其他
传染病疫情防控与个人信息保护初探:欧盟与美国公共卫生机构的数据调取与共享模式
中国民商法律网
本文作者:洪延青,App违法违规收集使用个人信息专项治理工作组副组长;
葛鑫 App违法违规收集使用个人信息专项治理工作组成员。
在数字时代,将ICT技术运用于传染病疫情的监测和防控是题中之义。在此次2019-nCoV病毒疫情中,我们也在公开媒体中初步见到了大数据技术在这方面的威力。 本系列短文,旨在初步探讨传染病疫情与个人信息保护之间的复杂关系。
本系列此前文章已经分析了大数据用于接触追踪的可行思路,并对欧盟接触追踪的数据安全规范进行了介绍。在欧盟法之下,除了“关于严重的跨境健康威胁的决定”中对早期预警和响应机制、接触追踪等特别规定之外,其余疫情防控的个人信息处理仍应一般性地纳入GDPR框架考量,因此本文对基于GDPR的一般框架对运用数据技术进行传染病疫情监测和防控的合规义务加以分析。
一、GDPR针对公共卫生领域个人数据处理的一般立场
二、 GDRR框架下合规要求分析
三、 美国公共卫生机构的数据调取权力
显然,航空公司担心个人信息方面的风险。为此,爱荷华州和密歇根州的州卫生部门根据各自州的法律采取了法律程序来强制西北航空披露乘客和机组人员的联系方式。
爱荷华州的卫生部门通过法庭传票的形式(court subpoena),而密歇根州的卫生部门颁发了“迫在眉睫危险令”(an imminent danger order)。
我们选取这个例子中的密歇根州,探讨下密歇根州的州法关于公共卫生的规定中对公共卫生部门数据调取权力的授权。先来看看卫生部门发出的的所谓的“迫在眉睫危险令”(an imminent danger order)。以下内容摘自2016年出版的“Public Health Law Bench Book for Michigan Courts”。
从以下内容中看到,管理“迫在眉睫的危险”是密歇根州卫生服务部门(MDHHS)的主要职责之一。密歇根州州法对“迫在眉睫的危险”作出了定义,而且授权MDHHS发布命令要求相关个人作出降低或消除危险所必要的动作。
在“公共卫生报告和通知”这一节中,如果MDHHS认定存在“迫在眉睫的危险”,则密歇根州地方卫生官员有权立刻通知受该危险影响的个人,并发出“迫在眉睫危险令”,命令其作出降低或消除危险所必要的动作,这其中自然包括汇报与疾病相关的情况。
在“疾病调查和接触追踪”这一节中,针对可传染的疾病,MDHSS应当开展疾病调查。在此方面,MDHSS有非常广泛的权力——地方卫生部门可以检查、调查任何事项、场所、人、记录、车辆、事件等等。
正因为有上述授权,密歇根州卫生部门从西北航空那顺利地拿到了乘客列表(passenger list)和乘客的联系方式。
The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.
译文:人民的人身、住宅、文件和财产不受无理搜查和扣押的权利,不得侵犯。除依照合理根据,以宣誓或代誓宣言保证,并具体说明搜查地点和扣押的人或物,不得发出搜查和扣押状。
中国民商法律网
本文转载自公众号“网安寻路人”。