——疫情下各国个人信息保护的十个共识、差异与挑战

王 融     闫锦麟

（王融，腾讯研究院资深专家；闫锦麟，腾讯研究院助理研究员）

【内容提要】新型冠状病毒（COVID-19）的全球性爆发对各国医疗健康体系乃至公共安全带来持续挑战。针对个人信息，尤其是个人健康信息、位置信息的快速收集与分析，能够帮助决策者把握疫情发展状况，积极采取适当措施。但隐私、个人信息保护、数据安全等问题也成为挥之不去的担忧。

如何在公共安全与个人信息保护之间找到平衡，考验着各国政府决策能力。我们梳理分析了欧盟成员国、韩国、新加坡、美国、加拿大、阿根廷、澳大利亚等40多个国家在疫情期间围绕个人信息处理的规则与做法，总结了十项已凝聚的共识、尚存的差异以及面临的共同挑战。

【关键词】公共健康    个人信息保护    COVID-19

一 、个人信息保护法律不会妨碍疫情管理措施

疫情背景下，控制疾病蔓延、保障公共健康毫无疑问成为更优先项。欧盟数据保护委员会在《新型冠状病毒爆发期间处理个人数据的正式声明》开篇就表明：“数据保护规则（例如GDPR）并不妨碍针对病毒大流行采取的措施。与传染病做斗争是所有国家共同的宝贵目标，因此，应以最佳方式予以支持。"爱尔兰数据保护专员（Data Protection  Commissioner，DPC），英国数据专员办公室（Information Commissioner’s Office，ICO）和西班牙数据保护局（Agencia Espanola Proteccion Datos，AEPD）等各国数据保护机构也在各自的指南中提出了相同观点。

GDPR（General Data Protection Regulation）第6条、第9条为公权力机关（如公共健康机构）处理个人数据乃至敏感个人数据提供了正当化的依据，如果数据处理是为了公共利益（art.6.1.e，如控制流行病及其传播）或者处理对于保护数据主体或另一个自然人的核心利益是必要的（art.6.1.d），数据处理可以不经当事人同意。

二、法律基本原则仍应得到遵循

与此同时，欧盟各国数据保护机构也强调：GDPR以及其他法律确定的隐私保护原则仍然需要被遵守。爱尔兰数据保护专员的疫情指南明确了透明性、机密性、数据最小化等合规性要求。该指南要求收集数据的组织必须以简洁、易于理解的语言向个人提供有关其个人数据处理的信息。任何数据处理都必须以保证安全的方式进行。西班牙数据保护局的报告特别指出，即使在紧急卫生情况下，个人数据的处理也必须继续依照目的限制、准确性等GDPR和国内立法确立的原则。疫情之下仍然强调个人信息保护原则与欧盟隐私文化传统一脉相承。

三、在许多国家，雇主是除了卫生部门之外最主要的疫情信息节点，对雇主收集信息的规范成为重点

疫情期间，除特定的公权力机关收集个人信息之外，雇主是最主要的收集渠道。在欧洲很多国家的社会组织中，社区地位被弱化，因此，雇佣关系构建了主要的信息网络节点。正因如此，欧盟成员国的法律规制大多关注了雇主与雇员间的个人信息处理。然而，各国目前在基本共识之外，也就具体规则存在分歧。

在雇主是否可以主动收集雇员个人健康信息的问题上，法国国家信息与自由委员会（Commission nationale de l’informatique et des libertés，CNIL）对雇主提出了严格要求。雇主不得系统地、普遍地或通过个人询问收集雇员及其亲属与新型冠状病毒感染有关的信息。非法处理的示例包括：强制性地每天测量每个员工和访客的温度；从所有员工那里收集医疗档案或问卷。

相比之下，更多国家在这个问题上采取了较为平和、中立的立场。雇主在遵守相应原则、限制的前提下，出于对工作场所健康、安全的考量，可以收集雇员以及访客的个人健康数据。英国数据专员办公室认为，雇主可以要求雇员或访客告知其是否曾经去过特定国家或是否有感染症状（但不能要求详细的旅行行程）。在不超出所需范围并确保所收集的任何信息都得到适当保护的前提下，雇主可以收集特定的健康数据。

在是否以及在如何公开确诊员工个人信息的问题上，英国数据专员办公室、爱尔兰数据保护专员和德国联邦数据保护和信息自由专员都指出，若有员工被确诊或者被判定为疑似病例，出于公共健康的考量，雇主应当告知全体员工，以便及时采取防护措施，但在一般情形下应避免通过公布姓名等方式让其他员工对应到具体的个人。非确诊或疑似情形下，雇员在家中隔离不需要说明具体原因。

四、疫情推动跨部门数据共享

及时、准确、充分的信息共享可以有效助力疫情决策。但整体而言，许多欧盟成员国仍将疫情健康数据限制在公共卫生部门范围内。法国国家信息与自由委员会指出，卫生部门可以收集健康数据，并有资格采取适合于具体情况的措施。西班牙数据保护局同样认为，公共卫生部门是受命收集和管理与病毒传播有关的健康数据的组织，其他个人数据处理者需要遵循公共卫生部门的指示。

很多国家都试图通过紧急状态下的立法打通信息共享。3月9日，意大利政府发布的最新法令授权公共卫生部门和民防部门之间数据共享，以管理紧急情况。

美国卫生与公共服务部（U.S. Department of Health and Human Services，HHS）3月发布公告：将在全国范围的公共卫生紧急状态期间，在特定情形下豁免《健康保险流通与责任法案》隐私规则（Health Insurance Portability and Accountability Act，HIPAA）的制裁和处罚。允许医疗服务提供者在公告列举的情况下，无需新型冠状病毒感染者授权即可将其健康信息共享给执法机构、护理人员、其他急救人员和公共卫生部门。

五、相比亚洲，欧盟对位置数据的利用更为谨慎

尽管面临很多争议，但许多国家已经启动了基于位置信息的追踪，以监控人口流动和传染源位置，以此抑制病毒传播，但具体措施的激进程度有所不同。

韩国、新加坡、以色列等国家在疫情初期就采取了基于位置信息的管控措施，这些措施大部分具有很强的隐私侵入性。在韩国，政府机构利用监控录像、智能手机定位数据和信用卡购买记录，帮助追踪冠状病毒患者最近的活动，并建立病毒传播链。

韩国政府机构广泛的权力来自于近年来对传染病立法的修订。2015年，传染病Mers爆发后，韩国的病例数量仅次于沙特阿拉伯，位居全球第二。政府被批评隐瞒包括患者轨迹在内的相关信息。此后，韩国修订了《传染病控制和预防法》（Infectious Disease Control and Prevention Act，IDCPA），该法第76-2（2）条赋予卫生部长广泛权力，可以在没有授权的情形下收集已经确诊和潜在患者的个人数据；私人电信公司和国家警察局应按照公共卫生机构的要求与其共享患者和潜在患者的位置信息。第6条和第34-2条专门规定公众的“知情权”，要求卫生部长立即向公众披露传染病患者的移动路径、运输工具和接触历史等信息。因此，当检测到新病例时，韩国政府会向公众发送警报短信，同时在网站上公布感染者被收治前的详细行程信息，以提醒访问过该区域的人监视和报告疑似症状。

相似地，新加坡也推出了一款TraceTogether的应用程序，使用蓝牙信号探测附近的移动电话，如果一名该应用程序的用户后来检测出病毒阳性，卫生当局可能会检查该应用程序的数据日志，以找到与他曾经接触的人。

在以色列，政府已批准采取紧急措施，使用最初为反恐目的而开发的手机定位技术来追踪疑似或确诊病例。收集到的位置信息将提供给卫生部，用以提醒与感染者密切接触过的人进行隔离。紧急措施的有效期已经从30天延长至紧急状态结束，收集到的数据将保存60天。当然，以色列的做法仍然可以被看做是个案。在疫情爆发之前，以色列已经是一个长期处于战争状态的社会。迅速进入紧急状态，启动庞大的手机定位网络用于防疫对于以色列人来说也并不意外。

相比于亚洲国家，欧盟国家在位置信息的处理与使用上更为谨慎，目前主要集中于地理位置信息的匿名化数据、聚合数据分析。欧盟数据保护委员会在《新型冠状病毒爆发期间处理个人数据的正式声明》中提出建议，公共机构应首先寻求以匿名方式处理位置数据，生成有关特定位置移动设备集中度的报告。如果不可能仅处理匿名数据，成员国可以依据《电子隐私指令》第15条（ePrivacy Directive），在采取适当保障措施、遵循比例原则的前提下，采取立法措施对非匿名位置数据进行处理。

在此框架下，意大利数家电信公司已经通过其行业协会向意大利政府提供了匿名用户位置数据集。同时，德国移动运营商德国电信（Deutsche Telekom）宣布其已将用户的移动数据匿名共享给联邦政府下属的罗伯特：科赫研究所（Robert-Koch Institute），以统计德国公民在多大程度上遵循政府的抗击疫情政策。近期，欧盟委员会敦促与德国电信（Deutsche Telekom）、Orange、意大利电信（Telecom Italia）、西班牙电信（Telefonica）、沃达丰（Vodafone）等欧洲电信运营商共享来自该地区的移动手机匿名元数据，以帮助预测这种冠状病毒的传播。

截止到目前，对位置信息的利用方式上的差异，典型反映了不同国家对待隐私问题的不同态度。韩国、新加坡基于真实的位置信息对个体实施类似于“监控”程度的跟踪，这在欧盟国家来看，显然有着难以逾越的规则和文化障碍。但随着疫情蔓延，态势走向严重，欧洲国家也开始探索折衷方式。英国政府与牛津大学研究人员合作开发智能手机跟踪系统应用程序，以提醒与感染者接触的人。该应用程序将与国家卫生服务局（National Health Service）相关联。同时，为做好隐私平衡，该应用程序依靠公众自愿分享位置数据，但不会仿照韩国发布感染者的活动路径。 

六、随着疫情升级，更具侵入性的人脸识别、无人机投入应用

除了位置信息应用，人脸识别、无人机、热成像相机等人工智能技术在疫情之下也被广泛采用。这些技术可以有效减少人与人的接触，及时发现体温异常、可能感染的人，并监督公民减少外出。

在美国，总部位于奥斯汀的雅典娜安全公司（Athena Security）表示，其产品安全摄像头可以使用热成像和计算机视觉技术来检测疑似感染的发烧患者。这些摄像头可以探测到身体12个不同部位的热度，精确度在1摄氏度以内。同时，它使用人工智能模型来放大受试者的内眼，因为内眼最能反映人体的实际温度。与每次只能在近距离工作的体温计不同，雅典娜安全公司的安全摄像头探测系统更适合扫描机场、超市、医院等人员聚集的场所，其每小时可以读取1000个温度读数。该公司的热成像相机已经在美国德州奥斯汀的一个办公场所投入使用，并将于未来几周内部署在一些大型企业和机场。为缓解隐私担忧，雅典娜公司强调，它的系统不会记录从镜头捕捉到的人脸数据，也不会记录捕捉到的皮肤颜色。

在欧洲，伴随着感染人数和死亡人数的激增，无人机正越来越多地被应用于政府防疫政策的落实。在法国，警方已经开始使用无人机，以加强公园等公共场所的锁定与监督。在英国，北安普敦郡警察正计划扩大无人机队的规模，并为其配备扬声器，以传播公共信息，提示人们回到室内。在意大利，为有力执行限制措施，航空管理局（ENAC）授权意大利警方使用无人机监控市民活动。无人机同样出现在西班牙马德里的街头。

监控类人工智能技术的应用虽然会引发公众对于隐私担忧，但是在新型冠状病毒死亡率和感染人数持续攀升，公共卫生系统早已超负荷的背景下，为加大政府防疫措施的执行力度，这些技术应用也被列入应对措施清单。但在另一方面，为将此类应用限制在必要范围内，应在事前予以评估，并制定相关规范，在特定期限内及时删除相关数据。

七、大型科技公司积极参与抗击疫情，但谨慎处理用户数据

大型科技公司积极参与疫情抗击，提供资助、开放算力资源乃至直接参与医疗物资生产（特斯拉已宣布切换部分汽车生产线生产呼吸机）。据《华尔街日报》报道，美国政府主动寻求与微软、谷歌、Facebook等科技企业就新型冠状病毒的预防控制展开合作。但截至目前，这些公司对用户数据仍然持十分谨慎的态度，一般采取匿名化或聚合数据来提供趋势分析。

谷歌：谷歌母公司Alphabet旗下的Verily推出测试网站，美国加州用户可以在该网站上填入位置等相关信息后，随后会被筛选指引到最近的新型冠状病毒测试地点。针对用户使用谷歌账户登录该服务而产生的隐私担忧，谷歌声明：“用户提供的信息可能与收集用户标本的卫生保健机构等机构共享。但所有数据都是单独存储的，与谷歌的任何产品和服务都没有关联，数据也不会用于广告目的。"

苹果：苹果公司与美国疾控中心（Centers for Disease Control and Prevention，CDC），白宫新型冠状病毒工作组（the White House Coronavirus Task Force）和联邦紧急事务管理局（FEMA）合作推出了一款应用程序（包括网站），用户可以在上面回答有关症状、密切接触史等问题，应用程序会根据美国疾控中心的指南基于用户的回答告知其如何密切监测症状，是否应进行核酸检测或就医等信息。苹果公司承诺：该应用程序和网站旨在保护所有用户数据的私密性和安全性，这些工具不需要登录或与用户的Apple ID关联，并且用户的个人回复不会发送给苹果公司或任何政府组织。

脸书：脸书也正在考虑匿名化分析数百万用户活动，以确定病毒是如何在美国蔓延的，并衡量社交距离措施（social distancing）的有效性。这些结果可能会与政府机构分享，以阻止未来几周可能出现的紧急情况。此外，Facebook正为意大利政府提供匿名数据协助，同时也为哈佛大学公共卫生学院等科研机构提供汇总和匿名化的流动性数据和人口密度图，以帮助他们建立病毒传播的预测模型。在提供匿名数据时，科技公司强调不会收集任何有关用户的识别信息，也不是为了长期跟踪用户。

也有一些大型平台，在做好隐私保护的前提下，向用户提供疫情相关预警帮助。优步（Uber）向消费者发出了额外的隐私通知，称只要发现有乘客或司机感染新型冠状病毒，优步就会在一定时间内通知与该车辆有过联系的司机和消费者。

八、教育、医疗等在线服务常态化带来的隐私挑战

疫情之下，不少国家选择暂时关闭学校，停止面对面教学活动，取而代之的是远程在线教育。线上教育一方面缓解了疫情对学生学业的影响，另一方面也引发了学生隐私保护的担忧。

在美国，考虑到数千万学生在学校停课后上网学习，一些美国参议员正敦促政府采取措施保护学生个人数据。参议员指出：许多在线教育课程收集了大量的学生数据，却没有采取足够的隐私或安全措施。教育软件行业普遍缺乏透明度，在隐私和安全方面的做法也不一致。美国联邦调查局（FBI）警告称，对学生数据的非法利用可能导致霸凌、追踪、身份盗窃及其他针对儿童的犯罪。

美国教育部下属的学生隐私政策办公室（Student Privacy Policy Office，SPPO）发布了疫情期间针对学生网上教育的指导。其中强调，学校或教育机构在线上教育过程中处理学生教育记录中的个人身份信息（PII）时，需要严格依照《家庭教育和隐私权法案》（FERPA）的规定。同时，根据隐私技术中心（Privacy Technical Assistance Center）的建议，教育机构应以易读易懂的方式向学生和家长传达其私隐政策，不应削弱学生在家上网课的隐私保护，不得出售或以其他方式利用学生数据牟利。

与此同时，远程医疗也因其减少人员接触、避免医院人满为患而被推荐。为鼓励远程医疗，美国卫生与公共服务部在3月发表声明：将在疫情期间免除部分远程医疗服务违反《健康保险流通与责任法案》隐私规则的处罚。这种豁免适用于基于任何理由提供的远程医疗，无论其是否与新型冠状病毒的诊断和治疗有关。该声明还鼓励医疗服务提供者使用Apple FaceTime、Facebook Messenger video chat、Google Hangouts video、Skype等主流视频通话应用程序开展远程医疗，而无需担心受到惩处。对于该举措，世界隐私论坛表示支持，但同时也呼吁提供远程医疗服务的科技公司对于病人医疗数据保持克制，保障其安全性。

在此次疫情推动之下，教育、医疗行业所涉及的未成年人、医疗等敏感个人数据，将可能迈向大规模地、常态化的收集处理模式，对该领域的隐私和数据安全带来全新挑战。

九、疫情下对“隐私”和“公共健康”的决策平衡，更深层地反映了一国文化和认知传统

数据共享、位置信息追踪、人工智能技术等数字科技的规模化应用在有效抑制新型冠状病毒快速传播方面发挥积极作用。然而，即使是同一种技术应用，各国在接受程度和推广范围方面都存在巨大差异，尤以韩国、新加坡、中国为代表的亚洲东方国家和西方国家的差异，这种差异往往根植于不同地域、文化和认知传统。

在外在“法律形式”上，韩国、新加坡接近于欧盟，但其隐私观念的内核仍然是东方式的。韩国、新加坡的《个人信息保护法》都是以欧盟GDPR为模板，特别是近年来，韩国积极争取欧盟对其个人信息保护法律制度的认可。2018年11月，韩国议会提交了个人数据保护法修订，新的修订将使韩国数据保护执法系统获得独立地位，这将有望为韩国期待已久的欧盟白名单充分性认定铺平道路。但通过疫情可以看到，尽管具备形式上的相似性，但植根于社会文化土壤的隐私观仍然有着巨大的不同。

新加坡、韩国等亚洲国家深受儒家文化的熏陶，集体主义是人们思想观念的一部分。当与公共利益关联更为密切的“健康”和更加注重私人自由保护的“隐私”两种价值发生冲突的时候，亚洲人更倾向于将重心放在公共利益上。普通网民也利用政府网站披露的患者数据，通过人肉搜索等方式识别和追踪特定个人。

而对于欧洲国家而言，深厚的隐私文化传统早已被立法者融入GDPR等隐私保护规范当中。面对数字监控，强大的隐私观念让欧洲人犹豫不前。即使企业向政府共享的位置信息已经经过匿名化处理，欧盟议会议员仍然对未来可能出现的大规模监视表示担忧。 

十、激进的“隐私侵入性”管理措施的退出问题

截至目前，法国、西班牙等60多个国家已经宣布了战争状态或者紧急状态。在战争状态或紧急状态下，自由民主秩序被暂时中止，激进性的管理措施大大扩展了国家的权力并限制了人民的权利。不能否认，这些措施在应对公共健康危机中是必要的。然而与此同时，也需关注：当危机结束之后，各国将如何从这些激进的管理措施中退出。有学者表达了这样的担忧：人们越来越依赖数字工具来监测疾病的传播，在健康危机消退之后，如何防止政府使用这些工具来追踪个人或用于其他目的？

人类社会已经迈向了史无前例的数字化进程，根据Statista统计，目前全球智能手机用户的数量为35亿，这意味接近一半的世界人口拥有智能手机，且这一数字仍在飞快上涨。如果这种监控被允许的话，不仅电信运营商能够精确跟踪用户，智能手机上基于位置信息的应用也将能使监控发挥到极致。

目前来看，亚洲国家对疫情处理明显好于欧美国家。韩国已经渡过最艰难的时期，新加坡等其他亚洲国家也在很大程度上控制了疫情，这其中部分得益于早期实施的监控类技术应用，但在疫情结束之后也仍需反思和重新评估相关应用的合理性，在隐私和“公共健康”之间重新确立平衡点，防止紧急措施的“常态化”。

对此，全球发展中心（Center of Global Development，CGD）提出建议：如果社会一致认为在危机时期制定绕过同意的措施是合法的，那么一旦情况发生变化，就必须有适当的机制来放松这些措施。世卫组织应敦促各国政府制定相应条款，以在特定时候自动终止紧急监视措施。

而在尚未看到疫情彻底结束的曙光之前，利用用户数据的疫情管控措施仍应当坚持最小化和必要原则，并防止利用于其他目的。