调研情况：

一、疫情防控形势下公民个人信息保护的紧迫性和重要性

2020年初，新型冠状肺炎在武汉爆发并迅速向全国蔓延，各地政府、部门迅速开展了相应的疫情防控措施，经过全国人民上下一心的努力，我国在疫情防控取得了阶段性的胜利。但全球疫情仍处于爆发阶段，可以说年底的疫情形势日趋复杂，我国仍会出现零星本土案例。

与此同时，开始出现网络人肉确诊病例、疑似病例的个人信息的情形。确诊病人、疑似病人的电话、身份证号、家庭住址等个人隐私被部分工作人员随意泄露，相关病人和家属有时候会遭遇到网络暴力。各种骚扰电话，谩骂、威胁信息铺天盖地，导致相关人员和家属面临相当大的心理压力，疑似病例、确诊病例、密切接触者等有关的个人信息及隐私被大面积泄露、曝光及传播，严重侵害了相关人员的合法权益，违反了国家的法律规定。例如，2020年12月7日，成都郫都区报告两起本土确诊病例，两夫妻被确诊。8日，夫妻俩的孙女也被确诊为新冠肺炎。随后，成都公布了新增3例确诊病例活动的轨迹，这本是疫情防控工作的常规操作。但“成都确诊病例孙女”的词条迅速登上微博热搜，姓名、身份证号、家庭住址等隐私被网络公布。这些泄露个人信息的行为，给当事人带来很大困扰。个人信息被泄露，这是比新冠肺炎疫情更可怕的一种“病毒”，其危害性不可忽视。

2020年10月23日，第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法（草案）》进行了审议，向全社会公开征求意见， 2020年8月28日，全国信息安全标准化技术委员会秘书处发布通知，对《信息安全技术网络数据处理安全规范》征求意见稿公开征求意见，其中第7条规定了突发公共卫生事件个人信息保护，从“个人信息服务协议、个人信息收集、个人信息调用、收集、调用规则、人脸识别验证、信息查阅服务、公开、向他人提供个人信息和改变个人信息用途、应对工作结束后的个人信息处理、日志留存“等多个方面对公共卫生事件下个人信息保护进行了详尽的规定。同时，《中华人民共和国民法典》及相关配套规则即将生效，个人信息保护相关制度正在积极推进。从上述几个文件来看，加强个人信息保护是我国保障个人权利、社会健康良性发展的重要举措之一。

问题分析：

二、公共卫生事件下公民个人信息保护的困难

公共卫生事件下公民个人信息保护具有一定特点性和困难，具体如下：

1、存在某些地方政府部门因疫情防控的需要过度调查或收集公民个人信息的情形。公共卫生事件情况下，因传染病的传播速度之快，传播范围之广，各级政府部门都把疫情防控作为最重要的目标，并且《传染病防疫法》、《突发公共卫生事件应急条例》等法律法规要求单位和个人有义务配合国家有关机关进行传染病防控等工作，其中就包括与之相关的个人信息调查与采集，但个人有义务配合传染病防控

2、因公共卫生事件的突发性和不确定性容易造成社会恐慌，存在部分工作人员会泄漏收集来的公民个人信息或某些社会人员通过各种手段获取公民个人信息并泄露的情形。此次新冠疫情传播范围之广、传播速度之快是人类历史上绝无仅有的。疫情发生的时候，普通民众对于疫情的恐慌程度是不一样的，部分工作人员由于内心的恐慌而迫切的希望将疑似病例、确诊病例、密切接触者等有关的个人信息及隐私分享给自己身边的亲友，部分社会人员也存在这种恐慌的心态，这就会造成疑似病例、确诊病例、密切接触者等相关人员的个人信息的大规模泄漏。

具体建议：

三、公共卫生事件下公民个人信息保护的建议

基于此，我们建议政府部门应尽快出台相关条例或管理办法，对公共卫生事件下公民个人信息的保护开展制度性建设和完善：

1、明确有权收集公民个人信息的部门或机构

在收集公民个人信息的部门在收集公民个人信息的时，应出具其有权收集公民个人信息的法定依据或授权，没有相应的法定依据或授权的，公民有权拒绝提供个人信息。除卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息。在疫情爆发阶段，很多机构并非法定的有权收集公民个人信息的机关，也未得到相应的授权，但也参与了公民信息的收集工作，往往这些机构是公民个人信息泄漏的主要渠道之一。为了明确有权收集公民个人信息的部门或机构，且方便追责公民信息泄漏后的机构和个人，在出现公共卫生事件时，相应的部门或机构应当出具其有权收集公民个人信息的法定依据或授权，否则公民有权拒绝披露信息。

2、明确公民个人信息收集的范围

根据不同传染病的等级或特征，应当明确公民有权拒绝与传染病防治无关的个人信息采集，相应的个人信息采集标准应当由政府部门统一规定。《传染病防疫法》、《突发公共卫生事件应急条例》等法律法规明确限定了信息收集的范围是“疫情相关的”，因此在收集公民个人信息时，要尽量地在维护公共健康的前提下，有效保护个人的权利，减少对个人信息的采集量。这是在新冠肺炎疫情防控常态化的背景下必须坚持的。

传染病的处理最主要是两个方面，一个是“防”，一个是“治”。具体而言就是对确诊病例、疑似病例、康复病例等进行追踪、隔离等措施，防范传染病的进一步扩散就是“防”。对确诊病例、疑似病例进行收容治疗，后续的药物、疫苗的研发就是“治”。公民个人信息的采集也是为了这两个方面，因此，根据不同的传染病的特征，公民个人信息收集的范围具体有多广是值得深思和研究的。

总的来说，公民在传染病防治的情况下所要提供的公民个人信息是有限度的，与传染病防治无关的个人信息采集公民应当有权拒绝，相应的个人信息采集标准应当由政府部门统一规定。

3、明确技术服务机构的职责

疫情防控阶段的技术服务机构应当仅在政府或法律要求的范围内为收集公民个人信息提供技术支持，且不得将其收集的个人信息用于任何商业目的，政府应向技术服务机构派出技术监督人员。此次疫情防控的阶段，不同的科技企业纷纷提供了技术支持，包括支付宝的“健康码”查询服务、微信和电信运营商的行程轨迹查询服务、社区电子门禁服务、外卖跑腿服务等。虽然我们在疫情防控、居家隔离阶段享受到了科技带来的便利，但个人信息被这些科技企业非法收集或泄漏的情况可以说是屡见不鲜。目前科技企业技术发达，很多时候，监管部门并不清楚公民的个人信息是否被企业违法收集或利用，且企业违法收集或利用个人信息的证据留存较为困难。因此，在疫情防控阶段提供技术服务的企业，政府应当派出监管技术人员，监督企业在法定的范围内收集公民个人信息，在企业违法收集或泄漏时第一时间制止并保存相应的证据资料。

4、针对个人信息收集工作制定详细的管理制度以及安全防护工作流程

在明确有权收集公民个人信息的部门或机构的前提下，进一步落实个人信息保护主体责任机制，建立覆盖个人信息数据全生命周期的管理体系。现在个人信息主要通过电子化进行采集，一般需要将数据储存在云端或者终端设施。那么相应的数据应当进行加密存储、加密传输，严格审核信息使用者的权限，没有权限的人员不得查看信息。若以纸质填表方式收集信息，则需要严格要求纸质材料不被拍照、复印，最终统一回收并妥善保管。

公共卫生事件具有相应的突发性和紧急性。公民应当有义务配合政府进行传染病防治等措施，包括提供相关的个人信息。但公民的个人信息，尤其是个人隐私神圣不可侵犯，在疫情防控的状态下也不例外，这需要立法部门、执法部门和社会公共同做出努力。