COVID-19疫情下的資料保護

Conor Hogan

Conor Hogan 資深經理 | 網路、風險與諮詢

 

隨著新型冠狀病毒(COVID-19)疫情危機升溫,公共衛生主管機關與雇主必須採取適當與合理的公共衛生應變措施,但又必須秉持資料保護責任。本文將簡述他們在這種狀況下如何小心取得平衡。

當前的 COVID-19 危機是人們記憶中前所未見的危機事件。自世界衛生組織(WHO)於 2020 年 3 月 11 日宣布 COVID-19 疫情的狀況為「全球大流行」後,疫情持續在世界各地蔓延,並為各國政府、企業與廣大社會帶來嚴峻挑戰。

隨著各國政府利用遏制措施奮力阻止這場公衛危機的惡化,大小企業注意到所謂的「新常態」,政府下令實施的封鎖與社交距離措施已明顯減少商業鬧區人流,讓國內與國際旅行受到嚴格限制,而大量休閒活動行程也被中止。

在接下來幾個禮拜甚或幾個月,商業鬧區、市中心、購物商場、旅行與運動產業會遭受無法挽回的損失是明顯可期、也在情理之中,而全球經濟快速衰退(如果沒有陷入蕭條)則可能令許多企業永遠倒閉。

儘管面臨這些貿易與商業挑戰,組織依然必須警覺到重要的安全與資料保護問題,尤其是在減少勞動力、遠距工作挑戰、供應鏈問題、銷售下滑與策略成長計畫擱置的背景下,依然勉強維持正常營運的狀況。

 

資料保護是否只是更多繁文縟節?

 

隨著 COVID-19 疫情的演變,組織可能會考慮要求員工或訪客填寫初篩健康問卷以審核或過濾現場訪客,進而減少 COVID-19 的傳染風險。管理層或許還會覺得他們有權要求員工提供詳細健康資訊以供相關狀況審核,或向員工們公布特定員工的 COVID-19 診斷結果。管理層可能主張這些行為是為了員工、訪客,甚至是公共衛生的利益。然而,法國國家資訊自由委員會(CNIL)發出一份簡短的指引說明,明確禁止在 COVID-19 危機中採取此類措施:

「舉例來說,不可:

  • 要求將每位員工 / 派遣員工 / 訪客的體溫資訊每天送交給其管理層;
  • 或蒐集所有員工 / 派遣員工的診斷書或問卷。」

資料控制者必須確定資料保護法規的基本原則獲得遵守,且必須確保受影響資料主體的個人資料獲得保護。具體而言,資料控制者必須確保個人資料的處理:

  • 擁有清楚的法條基礎;
  • 公開透明;
  • 擁有具體與明確的用途;
  • 僅限必要;
  • 保留期不超過必要時間;
  • 以確保資料安全的方式進行處理。

GDPR 其實明確提供清楚的法律基礎,讓雇主與公共衛生主管機關得以在COVID-19 這類傳染病疫情期間處理個人資料。立法說明第 46 點清楚指出為重要或公眾利益進行特定個資處理的合法性,其適用範圍「包括監控傳染病與其傳播」;第 6 條與第 9 條的條款也促成在公共衛生緊急狀態下,衛生相關個人資料的蒐集、使用與必要分享。

然而,在歐洲 COVID-19 疫情爆發中心的義大利個資保護主管機關(Italian Garante)仍發出指引,建議雇主「避免以提前與系統性和廣泛的取向,蒐集員工與其親密接觸者是否出現任何流感症狀的資訊,或任何在工作環境以外的相關資訊。」

愛爾蘭資料保護委員會(Irish DPC)通知「資料保護法不會妨礙醫療照護的提供與公共衛生議題的管理」,以及「在這些脈絡下,處理個人資料,尤其是健康與其他敏感資料時,應進行慎重考量」。資料處理必須為必要與符合比例原則;最重要的是,「必須根據公共衛生主管機關或其他相關主管機關給予的指引及 / 或指示」。

歐盟資料保護委員會(EDPB)主席 Andrea Jelinek 表示:「資料保護規定(例如 GDPR)不會阻礙對抗冠狀病毒大流行的措施。然而,我要強調,即使在這類特殊時期,資料控制者依然必須確保資料主體的個人資料獲得保護。」

隨著全球公共衛生體系奮力應付持續增加的病例數量,主管機關可能希望以新穎或創新的方式運用現代科技。手機定位資料這類電子通訊資料可被用於幫助監視疫情爆發狀況、通知與改善因應策略,以及讓當地資源獲得更好的支援。然而,這一切除了需要考量 GDPR 與國家資料保護法外,還必須小心考慮到電子通訊隱私指令的規定;如此一來,基本權利與自由才能獲得保障,並與公眾與及重要利益取得達成平衡。

 

行動當責

 

GDPR 的重大遵守責任是當責,因此,最重要的事情就是記錄所有與 COVID-19 資料處理行動相關的決策,包括實施的安全、技術與組織保護措施。
儘管處於不確定性與真正的全球疫情大流行狀況下,資料控制者仍可稍微鬆一口氣,因為歐洲的資料保護監管機關持續以合理且務實的態度履行他們的職責。監管機關已認知到許多組織趕上規定時間並遵守責任的能力,在這段時期受到嚴重阻礙。

英國的資訊專員辦公室(UK ICO)表示他們將不會「在這段非常時期,懲罰我們知道他們必須將其他事務列為優先或更改其平常作為的組織」。對可能在這段期間難以應付資料主體存取要求或其他資料保護事件的組織來說,此舉讓他們能稍微放心一點。

愛爾蘭資料保護委員會(Irish DPC)支持 ICO 的立場,但強調盡力遵守資料保護基本原則的重要性:「基於當責與透明性,組織應記錄無法遵守時程規定的理由,並清楚告知受到影響的個人。DPC 必須履行法定責任,當我們收到投訴時會仔細檢視每個投訴案件的內容,包括任何組織的特定且情有可原的狀況。」因此,為了自保,重點就是記錄在這段時期採取的所有行動與決策。

 

結論

 

就像針對資料保護法的詮釋,全球對 COVID-19 有著各式各樣的因應方式。面對這次前所未見的危機,為了自身的既得利益,政府、公共衛生主管機關與雇主必須保護並守護公共利益與全球公民的重要利益。因應、減輕這次全球危機的損害,以及從中復原,將需要我們發揮全球社會與經濟的韌性,運用非凡力量、龐大資源且團結一致的共同努力。

考量到世界在面臨全球疫情大流行時所要做的繁重任務,守護資料保護權利可能看起來是次要,甚至排在第三位的目標。然而,守護基本權利不會妨礙現場應急人員或公共衛生主管機關之任務,而是會在前所未見的社會困境幫助保護我們社會不受侵害,這是人類文明的人性與韌性的最高表現。

 

註:本文章撰寫時間為 2020 年 3 月,相關法令規範請依當地政府機關公告之最新內容為主