答：疾病防控大数据分析涉及大量个人信息，甚至是对特定人群的追踪分析，不是任何单位或个人都有授权、有能力开展的。首要关注的应是合法性，即是否具备明确的法律授权。目前，我国有关个人信息保护的法律法规均规定，收集、使用公民个人信息应当事先征得被收集者同意。《传染病防治法》《突发公共卫生事件应急条例》等法律法规中的有关规定，可以视为征得个人同意的例外，其目的是确保疫情防控的有效开展。在《传染病防治法》《突发公共卫生事件应急条例》中，获得明确授权的有疾病预防控制机构、医疗机构，以及直接参与到国务院和省、自治区、直辖市人民政府制定、实施的“突发事件应急预案”中的单位和个人。非上述单位和个人，不应在未征得个人同意的情况下将个人信息用于疫情管控、重点人群追踪等目的。

问：国外有没有在应对突发公共卫生事件时可以利用个人信息的具体规定？有什么经验值得我们参考？

答：就以全球“最严”个人信息保护法著称的欧盟《通用数据保护条例》（GDPR）为例，对于像新型冠状病毒感染肺炎疫情这样的突发公共卫生事件，除个人同意之外，GDPR还有另外三个合法性事由可供使用，分别是个人数据处理“为履行数据控制者承担法定义务所必须”、“为保护数据主体重大利益或其他自然人重大利益所必须”，“为执行公共利益之目的任务或数据控制者行使法定职能所必须”。这三个合法性事由，能有力地支撑其疾病预防控制机构、医疗机构，以及相关组织利用个人信息开展疫情防控工作。

当然，在具备合法性的前提下，GDPR还要求具体的数据处理要遵循以下基本原则包括：合法、公平、透明原则；目的限定原则；数据最少够用原则；准确性原则；存储期限限制原则；完整性和保密性原则；以及权责一致原则。

相关报道: