传染病疫情防控与个人信息保护初探之四:接触追踪的数据共享安全规范
前言
在数字时代,将ICT技术运用于传染病疫情的监测和防控是题中之义。在此次2019-nCoV病毒疫情中,我们也在公开媒体中初步见到了大数据技术在这方面的威力。
比如百度推出了【百度迁徙升级版上线,人口迁徙大数据向公众开放】。第一财经等媒体也利用百度迁徙地图,就武汉人流进行了专门的报道:【500万人离开了武汉,他们都去了哪儿?】
如果说上述实践中主要展示了集合性数据(aggregated data),基本上不存在个人信息保护风险的话,部分新闻媒体报道中披露出的直接披露、共享武汉人民个人信息的做法(例如【武汉人是否还应该有隐私?】),就存在违法违规的风险。
本系列短文,旨在初步探讨传染病疫情与个人信息保护之间的复杂关系。在文章中,很多时候是提出问题,但确切的答案,我自己也没有。请大家见谅。此前已经发出的该系列文章:
上一篇讨论了个人信息在疫情防控中的应用路径之后,这篇文章回归个人信息保护的主题,还是从传染源发现、追踪、控制、隔离的角度出发,而且把视线投向域外。
在勾勒应用路径的文章中,我们可以看到使用数据的基本逻辑——即寻找与目标(targets)有密切接触(close contacts)的高风险人群。这个目标可以是在特定时段内以特定频率出入武汉华南海鲜市场或者在该市场附近出现过的特定个体(以A来指代),也可以是各地已经确诊为确诊感染了新型冠状病毒的特定个体(以B来指代)。
举例来说,通过筛查出A人群,对照A人群中最终的确诊人数,具备病理或流行病学方面的意义。通过追踪A人群之后的去向,能够一定程度上预测或印证特定国家、区域、城市的发病率(例如【近30天,去过武汉华南海鲜批发市场的人,后来都去了哪里】这篇文章中做的数据分析)。如果说武汉华南海鲜市场不是新型冠状病毒的发源地(见【华南海鲜市场“翻盘”?未必是新型冠状病毒发源地!】),那就可以往前追溯“无该市场接触史的病患”的行踪轨迹与A人群中确诊病患的行踪轨迹,并将两者进行碰撞,也许就能发现病毒真正的发源地。
对于人群B,各地疾控和医疗机构都特别希望能够找到与其有接触史的人群(以C来指代),以便对其实施集中隔离或要求其进行居家医学观察,最终彻底切断传染源(见【袁家军:量化细化闭环管控 以必胜信念打赢疫情防控阻击战】)。上述逻辑还可以从C人群(即所谓的“无意识密切接触人群”)进一步扩展追踪开来。
从上述数据的使用逻辑来看,均需要识别(single out)特定的个体(即前文所说的目标),再根据不同目的,拓展至不同范围的其他特定个体。用术语来说,其实就是“接触追踪”(contact tracing)。
2013年,欧盟通过了“欧洲议会和欧盟理事会关于严重的跨境健康威胁的决定”(Decision No.1082/2013/EU of The European Parliament
and of The Council of 22 October 2013 on Serious Cross-Border Threats to
Health and Repealing Decision,以下简称为“欧盟No.1082/2013号决定”),目的在于准备和应对严重的健康威胁(包括疾病、生物恐怖、化学或环境事件),并取代原先的传染病控制制度。
总的来说,“欧盟No.1082/2013号决定”在欧盟层面,引入了应对严重健康威胁的多项策略,包括预案准备和响应协调、联合采购药品、信息共享、流行病学监测和监测、紧急状态的认定等。
在“欧盟No.1082/2013号决定”中,“接触追踪”(contact tracing)被定义为
即“为追踪暴露于严重的跨境健康威胁源,且有感染疾病危险或已感染疾病的人而采取的措施”。
“欧盟No.1082/2013号决定”的第八条在欧盟范围内建立了“早期预警和响应系统(EWRS)”。EWRS系统由位于斯德哥尔摩的欧洲疾病预防和控制中心统一管理和协调,旨在欧盟委员会与各成员国主管当局之间建立一个持续畅通的沟通渠道。
“欧盟No.1082/2013号决定”的第九条则明确要求当符合一定条件后,欧盟委员会或相关成员国主管当局应当通过EWRS发出“警报告知”(alert notification)。在“警报告知”中,应当包含“任何已经掌握的有助于协调应对的信息”。第九条还对应当共享的信息进行了例举:
这其中与个人信息直接相关的是第(i)项——即“符合第十六条规定且为接触追踪目的所必需的个人数据”。以下是“欧盟No.1082/2013号决定”第十六条的翻译:
Article 16 Protection of personal data
第十六条 个人数据保护
1. In the application ofthis Decision, personal data shall be processed in accordance with Directive95/46/EC and Regulation (EC) No 45/2001. In particular, appropriate technical and organisational measures shall be taken to protect such personal data against accidental or illegal destruction, accidental loss, or unauthorised access andagainst any form of illegal processing.
1.就本指令的适用,个人数据的处理应当符合95/46/EC指令和(EC) No 45/2001条例[1]。特别是应当采取适当的技术和组织措施保障个人数据免受意外或非法破坏、意外毁损或未经授权的访问,以及其他任何形式的非法处理。
2. The EWRS shall include a selective messaging functionality allowing personal data to be communicated only to national competent authorities involved in contact tracing measures. That selective messaging functionality shall be designed and operated so as to ensure safe and lawful exchange of personal data.
2. 预警和响应系统应当包含选择性通信功能,以便个人数据仅在参与接触追踪措施中有关的成员国有权机构之间进行传输。该选择性通信功能的设计和操作应当满足个人数据交换的安全性和合法性要求。
3. Where competent authorities implementing contact tracing measures communicate personal data necessary for contact tracing purposes through the EWRS pursuant to Article 9(3), they shall use the selective messaging functionality referred to in paragraph 2 of this Article and communicate the data only to the other Member States involved in the contact tracing measures.
3. 采取接触者追踪措施的有权机关依据第9条(3)通过EWRS传输为实现追踪目的所必需的个人数据,应当使用本条2款所述的选择性通信通能,并且仅向接触者追踪措施所涉及的其他成员国传输个人数据。
4. When circulating the information referred to in paragraph 3, the competent authorities shall refer to the alert communicated previously through the EWRS.
4. 成员国有权机关在传输本条第3款所述信息时,应当参考先前已经通过EWRS传输的警报。
5. Messages containing personal data shall automatically be erased from the selective message functionality 12 months after the date of their posting.
5. 包含个人数据的信息在发布日期之日起12月内从选择性信息通信功能中自动删除。
6. Where a competent authority establishes that notification of personal data made by it pursuant to Article 9(3) has subsequently proved to be in breach of Directive 95/46/EC because that notification was unnecessary for the implementation of the contact tracing measures at issue, it shall inform immediately the Member States to which that notification was transmitted.
6. 如果成员国有权机关依据第9条第3款进行个人数据的通知,因对于采取接触追踪措施而言是不必要的而被证明构成对95/46/EC指令的违反,其应当立即通知已经发送了该通知的成员国。
7.In relation to their responsibilities to notify and rectify personal data through the EWRS, the national competent authorities shall be regarded as controllers within the meaning of point (d) of Article 2 of Directive 95/46/EC.
7.就通过EWRS通知和更正个人数据的责任而言,成员国有权机构应当被视为95/46/EC指令中第2条(d)中所述的数据控制者。
8.In relation to its responsibilities concerning storage of personal data, the Commission shall be regarded as a controller within the meaning of point (d) of Article 2 of Regulation (EC) No 45/2001.
8.就个人数据的存储责任而言,欧盟委员会应当被视为(EC)No 45/2001条例第2条(d)中所述的数据控制者。
9.The Commission shall adopt:
(a) guidelines aimed at ensuring that the day-by-day operation of the EWRS complies with Directive 95/46/EC and Regulation (EC) No 45/2001;
(b) a recommendation providing an indicative list of the personal data that may be exchanged for the purpose of the coordination of contact tracing measures.
9.欧盟委员会应当通过:
(a)指引:确保EWRS日常运转符合95/46/EC指令和 (EC) No 45/2001条例的指引;
(b)建议:为实现接触追踪措施的协作而进行交换的个人数据的指示性清单建议。
[1] REGULATION (EC) No45/2001 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of
18 December2000 on theprotection of individuals with regard to the
processing of personal data by theCommunity institutions and bodies and on the free movement of such data. 欧盟机构或组织有关个人数据处理和自由流动的条例。
从该条文中不难看出,“欧盟No.1082/2013号决定”的第十六条将整个“接触追踪”中关于个人数据的方面,纳入了欧盟的个人数据保护框架之中,只不过在当时这个框架是欧盟的95指令。随着欧盟GDPR于2018年5月生效,“接触追踪”也肯定被纳入GDPR的框架之中。
至于GDPR的基本逻辑,我经常用以下几段话来概括,在此重复一遍:
以下以GDPR的基本合规逻辑:GDPR第六条规定了个人信息处理合法的六项事由:一是数据主体对出于单个或多个特定目的而处理其个人数据表示同意;二是处理是为向身为合同当事人的数据主体履行合同所必须的,或在缔约前,应数据主体的要求所必须采取的步骤;三是因履行数据控制者承担的法律义务而必须处理个人数据的;四是为保护数据主体重大利益或其他自然人重大利益而必须处理个人数据的;五是为公共利益而执行任务,或数据控制者履行赋予的公共职能时,必须处理个人数据的;六是因数据处理者正当利益或第三方正当利益而必须处理个人数据的,但当数据主体的利益或基本权利和自由(特别当数据主体尚未成年时)高于上述正当利益时,不得使用该事由。
在GDPR中,个人信息控制者开展数据处理之前,通常要先确立数据处理的目的(也就是要开展的具体业务),再从目的出发,选择所需要开展的具体数据处理动作将依赖于上述六种合法事由(lawful grounds)中的哪一个,随后是确保具体数据处理动作遵循了个人数据处理的基本原则。
在GDPR的框架中,这些基本原则包括:(1)“合法性、合理性和透明性”:对数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理;(2)“准确性”:个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正;(3)“限期储存的要求”:对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了包括匿名化等合理技术与组织措施进行处理;(4)“注意数据的完整性与保密性”:处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失。
为了落实上述原则,GDPR对数据的控制者和处理者作出一系列限制,其中最核心的要求为“数据最小化”(data minimization),即个人数据的处理应当是为了实现数据处理目的之适当、相关和必要的,个人数据采集应当有具体、清晰和正当之目的,对个人数据的处理不应当违反初始目的。当然,上述限制也有例外,即因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的,但仍应当采取符合GDPR的恰当防护措施,比如匿名化等。数据主体的权利以及数据处理者与控制者的义务均围绕这些原则展开。
注:希望对GDPR了解更多的读者,请见本公号过去推送的文章。
结合“欧盟No.1082/2013号决定”与GDPR的基本逻辑,我们可以得到欧盟对接触追踪的数据安全规范的一些观察:
数据最小化原则(即最少够用原则)充分地贯彻到了欧盟EWRS系统的要求之中,不仅包括要求共享的信息为最少够用(例如决定要求欧盟委员会提出为实施接触追踪可共享的个人数据类型列表),还对信息在EWRS系统中的存储时间做了硬性规定,不得超过12个月。
EWRS系统高度关注个人数据交换中的安全性问题,通过Privacy by Design以实现个人信息保护的合规。例如第十六条明确要求在出于接触追踪目的而共享个人信息时,只能选用“选择性通信功能”(to use solely the selective messaging functionality),这个功能只允许特定成员国的有权机构能够收悉相关的个人信息。
明确数据控制者的角色。成员国对数据在EWRS系统中的输入和接收,承担控制者的责任。换句话说,成员国对这些共享的个人数据的后续(违法违规)流转承担了全部法律责任。
欧盟委员会承担数据存储承担控制者责任,也就是说数据在EWRS系统中的安全性、最小存储期限等,由欧盟委员会负责落实。
EWRS中更多的安全措施见下表总结。
EWRS中个人数据交换安全保障措施的概览 | |
对在系统中共享的个人数据的有限访问权限 |
|
选择性通信功能 |
|
个人数据的日常更正和处理期限 |
|
数据控制者的责任划分 |
|
下一篇文章关注通过电信运营商进行接触追踪的域外实践和数据保护原则。敬请关注。
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点