查看原文
其他

传染病疫情防控与个人信息保护初探:欧盟与美国公共卫生机构的数据调取与共享模式

中国民商法律网


本文作者:洪延青,App违法违规收集使用个人信息专项治理工作组副组长;

葛鑫 App违法违规收集使用个人信息专项治理工作组成员。



全文共4608,阅读时间约12分钟。
在数字时代,将ICT技术运用于传染病疫情的监测和防控是题中之义。在此次2019-nCoV病毒疫情中,我们也在公开媒体中初步见到了大数据技术在这方面的威力。

本系列短文,旨在初步探讨传染病疫情与个人信息保护之间的复杂关系。
      

本系列此前文章已经分析了大数据用于接触追踪的可行思路,并对欧盟接触追踪的数据安全规范进行了介绍。在欧盟法之下,除了“关于严重的跨境健康威胁的决定”中对早期预警和响应机制、接触追踪等特别规定之外,其余疫情防控的个人信息处理仍应一般性地纳入GDPR框架考量,因此本文对基于GDPR的一般框架对运用数据技术进行传染病疫情监测和防控的合规义务加以分析。


一、GDPR针对公共卫生领域个人数据处理的一般立场


GDPR将个人数据保护作为公民基本权利,但仍允许基于重大公共利益等事项对此项权利加以克减,在序言中多处体现了公共利益和个人数据保护的平衡考虑,基本立场在于公共卫生构成重大公共利益,同时传染病监测还构成重大生命利益,由此在个人数据处理的合法性基础、特殊数据处理、数据主体权利限制等方面予以特别规定。详细内容见下:

一是数据主体同意的例外。序言第(45)条明确公共卫生构成重大公共利益,依据第6条1(e)的规定,当个人数据处理为“为公共利益目的执行任务或履行所赋予公共职能所必要”时,可不征得数据主体的同意。



序言第(46)条明确传染病监测除构成公共利益之外,还构成“重大生命利益”,依据第6条1(d)规定,当个人数据处理为“保护数据主体或其他自然人的重要利益所必要”时,可不征得数据主体的同意。


二是特殊数据处理的例外。序言第(52)明确传染病预防和控制构成第9条2(i)中所述的公共利益,从而允许处理第9条1中所规定的特殊类型个人数据,如基因数据、生物识别数据、健康相关数据等;


序言(54)还进一步指出在公共卫生领域未征得数据主体同意而进行特殊类型数据处理可能是必要的。


三是对数据主体权利的限制。序言第(65)(73)则明确针对公共卫生的公共利益,允许欧盟或成员国通过立法对数据主体权利、数据保护基本原则等施加限制。




二、
GDRR框架下合规要求分析


就数据处理的合法性而言,如本系列此前文章所述,在GDPR框架下,对于基于疫情监测、防控、隔离等目的,互联网公司、电信运营商基于已掌握的个人信息为相关部门进行传染病防控提供数据支撑,不必拘泥于数据主体的同意要件,可援引第6条(d)“为保护数据主体或其他自然人重大利益”或第6条(e)“公共利益目的执行任务或数据控制者履行所赋予的公共职能所必要”作为数据处理的合法性基础。以下将对此等数据处理行为中的具体合规义务加以分析。

首先需要明确此等数据处理行为中具体涉及的数据处理行为性质和双方所负角色。互联网公司、电信运营商基于已掌握的个人信息为相关部门进行传染病防控提供数据支撑:对于互联网公司或电信运营商而言,属于变更初始目的的个人信息处理行为;对于接收数据的有关部门而言,构成个人信息的间接收集;对双方而言属于个人信息共享行为,双方构成共同控制者。

具体的合规要求分析:

(一)对于变更初始目的的个人信息处理行为

GDPR第13条3规定,当数据控制者进行个人数据处理的目的与初始收集的目的不一致时,应当在此之前基于变更后的数据处理目的向数据主体进行告知,尤其是变更后的个人数据处理目的、个人数据处理的法律依据、数据接收方或其类别等。对于互联网公司、电信运营商而言,可以通过App、手机号码等直接触达信息主体,完成告知义务。

(二)对于间接收集个人信息的行为

GDPR第14条规定,数据控制者应当向数据主体进行告知,包括数据控制者的身份、数据处理目的、个人数据处理的法律依据、个人数据的种类、存储期限、数据主体享有的各项权利等内容。同时,该条第5款规定了例外情形,如果是数据主体已知前述信息,或者向数据主体进行告知不可能或需要付出不合比例的努力、或者告知可能导致处理目的无法实现或受到严重影响时,可免于进行告知,但要采取适当措施保护数据主体的合法权益。

对于接收数据的政府部门而言,需要判断向信息主体进行告知,是否会导致处理目的无法实现或受到严重影响,如不存在此等情形,则应当向信息主体进行告知。明确负有告知义务后,存在告知的实现方式问题。对于政府部门而言,由于其并非相应数据的直接掌控方,可能在确定告知对象方面存在一定的困难,相比之下互联网公司、电信运营商可以通过App、手机号码等直接触达信息主体,更具便利性和时效性,因此可通过提供数据的互联网公司、电信运营商完成告知,可由政府部门承担相应的成本。

(三)对于数据共享行为

GDPR第26条规定共同控制者之间应当以明确各自的责任,特别是有关数据主体权利行使、向数据主体履行告知义务等事项。对此,互联网公司、电信运营商与政府部门之间可以通过签订数据共享协议等方式明确双方的角色、数据共享的目的等重大事项,并在数据共享过程中遵守GDPR中有关数据处理公平性、透明度、数据最小化等原则性要求,确保数据安全,保障数据主体权利的实现。




三、
美国公共卫生机构的数据调取权力




前文介绍了欧盟GDPR框架下的公共卫生数据共享。现在让我们看看美国法律如何支撑出于公共卫生目的,政府机构从私营部门那调取,或要求私营部门共享数据的法律框架。美国法在此方面非常复杂,不像欧盟通过几部成文规定将框架确立。因此,先从发生在2004年一个事件说起:

2004年,美国爱荷华州和密歇根州的州卫生部门在发生一人患有麻疹后乘坐了西北航空的航班,即向西北航空提出航班上乘客和机组人员的联系方式,以向上述人群通知与病患接触的情况,并提供有关减少患病可能性的信息。

      显然,航空公司担心个人信息方面的风险。为此,爱荷华州和密歇根州的州卫生部门根据各自州的法律采取了法律程序来强制西北航空披露乘客和机组人员的联系方式。

     爱荷华州的卫生部门通过法庭传票的形式(court subpoena),而密歇根州的卫生部门颁发了“迫在眉睫危险令”(an imminent danger order)。

     我们选取这个例子中的密歇根州,探讨下密歇根州的州法关于公共卫生的规定中对公共卫生部门数据调取权力的授权。先来看看卫生部门发出的的所谓的“迫在眉睫危险令”(an imminent danger order)。以下内容摘自2016年出版的“Public Health Law Bench Book for Michigan Courts”。


从以下内容中看到,管理“迫在眉睫的危险”是密歇根州卫生服务部门(MDHHS)的主要职责之一。密歇根州州法对“迫在眉睫的危险”作出了定义,而且授权MDHHS发布命令要求相关个人作出降低或消除危险所必要的动作。


      在“公共卫生报告和通知”这一节中,如果MDHHS认定存在“迫在眉睫的危险”,则密歇根州地方卫生官员有权立刻通知受该危险影响的个人,并发出“迫在眉睫危险令”,命令其作出降低或消除危险所必要的动作,这其中自然包括汇报与疾病相关的情况。

      在“疾病调查和接触追踪”这一节中,针对可传染的疾病,MDHSS应当开展疾病调查。在此方面,MDHSS有非常广泛的权力——地方卫生部门可以检查、调查任何事项、场所、人、记录、车辆、事件等等。


      正因为有上述授权,密歇根州卫生部门从西北航空那顺利地拿到了乘客列表(passenger list)和乘客的联系方式。

从这个例子可以看到,美国的州卫生部门可以行使非常广泛的“警察权力”(policing power)来保护公众的健康和安全。州卫生部门可以采取各种措施(不限于本系列文章关注的数据调取,还包括强制检查、取样、医疗、强隔离等权力)以控制传染病的传播。

从历史上看,美国最高法院的判决支持州一层可以出于保护社区目的而可颁布限制个人自由的法律。例如,在Jacobson v. Massachusetts 【197 U.S. 11 (1905)】一案中,最高法院支持马萨诸塞州为通过强制疫苗接种法,以保护社区免受天花伤害。因此,各州可能颁布法律要求:上报个人健康数据、调取医疗和医院记录以查找有关传染病的来源和传播的信息、收集和测试样本以及在保护公众免受传染病影响的必要范围内披露关于疾病和其他公共卫生威胁的信息等。

就我们关注的数据调取(亦即数据收集)权力来说,在Whalen v Roe【429 U.S. 589 (1977)】一案中,最高法院维持了一项州法律,该法律要求开具“附表II管制药物”(Schedule II controlled substances)的医师向纽约州卫生部提供这些处方的副本。该法律旨在防止药物流入“非法渠道”,例如防止个人从不止一名医生那里获得管制药物、防止个人使用被盗或更改的处方、防止医师过度开药等。最高法院支持了该法赋予州卫生部门强制收集患者姓名和地址的权力。法院认为:“要求向负责社区健康的州政府代表(注:即州卫生部门)披露此类信息,并不自动意味着侵犯了隐私”。此外,法院提出,州政府收集、积累大量个人信息,特别是一旦披露的可能会造成尴尬或造成损害的信息,应当采取保护隐私的措施;而纽约州的该项法律及其实施细则,体现了对个人隐私利益的恰当保护。

这两个重要的最高法院判例,支撑了州一级政府为了公共卫生目的通过立法赋予卫生部门广泛强制性权力的实践:不仅州卫生部门能够直接进入私人场所或者对个人开展强制检查、调查等,还能从私营部门那调取与公共卫生相关的数据。

在大多数情况下,州卫生部门能够获得个人和企业的主动配合。但如果吃了“闭门羹”,州卫生部门(根据不同州的法律规定)或是可以自己发布强制性命令,或是可以向法庭申请行政搜查令,强制个人和企业配合。如此,卫生部门的权力行使就进入了美国宪法第四修正案的框架下。
The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.

译文:人民的人身、住宅、文件和财产不受无理搜查和扣押的权利,不得侵犯。除依照合理根据,以宣誓或代誓宣言保证,并具体说明搜查地点和扣押的人或物,不得发出搜查和扣押状。

只不过相对于执法部门(law enforcement agencies)的搜查和扣押中要求的“合理依据”,卫生部门在申请令状时需要向法院提供的“合理依据”程度更低。【请参考第四修正案中的例外和“特别需要”(special needs)的案例】。


至于向私营部门调取个人信息来说,美国法区分了两个层次的利益需要保护:一是(存储于私营部门的个人信息上附着的)个人隐私保护,但在此方面,美国法所谓的“第三方原则”认为个人已经向私营部门披露的个人信息,因此(多数情况下)已经放弃了上述信息持续获得隐私保护的期待,所以美国法对这类信息给了程度很低的保护。

二是私营部门自己的隐私利益(还是美国法上的概念,以及需有法律明确保护才成立),州卫生部门一般来说也不需要达到执法部门的搜查和扣押中要求的“合理依据”的要求。

在“第三方原则”和相对个人保护较低的私营部门隐私利益保护的作用下,美国卫生部门基本不存在无法调取疫情控制所需要数据的情况。而且如果是在紧急状态下,例如疫情爆发过程中,美国州层面的立法还赋予了卫生部门还具备更强的权力,例如不再需要搜查和扣押的令状。

限于篇幅原因,上述几种情况,笔者就不在此展开,只是将大概框架勾勒出来。总的来说,美国法非常支持卫生部门在疫情控制方面的数据收集和使用权力,但相对“缩水”的第四修正案保护要求卫生部门事实上遵循下列原则:调取数据的目的明确、有一定的事实依据、调取数据的范围明确、严格的共享约束等。

因此,无论是欧盟还是美国的法律,都给了出于公共卫生目的(特别是疫情控制目的)共享个人信息的支撑,不必然只能使用匿名化的信息。当然,匿名化、去标识化、访问控制措施等作为数据安全措施,是非常值得提倡的。


中国民商法律网


本文转载自公众号“网安寻路人”。




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存