6月11日，北京在连续56天没有报告新冠肺炎病例后，突然发现1起新确诊本土病例。之后迅速查明和北京新发地农产品批发市场有关，该批发市场是北京的菜篮子，人口流动性极大。为了坚决阻断传播渠道、坚决遏制疫情扩散蔓延，北京市政府采取了一系列果断措施，对相关人员实施隔离和核酸检测。

随后网上有消息爆料称，北京新发地疫情发生后，市场内一直没有现金交易，微信和支付宝通过提供交易数据确定有关人员，圈定一个35万人大名单实施病毒筛查。大家看完后忐忑不安，担心个人信息被不当泄露。事实果真如此吗？随后支付宝、微信迅速通过官方微博做出回应称，没有提供过相关数据，请大家认准卫生防疫部门官方信息发布渠道，勿信谣传谣。

在大数据时代，用数据说话、用数据决策、用数据管理和用数据创新，已经成为实现国家治理能力和治理体系现代化的重要途径。在新冠肺炎疫情防控中，充分运用大数据技术进行联防联控，确实有利于大大提高防控效率，实现精准施策。那么，政府获取相关数据尤其是个人信息，有什么条件和程序呢？互联网企业会随意向政府提供相关人员的交易数据信息或其他敏感信息吗？

尽管相关个人信息有助于精准防控，但政府获取相关数据并没有那么容易，现行法律作了严格的条件和程序限制。首先，政府要求企业报送数据，必须依据较高位阶的法律、行政法规。如《电子商务法》第25条：“有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的，电子商务经营者应当提供……”。少数法律作了严格适用条件的规定，如《网络安全法》第28条规定：“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。”

其次，政府要求企业提供数据，受“正当、必要原则”的限制，即只能出于正当目的，在必要时以最小损害的方式使用个人信息。我国全国人大常委会2012年发布的《关于加强网络信息保护的决定》较早规定了收集、使用个人电子信息应遵循“合法、正当、必要原则”。此后，《电信和互联网用户个人信息保护规定》《网络安全法》《消费者权益保护法》等作了同样的规定。2020年颁布的《民法典》在第四编“人格权”第六章中，专门规定了“隐私权和个人信息保护”，同样明确处理个人信息“应当遵循合法、正当、必要原则，不得过度处理”。在公共卫生事件发生时，根据我国的《传染病防治法》，“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况”。此时，“疾病预防控制机构、医疗机构”等具有法定职责的部门可以根据法定的程序获取为预防传染病所必需的数据。但是，即便在这样的情况下，也非任意数据都可获取。2020年中央网信办发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》明确要求，“收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》，坚持最小范围原则”。

个人身份证号码、银行账户、交易信息、行踪轨迹等信息，属于个人信息保护国家标准《信息安全技术个人信息安全规范》明确规定的个人敏感信息，受到更为严格的保护。因为个人敏感信息一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害，或受到歧视性待遇。因此，政府获取相关人员的交易数据信息，很难符合“正当、必要原则”，可能会对公民个人带来难以弥补的巨大损害，从而使得收益与损害不成比例。

由上可见，我国现行法律对于政府获取企业的数据作了严格限定，对个人信息保护极为重视。另外，政府想要从互联网企业违法获取相关数据更为困难，尤其是大型互联网企业都建立了个人信息保护的专门机构和管理机制，不会随意提供相关数据给政府。首先，政府要求企业报送数据需要具有法定职责的部门依据法定程序进行。其次，为了减少数据安全风险，大型互联网企业一般都制定了数据报送细则，建立了严格的内部审批控制程序。因此，基本没有哪个大型互联网企业敢违反现行的个人信息保护规定，敢冒着失去大量用户的风险，而违法向政府提供相关数据，得不偿失。

（本文作者系中央财经大学数字经济与法治研究中心执行主任）