的不同對信息利用范圍也是有差異的。”［1］有學者提出，疫情防控中“政策目的應具體明確，而非空泛的訴諸公共衛生利益，對個人權益的限制僅容忍至達成具體的政策目的所必須”［16］。(二)重大疫情防控中個人信息的類型化不明確。在防疫的背景下，公權力主體所利用的個人信息繁雜，尤其是大數據背景下，疫情的防控模式逐步過渡到“以風險防控為中心”，關注各種信息之間的關聯關系，公權力主體所利用的個人信息更為龐雜。但目前法律及相關規定對個人信息的分類模糊，一方面少數公權力主體以“一刀切”的方式利用各類個人信息，對不同類型的信息缺乏區別利用規制;另一方面僅對公權力主體利用個人健康隱私信息予以保護，對其他信息保護缺位，《傳染病防治法》第六十八條和第六十九條明確規定了侵犯特定主體“個人隱私有關信息、資料”會受到法律責任追究，《突發公共衛生事件與傳染病疫情監測信息報告管理辦法》第十四條規定對特定主體的健康信息予以保護。可見，個人信息類型化的不明確為公權機關過度利用個人信息埋下了隱患。立法上，很多國家和地區根據信息泄露給主體帶來的損害程度及社會大多數人對信息的敏感度，將信息分為一般信息和敏感信息，如歐盟的《通用數據保護條例》、德國的《聯邦數據保護法》、日本的《個人信息保護法》等。我國目前尚未出臺個人信息保護法，但是在《規范》中做了嘗試，也采用了這種分類方法。一些學者通過實證的方式區分個人敏感信息和一般個人信息［17］，學理上多數學者對此也達成共識，即“基于信息本身重要性的差異，以及因應大數據時代平衡信息保護與利用關系之考量，有必要區分敏感個人信息和一般個人信息”［18］。按照此種分類方法，疫情防控收集的巨量信息中個人敏感信息包括:個人健康信息、身份證信息、行蹤軌跡、住宿信息、支付信息、網頁瀏覽信息;其他信息為一般個人信息。但在疫情防控領域，不同信息的重要程度及作用是有所差異的，不能簡單“一刀切”劃分為一般個人信息和敏感個人信息。具體而言，個人健康信息，尤其是特殊人群的個人健康信息屬于關鍵信息，具有高私密性，一旦泄露對主體的日常生活、工作、家庭各方面將產生不可預測的損害［19］，這種損害所波及的范圍廣、時間久，即使在疫情結束后，損害也難以挽回，會造成高度歧視性的后果，這也是目前我國相關法律僅對特殊群體的隱私信息予以保護的原因;身份證信息、行蹤軌跡、住宿信息、支付信息、網頁瀏覽信息屬于重要信息，這類信息的人格尊嚴性雖較弱，但通過這些信息可以識別具體的個人，并且可以全方位展現個人活動軌跡，在疫情防控中發揮重要的作用，不過這些信息的敏感程度不及個人健康信息，信息泄露給主體造成損害的延續時間及范圍相較個人健康信息比較小，疫情結束后這種損害會逐步減弱直至消失。個人姓名、電話、家庭住址等屬于常規一般信息，在重大傳染病疫情防控中，敏感度較低，即便公權機關利用個人信息過程中泄露信息，對主體造成的損害也比較弱，而且這些信息在常規狀態下也經常使用。因而在疫情防控中，信息的分類可以分為關鍵信息、重要信息和一般信息。(三)重大疫情防控中公權力主體利用個人信息的權責不明確。在重大疫情防控中，公權力主體可基于法定權限或以維護“公共利益”為由，在突破“知情－同意”模式的基礎上利用個人信息，但“政府不能無節制地收集和利用個人信息，個人信息法律保護制度的發展始終伴隨著對政府權力的限制”［10］。因此，在重大疫情防控中，應當明確規定公權力主體利用個人信息的權限及違反權限應當承擔的法律責任。我國目前尚未形成體系完備的、運行有效的疫情防控法律體系，對公權力主體利用個人信息的權責規定不明確。一方面，公權力主體利用個人信息的權限規定模糊。目前，我國對重大疫情防控中公權力主體利用個人信息的權限規定，主要以宣示性條款為主，缺乏可操作性。中央網信辦的《聯防聯控通知》從宏觀上確立疫情防控中公權力主體利用個人信息要遵循的基本原則，在保障公權力主體依法履行職責的同時，要求公權力主體在法定權限內利用個人信息。從法律層面看，只有《中華人民共和國民法典》規定任何組織和個人利用個人信息要遵循合法、正當、必要原則，并且要明確利用信息的目的、方式及范圍。但對于在重大疫情防控背景下，公權機關如何確定利用個人信息的主體、目的、方式、時限、范圍及二次利用，并無確定性指引。在專門法領域，《傳染病防治法》也未對此做出明確規定。各部門出臺的部門規章只是粗淺地規定了個人信息的收集及具體用途，具體在疫情防控中個人信息利用的主體、目的、范圍、時限及二次利用規定并不完善。《規范》中雖有個人信息利用各個環節的規則，但對重大疫情防控背景下公權力主體利用個人信息的權限規定仍是空白。另一方面，公權力主體侵犯個人信息承擔的法律責任缺位。重大疫情防控過程中，公權力主體基于法定職權或基于授權及委托可以利用個人信息，同時應明確其保護個人信息的責任，這是因為“由法律或組織授權的主體，須對其職務范圍內的行為或者其社會范圍內的行為接受質問、承擔責任”［20］。在重大疫情防控中，我國目前的法律僅對醫療機構及疾病預防控制機構泄露他人隱私的行為予以追責。對醫療機構及疾病預防控制機構其他侵犯個人信息安全的行為及其他公權力主體侵犯個人信息安全行為應承擔的法律責任尚無明確規定，只能依據《中華人民共和國治安管理處罰法》或者《中華人民共和國網絡安全法》予以追責，構成犯罪的，依據《中華人民共和國刑法》追究其刑事責任①。

四、重大疫情防控中利用個人信息的限制

在重大疫情防控中，公權力主體充分、有效地利用個人信息有利于疫情的防控，但同時公權力主體也是侵犯個人信息潛在的主體之一，應對公權力主體利用個人信息的行為予以立法上的限制。日本在立法實踐中一直對公權力主體和非公權力主體利用信息的行為予以區別規制，如2003年日本國會制定的《行政機關特有的個人信息保護法》對行政機關利用個人信息的行為予以專門性規定。尤其在重大疫情防控中，國家進入緊急狀態時，如果對公權力主體利用個人信息的行為毫無限制，可能會出現公權力主體侵犯個人信息的情形。因此我國在立法過程中對公權力主體和非公權力主體的個人信息收集、利用等要制定嚴苛程度不同的規則［21］。在重大疫情防控中公權力主體對個人信息的利用應當受到如下限制。(一)對利用個人信息的公益目的明確化。重大疫情防控中，泛化的公共利益為眾多主體收集個人信息提供了便利，同時這也成為公權機關濫用個人信息的主要原因。為此應當明確重大疫情防控中公共利益的目的，即根據疫情防控中每個階段所對應的風險來確定公共利益的目的。隨著風險社會的發展，疫情防控模式已經由“事件防控為中心”轉向了“風險防控為中心”模式。現代風險的發生往往是多因一果，傳染病屬于現代風險的一種，多種復雜因素的交織引發社會風險的發生，需要對多重相關信息予以深度分析，才能有效發現風險，提前采取措施防止風險轉化為現實，或者對于已經發生的現實風險，采取多種措施以止損。具體在重大疫情防控中，疫情發展周期包括三個階段，即疫情預測預警階段、全面暴發階段、疫情消退階段，不同階段所面臨的風險差異導致其公益目的不同，不同的公益目的對應個人信息需求范圍也是有所差異的［22］。疫情預測預警階段即疫情尚未暴發階段，該階段面臨最大風險為疫情現實化，因此這一階段的公益目的是預測疫情發生的可能性，防止疫情暴發。在這一階段，信息收集、利用的主體應當僅限于法定主體，即各級政府、衛生行政管理部門、疾病預防控制機構及醫療機構;對信息利用范圍應當限定在實現“可預測預警”的范圍之內，對個人信息的處理不能超過這一目的。在疫情全面暴發階段，面臨的主要風險為疫情不斷擴散，得不到有效控制，所以這一階段的公益目的是發現疫情傳播方式、切斷傳播路徑。在這一階段，應當擴大信息收集、利用的主體，疫情暴發后，需要對社會全體成員的個人相關信息予以收集，這就要求防控力量要向社區下沉，向網格延伸，一線工作人員成為收集信息的主體，但其范圍較廣，法律無法通過明確列舉的方式確定主體，只能通過授權的方式。具體而言，《傳染病防治法》可以采用“列舉+概括”的立法方式對疫情防控中信息收集的主體予以規定或授權，即《傳染病防治法》對法定收集個人信息的主體應當予以明確規定，對其他主體予以概括式規定。法定收集個人信息的主體依舊為各級政府、衛生行政管理部門、疾病預防控制機構及醫療機構;同時授權縣級以上地方人民政府，根據疫情防控發展的需要，委托特定的單位收集個人信息。該階段信息利用的范圍應當以“能夠發現傳播路徑”為標準，只要能夠追蹤主體行蹤軌跡的信息都應當予以利用。最后，在疫情消退階段，緊急狀態已解除，該階段面臨的風險為疫情的二次暴發，因此該階段的公益目的是防止疫情的二次擴散。該階段信息收集的主體以縣級政府委托的單位為主，對信息利用的范圍限于日常“行程追蹤”即可。重大疫情防控過程中公權力主體基于公共利益的目的可以突破個人信息的常規保護利用個人信息，所以即便個人信息保護法出臺后，也應當在《傳染病防治法》中規定疫情防控不同階段的公益目的，明確公權力主體在此情景下利用個人信息的正當性，以便明確利用信息的主體及限制其濫用個人信息行為。政府巨細靡遺地利用個人信息，會引發信息主體對隱私泄露的擔憂［23］;學者王利明［24］提出應將不需要得到主體授權的情形予以法定化，并且明確列舉出具體的公共利益，以此規范對個人信息的利用。(二)對個人信息利用遵循區別利用原則。在重大疫情防控中，需要大量的個人信息做支撐，根據信息的重要程度、敏感程度及信息泄露給信息主體造成損害程度不同，建議在重大傳染病疫情防控規定中采用“三分法”，將信息劃分為關鍵信息、重要信息和一般信息，更有學者提出可以將所有情景下的信息按照這種類型劃分［25］。這種分類較一般信息和敏感信息的分類更為精細，即使發生重大疫情，也能有序地規制公權力主體對個人信息的利用，防止公權力主體借疫情防控之名侵害個人信息。重大疫情防控領域，不同類型的信息對不同階段公共利益目的之達成所發揮的作用也是不同的，有學者提出即使是為了實現公共利益，處理個人敏感信息的主體也應當為個人敏感信息提供更高的安全保障［8］。以此類推，“三分法”中的信息分類也應當對關鍵信息和重點信息予以更高的安全保障，對不同類型的信息應當予以區別保護，以實現疫情防控中公私利益的平衡。公權力主體在利用個人信息過程中，應當具體落實以下兩點:一是對于關鍵信息，利用該信息的主體應當僅限于享有法定收集權的主體;利用該類信息時應當規定公權力主體適當的告知義務，基于疫情防控目的利用個人信息不需得到信息主體的同意，但為了減輕疫情防控中公眾的疑慮，應當規定適當的告知義務，“對個人信息的利用要遵循知情原則，合理設置知情權的范圍”［4］。二是對于重要信息，利用該信息的主體既可以是法定主體，也可以是被授權主體;公權機關對重要信息的利用以聚合性利用為主，對個人損害性已經降低，所以相較于關鍵信息，要縮小重要信息的告知范圍。三是對于一般信息，信息利用的主體包括法定主體、被授權主體或者被委托主體;利用信息時僅告知信息收集的目的及權利救濟方式即可。(三)明確公權力主體利用個人信息的權責。重大疫情防控期間公權力主體基于公共利益需要，在利用個人信息的同時會對個人信息的相關權益予以限制，因公權力主體和個人信息主體地位具有不對等性，在重大疫情防控中，公權力主體因其地位的特殊性，對個人信息的利用方式、數量及真實程度與私法主體的利用有很大不同，一旦非法利用，會對民眾的切身利益有更大的損害［26］。因此，在疫情防控法律體系建設①中，應明確公權力主體對個人信息利用的權責。鑒于我國“宜粗不宜細”的立法傳統，建議我國未來的個人信息保護法在整合原有規范的基礎上，概括性地規定公權力主體利用個人信息的權責，在具體到疫情防控場景中，細化公權力主體利用個人信息的權限及非法利用個人信息時應當承擔的具體責任，如在《傳染病防治法》或《應急條例》中具體予以規定。

五、結語

在病毒肺炎防控中，公權力主體依托大數據技術，廣泛利用個人信息防控疫情，取得了較好的效果，但個人信息安全也面臨一系列的風險。即使是在重大疫情防控中，公權力主體利用個人信息的行為也應當受到法律的限制，要堅持在法治的軌道上統籌疫情防控工作。目前的應急制度和個人信息的相關保護制度，缺乏對公權力主體利用個人信息的規制。為保護個人信息主體的相關權益，可以考慮在即將出臺的個人信息保護法和可能修訂的相關應急制度中增加公權力主體利用個人信息的相關制度，為公權力主體在重大疫情防控中利用個人信息提供法律基礎，同時規制公權力主體利用個人信息的行為，實現疫情防控法治化。

作者:陳琬珠 單位:山西大學法學院