对爆发的新型冠状病毒（世卫命名新冠病毒为“COVID-19”）进行控制并阻止其传播已成为全球性挑战。除了在世界范围内正在采取的重大卫生和医疗措施外，政府和公共卫生官员还关注如何监控、理解和阻止病毒的传播。包括GDPR和美国各种法律在内的数据保护和隐私法正在发挥作用。

限制感染传播的一项主要手段是追踪接触者，识别和监控可能与感染者接触的人。企业主和教育机构还实行限制旅行、制定自我隔离政策、限制访问者，并考虑体检。这些措施必然涉及获取和共享个人信息，包括个人健康、旅行、联系方式和就业的数据。例如在美国，疾病控制和预防中心（CDC）已要求航空公司提供某些航班上乘客的姓名、生日、地址、电话号码和电子邮件地址。

正如IAPP编辑总监JedidiahBracy上周在平衡个人隐私和公共利益的文章中所探讨的，这类个人数据的收集和处理正在引发关于数据保护限制是否适当的讨论。使用人工智能和大数据以抗击疫情的中国也发布了指南，在此次公共卫生危机期间对数据的收集和使用进行了限制。

欧盟法律

收集个人数据以应对COVID-19的欧盟国家需要遵守GDPR（及其本国法律）。例如，意大利的数据保护机构Garante通过了一项法令来解决GDPR和COVID-19之间的关系，处理特殊类别个人数据的需求以及为抗击病毒暂停某些数据保护权利。Garante已发布了指南，禁止“自己动手”收集数据。在抗击COVID-19的背景下，法国和爱尔兰的DPA同样在处理个人数据方面采取了措施。

GDPR专门规定了解决公共卫生危机及有关处理个人数据的条款。

第6条－未经同意的处理

GDPR第6条规定，为遵守数据控制者应承担的法律义务，保护数据主体或其他自然人的重大利益，执行公共利益任务或行使控制者的官方权力，未经同意处理个人数据是合法的。GDPR鉴于部分的第46条特别认可了第6条中的某些规定可能与公共卫生危机有关，并指出“某些类型的处理可能是同时符合公共利益和数据主体重大利益的重要基础，例如，为人道主义目的，包括监测流行病及其传播或在人道主义紧急情况下，特别是自然和人为灾害。”

根据GDPR鉴于部分的第46条的规定，“在有必要保护数据主体或其他自然人生命的重要利益情况下，处理个人数据也应视为合法”。GDPR鉴于部分的第46条建议“重大利益”例外情形应狭义解释，指出基于另一自然人的重大利益处理个人数据，“原则上仅在处理不能明显基于另一法律依据的情况下发生。”

GDPR第6条确实对这些例外施加了一定限制，要求根据公共利益或遵守控制者的法律义务处理个人数据的基础是欧盟或成员国的法律，且该法律“达到了公共利益的目标，与追求的法律目标相称”。成员国还可为遵守法律义务或执行公共利益任务而采用更具体规定，包括确保这种处理合法和公正。

GDPR鉴于部分的第45条描述了成员国处理这些问题的不同方式，指出根据公共利益豁免规定的处理可以由公共机构或私人团体进行。此外，第5条有关处理个人数据的原则（包括透明度）仍然适用，除非出于国家安全、公共安全、保护他人的权利和自由而受到成员国法律限制，或者第23条的其他类似豁免，以上所有豁免都需要通过“必要和比例”测试。

第9条-处理特殊类别的数据

GDPR第9条禁止未经明示同意而处理特殊类别的个人数据（包括生物识别和健康数据），也有类似例外，包括在需要处理的地方：

“为了保护数据主体或另一自然人的重大利益，如果该数据主体生理上或法律上无法给予同意；”

“为了重大公共利益；”

“为了预防或职业医学的目的……医学诊断……[或]健康或社会护理或治疗的规定；”

“为了公共卫生领域公共利益的考虑，例如防止对健康的严重交叉威胁。”

GDPR鉴于部分的第52、53和54条进一步表明了这些规定：第52条承认有必要处理特殊类别的个人数据，以“预防或控制传染病和其他严重健康威胁”；第53条强调应“仅在欧盟或成员国法律为保护数据提供了具体、适当措施，实现自然人和社会利益目的时”，为相关健康目的处理此类数据；第54条承认出于公共卫生原因可能需要未经同意而处理特殊类别的个人数据，但明确指出这种数据处理不应被第三方用于其他目的，例如雇主或保险公司。

第17条－删除权

值得注意的是，第17条中删除个人数据的权利不适用于“出于公共卫生领域的公共利益目的”而有必要进行处理的情况。

以上规定清楚表明，GDPR制定者预见了当前情况，当局正在努力保护欧盟乃至全球的健康、幸福和个人数据。

美国法律

尽管美国没有联邦综合数据保护法，但一些联邦和州法律为某些类型数据提供了隐私保护。考虑到美国法律体系下的部门隐私保护方法，美国法律对某些类型数据的保护措施是值得探讨的，即受保护的健康信息、就业数据和位置数据。

健康数据

《健康保险可携带与责任法案隐私权规则》（HIPAA） 保护患者健康信息的隐私。但它的保护不是绝对的。2月，美国卫生与公共服务部发布了一份公报，允许公开健康信息的情形，包括出于公共卫生目的和“防止严重和迫在眉睫的威胁”。该公告指出，大多数信息披露必须限于实现该目的的“最低限度”。该指南无疑符合GDPR的豁免规定，为防止严重跨境健康威胁，可以处理特殊类别的数据。

就业数据

《美国残疾人法》规定了相关条款，雇主是否可以测量雇员体温或询问其旅行和个人健康状况。尽管美国平等就业机会委员会在其网站上提供了一些有关冠状病毒的信息和CDC指南，但该指南制定于2009年，涉及流感流行规划。若病毒更加猖獗，这些建议是否需要修改还有待观察。

位置数据

美国宪法第四修正案还保护某些隐私期待，包括人的物理位置和活动。在Carpenter诉美国案中，最高法院考虑了如何将第四修正案适用于手机历史记录，特别是基站位置信息，“这提供了用户过去活动的全面记录。”政府将这些记录作为刑事调查的一部分，并声称Carpenter对此类信息没有隐私期待，因为他自愿将其提供给第三方。（第三方原则见于最高法院United States v. Miller 和 Smith v. Maryland案）

在Carpenter案中，最高法院不同意上述观点，并认为：（较长时间）绘制手机位置可提供个人行踪的全部记录。与GPS信息一样，带有时间标记的数据提供了一个关于人们生活的私密窗口，不仅揭露了特定动作，还揭露了“家庭、政治、专业、宗教和性关系”。

因此，政府从无线运营商访问基站位置信息时，侵犯了Carpenter“在其生理活动中”对隐私的合理期望。

随着美国COVID-19病例数量增加，以及相应追踪接触者的需求，关于Carpenter案中隐私利益的讨论以及迅速解决公共卫生问题的需求，进一步讨论是很可能的。正如最高法院在Carpenter案中指出，手机跟踪是“近乎完美的监视”，“与传统调查工具相比，它非常简单、廉价和高效”。

与此相反，CDC从航空公司获取旅客数据是很困难的，这削弱了追踪接触者工作。

更广泛考虑

以上内容仅涉及某些欧盟和美国法律准则。还有许多其他国家和地方法律可能影响在抗击COVID-19中的境内或跨境跟踪和共享个人数据。这不是隐私问题的第一个全球性健康危机，但这是自GDPR生效以来最严重的危机，数据保护问题越来越成为政府和个人的关注焦点。

无论是在抗击COVID-19期间，还是在未来数月乃至数年的政府行动中，理解这些法律的要求和应用都是至关重要的。

本文转载自其他网站，不代表大健康派观点和立场。如有内容和图片的著作权异议，请及时联系我们（邮箱：scarlet.s@djkpai.com）