2020年1月23日，武汉市发布《武汉市新型冠状病毒感染的肺炎疫情防控指挥部通告》（第1号），通知武汉市机场、火车站、客运等各类交通暂时停运，武汉市民无特殊情况不要离开武汉。然而，在武汉市发布1号通告之前，已经有500多万人离开武汉前往全国各地。[i]随着全国各地不断涌现确诊的新型冠状肺炎患者，国家调动各类机构对武汉返乡人员的身份信息进行登记，必要时，对武汉返乡人员进行隔离处理。在重大突发公共卫生事件面前，国家调动各类机构收集武汉返乡人员的身份信息是否经过法定授权？鉴此，笔者对国家调动各类机构采集武汉返乡人员信息的合法性进行分析，并撰写本篇短文，仅供参考。

一、采集武汉返乡人员信息的主体类型

据悉，武汉返乡人员的信息出现大面积泄露的情况，泄露的主体主要有三类：第一、地方教育部门；第二、公安部门；第三、政府安排村委会、街道办事处、社区的基层工作人员。[ii]因此，可以反向推导，采集武汉返乡人员信息的主体有：地方教育部门、公安部门、村委会或居委会等基层工作人员。该类人员采用直接收集信息的方式进行信息采集。

除了政府部门采集信息外，互联网公司及基础运营商利用自身数据对武汉返乡人员进行定向追踪，例如运用移动电话网络CDR“大数据技术”对武汉返乡人员进行有效识别。该类信息收集者则是通过改变信息使用目的的方式，将原本已经掌握的信息，转用于疫情监测和防控等目的。

因此可以看出，采集武汉返乡人员信息的主体类型大致有两大类：政府有关部门和互联网或基础运营商。其中，政府有关部门采用直接采集信息的方式，互联网企业或基础运营商则是采用改变原有信息使用目的的方式。

二、采集武汉返乡人员信息的合法性基础

2012年人大常委会发布《关于加强网络信息保护的决定》规定“网络服务提供者和其他企业事业单位在业务活动中采集公民个人电子信息，应当……明示收集、使用信息的目的、方式和范围，并经被收集者同意”，一个“并”字体现了“同意”是必要条件，是必须经历的程序。

2016年人大常委会发布的《网络安全法》再次重申“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”因此，我国对于个人信息的采集一直以执行“告知+用户同意”为判断标准。

根据《信息安全技术 个人安全规范》的规定，“用户同意”包括用户“授权同意”和“明示同意”。所谓的“授权同意”类似于默示同意，对于一般的个人信息，只要用户不反对，即视为其默示同意；所谓的“明示同意”是指“个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做 出明确授权的行为。”个人敏感信息，则需要经过用户的明示同意。

此外，根据《信息安全技术 个人安全规范》的规定，使用个人信息时“不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。”因此，如果需要改变信息使用目的的，需要再次征得个人信息主体的明示同意。

综上所述，通常来说，采集个人信息的合法性基础在于：

如果是政府有关部门直接收集个人信息，如果采集的是个人的一般信息，政府有关部门需要明示收集、使用信息的目的，得到个人同意后，政府有关部门才能收集；如果采集的是个人的敏感信息，政府有关部门需要明示收集、使用信息的目的，得到个人明示同意后，政府有关部门才能收集。

如果是互联网企业或基础运营商采用改变信息使用目的的方式，将原本已经掌握的个人信息，转用于其他目的，需要再次征得个人的明示同意。

三、采集武汉返乡人员信息合法性基础的例外

通常而言，采集武汉返乡人员信息的合法性基础，无论是直接采集还是改变使用目的，均需得到“用户同意”。然而，如果出现武汉返乡人员基于恐惧等心理，拒绝同意或故意隐瞒真实情况，政府有关部门及互联网企业或基础运营商能否突破合法性基础，未经“用户同意”，经行采集武汉返乡人员的信息？

《信息安全技术 个人安全规范》针对该情况设置了合法性基础的例外规定，例如出现了与公共安全、公共卫生、重大公共利益直接相关的情形，个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意：

但是，《信息安全技术 个人安全规范》仅为推荐性国家标准，并没有法律的强制约束力，而根据《网络安全法》第41条的规定，“用户同意”仍为采集、使用用户信息的唯一标准。因此，从《网络安全法》的角度无法突破收集用户信息合法性基础的例外。

但如果将视角移至《中华人民共和国传染病防治法》和《突发公共卫生事件应急条例》，则会发现政府有关部门及互联网企业或基础运营商是可以突破合法性基础，在未经“用户同意”的情况下，直接采集武汉返乡人员信息的。
《中华人民共和国传染病防治法》第12条规定：“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”

《突发公共卫生事件应急条例》第21条规定：“任何单位和个人对突发事件，不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。”

可见，在重大公共卫生事件面前，如果疾病预防控制机构、医疗机构需要相关的数据，一切的单位和个人（包括武汉返乡人员、政府有关部门、互联网企业或基础运营商）应如实提供有关情况。任何人不得谎报、隐瞒、缓报。
由于《传染病防治法》《突发公共卫生事件应急条例》属于特别法，《网络安全法》属于一般法，根据特别法优于一般法的原则，虽然《网络安全法》没有规定“用户同意”的例外情形，但根据《传染病防治法》《突发公共卫生事件应急条例》的规定，政府有关部门及互联网企业或基础运营商是可以突破合法性基础，在未经“用户同意”的情况下，直接采集武汉返乡人员信息的。