本文作者盛炯，为上海君伦律师事务所律师，为《瑞中法律评论》投稿。

中国立法机关今年五月通过了万众瞩目的《中华人民共和国民法典》（“民法典”），法律中首次加入保护隐私和个人信息的章节。几乎与此同时，新的国家标准《信息安全技术：个人信息安全规范》（GB/T 35273-2020，“安全规范”）也获发布。虽然两份文件都还未正式生效，它们都将对在中国越来越获得重视的个人信息保护产生重大影响。而在现在这样一个新冠疫情爆发的不确定时期，如何更为规范地采集、保护和使用与医疗相关的个人信息是一个值得关注的问题。新的民法典及安全规范明年正式生效后将为这些问题提供更为全面的解答。那么新规在疫情中将如何发挥作用呢？

民法典将隐私与个人信息分开保护。隐私被定义为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”（民法典第1032条），而个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”（民法典第1034条）。个人信息中包括了部分私密信息（例如私密聊天记录、私人照片等），此类信息应按照隐私的标准来保护；而处理其他个人信息就必须要满足第1035条下的条件，其中最重要的是征得相关自然人的同意。而根据安全规范，此类授权同意还应基于告知收集、使用的目的、方式和范围，以便相关自然人充分考虑对其的具体影响（安全规范第5.4(a)条）。

但是新法也提供了例外。在某些情况下，对个人信息的处理并不基于相关个人的授权，而是基于法律和行政法规的规定（民法典第1035(1)条）。《中华人民共和国传染病防治法》第12条就明确授予疾病预防控制机构和医疗机构采集有关传染病调查、检验、采集样本及隔离治疗相关信息的权力。鉴于新冠肺炎已经被归为乙类传染病，疫情中的个人信息保护在一定程度上必然要让位于公共利益。

但我们的理解是信息的采集和使用仍然必须在法律的框架下进行。民法典对信息处理者提出几大义务，包括不向第三方透露个人信息、不泄露个人信息（包括采取积极措施避免信息泄露）、以及信息损害泄露时的补救及告知。安全规范对如何存储和保护信息有更明确的规定，例如个人信息访问的内部审批流程、最小授权的访问控制、加密还有其他安全措施。所有信息处理者都负有此类义务，即使其采集信息的许可源自法律而不是被采集人本人。医疗机构和疾控部门因此也必须采取必要措施保护好信息，以达到安全规范所设下的标准。此外，对信息的使用应被控制在采集目的范围内；医疗机构不应将信息用于公共医疗以外的其他目的，否则必须获得当事人另外的许可。

虽然法律和国标可以一起规范信息保护的方法和程序，现存的一个难点是如何准确定义什么是可采集的信息，特别是在新冠肺炎这样罕见的公共卫生安全事件中。某些特殊情况下未经当事人许可即可采集使用个人信息，但这也不代表所有的个人信息都可被采集使用。民法典规定信息处理必须遵循“合法、正当、必要原则”，安全规范提出的则是信息采集的“最小必要原则”，在涉及到个人信息时在附件B中列出了几个个人敏感信息的例子（其中包括一些个人健康生理信息，例如医疗检验报告、病史及用药记录等），但这些基本上只是原则性规定，在实际操作中存在变动，在本次新冠肺炎疫情中很多人就体会到信息采集的范围较大，有时需要提供的信息甚至涉及当事人的亲属或密切接触者，乃至当事人的私密信息。

因此我们需要一个更加清晰的定义机制。民法典已经明确将个人信息的保护确立为一种人格权；安全规范只是针对个人信息采集、储存和使用的国家标准。要真正做到全面的权利保障，一部完善并独立的隐私及个人信息保护法可能是我们所需要的。