2020年2月4日，中央网信办公开发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称“《通知》”)，强调运用大数据防控疫情工作中应重视个人信息的保护。本次疫情发生正值春节期间，大规模的人口流动给疫情防控造成极大困难，大数据科技对于人口流向的筛查为疫情防控作出了重要的贡献。在强大的功能之下，海量的个人信息向着大数据“曝光”，个人信息暴露的风险激增。在此背景下，本文立足国内已经出台的相关法律法规，着力检索大数据应用与个人信息保护之法律规范，探寻本次疫情状态下大数据筛查工作的合规基础，借此窥见我国大数据应用与个人信息保护之法规现状。

　　一、 数据时代下个人信息保护相关规范

　　数据时代下，个人信息在很大程度上不仅仅由个人掌握，电信、网络运营者也大量获取、保有个人信息，其中，不乏大量关系个人人身、财产安全的敏感信息，如何确保这些记载个人隐私的信息不被滥用，法律、法规、标准及规范性文件从各个方面对信息获取方获取、运用信息进行规制：

　　总体而言，不论是电信还是互联网运营商，对个人信息的获取、使用必须遵循合法、正当、必要原则，具体是指：公开数据收集、使用范围、目的、方式，查询、更正信息的渠道，经同意后方可收集、使用，并不得超越权限;数据收集、使用应限于其提供服务所必须的范围，不得用于其他目的;需对收集的用户信息严格保密，防止信息泄露及超过用户授权向第三方提供。

　　上述原则已经被电信、互联网运营者广泛使用，在支付宝的隐私政策中，合法、正当、必要原则已经明确写入合同条款，收集的信息内容、用途、不提供的后果也均予以列明，包括向第三方提供信息需经过授权的约定也赫然在列。

　　二、疫情状态下个人信息获取、应用的例外规范

　　自疫情防控工作启动，大数据科技持续发力，迅速对重点区域人流情况进行筛查，为政府部门及时了解当地人员流动信息，做好确诊病例、疑似病例及其密切接触者确定、隔离工作争取了宝贵时间，为科学防疫决策的作出发挥了重要作用。

　　从网信办发布的《通知》看，大数据在疫情防控中的重要作用主要体现在“重点人群流动情况”的抓取、筛查、分析、预测，这些数据的获取最主要的渠道是电信运营商掌握的手机信令信息以及网络运营商掌握的位置信息。而根据前述规定，不论是电信还是互联网运营商，位置信息的使用范围、目的都必须向使用者明示并获取同意，并且，个人行踪轨迹在《个人信息安全规范》中被列为个人敏感信息。以腾讯隐私政策为例，其收集位置信息的用途包括：提供服务、满足个性化需求、产品开发和服务优化、安全保障、推荐可能感兴趣的广告、资讯、评估、改善我们的广告投放和其他促销推广活动的效果、管理软件等，并未包括将位置信息用于人员流动分析一项。因此，由腾讯公司或第三方将腾讯公司收集的位置信息应用于防疫人员流动分析需相关法律依据。

　　经检索，目前明确可以成为个人信息获取、应用的例外规定的是国家标准《个人信息安全规范》(以下简称“《规范》”)5.4条：征得授权、同意的例外

　　《规范》将与公共安全、公共卫生、重大利益直接相关的情形作为个人信息控制者收集、使用个人信息需征得授权同意的例外，一定程度上为个人信息获取方利用获取的个人信息进行防疫工作提供了依据。但应当看到的是，一方面，《规范》并未为个人信息的共享设置例外条件，也就是说即使发生公共卫生事件，电信、互联网运营者将掌握的相关个人信息共享依然需要经过用户同意，另一方面，《规范》的代号为GB/T,属于推荐性国家标准，而根据《中华人民共和国标准化法》，强制性标准必须执行，推荐性标准则是国家鼓励采用。因此，将《规范》视为个人信息收集、使用的例外依据在效力层级上存在一定欠缺。

　　在电信、互联网规范法律体系中，《网络安全法》、《电信和互联网用户个人信息保护规定》均未对个人信息收集、使用作出例外规定，仅《电子商务法》第二十五条对电子商务数据信息的共享作出了例外规定：

　　本条指明本句“电子商务数据信息”包含个人信息，有关部门要求共享信息的依据是法律、法规，并且仅对共享作出例外规定，对个人信息的收集、使用并未涉及。

　　应急管理及传染病防治法律体系中，虽有对信息收集、报告的相关规定，但由于相关法律、法规制定、修订时间较早(《中华人民共和国突发事件应对法》2007年指定实施、《突发公共卫生事件应急条例》2003年公布、2011年修订，《传染病防治法》1989年制定，2004年修订，2013年修正)，而大数据在2013年才开始引起互联网和信息行业的真正关注，因此相关规定虽可作为特别法在本次疫情防控工作中作为信息收集、使用合法性的依据，但事实上，却难谓系法律规范在对大数据运用与个人信息保护之间的关照。

　　三、小结

　　我国目前规范体系中，对大数据生态下个人信息的保护已有关注，相关规定散见于网络、电信、电子商务领域相关法律、法规、规章，但相关规范中对个人信息的界定不一，且对特殊情况下个人信息保护的例外规定少有涉及。

　　传染病防治与应急管理法律体系在2003年“非典”、2008年地震、2009年H1N1等公共卫生及自然灾害的抗灾经验总结中不断完善，法规检索中，我们能够看到各部门、各地区出台的各方面的疾病防控、应急预案、应急规范化建设、调查处理办法。作为特殊情况下的特殊规定，传染病防治与应急管理法律体系对当前疫情防控工作中众多特殊情况，包括大数据防控应用中对个人信息的抓取措施提供了相关依据。

　　相对而言，作为国家标准的《个人信息安全规范》中对个人信息的范围、类型、保护原则与例外均有较为清晰的规定，能够为相关企业收集、运用个人信息提供明确的指引，但其作为国家推荐性标准，在层级上具有天然劣势。

　　从理论层面看，2012年以来，对大数据时代个人信息保护的研究不断增多，从国内外实践经验、个人信息保护之法理基础，到个人信息安全的风险与应对、个人信息保护的机制均有大量研究成果，个人信息保护与数据孤岛，大数据发展与个人信息安全之间矛盾的关系也获得了多方的关注。实践层面，国家卫计委相关“十三五”规划中也明确提出要将数据资源建设作为建设要点。本次疫情防控中大数据获得了广泛的运用，大数据的价值进一步凸显，如何更妥适的处理大数据发展与个人信息保护的关系定将得到进一步的研究，或将推动个人信息安全法律法规的尽快出台，而本文所关注的问题也将在此层面获得更为科学、完整的规范。