“接触追踪”的数据规范的欧盟视野
系列之一请见:《评论丨传染病疫情防控与个人信息保护初探前言及之一》
https://m.21jingji.com/article/20200128/herald/c896dbbf7ae0b10905bdf224cb9789e1.html
系列之二请见:《评论丨疫情防控与个人信息保护初探系列之二:数据技术的应用路径》
https://m.21jingji.com/article/20200129/herald/0edd82a1c1b73cfccc3a634988c6d254.html
上一篇讨论了个人信息在疫情防控中的应用路径之后,这篇文章回归个人信息保护的主题,还是从传染源发现、追踪、控制、隔离的角度出发,而且把视线投向域外。
在勾勒应用路径的文章中,我们可以看到使用数据的基本逻辑——即寻找与目标(targets)有密切接触(close contacts)的高风险人群。这个目标可以是在特定时段内以特定频率出入武汉华南海鲜市场或者在该市场附近出现过的特定个体(以A来指代),也可以是各地已经确诊为确诊感染了新型冠状病毒的特定个体(以B来指代)。
举例来说,通过筛查出A人群,对照A人群中最终的确诊人数,具备病理或流行病学方面的意义。通过追踪A人群之后的去向,能够一定程度上预测或印证特定国家、区域、城市的发病率(例如《近30天,去过武汉华南海鲜批发市场的人,后来都去了哪里》这篇文章中做的数据分析)。如果说武汉华南海鲜市场不是新型冠状病毒的发源地(见报道《华南海鲜市场“翻盘”?未必是新型冠状病毒发源地!》),那就可以往前追溯“无该市场接触史的病患”的行踪轨迹与A人群中确诊病患的行踪轨迹,并将两者进行碰撞,也许就能发现病毒真正的发源地。
对于人群B,各地疾控和医疗机构都特别希望能够找到与其有接触史的人群(以C来指代),以便对其实施集中隔离或要求其进行居家医学观察,最终彻底切断传染源(见报道《袁家军:量化细化闭环管控 以必胜信念打赢疫情防控阻击战》)。上述逻辑还可以从C人群(即所谓的“无意识密切接触人群”)进一步扩展追踪开来。
从上述数据的使用逻辑来看,均需要识别(single out)特定的个体(即前文所说的目标),再根据不同目的,拓展至不同范围的其他特定个体。用术语来说,其实就是“接触追踪”(contact tracing)。
“接触追踪”
在“欧盟No.1082/2013号决定”中,“接触追踪”(contact tracing)被定义为即“为追踪暴露于严重的跨境健康威胁源,且有感染疾病危险或已感染疾病的人而采取的措施”。
“欧盟No.1082/2013号决定”的第八条在欧盟范围内建立了“早期预警和响应系统(EWRS)”。EWRS系统由位于斯德哥尔摩的欧洲疾病预防和控制中心统一管理和协调,旨在欧盟委员会与各成员国主管当局之间建立一个持续畅通的沟通渠道。
“欧盟No.1082/2013号决定”的第九条则明确要求当符合一定条件后,欧盟委员会或相关成员国主管当局应当通过EWRS发出“警报告知”(alert notification)。在“警报告知”中,应当包含“任何已经掌握的有助于协调应对的信息”。第九条还对应当共享的信息进行了例举,其中与个人信息直接相关的是第(i)项——即“符合第十六条规定且为接触追踪目的所必需的个人数据”。
从“欧盟No.1082/2013号决定”第十六条的条文中不难看出,“欧盟No.1082/2013号决定”的第十六条将整个“接触追踪”中关于个人数据的方面,纳入了欧盟的个人数据保护框架之中,只不过在当时这个框架是欧盟的95指令。随着欧盟GDPR于2018年5月生效,“接触追踪”也肯定被纳入GDPR的框架之中。
GDPR的相关基本逻辑
GDPR中的许多元素体现了欧盟对个人数据的基本态度。例如,欧盟通过一部单行法GDPR覆盖了包括公私部门在内的各行各业的个人信息处理行为;GDPR详细规定了个人信息处理的基本原则,如最少够用、目的限定、存储期限最小化等;GDPR赋予了个人对其信息非常广泛的控制权利,如数据可携带权、被遗忘权、反对自动化决策机制权利等;GDPR对大规模处理个人信息的企业,要求设立数据保护官(DPO);GDPR要求产品和服务应实现通过设计和默认设置实现隐私保护(Privacy by Design and by Default);GDPR重构了欧盟层面的个人数据保护的落实机制;GDPR处罚额度可高达2000万欧元或年收入4%,两者取其高;GDPR要求个人数据流出欧盟,应确保足够的(adequate)保护水平等。
以下以GDPR的基本合规逻辑:GDPR第六条规定了个人信息处理合法的六项事由:一是数据主体对出于单个或多个特定目的而处理其个人数据表示同意;二是处理是为向身为合同当事人的数据主体履行合同所必须的,或在缔约前,应数据主体的要求所必须采取的步骤;三是因履行数据控制者承担的法律义务而必须处理个人数据的;四是为保护数据主体重大利益或其他自然人重大利益而必须处理个人数据的;五是为公共利益而执行任务,或数据控制者履行赋予的公共职能时,必须处理个人数据的;六是因数据处理者正当利益或第三方正当利益而必须处理个人数据的,但当数据主体的利益或基本权利和自由(特别当数据主体尚未成年时)高于上述正当利益时,不得使用该事由。
在GDPR中,个人信息控制者开展数据处理之前,通常要先确立数据处理的目的(也就是要开展的具体业务),再从目的出发,选择所需要开展的具体数据处理动作将依赖于上述六种合法事由(lawful grounds)中的哪一个,随后是确保具体数据处理动作遵循了个人数据处理的基本原则。
在GDPR的框架中,这些基本原则包括:(1)“合法性、合理性和透明性”:对数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理;(2)“准确性”:个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正;(3)“限期储存的要求”:对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了包括匿名化等合理技术与组织措施进行处理;(4)“注意数据的完整性与保密性”:处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失。
为了落实上述原则,GDPR对数据的控制者和处理者作出一系列限制,其中最核心的要求为“数据最小化”(data minimization),即个人数据的处理应当是为了实现数据处理目的之适当、相关和必要的,个人数据采集应当有具体、清晰和正当之目的,对个人数据的处理不应当违反初始目的。当然,上述限制也有例外,即因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的,但仍应当采取符合GDPR的恰当防护措施,比如匿名化等。数据主体的权利以及数据处理者与控制者的义务均围绕这些原则展开。
欧盟对接触追踪的数据的一些规范
结合“欧盟No.1082/2013号决定”与GDPR的基本逻辑,我们可以得到欧盟对接触追踪的数据安全规范的一些观察:
数据最小化原则(即最少够用原则)充分地贯彻到了欧盟传染病预警应对系统(EWRS系统)的要求之中,不仅包括要求共享的信息为最少够用(例如决定要求欧盟委员会提出为实施接触追踪可共享的个人数据类型列表),还对信息在EWRS系统中的存储时间做了硬性规定,不得超过12个月。
EWRS系统高度关注个人数据交换中的安全性问题,通过Privacy by Design以实现个人信息保护的合规。例如第十六条明确要求在出于接触追踪目的而共享个人信息时,只能选用“选择性通信功能”(to use solely the selective messaging functionality),这个功能只允许特定成员国的有权机构能够收悉相关的个人信息。
明确数据控制者的角色。成员国对数据在EWRS系统中的输入和接收,承担控制者的责任。换句话说,成员国对这些共享的个人数据的后续(违法违规)流转承担了全部法律责任。
欧盟委员会承担数据存储承担控制者责任,也就是说数据在EWRS系统中的安全性、最小存储期限等,由欧盟委员会负责落实。
下一篇文章关注通过电信运营商进行接触追踪的域外实践和数据保护原则。
(编辑:祝乃娟)