吴文芳：疫情防控中欧盟个人信息保护的法律困境及其对策

吴文芳  上海财经大学法学院副教授，法学博士。

新冠肺炎疫情防控中，广泛应用的追踪确诊者及其密切接触人的应用程序是必要的。根据欧盟法律规定，数据的采集等必须取得民众的充分配合，而强制性收集该类信息在欧洲国家推广又面临严重法律困难：疫情期间采集公民个人信息是否要经过信息主体的同意；为了公共健康领域的公共利益可否收集敏感信息。这些问题困扰着欧盟等成员国。考虑到新冠肺炎疫情的长期性以及保护水平的下降具有一定的不可逆性，进一步完善掌握公民大量敏感信息的政府之监督机制将具有更迫切的意义。

关键词：新冠肺炎疫情  欧盟  个人信息保护  信息主体  数据法

新冠肺炎疫情对人类社会的挑战前所未见，目前处于疫情中心的欧洲各国正在与病毒做艰苦斗争。从2020年3月份开始，各国陆续引入“社会疏离”（Social Distancing）政策，要求人们禁足非必要事项不能离开家门。社会疏离已初见效果，欧洲各国逐渐迎来疫情感染人数和死亡人数的峰值，然而停摆的社会需要解封方略，当全面的封锁与停滞不再继续，人们转而开始重新流动并工作时，迅速追踪感染者以及精准确认与隔离密切接触者就是防止疫情第二波爆发的关键，也是各项管控措施逐步解封的前提。

疫情应对中，中国、韩国、新加坡和以色列是使用技术与数字驱动抗疫的国家，应用程序帮助当局追踪确诊者和接触者，例如中国使用支付宝“健康码”的个人健康状况；韩国政府通过GPS定位、信用卡消费等技术手段，将确诊病例的位置标示在地图上；新加坡政府要求民众安装应用程式Trace Together，该程序利用手机蓝牙信号交换，追查感染者曾接触过的人，这些应用程序是解封策略的绝佳助手。然而，在欧洲，广泛应用的追踪确诊者及其密切接触人的应用程序必须取得民众的充分配合，目前欧洲民众对个人信息保护的重视程度极高，而强制性收集该类信息在欧洲国家推广又面临严重法律困难，欧洲顺利实现以技术与数据驱动抗疫仍面临着法律困境。

从欧洲立法与实践的传统看，数据主体的同意作为数据处理合法性基础已经有近50年的历史，它在欧洲人对于个人数据与隐私法律保护的预期方面起到了长期、稳定的制度保障。2018年开始生效的欧盟《一般数据保护条例》（以下简称GDPR）对于数据处理行为合法性基础的六种情况已经广为人知，其中最基础的是第一种，即数据主体的同意。GDPR合法性基础在文本上照搬了欧盟1995年通过的《关于个人数据处理保护与自由流动指令》（以下简称《95指令》）。但在《95指令》之前，对于数据处理行为合法性基础的思考与法律实践早已存在。1980年前身为欧洲经济合作组织的经济合作发展组织（OECD）颁布《保护个人信息跨国传送及隐私权指导纲领》，对于个人信息保护作了原则性的规定，其提出的“国内适用的八大基本原则”，奠定了欧盟个人信息保护的指导框架。其实，在OECD颁布该《纲领》时，包括法国、德国、瑞典、卢森堡等国已经通过了隐私保护立法。例如1977年德国颁布了《联邦数据保护法》，1973年瑞典出台《瑞典数据法》，1978年法国颁布了《信息、档案与自由法》。

除了立法之外，欧洲特殊的地缘政治与历史也对欧洲人抵制强制收集个人健康以及行踪等敏感信息在观念上有深远影响。欧洲是近代政府调查和社会调查发展较早的地方，第二次世界大战期间，详细和完备的个人信息曾经被纳粹用来清洗和迫害犹太人和反对纳粹人士，这直接导致许多欧洲人深信，无论当下出于何种合理目的进行的个人数据收集，到后来一定会被滥用。

正因为如此，当新冠肺炎疫情对欧洲人的生命健康构成“二战之后的最严峻挑战”，欧洲民众面临生命健康与数据权利两厢权衡时，也难免有人宁可陷入危境也不愿安装程序或上报感染信息。同时，由于同意可以随时撤销，即使民众安装了程序并不能保证信息处理的效果。除此之外，一个更为关键的法律问题是，实际信息操作中必须先处理密切接触者的位置数据，然后才能获得他们的同意，这又违背了GDPR的同意原则。

GDPR合法性基础的六种情况中，除却数据主体的同意，至少仍几种情况可能作为政府在疫情中强制获取个人信息的合法性基础。在疫情防控中，搜集的自然人健康和行踪信息并非一般信息，而是第9条涉及自然人健康等敏感信息，这类信息处理GDPR的要求更为严格。

GDPR第9条涉及自然人健康等敏感信息处理中，采取了一般性禁止原则但有例外的立场，例外情形有严格的限制，例如在第2款（g）项中，为了重大公共利益可以处理数据，但应保障数据主体的权利与自由。对于（g）项的理解与适用，GDPR鉴于条款（46）条中规定，“重大利益”适用的情形包括出于人道主义目的，如监测传染病及其和传播等，可能对保护他人的切身利益必要时处理个人数据。不过，该条款也表明，在缺乏其他法律依据时，只能基于另一自然人的切身利益处理个人数据。由于防控新冠肺炎疫情需要在较长的时间内对不特定人数位置数据进行一般性收集，因此无法以（g）项为合法性基础。

GDPR第9条第2款（i）项规定“对于公共健康领域为公共利益必要”，“依据欧盟或者成员国的法律规定通过适当、具体的措施”可以收集个人敏感信息。因此，成员国立法在敏感信息搜集中作用至关重要。而各国立法中既定规则在应对新冠肺炎疫情是否应修改以降低保护，又取决于立法机关成员对个人数据保护重要性的认识。这就导致在长期注重个人数据保护的欧洲国家中，说服立法机关为应对疫情而大幅度降低原有的保护水平比较困难。

以德国为例，德国《联邦数据保护法》（BDSG）第二部分第22节允许公共机构出于公共卫生领域公众利益考虑在严重的跨界健康威胁如新冠肺炎疫情时，可以处理个人敏感信息。但是，该条款被认为是一种声明性条款，仅重复GDPR第9条第2款（i）项的措辞，并没有进行更为精确的规定。由于该条款涉及内容为《基本法》中的基本权利，按照德国宪法理论，应当遵从“重要性原理”（Wesentlichkeitstheorie），侵犯基本权利的强度、期限、重复次数越高，对这一行为的立法就应进行更精确的规定。目前，德国法中缺乏在一般条款的基础上收集和评估密切接触者智能手机位置数据的具体规范，导致行政部门很难基于此采取干预措施。

为了应对新冠肺炎疫情，负责流行病防治的政府机构罗伯特·科赫研究所修订了德国《国家流行病计划》，建议卫生部门跟踪已与确诊的COVID-19病例接触的人员以及最近在高风险地区接触的人员，以及提供有关卫生部门如何进行此类调查的问卷，并指出由地方卫生部门负责进行和协调这些工作。但对确诊者或密切接触人员的调查是否可以不征求意见或告知即大规模收集健康与行踪信息，与新冠肺炎疫情作斗争的背景下，从非公共机构原始收集个人数据没有法律依据。最近德国联邦卫生部试图在《传染防治法》（IfSG）修订草案中提出，要收集个人信息用于“追踪确诊患者的密切接触者”，就是在具体规范方面的努力。该条款3月初在政府部门内部讨论就遭到普遍的反对，最重要的理由是不符合比例原则，即明显侵害了《基本法》第2条规定的人身自由等基本权利，滥用的可能性很大，且所收集的位置数据还可以用于其他危害公民权益的地方，而疫情（在当时）对公众健康的危害有限。不过，如果德国疫情在今后确诊病例数和死亡人数急剧增加，不排除有修法的可能性。

英国的情况也与之类似，由于目前英国仍在欧盟法律框架内，英国《数据保护法2018》第10条第2款作为GDPR第9条第2项的衔接性规定，明确如英国法律有规定，或者法律虽无规定但政府行为能够满足《数据保护法2018》附件1第1部分规定的特别条件，也可以不经同意而处理个人敏感数据。由于英国2016年颁布的《调查权力法》第3部分第61A条允许对有症状或恶性传染病诊断的人进行跟踪，而无需征得其同意或另行通知。今年为应对新冠肺炎疫情出台的《冠状病毒法案》又赋予移民官员和警察权力，如果他们“有合理理由怀疑……某人具有传染性”可以拘留。现有的针对有症状人群的合法措施已经激起了社会的担忧。如果英国政府大规模搜集社会人群的位置信息可能会遭到更广泛的反对。2020年3月23日，英国数十位数据科学家和法学家发表公开信表示了这种担忧：法案中的权力与影响深远的数据收集能力结合可以用作社会控制手段。目前英国广泛讨论安装应对新冠肺炎疫情数据的应用程序时，特别受关注的问题是收集和处理应对疫情数据的法律控制，主要包括：构建应用程序的主体，是政府还是第三方？收集和使用的数据安全由何种技术保障？该应用程序的运行如何监控其有效性，对比例性以及基本权利的遵守情况进行监督？使用这些数据的目的，存储方式和存储方式，存储时间以及用户的访问权限等是否明确？为对抗新冠肺炎疫情而收集的数据，有没有无限期存储或不成比例的时间存储，或将用于无关目的的可能？

但是，欧盟成员国立法的差异性决定了一些国家可以以公共利益为由拓展数据收集合法性的情形，目前波兰、罗马尼亚等国已经在这方面有了更为激进的做法。

目前欧洲多数国家仍然希望在不降低数据保护水平的前提下广泛使用智能化技术抗击疫情。2020年4月12日，英国卫生部长马特·汉考克在疫情新闻发布会上宣布已确认一项应用程序的计划，强调所有数据将按照最高的道德和安全标准进行处理，并仅用于国家健康部门的护理和研究，不会持有超过所需的时间。该程序将由英国医疗服务部门的数字创新部门NHSX与苹果和谷歌合作，由已经诊断出患有冠状病毒的人在应用程序中声明自己的状态，之后该程序将向所有其他最近长时间联系过的用户发送警告，系统将记录彼此检测到手机的蓝牙信号而不是GPS定位信息，因而能够较好地保护个人位置信息。在德国，弗劳恩霍夫·海因里希·赫兹研究所（HHI）正在领衔来自至少欧洲八个国家的技术专家团队开发一个名为“泛欧洲隐私保护邻近跟踪”（PEPP-PT）应用程序，该程序将可以匿名地将人际联系的距离和持续时间的信息存储在手机上长达两周，其运作原理和英国计划推行的程序相同，该应用程序将于2020年4月16日正式启用。如果采用以上应用程序，其数据保护水平是符合目前GDPR中数据处理各项原则的。

在德国主张降低数据保护水平以充分利用数字化抗击疫情的呼声仍然存在。2020年3月份罗伯特·科赫研究所所长就公开建议使用智能手机位置数据来跟踪密切接触者，以遏制冠状病毒的传播。2020年4月13日，德国利奥波第国家科学院出台了为德国政界的决策提供重要参考的评估报告，该报告认为，手机应用程序能够在追踪密切接触者、高效发现感染者的工作中发挥重要作用，建议德国效仿韩国允许手机App记录用户的卫星定位移动数据。对于由此带来的隐私数据受侵犯之隐忧，报告起草者甚至建议，必要时应当推动欧盟数据保护法规修订，以便今后在疫情危机中可以适度调用敏感数据。这些意见对决策者都将产生一定的压力，考虑到新冠肺炎疫情的长期性以及保护水平的下降具有一定的不可逆性，如果欧盟或成员国通过修法将监控常态化与隐蔽化，数据保护与公共利益之利益平衡将出现方向性倾斜。若如此，进一步完善掌握公民大量敏感信息的政府之监督机制将具有更迫切的意义。

上海市法学会欢迎您的投稿

fxhgzh@vip.163.com