欧美疫情应对与数据保护.docx
《欧美疫情应对与数据保护.docx》由会员分享,可在线阅读,更多相关《欧美疫情应对与数据保护.docx(7页珍藏版)》请在冰豆网上搜索。
欧美疫情应对与数据保护
欧美疫情应对与数据保护
摘要:
COVID-19的突然暴发给全球医疗系统和社会运转模式带来了前所未有的挑战,各国立法和监管机构提醒公众在突发公共卫生事件期间,防控疫情的同时也要注意数据安全和隐私保护。
从制度设计角度入手,结合四大重点领域,梳理欧盟和美国在新冠疫情期间新出台的制度文件和监管政策,分析其政策影响和对我国的启示。
关键词:
突发公共卫生事件;新冠肺炎疫情;数据安全;隐私保护
1 引言
2020年年初,新型冠状病毒肺炎疫情(COVID-19)突然暴发并迅速席卷全球,给世界各国的医疗系统、生活方式、经济发展和社会稳定都带来了前所未有的挑战。
突发公共卫生事件期间,各国立法和监管机构提醒公众在防控疫情的同时也要注意数据安全和隐私保护。
数字技术和数据应用可以在新冠肺炎疫情的检测和防疫过程中发挥重要作用,但其特性也引发了各界对个人数据保护和隐私安全的高度关注。
如何处理数字技术进步、个人信息保护和公共健康三者之间的关系,是本次疫情给各国提出的崭新问题和严峻考验。
2 欧美数据监管新政
2.1 疫情防控领域
欧盟方面,欧洲数据保护委员会(EDPB)在疫情期间发布紧急状态下限制数据主体权利的声明[1],提示各成员国可以行使紧急立法权助力疫情防控。
EDPB于2020年6月3日发布的声明指出,GDPR第23条允许国家在必要时限制数据主体的权利,在COVID-19疫情暴发的特殊时期维护符合公共利益的公共卫生目标。
EDPB还强调,各国采取各项紧急措施的同时也必须保护个人数据权利,因为这是“对构成欧洲联盟基础的民主、法治和人权价值的基本尊重”。
EDPB在声明中重申,GDPR在疫情期间仍然适用,紧急状态下会员国限制有关数据主体权利要遵循以下主要原则:
一是正当目的原则,权利限制必须符合狭义公共健康和公共利益目标;二是比例原则,不得对数据主体的权利做出超出必要性的广泛限制;三是法定原则,做出权利限制必须依据法律的明确授权;四是合理预见原则,权利限制的定义条件和持续时间要严格确定,否则等同于永久性的权利剥夺。
美国方面,国会引入了两项重磅隐私立法提案,意图借力疫情推动联邦层面的隐私法案出台。
受自由主义经济体制影响,美国的数据安全和隐私保护路径主要依靠行业监管和企业自律,各州出台立法进行监管的力度参差不齐,更谈不上联邦层面的统一立法监管。
在前序隐私法案讨论趋于停滞的情况下,新冠疫情的突然暴发为出台联邦统一隐私法案提供了新的契机,两法案中参考GDPR引入的明示同意授权要求,是美国隐私保护立法规制路径的一大进步和亮点。
2020年4月20日,共和党在议会上提出《COVID-19消费者数据保护法案》(CCDPA)[2];2020年5月14日,民主党提出《公共卫生紧急情况隐私法》(PHEPA)[3]作为反制。
这两项竞争性法案作为联邦统一隐私立法的可能雏形,在适用范围、披露限制、规制手段、司法救济等6个方面存在关键差异。
两项法案还体现出5个共同点:
在立法目的方面,两法案均是为疫情期间收集、使用、披露紧急卫生数据制定的临时规则,旨在通过追踪技术有效防控COVID-19的同时,加强消费者的个人健康信息和数据安全保护,保证相关数据不被用于非公共健康目的;在用户授权方面,两项法案均要求相关机构在收集、使用、披露相关信息之前取得用户的明示同意,为用户提供撤销同意选项,在公共卫生紧急情况结束后及时删除相关数据;在保障要求方面,两项法案均详细阐述了透明性原则、目的限制原则、准确性原则、完整性与保密性原则、权责一致原则的具体要求;在监管方式方面,两项法案均要求相关机构就收集数据的数量、范围、类别、用途等信息定期向社会公众提交透明度报告;在监管范围方面,两项法案均排除了已经受到1996年《健康保险流通与责任法案》(HIPAA)和1974年《家庭教育权利和隐私权法案》(FERPA)保护的公民个人信息。
2.2 科学研究领域
欧盟方面,EDPB发布《在COVID-19暴发期间用于科学研究的健康数据处理准则》[4],阐明个人健康信息使用的相关法律问题。
2020年4月21日发布的准则诠释了健康数据概念的内涵和外延,为数据主体行使权利提供适当的保障措施。
准则将GDPR第6条作为限制数据主体权利、处理健康数据的合法性基础,将GDPR第9条作为收集敏感信息的法律依据。
准则阐明了透明性、目的限制、数据最小化、存储期限、完整性与保密性等数据保护原则,允许健康数据跨境传输以加强疫情防控全球合作,尽快研发出新冠肺炎疫苗和高效治疗方法。
EDPB表示,将进一步为用于科学研究的健康数据处理制定详细指南,该文件已纳入年度工作计划。
美国方面,政府积极支持谷歌、苹果、优步、Facebook等大型科技企业为防控疫情开展科学研究[5],多采用匿名化和汇总数据保障用户隐私安全。
谷歌推出测试网站,利用用户位置信息推送最近的病毒检测站点。
苹果与美国疾控中心合作推出疫情应用程序,为用户在线解答感染症状、密切接触史、就医指导等问题。
优步为消费者开启额外的隐私通知服务,及时告知潜在感染者注意加强防范。
Facebook着手匿名化分析数百万用户的活动轨迹,从中探寻新冠病毒传播路径,并衡量现行限制措施的有效性;Facebook还与其他科研机构分享匿名化人口流动数据和人口密度汇总图,帮助构建新冠病毒传染链模型。
2.3 在线服务领域
在线医疗方面,2020年3月美国卫生与公共服务部(HHS)发布公告[6],在COVID-19公共卫生紧急状态期间,提倡远程医疗代替面诊,允许医疗服务提供者在特定情形下,无需患者授权即可将其健康信息共享给相关执法机构和公共卫生部门。
与此同时HHS指出,新冠肺炎疫情导致的突发公共卫生事件属于12类涉及“国家利益优先”的特定情形,为支持疫情防控,将豁免《健康保险流通与责任法案》(HIPAA)项下的相关制裁和处罚[7]。
在远程教育方面,2020年3月20日美国教育部发布COVID-19期间《家庭教育权利和隐私权法案》(FERPA)指南[8],具体说明了该法案“一般同意要求”的例外情形,在“健康或安全紧急情况”下,允许教育机构无需事先书面通知即可向公共卫生机构披露学生教育记录中的个人身份信息,以配合必要的疫情防控工作。
2020年4月9日,美国联邦贸易委员会(FTC)发布了COVID-19期间《儿童在线隐私保护法案》(COPPA)指南[9],适用于疫情期间为虚拟学习提供远程教育技术的运营商。
该法案允许学校代表父母对13岁以下学生的个人信息收集请求进行授权,该授权需满足用于教育目的和必要通知这两项要求。
2.4 数字技术领域
为有效遏制COVID-19疫情传播,无人机、人脸识别、移动应用、位置信息追踪等数字技术在疫情防控中得到广泛使用。
英国、法国、意大利、西班牙等国政府相继使用无人机配合疫情防控。
这些欧洲国家政府在事前评估、制定规范、事后删除的基础上,广泛使用无人机落实防疫政策,加强公共场所巡查,敦促隔离要求实施。
华盛顿州通过美国首部《人脸识别技术使用法案》[10],允许政府部门为公共安全目的使用人脸识别技术。
2020年3月31,华盛顿州长签署《人脸识别技术使用法案》,将于2021年7月生效。
法案在严格限制的基础上,允许政府执法部门为公共安全目的使用人脸识别技术。
在非紧急情况下,执法机构使用面部识别技术进行调查之前需要获得审批授权。
该法案还要求政府机构确保识别软件通过公平性和准确性测试,并定期向公众报告面部识别技术的使用情况。
基于蓝牙技术的移动应用通过模糊位置追踪、匿名加密信号、DP-3T分散式存储等方式,实现接触者追踪的同时,更好地保护用户隐私。
与使用位置信息追踪相比,基于蓝牙技术的应用程序更加注重隐私保护。
用户开启蓝牙从附近电话接收加密的匿名信号,创建保留在本地电话上的互动日志,因此不会透露用户的姓名和电话号码。
与美国相比,欧洲隐私专家更青睐于使用DP-3T分散式蓝牙协议进行联系人跟踪,认为其在隐私保护方面优于将数据上传、集中存储的应用程序。
欧盟发布《在COVID-19暴发期间处理个人数据的声明》[11]和《在COVID-19暴发期间使用位置数据和联系人跟踪工具的指南》[12],强调移动位置数据的使用规则。
根据欧盟《电子隐私权法规》,只有当数据匿名或征得同意后,服务提供商才能使用相关位置数据;如果不可能仅处理匿名位置数据,则《电子隐私权法规》允许成员国进行紧急立法,在未征得受影响个人同意的情况下,对可识别的电子通信数据进行处理。
声明进一步强调,各国立法必须符合必要性、适当性和相称性的比例原则,并且规定适当的保障措施,例如授予个人司法救济权。
EDPB认为,对个人位置和人际联系进行系统化、大规模监视是对隐私的严重侵犯。
因此,联系人追踪应用程序必须遵循GDPR项下的透明性、目的限制、存储限制、数据最小化等数据处理原则,同时满足匿名化、自愿使用、模糊追踪、测试审查、风险评估、逾期删除、源代码公开等保障要求。
3 欧美政策影响
新冠肺炎疫情的突然暴发给世界各国的医疗系统、生活方式、经济发展和社会稳定都带来了前所未有的挑战。
数字技术和数据应用可在检测和防疫过程中发挥重要作用,但其特性也引发了各界对个人数据保护和隐私安全的高度关注。
如何在数字技术进步、个人信息保护和公共健康目标三者之间取得平衡,是各国立法者面临的严肃问题。
在制度设计方面,欧盟和美国在前期的数据安全相关立法中为紧急情况和例外条款保留了政策空间,保证了立法的连贯性、一致性和稳定性。
欧盟GDPR第23条允许国家在必要时限制数据主体的权利,因此疫情暴发后欧盟发布声明提示各成员国可以采取紧急措施助力疫情防控。
疫情暴发以来,欧盟全部27个成员国的数据保护机关(DPA)相继发布了COVID-19疫情期间的数据保护指南[13]。
美国1996年出台的《健康保险流通和责任法案》规定了6项无需个人授权使用和披露受保护健康信息的情形[14],其中第5项为“公共利益和公益活动”,具体包括12类国家利益优先的情形,如公共卫生事件、公共健康监管、消除健康和安全威胁、有条件的科学研究等。
欧盟方面,欧洲人保守稳健的民族性格和强调安全、自由和隐私不可侵犯的权利保障传统,使得欧盟在新冠疫情防控中仍然非常强调个人信息安全和数据保护的重要性。
欧洲社会主流认为,遏制COVID-19的努力不应该助长技术滥用、访问歧视和政府监视,相关应用程序的信息收集和跟踪定位应当受到严格管制。
欧盟发布的疫情指导文件十分强调合理预见原则,即权利限制的定义条件和持续时间要严格确定。
欧盟的全部文件均涉及在紧急公共卫生事件过后,停止激进性管理措施、恢复人民自由权利、终止监控措施的相关要求。
美国方面,2019年年末引入的《美国消费者数据隐私法案》草案在经过讨论后面临搁置,国会意图出台联邦隐私法案的努力陷入僵局,而此次新冠疫情为重启联邦层面的隐私立法提供了契机。
随着《COVID-19消费者数据保护法案》和《公共卫生紧急情况隐私法》的讨论深入,二者很有可能成为联邦全面隐私法案的立法基础。
与此同时,华盛顿州新通过的《人脸识别技术使用法案》确立了面部识别的透明度和问责制,在维持公民自由权的前提下,开创了允许政府使用人脸识别技术的先例。
与欧洲不同,美国的人脸识别限制在很大程度上是出于限制种族歧视的考量,由疫情引发的暴乱冲突进一步加剧了该话题的敏感性。
华盛顿作为第一个通过立法允许面部识别的州,该州立法代表了一项重大立法突破,极有可能通过溢出效应影响其他州和联邦的人脸识别技术立法进程。
4 对我国的启示
一是立法加强特殊时期的应急响应机制,在相关立法中加入突发公共卫生事件下限制权利的相关规定,同时明确权利限制的必要性前提,避免扩大化解释。
个人信息保护和数据安全是一项全球性课题,欧美等发达国家均在立法过程中确立了特殊时期个人信息处理知情同意的例外规则,且权利限制必须遵循正当目的原则、比例原则、法定原则和合理预见原则。
我国也应当在相关立法中体现这些和国际接轨的先进立法理念和立法技术,有利于与各国在数据安全和个人信息保护领域消除分歧和深化合作。
二是明确特殊时期个人信息数据采集存储的技术规范,强化数据控制者的安全保护意识,及时复盘疫情期间的数据保护实践。
在疫情推动下,无人机、应用程序、人脸识别、数据共享、位置追踪等技术被广泛运用,其中涉及海量的行踪轨迹信息、未成年人信息、医疗健康信息等敏感个人信息。
我国应当借鉴欧美的相关规制手段,对收集、使用、披露、删除个人信息数据的行为做出明确规定和合规指引,从而有效保护公民个人隐私,减少数据泄露和信息滥用。
5 结束语
随着人们隐私保护和数据安全的意识增强,美国和欧盟对于人脸识别和位置跟踪等技术的广泛运用始终抱有高度的戒备之心。
新冠疫情的突然暴发将国际社会置于公共卫生紧急状态,却也反向推动了立法机构和社会公众对于人脸识别和位置跟踪等技术应用的接纳。
为了完成公共健康目标,华盛顿州通过美国首部人脸识别技术法案,允许政府部门为公共安全目的使用人脸识别技术;欧盟对于位置追踪技术不再局限于蓝牙模糊追踪,也相应放开了移动位置数据的使用权限。
但值得注意的是,欧美对于疫情结束之后终止相关权利限制也做出了明确说明,即在紧急公共卫生事件结束后,信息收集、视频监控和位置追踪等也要相应终止,不得再对公民的数据权利施加不合理限制。
由此可见,努力在数字技术进步、个人隐私保护和公共健康维护这3个社会目标之间取得平衡,合理兼顾不偏不倚,是后新冠疫情时代需要关注的永恒议题。
升级会员 