传染病疫情防控与个人信息保护初探之六:GDPR框架下的公共卫生数据共享
前言
在数字时代,将ICT技术运用于传染病疫情的监测和防控是题中之义。在此次2019-nCoV病毒疫情中,我们也在公开媒体中初步见到了大数据技术在这方面的威力。
比如百度推出了【百度迁徙升级版上线,人口迁徙大数据向公众开放】。第一财经等媒体也利用百度迁徙地图,就武汉人流进行了专门的报道:【500万人离开了武汉,他们都去了哪儿?】
如果说上述实践中主要展示了集合性数据(aggregated data),基本上不存在个人信息保护风险的话,部分新闻媒体报道中披露出的直接披露、共享武汉人民个人信息的做法(例如【武汉人是否还应该有隐私?】),就存在违法违规的风险。
本系列短文,旨在初步探讨传染病疫情与个人信息保护之间的复杂关系。在文章中,很多时候是提出问题,但确切的答案,我自己也没有。请大家见谅。此前已经发出的该系列文章:
本系列此前文章已经分析了大数据用于接触追踪的可行思路,并对欧盟接触追踪的数据安全规范进行了介绍。在欧盟法之下,除了“关于严重的跨境健康威胁的决定”中对早期预警和响应机制、接触追踪等特别规定之外,其余疫情防控的个人信息处理仍应一般性地纳入GDPR框架考量,因此本文对基于GDPR的一般框架对运用数据技术进行传染病疫情监测和防控的合规义务加以分析。
一、GDPR针对公共卫生领域个人数据处理的一般立场
GDPR将个人数据保护作为公民基本权利,但仍允许基于重大公共利益等事项对此项权利加以克减,在序言中多处体现了公共利益和个人数据保护的平衡考虑,基本立场在于公共卫生构成重大公共利益,同时传染病监测还构成重大生命利益,由此在个人数据处理的合法性基础、特殊数据处理、数据主体权利限制等方面予以特别规定。详细内容见下:
一是数据主体同意的例外。序言第(45)条明确公共卫生构成重大公共利益,依据第6条1(e)的规定,当个人数据处理为“为公共利益目的执行任务或履行所赋予公共职能所必要”时,可不征得数据主体的同意。
序言第(46)条明确传染病监测除构成公共利益之外,还构成“重大生命利益”,依据第6条1(d)规定,当个人数据处理为“保护数据主体或其他自然人的重要利益所必要”时,可不征得数据主体的同意。
二是特殊数据处理的例外。序言第(52)明确传染病预防和控制构成第9条2(i)中所述的公共利益,从而允许处理第9条1中所规定的特殊类型个人数据,如基因数据、生物识别数据、健康相关数据等;
序言(54)还进一步指出在公共卫生领域未征得数据主体同意而进行特殊类型数据处理可能是必要的。
三是对数据主体权利的限制。序言第(65)(73)则明确针对公共卫生的公共利益,允许欧盟或成员国通过立法对数据主体权利、数据保护基本原则等施加限制。
二、GDRR框架下合规要求分析
就数据处理的合法性而言,如本系列此前文章所述,在GDPR框架下,对于基于疫情监测、防控、隔离等目的,互联网公司、电信运营商基于已掌握的个人信息为相关部门进行传染病防控提供数据支撑,不必拘泥于数据主体的同意要件,可援引第6条(d)“为保护数据主体或其他自然人重大利益”或第6条(e)“公共利益目的执行任务或数据控制者履行所赋予的公共职能所必要”作为数据处理的合法性基础。以下将对此等数据处理行为中的具体合规义务加以分析。
首先需要明确此等数据处理行为中具体涉及的数据处理行为性质和双方所负角色。互联网公司、电信运营商基于已掌握的个人信息为相关部门进行传染病防控提供数据支撑:对于互联网公司或电信运营商而言,属于变更初始目的的个人信息处理行为;对于接收数据的有关部门而言,构成个人信息的间接收集;对双方而言属于个人信息共享行为,双方构成共同控制者。
具体的合规要求分析:
对于变更初始目的的个人信息处理行为
GDPR第13条3规定,当数据控制者进行个人数据处理的目的与初始收集的目的不一致时,应当在此之前基于变更后的数据处理目的向数据主体进行告知,尤其是变更后的个人数据处理目的、个人数据处理的法律依据、数据接收方或其类别等。对于互联网公司、电信运营商而言,可以通过App、手机号码等直接触达信息主体,完成告知义务。
对于间接收集个人信息的行为
GDPR第14条规定,数据控制者应当向数据主体进行告知,包括数据控制者的身份、数据处理目的、个人数据处理的法律依据、个人数据的种类、存储期限、数据主体享有的各项权利等内容。同时,该条第5款规定了例外情形,如果是数据主体已知前述信息,或者向数据主体进行告知不可能或需要付出不合比例的努力、或者告知可能导致处理目的无法实现或受到严重影响时,可免于进行告知,但要采取适当措施保护数据主体的合法权益。
对于接收数据的政府部门而言,需要判断向信息主体进行告知,是否会导致处理目的无法实现或受到严重影响,如不存在此等情形,则应当向信息主体进行告知。明确负有告知义务后,存在告知的实现方式问题。对于政府部门而言,由于其并非相应数据的直接掌控方,可能在确定告知对象方面存在一定的困难,相比之下互联网公司、电信运营商可以通过App、手机号码等直接触达信息主体,更具便利性和时效性,因此可通过提供数据的互联网公司、电信运营商完成告知,可由政府部门承担相应的成本。
对于数据共享行为
GDPR第26条规定共同控制者之间应当以明确各自的责任,特别是有关数据主体权利行使、向数据主体履行告知义务等事项。对此,互联网公司、电信运营商与政府部门之间可以通过签订数据共享协议等方式明确双方的角色、数据共享的目的等重大事项,并在数据共享过程中遵守GDPR中有关数据处理公平性、透明度、数据最小化等原则性要求,确保数据安全,保障数据主体权利的实现。
下一篇将介绍美国的情况。
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点