针对疫情期间如何收集和使用个人数据,很多国家的数据保护机构发布了相关的指导意见和声明,其中大多数国家在疫情期间具有统一的看法。
当前,COVID-19肺炎在全球范围内不断扩散,针对疫情期间如何收集和使用个人数据,很多国家的数据保护机构发布了相关的指导意见和声明,其中大多数国家在疫情期间具有统一的看法:一是要求个人数据的收集和使用应当遵守数据保护立法的要求,且很多国家对于健康数据的范围进行了详细明确,要求健康数据的收集和使用要求应当遵守立法中针对特殊类别数据的保护规定;二是具有特定权力的公共机构可以收集人们的个人数据以预防病毒感染;三是掌握个人健康数据的组织可以出于公共目的与特定政府机构共享个人健康数据。
欧盟数据保护委员会(EDPB)
EDPB明确疫情期间对个人数据的收集和使用应当遵守包括GDPR在内的数据保护规定。EDPB主席在2020年3月16日表示“数据保护规则(例如GDPR)并不妨碍针对冠状病毒大流行而采取的措施。但是,我想强调的是,即使在这些特殊情况下,数据控制者也必须确保对数据主体的个人数据的保护。因此,应考虑多种因素,以确保合法处理个人数据。”GDPR规定了适用于在与COVID-19相关的情况下处理个人数据的规则。GDPR提供了法律依据,使雇主和公共卫生主管部门可以在流行病情下处理个人数据,而无需征得数据主体的同意。例如,当雇主出于公共卫生领域的公共利益、保护重大利益(GDPR第6和第9条)或遵守另一法律义务而需要处理个人数据时,就适用此规定。对于诸如移动位置数据之类的电子通信数据的处理,适用其他规则。在实施《电子隐私指令》的国家规定了以下原则:只有在匿名化或获得个人同意的情况下,运营商才能使用位置数据。公共当局应首先以匿名方式处理位置数据作为目标,当不可能只处理匿名数据时,《电子隐私指令》第15条使成员国能够采取立法措施,以保护国家安全和公共安全。
美国
2020年3月18日,美国平等就业机会委员会为雇主提供了相关立法(《美国残疾人法案》(ADA)和《康复法案》等)的指导,以明确疫情相关的要求。
疫情期间,雇主可以询问雇员是否具有病毒感染症状,但雇主必须按照ADA的要求将所有有关员工疾病的信息作为机密医疗记录进行维护。
雇主在疫情期间可以测量员工的体温。
雇主可以要求患有COVID-19症状的员工应离开工作场所。
当员工重返工作岗位时,雇主可以要求提供相关证据以证明个人没有感染病毒。
如果雇主正在招聘,可以对申请人进行COVID-19症状筛查。
雇主招聘时可以对申请人进行病毒症状筛查,包括测体温。
如果申请人感染病毒,而雇主需要其立即开始工作的可以撤回工作机会。
英国
英国信息专员办公室ICO针对组织的很多具体问题进行了明确回复。
疫情期间,组织对于提出个人数据保护权利的主体可能会有延迟的,ICO不会进行处罚,且会通过官方渠道对人们进行告知以求理解。
数据保护法和电子通信法不会阻止政府、NHS或任何其他卫生专业人员通过电话、短信或电子邮件向人们发送公共卫生信息,因为这些信息不是直接营销。也不会阻止医疗机构使用最新技术来促进安全迅速的咨询和诊断。公共机构可能需要额外收集和共享个人数据,以防止对公共健康的严重威胁。
雇主可以向雇员告知有人感染病毒,但并不需要说出具体名字,并且不应提供不必要的更多信息。
雇主有义务保护员工的健康,但这并不一定意味着需要收集有关他们的大量信息。要求员工告诉雇主是否曾经去过特定国家或正在经历COVID-19症状是合理的。
组织可以出于公共卫生目的与政府机构共享员工的健康信息,数据保护法不会禁止。
法国
法国数据保护机构CNIL收到了来自多方大量请求,要求除进行医学治疗外,还可收集有关员工、代理商或访客的数据,以及与可能属于私人领域的旅行等事件有关的数据,以确定人们是否患有冠状病毒。2020年3月6日,CNIL在其官网明确了各方在疫情期间的行为规范。
禁止行为:健康数据受到GDPR和《公共卫生法》的特殊保护,雇主不能采取可能侵犯个人隐私的措施,尤其是在健康数据方面,应当避免以系统性和普遍的方式收集与疫情有关的信息,如不能每天强制员工、代理商或访客将体温读数发送给上级,不能从所有员工或代理商处收集病历或进行问卷调查。
允许行为:雇主根据《劳动法》和有关公共服务的法规对雇员、代理人的健康和安全负责。因此,雇主必须采取措施来预防风险,提供信息和培训,也可以教育并要求其雇员就可能的情况向雇主或有关卫生当局进行说明。在这种情况下,雇主可以在必要时建立专用信道,推广远程办公,并鼓励使用专业医学。收到举报时,雇主还可以记录怀疑被暴露者的日期和身份、所采取的组织措施。
另外,卫生部门可以收集健康数据,并有资格采取适合于具体情况的措施。卫生部门等公共机构负责评估和收集与冠状病毒症状有关的信息以及某些人的近期活动信息。如果要求所有利益相关者格外警惕健康状况,则CNIL可以要求个人和组织遵守卫生当局的建议。
丹麦
2020年3月5日,丹麦数据保护局针对收集到的许多雇主的咨询表示,在数据保护规则的框架内,雇主可以在很大程度上记录和披露一些信息,但这些信息不能是详细的健康信息,如员工已从所谓的“风险地区”返回、雇员在家中隔离(不说明具体原因)、雇员生病(不说明具体原因)。但如果员工感染了新的冠状病毒,则雇主有理由记录和披露可能被视为健康信息的信息,以便管理层和其他同事可以采取必要的预防措施。
记录或披露必须是事实的,并且记录和披露的信息必须限于必要的内容。因此,雇主应考虑:是否有充分的理由记录或披露有关信息;是否需要指定的信息,包括是否可以通过“少讲”来达到目的;是否需要命名-例如被感染者的姓名或家庭隔离区等。
奥地利
2020年3月17日,奥地利数据保护机构DSB针对疫情期间处理和交换数据(尤其是健康数据)的问题发表了意见。
一是COVID-19和可疑病例的数据属于数据保护法为其提供特殊保护的敏感数据。但是,数据保护法还规定,可以在限制病毒传播和保护人类同胞必要的范围内使用此健康数据。这尤其包括从已被诊断出感染或怀疑与感染者接触或留在危险地区的人们收集数据。
二是每个雇主都有义务为其雇员提供全面护理,包括排除工作场所的健康风险。在这种背景下,该数据处理可以基于GDPR第9条第2款“为履行劳工和社会法律义务而进行的处理”。GDPR第9条第2款规定了向卫生当局传输健康数据相应的法律依据(出于公共卫生领域的公共利益考虑而进行的处理)。此外,应地区行政当局的要求,还可能要求雇主根据《1950年流行病法》第5条第(3)款提供有关可疑病例和感染的信息。
三是为了预防风险,雇主还可以要求并临时存储员工的私人手机号码,以便可以向他们发出关于公司或当局的短期警告,从而不必在工作场所露面。但是,不能强迫向工人宣布这一消息。数据保护机构在其网站上提供了一个样本表格,用于收集员工的私人联系方式以供免费使用。
四是根据GDPR第5条第1款之目的限制原则,禁止将健康数据用于预防保健,病毒遏制和治疗之类的目的。在流行病结束时,必须删除不再需要的数据(例如员工的私人联系方式)。
芬兰
2020年3月12日,芬兰数据保护机构明确数据保护法规不限制采取公共卫生措施或预防传染病,但在处理个人数据时仍必须进行考虑。
处理员工的个人数据:芬兰的立法允许处理个人数据以治疗和预防严重的传染病,个人数据的处理必须始终是必要且适当的,应当遵守包括GDPR在内的立法规定。健康数据属于需要特殊保护的特殊类别的个人数据,在疫情下具体来说:员工感染冠状病毒的信息是健康数据,员工从风险区返回的信息不是健康数据,员工在隔离区中的信息(未指定原因)不是健康数据。除GDPR外,芬兰《工作生活隐私保护法》专门规定了健康数据的处理,并规定只有在必要时才能处理员工的个人数据。《传染病法》和其他与职业安全有关的法规也可能适用。
通知员工潜在感染:员工的健康数据只能由其职务描述包括此类处理的人员处理。雇主必须事先安排此类人员,或指定涉及处理健康数据的任务。处理健康数据的个人有保密义务。如果某个雇员被诊断出患有COVID-19,则雇主通常不得公布该雇员姓名。雇主可以将感染或潜在感染的一般信息告知其他员工,并指示他们在家工作。
告知第三方特定员工的潜在感染:雇主有义务对雇员的健康数据保密。如有必要,用人单位可以告知第三方,但不能将该员工的姓名进行公开。
德国
德国数据保护机构明确收集与处理疫情相关的个人数据应当遵守GDPR的有关规定。雇主可以采取以下措施遏制病毒流行:
一是雇主收集和处理雇员的个人数据(包括健康数据),以最大程度地防止或限制病毒在雇员之间的传播。这尤其包括有关案例的信息:其中已识别出感染或与感染者接触的人。在相关时期内,罗伯特•科赫研究所(RKI)将其归类为危险区。
二是收集和处理来宾和访客的个人数据(包括健康数据),特别是确定是否自己感染或与感染者接触;在有关期间留在被RKI分类为危险区的地区。
三是只有在知道身份信息对于联络人的预防措施格外必要时,为通知联络人而披露已被感染或怀疑被感染的人的个人数据才是合法的。
意大利
2020年3月2日,意大利数据保护机构针对疫情相关信息的收集和处理发表了意见。
一是最近14天在流行病风险地区以及最新监管规定所确定的城市中逗留了的任何人,必须通知地区卫生部门,也可由家庭医生代理。该机构将负责进行必要的检查,包括特殊的隔离措施。
二是雇主必须避免以系统和普遍的方式提前收集信息,包括通过对个别员工的具体要求或未经授权的调查,收集有关员工及其近亲中是否有感染迹象的信息,例如联系方式或者与工作环境之外的区域有关的联系方式。调查和收集有关冠状病毒典型症状以及每个人近期活动的信息是医护人员和民防系统的责任。
三是员工有义务将工作场所健康和安全的任何危险告知雇主。在这方面,公共行政部长最近明确了关于每个公务员以及在公共行政中以各种方式工作的人向各自行政部门报告他们已前往危险地区的义务。在这种情况下,雇主可以在必要时要求雇员通过便利的途径进行沟通,包括通过专用渠道进行沟通。
阿根廷
2020年3月11日,阿根廷公共信息获取局FDA针对病毒有关的个人数据处理表明,根据阿根廷第25.326号《个人数据保护法》,与健康相关的信息的处理是一项必须特别谨慎、尊重个人隐私的活动。FDA强调了当前立法的一些基本原则,特别是涉及个人健康数据相关的:
健康数据属于敏感数据类别,因此应受到更严格的保护(第25条、第2条和第26条)。
披露冠状病毒患者的姓名需要个人的同意(第5条)。
卫生机构和卫生专业人员可以按照彼此保密的方式相互处理和传输患者数据(第8条)。
即使在与患者的关系终止后,专业保密义务仍然存在(第10条)。
要将患者信息用于与他的治疗不符的目的,必须征得他的充分、自由和知情同意(第25条,第4条,第3条和第5条)。
国家卫生部和各省部委有权根据患者赋予他们的显性和隐性能力,在未经患者同意的情况下,收集、相互传输或以任何其他方式处理健康信息(第5条,第2条,第11条,第3条b款)。
任何认为其隐私或个人数据受到影响的人都可以向代理机构投诉。
澳大利亚
2020年3月18日,澳大利亚信息专员办公室OAIC针对疫情期间如何适用《1988年隐私法》进行了说明。
OAIC明确立法不会阻止关键信息的共享,公共机构和私营部门雇主(包括私营医疗服务提供者)有重要的责任为员工和访客提供一个安全的工作场所,妥善处理个人信息,并采取措施处理员工的健康信息。对于私营部门的雇主,雇员记录豁免将在许多情况下适用,以允许处理雇员的健康信息。为了在尊重隐私的同时管理疫情,机构和私营部门雇主应致力于将个人信息的收集、使用和披露限制在预防和管理COVID-19所必需的范围内,并采取合理步骤确保个人信息安全,亦应考虑工作安排的任何改变是否会影响个人资料的处理,评估任何潜在的私隐风险,并制定适当的缓解策略,作为业务连续性规划的一部分。
OAIC明确了以下要点:个人信息应在“需要知道”的基础上使用或披露;仅应收集、使用或披露为防止或管理COVID-19而合理需要的最低限度的个人信息;考虑现在就采取措施,通知员工他们的个人信息将如何处理,以应对任何潜在或确诊的工作场所COVID-19病例;采取合理的措施确保个人信息安全,包括员工远程办公的地方。
瑞士
2020年3月17日,瑞士联邦数据保护专员办公室表明,雇主处理疫情相关个人数据必须尊重《联邦数据保护法》第4条中规定的原则。
联邦公共卫生办公室(FOPH)、被委托任务的市区的主管部门、公共和私人机构按照《流行病法》EpidA第二节处理个人健康数据,这对于识别生病、具有生病嫌疑、感染或被怀疑感染人员来说是必要的,以采取保护公众健康的措施。在此过程中,他们还应遵守联邦和州数据保护立法的一般原则。医院和其他公共或私营卫生保健机构以及实验室和医务人员也受EpidA规定的特别报告义务的约束。
健康数据特别值得保护,私人不得违反有关人员的意愿取得这些数据。
私人方对健康数据的处理必须与目的相关,并且要适当,不能超出实现这一目标所必需的范围。
在可能的情况下,有关病毒症状(例如发烧)的数据,应由受感染人士自行收集和传递。
私人第三者收集和进一步处理健康数据的工作,必须向资料当事人披露,让他们明白处理的目的和范围,以及处理的内容和时间范围。
只要个人在进入建筑物或工作场所前可以为预防感染而收集体温等医疗数据,对这些数据的处理应限制在其内容和时间目的所必需的最低限度。最迟在病毒威胁已不复存在时,必须将这些数据整体删除。
如果考虑使用数字方法收集和分析数据,则必须证明这些方法与预防感染的目的是相称的。
俄罗斯
2020年3月10日,俄罗斯联邦电信、信息技术和大众通信监督局Roskomnadzor解释了雇主(个人数据处理者)使用红外热像仪以防止冠状病毒传播的问题。Roskomnadzor解释说,应雇主的要求,允许使用热像仪测量企业和组织的工人和访客的体温。
体温是有关健康状况的信息,因此是指特殊类别的个人数据。根据《个人数据法》第10条第2.3款“关于个人数据”的处理的规定,无需征得个人同意,即可在《劳动法》下进行此类数据处理。根据俄罗斯联邦《劳动法》第88条的规定,雇主无权要求有关雇员提供健康状况的信息,但表明雇员有履行劳动职能可能性的数据除外。由于检测疾病的措施与确定履行劳动职能的可能性有关,因此无需员工同意即可进行温度测量。
工作人员和来访者应得到适当通知,以便进行温度测量。为此目的,建议在组织入口处发布适当的公告。来访者进入本组织则为同意被收集体温,但是体温数据不应当有身份证明。热成像指标建议在收到后24小时内销毁。
挪威
挪威数据保护机构明确了疫情期间收集个人数据的相关问题,发布了以下要点:
挪威的《隐私条例》考虑到了卫生当局在传染病和严重疾病时期的个人数据使用,规定了出于公共卫生原因而必须的处理个人数据的例外(第 9 条第2款)。挪威公共卫生研究所针对挪威的所有冠状病毒感染保留了单独的记录,还可以跟踪感染者的接触者,进行登记和跟进。
卫生机构和卫生人员收集个人数据也在《隐私条例》中有例外规定。
新西兰
2020年3月13日,新西兰隐私专员办公司解答了COVID-19病毒风险的隐私问题,明确了以下具体问题:
根据《健康法》,医疗卫生官员可以指示个人和机构披露有关构成公共健康风险的个人的信息。医疗卫生官员是法定人员,在管理传染病暴发方面起关键作用。根据《健康法》,他们的权力之一是能够强制披露个人信息,以履行这一职责。
个人对于参加活动的怀疑或确认的感染者信息应当提供给卫生当局,卫生当局将决定是否应根据情况的严重性通知其他与会人员可能已与感染者接触,以及他们是否应采取措施隔离自己或寻求医疗救助。
如果个人掌握有人患有病毒的信息,且认为有必要使用或披露该人的个人信息,以防止或减轻对公共健康或安全的严重威胁,则可以使用或披露个人信息。
如果某个员工从海外返回并自我隔离,可能出现COVID-19症状(但不确定),则雇主没有必要在健康和安全方面向其他工作人员披露此信息。
若有员工感染病毒,雇主可以为了保护其他员工的安全披露该事件,但不应当披露员工的姓名。《隐私法》中允许使用或披露个人信息的例外之一是认为必须使用或披露个人信息,以防止或减少严重威胁某人的安全,福祉或健康的风险。
作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员