从全球范围看，一个信息“裸奔”的时代正在到来。对此，各国关于个人隐私保护政策日趋严格。2015年9月，日本出台《个人信息保护修正法》，该法明确在获取和利用个人信息时，必须通知或公布使用的目的，避免个人信息泄露。2016年3月，韩国通信委员会修改了《信息通信网络的利用促进与信息保护等相关法》，进一步完善个人信息委托处理的规定，增加对个人信息保护相关负责人的要求，以及新增暴露的个人信息的删除和切断有关规定等[17]。2018年5月正式生效的《通用数据保护条例》（GDPR）支持出于公共安全目的而对个人数据的使用，同时《通用数据保护条例》对个人数据的使用条件进行了严格规定，以防止个人数据的随意使用、滥用及数据泄露等情况的发生。2020年1月1日，《加州消费者隐私法》（CCPA）正式生效，提高了美国保护隐私的标准，对不遵守或导致数据泄露的企业处以罚款。

我国尚未出台专门针对个人信息保护的法律，但近年来发展较为迅速，目前基本形成以《刑法》《民法典》《消费者权益保护法》《网络安全法》《电子商务法》等为主的顶层设计（具体见表6-2）。

表6-2　我国个人信息保护国家层面法律和政策

续　表

续　表

2020年以来，我国开始加快国家层面个人信息保护的统一立法速度。5月28日，第十三届全国人民代表大会第三次会议通过《中华人民共和国民法典》，确立了数据和虚拟财产依法受到保护、公民个人信息和隐私权保护的基本原则。比如在《民法典》第四编“人格权”第六章“隐私权和个人信息保护”中，对自然人的隐私权，侵犯隐私的行为方式，自然人的个人信息定义，收集、处理自然人个人信息的原则、方式和限制，自然人的个人信息权利，信息收集、控制者的责任、义务和豁免等进行了明确规定。同时，针对人工智能人脸识别技术的应用，《民法典》第1019条明令禁止“利用信息技术伪造侵害他人肖像权”，第1023条首次将声音作为人格权的肖像权保护客体。2020年7月3日，《数据安全法（草案）》对外公开征求意见，引发社会关注。2020年10月21日，全国人大常委会正式对外公布了《个人信息保护法（草案）》，其正式出台后将成为我国个人信息保护领域的第一部综合性立法。(www.daowen.com)

然而在新冠肺炎疫情期间，因为缺乏制度准备和处置经验、相关主体的安全意识不足、不良分子伺机而动等原因，产生了诸多政府不正当采集数据、机构授权不清晰、个人信息泄露和滥用等数据安全问题。因此，加强重大突发公共安全事件下的个人信息保护长效机制十分重要。

一是在突发公共安全事件下，明确上位法中关于紧急状态下政府和企业等社会主体的数据活动。清华大学薛澜教授认为，我国今后在公众个人数据的收集范围、使用和数据使用后的处理等方面，应该有一个更加系统全面的法律规范来避免技术的滥用[18]。对此，可通过法律修订和实施细则等方式，对《突发事件应对法》《传染病防治法》《政府信息公开条例》和《突发公共卫生事件应急条例》等进行补充完善。应坚持“专事专用”原则，明确紧急状态下，政府因公共安全需要而所必须采集的数据类型、数据范围、数据留存时间、数据用途等。同时也应明确需要与社会组织/企业合作而产生涉疫数据共享、流通和利用等活动的授权机制与安全责任边界等。

二是在日常公共安全保障中，加强对人脸、指纹、手掌纹、虹膜、视网膜、声音（语音）、体形、个人习惯等个人敏感数据的法律规制。一些美国城市已经明确限制公共部门使用该项技术。2019年5月，加利福尼亚州旧金山市率先通过法令，禁止政府部门获取、保存、访问、使用“人脸识别技术”和“使用人脸识别技术获取的信息”。该法令称，“人脸识别技术危及公民权利和公民自由的可能性远远超过其声称的利益”[19]。同年6月、7月，马萨诸塞州萨默维尔市和加利福尼亚州奥克兰市也通过了人脸识别的禁令。

三是加强相关企业的日常数据安全能力和容灾制度储备。企业是人工智能时代公共安全治理的重要主体，通过技术支撑提供了优秀的产品和服务。因此，一方面，可建立重大公共安全事件的数据安全工具包，为在紧急状态下数据安全合规要求提高而能力不足的企业、社会主体提供加密、脱敏、备份等安全技术和综合解决方案。另一方面，对突发公共安全事件下可能产生的行业影响进行前瞻性研究和规范，对在疫情期间可能承载过重的办公、医疗、教育、通信等行业平台和企业做数据安全容灾要求。