當前，人工智能、區(qū)塊鏈和大數(shù)據技術等智慧科技在疫情防控中發(fā)揮了積極作用，但同時，收集個人信息也涉及個人隱私問題，需要引起足夠的關注。

人工智能在疾病預測方面，可以輔助醫(yī)生診斷病情和治療病人，承擔檢測疾病，預測病人風險，選擇藥物，甚至進行實際治療工作。例如，某數(shù)科公司有一款疫情機器人，可以與疑似病患互動而判斷患者是否需要隔離治療。有機構精準醫(yī)學研究院研發(fā)的“新型冠狀病毒肺炎自測評估系統(tǒng)”也具有診斷功能，只要患者輸入信息，系統(tǒng)就會作出患病風險層級評估并給出就醫(yī)指導。還有互聯(lián)網公司通過紅外設備和人臉識別系統(tǒng)開發(fā)出檢測體溫機器人，可以在公眾場合精準地確定體溫異常的行人；有的科技公司開發(fā)的疫情機器人可以提供新型冠狀病毒基礎信息解讀、預防措施、癥狀及就醫(yī)指導、實時疫情信息、發(fā)熱門診、定點醫(yī)院等信息查詢引導，普通民眾通過手機下載后使用，方便檢測自己的身體狀況。如果廣泛推廣這些自動檢測系統(tǒng)，可以讓普通人及時得到自救，緩解醫(yī)院的檢測壓力，防止交叉感染和疫情擴散。

區(qū)塊鏈與信息管理方面，有高校開發(fā)的“區(qū)塊鏈疫情采集監(jiān)測系統(tǒng)”可以分布式在線采集全校學生和教職工健康狀態(tài)數(shù)據、外出情況和疫情防控信息，實現(xiàn)實時在線監(jiān)測防控的目標。有保險理賠平臺使用區(qū)塊鏈管理與病毒相關的索賠，取消了面對面交涉和紙質文件，防止傳染發(fā)生，將患者、醫(yī)院和保險公司鏈接起來，可以優(yōu)化賠付流程，更快地處理理賠并付款。

大數(shù)據在疫情和病情預測方面也發(fā)揮了重要作用，可以實現(xiàn)疫情信息的獲取、匯聚、整理、分析和挖掘。鐵路公司運用實名制售票大數(shù)據資源，統(tǒng)計全國以及各省的乘客去向。通信公司利用網絡大數(shù)據，分析在一定時段內自特定地區(qū)進入各省市的人口分布情況。這些大數(shù)據提供給疫情防控部門，幫助其精準研判疫情并發(fā)布相關信息，讓百姓關注疫情，提高自我防護能力，同時避免聽信謠言，引發(fā)社會恐慌。此外，還有許多企業(yè)和個人利用地圖、交通、移動通信、電商消費數(shù)據等大數(shù)據資料建立病毒感染風險預測模型，通過輸入被檢測人的個人信息，預測其是否到過疫源地、是否與疫源地人員接觸、是否與已感染病例接觸，進而實現(xiàn)預警。例如，目前出現(xiàn)的“確診患者相同行程查詢工具”，任何人只要向其輸入乘坐的交通工具、時間和地區(qū)，即可查詢到自己是否曾和確診者同行。

智慧科技設備（以下簡稱“設備”）收集個人信息一直就是“公開的秘密”，設備的使用過程也是個人信息不斷被收集的過程。這次疫情防控掀起了收集個人信息的一次新的“高潮”。上文列舉的疾病監(jiān)測軟件、區(qū)塊鏈信息管理軟件和病毒感染風險測試軟件等，都在源源不斷地收集用戶的人臉圖像、姓名、年齡、身份證號碼、電話號碼、家庭住址，以及是否確診、疑似或者密切接觸等信息。

需要說明的是，個人信息收集存在兩種情況。一是通過去標識化處理后匯聚成集合性信息，提供給政府和疾控等部門，以作為疫情發(fā)展判斷和部署的依據，這是值得大力提倡的合法行為。二是設備以幫助用戶預測病情或者感染危險等為名，獲得用戶的個人信息，當這些個人信息中還包含敏感信息時，就存在收集合法性問題。

無疑，設備實際上充當了一個信息收集者的角色，這種收集也可以稱之為被動收集。在重大疫情背景下，用戶也必然不再像平日那么謹慎，按照軟件提示輸入自己的癥狀和乘坐的車次和航班號等信息，其個人信息包括敏感信息沉淀在設備之中，或者被設備所“抓取”。

那么，設備所有人有沒有收集個人信息的資格呢？按照《信息安全技術個人信息安全規(guī)范》的規(guī)定，個人信息收集的方式有兩個：一是征得用戶明示同意，二是出現(xiàn)公共衛(wèi)生等重大事件時，行政機關、疾病預防控制機構無需征得個人信息主體的同意即可收集其相關信息。除此之外，其他任何單位和個人不得以疫情防控、疾病防治為由收集個人信息。

設備對個人信息的收集確實存在不符合法律法規(guī)之處。其一，實踐中大多的設備并不會明確向用戶提示其信息將會存儲在設備之中，即使有這樣的提示也不具體，無法引起用戶的足夠注意。實踐中不排除存在名為“自愿同意”，實為“強制”收集信息的情形發(fā)生。有的用戶使用設備的真實意思只是想進行某種測試，并沒有授權設備采集自己信息的意思。其二，設備所有人不是醫(yī)院，設備并非醫(yī)務人員，也并沒有得到衛(wèi)生部門的授權，不屬于法定的個人信息收集人。

根據《網絡安全法》第41條的規(guī)定，網絡運營者收集使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集使用信息的目的、方式和范圍，并經被收集者同意。

第一，設備收集信息應該建立在用戶知情同意的基礎之上。所謂知情，是指設備或者設備所有人應當告知用戶其個人信息會被設備收集，并告知收集信息的使用目的和使用范圍，不應以欺詐、誘騙、誤導的方式收集個人信息。所謂同意在這里應該做嚴格解釋，可以參照歐盟《通用數(shù)據保護條例》（GDPR）的規(guī)定，數(shù)據主體的“同意”指的是數(shù)據主體通過一個聲明，或者通過某項清晰的確信行動，自由作出的、充分知悉的、不含混的、表明同意對其個人數(shù)據進行收集的意愿。

第二，設備收集個人信息應該符合內容最小化原則，即只能收集必要的信息，而不能收集額外的信息。例如，與疾病檢測相關的體溫和不適狀況、行蹤和交通工具信息等，而個人基本信息如個人姓名、身份證號、電話號碼等不屬于被收集信息，更不能收集個人生物識別信息和職業(yè)信息等。

第三，設備所有人對個人信息負有保密義務，要采取嚴格管理措施，如進行加密或去標識化處理，同時加強網絡安全工作，防止個人信息被盜取或者泄露，切實保護用戶的隱私。

第四，用戶使用設備的目的完成后，設備所有人應該盡快將收集到的個人信息刪除或者做匿名化處理，如果要進行二次使用，則需要到工信部門進行備案。