2020年的艰难开局，注定这一年不同寻常。1月20日，国家卫健委将新型冠状病毒感染的肺炎纳入《中华人民共和国传染病防治法》规定的乙类传染病，并采取甲类传染病的预防、控制措施。全国各省市结合疫情防控形势陆陆续续启动了重大突发公共卫生事件一级响应，且采取了对住宅单元楼门、小区（村）封闭式管理等措施进行防控。全国各地对去过武汉、从武汉到其他城市或与武汉人接触过的人员进行了身份和行程信息的采集，采集信息的主体有学校、企业、各政府部门及其他组织，如街道办事处、居委会、律师协会等均参与到相关信息的采集工作中。这个过程涉及到个人信息的采集、汇总、共享、披露等多个环节，每个环节都应当注意做好个人信息保护工作，以防出现数据泄露、丢失、滥用等情形。

国家卫健委于2月3日发布《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》，对加强网络信息安全、保护个人隐私安全等提出了概括性要求。2月9日中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，再次强调了此次疫情联防联控工作中的个人信息保护，重申了疫情紧急时需关注和遵循的个人信息保护底线。

然而，笔者曾在相关微信群里见到有人传播XX市武汉返乡人员信息表（内容涉及姓名、身份证号、家庭住址等公民个人信息），该披露行为会对被泄露信息者及其家庭造成众多影响，甚至可能被不法分子利用，进而实施敲诈勒索、恶意举报等违法犯罪行为侵害公民的合法权益。众所周知，行政部门在当前应对疫情的紧急态势下，按政策和法律采取的信息收集工作，应当遵循禁止权力滥用原则来推行，同时在具体实施时，还应把握适度原则，尽可能减小对公民正当权益的侵害。可上述情况显然存在信息管理方面的漏洞及相关人员违法违规操作的情况。对此，笔者就新型冠状病毒疫情下个人信息的收集主体、对象、原则及如何避免个人信息滥用、泄露进行探讨。

一、突发公共卫生事件时，有关部门收集个人信息等行为是否具有法律基础？

本次疫情发生后，国家卫健委已将新型冠状病毒感染的肺炎纳入《传染病防治法》规定的乙类传染病。根据《传染病防治法》第十二条“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况……”及第三十一条“任何单位和个人发现传染病病人或疑似传染病病人时，应当及时向附近的疾病预防控制机构或者医疗机构报告。”由此看来，为防控本次疫情，行政机关中应对、处置疫情的主管部门或者相关联机关、单位，以及被授权的组织，属于法定的有权收集、管理相关个人信息的部门。对此，上述收集、管理等行为显然于法有据。

二、疫情发生时，收集个人信息的主体有哪些？

首先，根据《传染病防治法》和《突发公共卫生事件应急条例》的有关规定，基于传染病防治和突发公共卫生事件应对的需要，有权收集疫情信息的主体有：疾病预防控制机构、医疗机构、被指定的专业技术机构、街道、乡镇以及居民委员会、村民委员会等。

其次，根据《交通运输部关于统筹做好疫情防控和交通运输保障工作的紧急通知》第四条的规定，交通运输单位也拥有收集信息的资格。

再次，法律法规规定信息收集主体是政府机关，但是政府机关可以要求企事业单位配合开展信息收集工作，例如学校。

最后，企业与员工之间存在劳动关系，如果有员工患有新型冠状病毒肺炎、疑似患者或密切接触者，可能会威胁到企业其他员工的健康安全，因此企业有权知悉并掌握员工的疫情相关信息。

三、本次疫情中，收集个人信息的对象有哪些？

《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第2条对个人信息收集对象进行了限制，即“收集联防联控所必需的的个人信息应参照国家标准个人信息安全规范，坚持最小范围原则，收集对象原则上限于确诊者、疑似者、密切接触者等重点人群，一般不针对特定地区的所有人群，防止形成对特定地域人群的事实上歧视。”因此本次疫情中，收集个人信息的对象为患有新型冠状病毒肺炎、疑似患者或密切接触者，原则上不能对来自特定地区人员进行差别态度，例如湖北籍人员。

四、本次疫情中，如何避免个人信息违规披露及滥用？

（一）首先应遵循“最小必要”原则

根据《民法总则》第一百一十一条“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”和《网络安全法》第四十一条第二款“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”及《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第2条的规定，为防控疫情所收集的个人信息，采集信息的主体应当严格遵循“最小必要”原则，避免收集无关信息，即采集实现防控疫情目的所需要的必要最小个人信息。例如，收集确诊病例的姓名、身份证号、电话、住址以及紧急联系人、联系方式等信息及其行踪轨迹，以便追踪到疑似患者或密切接触者，但收集其职业、民族等信息则可能会超出实现上述目的所需要的范围。

对于收集的信息数据存储、使用及管理，也应遵循“最小必要”原则，即通过限制访问权限和必要性共享，以及在目的实现后尽快对个人信息进行删除或匿名化处理等方式防止信息滥用和泄露。若未能以合法合规的方式收集、保存信息数据，导致个人信息数据被非法使用、传播，则极易导致个人的名誉、身心健康受到损害或财产遭到损失等不利影响。

（二）如何收集、使用、保存个人信息？

《关于做好个人信息保护利用大数据支撑联防联控工作的通知》针对个人信息保护提供了明确的指引，建议所有参与到此次疫情联防联控的相关主体在收集、使用、保存个人信息时应注意以下几点：

第一，应当规定所收集信息的使用目的和使用范围，保证相关个人信息仅可用于疫情排查，并明确界定必要访问人员和使用条件。第二，对收集信息人员进行培训，让其明白收集信息的目的和范围，同时要求在收集信息时应将上述目的及收集的信息范围告知被采集信息的个人，且仅收集疫情防控所必需的最少量的个人信息。例如：只询问有无发热、干咳等与疫情相关的典型症状，而非普查健康状况或病症病史。第三，鉴于疫情相关个人信息一般属于个人敏感信息，应选用安全可靠的信息提交和接收、加密传输和去标识化、脱敏等存储方式，以及在各个层面部署安全分析工具和防火墙，以免个人信息在收集、传输的过程中泄露、毁损或丢失。第四，按照最小授权原则，仅确定必要的人员的访问、复制、修改、增删等操作权限。第五，基于疫情原因收集的个人信息，收集者应当在疫情结束后及时销毁或匿名化处理（法律要求和允许保留的除外）。

《网络安全法》、《传染病防治法》、《突发公共卫生事件应急条例》在新型冠状病毒肺炎爆发的这样的突发公共卫生事件中，建立了个人信息收集使用的法律授权，同时明确了法律责任。因此，在此次疫情防控工作中，所有单位和个人均应在法律框架内开展工作，高度重视个人信息保护工作，实现个人信息收集、利用和安全之间的平衡，取得疫情防控阻击战的胜利。

作者介绍

陈金金

贵州贵达律师事务所专职律师，工科学士、法律硕士。贵州贵达律师事务所专职律师，贵州省大数据律师服务团秘书，担任中国电建集团贵阳勘测设计研究院有限公司、中铝贵州工业服务有限公司、贵阳货车帮科技有限公司等公司的法律顾问。

贵达所是综合性合伙制律师事务所，实行专业化、规范化、团队化、规模化、国际化管理，设有民商事、刑事、行政、公司业务、房地产、金融证券、矿产资源、知识产权、国际业务、PPP、破产清算、大数据和法律援助等专业团队， 注重品牌与知识管理工作。设立了北京、重庆、贵安、六盘水、遵义、都匀、毕节、贵定、铜仁九家分所。现已成为规模较大、专业化分工明确、软硬件设施一流的律师事务所

▼

10 分钟带你搞定 MySQL 存储过程

平时我们写的 SQL 语句都是一条 SQL 语句执行一个结果，没办法执行复杂的判断，这时存储过程就派上用场了，存储过程可以把多个 SQL 语句组合起来，完成复杂的运算结果，就像编程语言中的函数一样，可以在函数里实现判断，变量赋值等操作。

使用存储过程带来的优点：

提高执行性能减轻网络负担防止对表进行直接访问SQL代码可以重复使用可以实现复杂的条件判断

在实际的生活中，很多行业的数据库都在使用存储过程，例如金融、企业、政府，可以说存储过程无处不在，学会使用它是你工作中必不可少的一项技能。

创建存储过程是有一套固定的语法：

CREATE PROCEDURE 名称([IN|OUT|INOUT] 参数名 参数数据类型 )
BEGIN
 这里是一些sql语句
END

存储过程和函数很像，可以给它传入一些参数，也可以不指定任何参数。和函数也有一些细微的差别，他的参数名称前面有三个标识符 IN OUT INOUT，指定不同的标识有不同对的意思。IN 表示输入参数可以省略，OUT 表示输出参数，INOUT 表示即是出入参数，也是输出参数。

先来创建一条不带参数的存储过程。

CREATE PROCEDURE sp_abc()
BEGIN
 -- 注意SELECT语句结尾需要分号结束
 SELECT id FROM customer  LIMIT 10; 
END

注释：“--”两个减号开头或“#”一个井号开头的字符串会被 MySQL 理解为注释，MySQL 会忽略之后的字符，不进行运行。

每条 SQL 语句需要分号结尾。

运行上面的代码，MySQL 数据库中创建了一个名为 sp_abc 的存储过程。

使用 CALL sp_abc(); 语句执行这个存储过程，会返回一个结果集，如下图的样子。

是不是太简单了，还不如写一条 SQL 语句，我们来创建一个稍微复杂一点的存储过程。

CREATE PROCEDURE sp_abc(IN p INT)
BEGIN
 IF p = 10 THEN

  SELECT id FROM customer  LIMIT 10;
 ELSE
  SELECT id FROM customer ;
 END IF;
END

上面的定义了一个接收 p 参数的存储过程，如果给定的参数为10，那么运行第一条 SQL 语句，如果不是10运行第二个 SQL 语句。

接下来定义一个带有 OUT 参数的存储存储过程。

CREATE PROCEDURE sp_abc(IN p INT,OUT n INT)
BEGIN
 IF p = 10 THEN
  SELECT id FROM customer  LIMIT 10;
 ELSE
  SELECT id FROM customer ;
 END IF;
 SELECT FOUND_ROWS() INTO n;
END

执行存储过程：

CALL sp_abc(10,@a);
SELECT @a;

解释下关键点，第二个参数需要 @ 开头定义一个变量。 函数取得前一条 SELECT 语句检索出来的记录条数，把这个记录条数赋值个变量 n，赋值的语法是 SELECT … INTO 变量名。

执行完前面的 CALL 语句，再使用 SELECT @a; 就可以看到 a 变量输出一个记录数。可以简单的理解为， 函数的数值赋给变量 n，变量 n 在把他的数据赋给你定义的@a，这样外部就可以使用SELECT @a; 得到这个 n 变量的值了。

先整理下载存储过程中使用到的一些判断语句。

IF 语句

IF 判断条件 then
 一些语句;
ELSEIF 判断条件 THEN
 一些语句;
ELSE
 一些语句;
END IF;

WHILE 循环语句

WHILE 判断条件 DO
 一些语句;
END WHILE;

REPEEAT 语句，他和 WHILE 语句最大的区别就是这个语句至少会执行一次。

REPEAT
 一些语句;
UNTIL 判断条件 END REPEAT;

CASE 语句

CASE 变量
WHEN 1 THEN
 当变量等于1时执行这里;
WHEN 2 THEN
 当变量等于2时执行这里;
WHEN 3 THEN
 当变量等于3时执行这里;
ELSE
 如果没有匹配到任何条件，执行这里;
END CASE;

以上的语句大家可以自己测试下，这里就不细说了。

既然有各种判断语句，那么肯定也有变量的定义，在存储过程中定义的变量和其他编程语言是一样的，这些变量称为局部变量，局部变量就是只在存储过程中可以使用，外部是无法使用的。

局部变量定义的语法：

DECLARE 变量名 数据类型 [DEFAULT 初始值]

初始值是可有可无的，如果没有给出初始值，这个变量默认值为 NULL。在存储过程中，一个变量在使用前需要提前定义，要不然就无法使用。

定义好变量后，就可以使用语句更改这个变量的值了。

SET 变量名 = 新的值;

变量使用的例子：

CREATE  PROCEDURE `sp_abc`()
 BEGIN
 DECLARE a INT DEFAULT 10;
 SET a = a+1;
 SELECT a; --结果输出 11 
END

好的，小伙伴们，学会了吗。下篇给大家说说 MySQL 游标的使用。