企業如在不同地方設有分公司,應留意當地私隱或數據保障專員就疫情發出的指引、聲明或新聞稿。當中歐盟、英國、愛爾蘭、加拿大、菲律賓、新加坡等都就疫情下如何保護個人資料發出指引或聲明。各地的指引及聲明大致重申數據保障不應因疫情而鬆懈,但同時指出數據保障法不阻礙防疫工作。

在立法及修訂私隱及數據法方面,一些國家如巴西及印度,本應有望於本年通過私隱或個人資料法,因疫情關係,可能要延遲通過相關法案。

另外,一些國家的私隱或數據保障立法或修訂進展則未受疫情影響,如美國、日本及香港。美國參議員Jerry Moran於3月13日提出聯邦《消費者資料私隱及安全法2020》。於本年一月已生效的《加州消費者私隱法》,加州司法部在回應商界要求延遲執行該法時表明,不會因為疫情而延遲執行。於3月24日,日本國會亦提交修改該國保障個人資料法。香港政府於1月時在立法會曾討論修訂《個人資料(私隱)條例》。

如企業已容許員工回到辦公室上班,在收集員工或訪客的個人資料時,企業應遵守不收集過多資料的原則,並只保留不超過所需的時限。企業在收集員工或訪客的健康資料時,要注意當地法規有否將健康資料列為「敏感資料」,如歐盟、英國、南韓等。如有,企業在處理有關資料則必須格外留神,因為如處理不當,甚至導致「敏感資料」外洩時,相關罰則會較一般個人資料為重,一些地區甚至是刑事罪行,如菲律賓。

在疫情下收集或處理個人資料,各地的私隱或數據保障法都有提供一定的豁免。但歐洲各國數據保障機關對歐盟《通用數據保障法規》的詮釋卻各有不同。法國及意大利早向顧主指出不可收集顧員健康及詢問其健康或外遊紀錄。丹麥及愛爾蘭則指《通用數據保障法規》可合法收集及處理敏感個人資料,但需符合目的所需。英國同樣指有關收集及處理合法,但提醒顧主要採取保障資料的安全措施。於3月20日,歐盟數據保障委員會(European Data Protection Board)發出聲明指《通用數據保障法規》容許顧主在疫情下處理個人資料而無須依賴個人同意。如顧主因法律要求提供個人資料予政府,則不受《通用數據保障法規》所限。委員會指出公司應只收集當地法律容許的健康資料及向其他員工披露有員工感染疫症。

香港顧主在收集員工健康資料時須遵守保障資料原則。顧主需在合法及公平的情況下收集有關資料。香港衞生署豁下衞生防護中心的感染控制處曾於2009年7月(2019年1月最後更新)發出的「體溫監測須知」中指出當有傳染病在社區中散播時,學校、機構及辦公室須為學生及員工量度體溫。《預防及控利疾病條例》已將武漢肺炎列為須呈報的傳染病,所有醫生必須將病例通知衞生署衞生防護中心。

如企業容許員工在家工作,要注意當地私隱或數據保障法的保安要求。歐盟《通用數據保障法規》要求企業採取科技及安全措施保障個人資料,數據加密(encryption)就是其中一項有效措施。如將數據「匿名化」(Anonymisation)不可行,企業可參考法規中「擬匿名化」(Pseudonymisation),以確保資料安全。

香港保障資料原則亦同樣有要求資料使用者保障個人資料安全。企業在實行「在家工作」時,應制訂相關政策及為員工提供訓練,例如員工如何正確使用公司提供的電腦或電話;如何加密電腦;如使用家中無線網絡時,如何確保網絡安全;使用公司雲端或網絡時的安全措施;使用公司電子郵箱及分享企業資料的安全措施;如何刪除電子紀錄及銷毀實體紀錄的要求等等。

世界各地在防疫工作上用上手機定位的數據。歐盟委員會指跟從ePrivacy Directive的成員國應盡可能只使用匿名的數據。但如不可行,ePrivacy Directive第15條容許成員國以國家及公共安全為由立法,而公共安全包括保障公共健康。本年3月28日,英國資訊委員會發出聲明指將位置數據概括化作防疫工作,只要適當地匿名化及整合令個人身份不被辨識,則不受數據保障法所限。

香港《個人資料(私隱)條例》第62條亦有類似的「統計及研究」豁免,可將已收集的個人資料用作新目的,不受第3保障資料原則所限。香港私隱專員於本年2 月27日的新聞稿指出,條例第59條的「健康」豁免容許,如個人資料的使用與保障資料當事人或全何人的身體或精神健康的公眾利益有關,資料使用者可毋須得到資料當事人的同意下,向第三者披露關於某資料當事人的身份或位置的個人資料。

總括而言,企業在疫情下仍需遵守各地的私隱或數據保障法。在保持企業持續運作的大前提下,企業應了解各地數據法規及其發展,並制訂相關政策以作應對。

(原文載於 2020 年 3 月 29 日《 蘋果日報 》)