北京商报讯（记者 陶凤 王晨婷）此次新冠肺炎疫情应急处置中，暴露出不少个人信息保护和数据安全问题。在常态化防控时期，解决疫情期间个人信息过度收集、泄露的问题更加刻不容缓。目前，个人信息保护法和数据安全法已经列入全国人大常委会立法规划，但立法进程相对滞后。针对这些问题，全国政协委员、北京市朝阳区政协副主席、北京国际城市发展研究院院长连玉明今年的两会提案之一就是在突发公共卫生事件应急处置中加强个人信息权保护。

北京商报：您认为在新冠肺炎疫情防控期间，暴露出了我国个人信息保护方面存在的哪些漏洞？

连玉明：这次新冠肺炎疫情防控，让我们看到了由于信息权保护缺失导致信息泄露的“次生灾害”。首先是缺乏根据应用场景对个人信息的分类分级保护，导致个人信息无序传播。掌握个人信息的主体多元，对这些机构主体在信息收集、使用、处理和保护方面缺乏规范和监管，个人信息泄露渠道不可控。

此外，法制不健全。缺乏收集、使用和处理个人信息的合法性基础，无法保证个人信息有效用于合法性事由，导致了类似“人肉搜索”等隐私泄露问题。个人信息泄露也直接影响公众对公共机构的信任，对应急管理带来负面影响。

北京商报：那您对此有什么具体建议吗？

连玉明：我建议在“个人信息保护法”中设立对个人信息进行分类分级保护的条款。可借鉴欧盟通用数据保护条例（GDPR），个人信息分为一般个人信息和特殊类型信息（也被称为敏感个人信息），“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等”的信息，应将其作为特别类型信息予以保护。在突发公共卫生事件应急处置中，姓名、身份证号码、家庭住址、电话、定位数据、在线活动等与健康相关的信息，也应作为特殊类型信息，基因数据、生物数据和健康数据等本身作为特殊类型信息更应特别保护，应在“个人信息保护法”相关条款中进行充分考虑。

同时，建议规范行政机关、公共机构对个人信息的收集、使用和处理行为。我国《传染病防治法》《突发公共卫生事件应急条例》对重大传染病疫情突发公共卫生事件应急处置中，授权进行个人信息收集和使用均做出明确规定。但现实中掌握个人信息的主体众多，包括地方教育部门、公安部门、铁路航空交通部门、基层政府工作人员、电信运营商以及互联网公司等。这些主体在什么条件下可以收集信息、收集哪些信息、如何收集信息以及这些信息在收集后的安全使用，都应划定边界并依法规范。对基于数据关联分析的个人信息应加大监管力度，对未经授权披露在传染病爆发期间收集的个人信息可能会使个人面临污名化、歧视、暴力等风险，包括，应依法提供足够的保护。

加快编制“重大传染病疫情突发公共卫生事件应急处置中个人信息保护管理指引”。借鉴世界卫生组织发布的《传染病爆发中伦理问题的管理指南》，明确具有收集与使用相关个人信息权力的指挥机构、执行机构，并明确相关工作启动条件和流程规范。建立统一集中管理机制、运用脱敏技术、去标识化、加密等措施对数据进行预处理，基于大数据关联分析结果不触达相关人员。对公共卫生监测、临床研究、个例患者遭遇以及传染病爆发期生物样本数据的快速共享，建立严密访问机制，防止数据泄露、丢失及未授权使用，并做好疫情退散后的数据处理方案。

此外，也要尽快启动建立专门的个人信息保护监管机构。随着《网络安全法》的颁布实施和“个人信息保护法”、“数据安全法”的陆续立法，建立个人信息保护监管机构势在必行。另外也建议把个人信息权保护纳入检察机关公益诉讼。针对在重大传染病疫情突发公共卫生事件应急处置中侵害众多公民个人信息权的行为，以及相关行政机关违法行使职权或不作为致使众多公民个人信息权被侵害的，应当提起公益诉讼。