在COVID-19期间包装隐私的规则是什么?

 
在公共卫生紧急事件中，人们彼此之间保持着反社会的距离，以避免传播高度传染性病毒，而人类没有这种免疫力，因此世界各地的政府已迅速寻求技术公司的帮助。
毕竟，后台跟踪是许多互联网巨头的广告定位业务模型所依赖的。而在美国，电信公司最近被曝光共享高度精细的位置数据以用于商业目的。
根据欧洲现行的数据保护法律，其中一些对隐私不利的做法面临着持续的挑战-和/或至少在缺乏全面的数字隐私框架的美国引起了监管机构的关注-但大流行显然是一种特殊情况。因此，我们看到政府向技术部门寻求帮助。
据报道，上周美国总统唐纳德·特朗普召集了许多科技公司到白宫，讨论如何使用移动位置数据来追踪公民。
在本月的另一项发展中，他宣布Google正在一个全国性的冠状病毒筛查网站上工作-实际上，这是Alphabet的另一个部门Verily。但是很快有人担心该网站要求用户使用Google帐户登录，这表明该用户的与健康相关的查询可能与该技术巨头通过广告获利的其他在线活动相关。 (Verily曾说过，数据是单独存储的，并且未链接到其他Google产品，尽管隐私权政策确实允许与第三方(包括Salesforce)出于客户服务目的共享数据。)
据报道，在英国，政府也正在与电信公司讨论在危机期间绘制移动用户活动的地图，尽管不是在个人层面上。据报道，它与科技公司举行了早期会​​议，询问它们可以为对抗COVID-19贡献哪些资源。
据报道，在欧洲其他地方，意大利仍然是受病毒打击最严重的欧洲国家，据报道，意大利一直在从Facebook和当地电信公司寻求匿名数据，这些数据汇总了用户的活动，以帮助进行联系人追踪或其他形式的监视。
尽管有明确的公共卫生要求来确保人们遵循减少社会接触的指示，但是像中国这样的西方民主国家的前景以及积极监测公民运动的前景，对于这种措施对公民自由的长期影响提出了不安的疑问。
此外，如果政府试图通过直接依靠私营部门来监视公民来扩大国家监视的能力，则有可能巩固对隐私的商业利用，而这正是网络用户对行为进行背景调查的背景广告。
民权运动组织“隐私国际”警告说：“前所未有的监视，数据利用和错误信息水平正在全球范围内进行测试。”该组织正在追踪它对大流行期间采取的“非常规措施”的du测。
几个例子包括以色列的电信公司与州机构共享位置数据以进行COVID-19联系人追踪，以及英国政府制表紧急立法，放宽了关于拦截令的规则。
“这些措施中有许多是基于非凡权力的，只能在紧急情况下临时使用。其他人则使用数据保护法中的豁免条款来共享数据。有些可能是有效的，并根据流行病学家的建议，而有些则不会。但是所有这些必须是暂时的，必要的和相称的。” “跟踪它们至关重要。大流行结束后，必须制止这种特殊措施并追究责任。”
同时，雇主可能会感到压力，要求他们监控自己的员工以立即降低COVID-19风险-这引发了人们对如何为重要的公共卫生事业做出贡献而不超出任何法律界限的疑问。
我们与Linklaters的两名律师进行了交谈，以了解他们对包裹非常规步骤的规则的看法，这些步骤包括跟踪市民的活动及其健康数据，以及欧美数据监管机构迄今为止如何应对冠状病毒危机。
请记住，这是一个瞬息万变的情况-一些政府(包括英国和以色列)制定了在大流行期间扩大国家监视权的立法。
下面的访谈内容经过了简短的编辑，以简化长度和清晰度
欧洲和英国
法兰克福Linklaters的技术，媒体和电信合作伙伴Daniel Pauly博士
数据保护法尚未暂停。至少在欧洲。因此，数据保护法仍然适用，没有任何限制。这是我们需要工作和开始的基线。然后，我们需要区分政府可以做什么，尤其是雇主可以做什么。
非常重要的一点是要了解，当我们查看政府时，他们确实有能力允许自己一定程度地使用数据。由于存在开放条款，因此灵活性条款，特别是在GDPR中，涉及公共卫生问题，跨境威胁。
通过使用立法程序，他们可以引入更多权力。举个例子，德国政府所做的回应是他们制定了一部特殊的法律-冠状病毒通报法规-我们已经制定了一部法律，用于管理某些严重感染方面的个人数据使用。他们所做的是，他们只是将冠状病毒感染添加到该列表中，这意味着医院和医生必须将任何COVID-19感染通知主管部门。
这是很深远的。他们需要传送姓名，联系方式，性别，出生日期和许多其他详细信息，以使主管当局可以收集该数据并分析该数据。
该领域的另一个重要主题是电信数据的使用，尤其是手机数据的使用。有效地利用这些数据可能是它们在减少病毒威胁方面在中国取得相当成功的原因之一。
在欧洲，政府可能不只是使用手机数据和移动数据-他们必须首先对其进行匿名处理，这就是在德国和其他欧洲司法管辖区(包括英国)发生的情况，匿名手机数据已移交给组织他们开始分析这些数据，以更好地了解人们的举止，人们的举动以及为限制进一步举动需要做什么。还是限制公共生活。至少在欧洲和英国，这是政府的观点。
[与政府使用个人数据有关的]透明义务源于GDPR [通用数据保护条例]。当他们想使用手机数据时，这就是ePrivacy指令。这不像GDPR那样透明，而且他们没有成功用新法规取代该法规。因此，“电子隐私权”指令再次为包括英国在内的各个成员国提供了[出于公共卫生的原因]引入更多限制性法律的可能性。
[如果欧洲政府要求Google之类的互联网公司传递用户数据以进行冠状病毒追踪，则必须考虑到他们没有在处理活动记录中包括此内容，而是在其数据保护通知中和信息。
因此，至少从纯粹的法律角度来看，这将是巨大的一步-我想知道，如果政府不为此制定特殊法律，这是否可行。
如果[欧盟]政府将利用私人公司向其提供尚未为此目的收集的数据，那么至少从GDPR的角度来看这将是巨大的一步。我不知道这样的事情。我当然已经阅读了与Netflix进行的有关减少净流量的讨论，但是我还没有听到有关利用Google的数据的任何消息。
我不希望在欧洲，尤其是德国。跟踪人员，跟踪和监视他们在做什么，几乎是不得已的事情-因此，我不希望在接下来的几周内这样做。我希望那结束了。
[到目前为止]，从我的角度来看，欧洲监管机构已经以相当合理的方式对[冠状病毒危机]做出了回应，他说，对病毒的任何回应都必须是相称的。
我们仍然有相应的法律，我们需要考虑的是我们所谈论的数据是健康数据，它是所有数据中受保护最多的数据。话虽如此，至少有一些方法GDPR允许政府和雇主使用这些数据。尤其是在为了实质公共利益而进行处理时。或者是出于预防医学目的而必需的，还是出于公共利益的考虑而必需的。
因此，立法者非常明智，在其中加入了允许在某些情况下使用此类数据的条款，并且有许多监管机构已经制定了公开指南，说明如何使用这些法定权限。他们的基本看法是，始终需要根据具体情况确定在特定情况下是否确实需要数据。
举一个例子，很明显，雇主可能不会问雇员在假期期间去过哪里，但他可能会问您是否在任何危险地区工作?然后足够的答案是是或否。他们不需要任何其他数据。因此，这始终是[明智的做法]-通过变得聪明，您可以获得所需的信息;不是突然打开水闸。
您确实需要查看特定情况，并查看如何获取所需的数据。通常，是“是”或“否”，在特定情况下就足够了。
美国
凯特琳·波特拉兹·梅特卡夫(Caitlin Potratz Metcalf)是Linklaters的美国高级合伙人和认证信息隐私专家(CIPP / US)
即使您在美国没有结构化的隐私框架，也没有一个涵盖隐私的特定监管机构，您也会遇到一些同样的问题。 FCC(联邦通信委员会)将追究采取任何与其隐私政策不一致的行为的公司。这会误导消费者。他们最初的重点是保护消费者，而不是保护隐私，但最近几年他们一直戴着两顶帽子。因此，即使我们没有适用于欧盟GDPR的国家隐私法，也还是着眼于隐私，但这是出于保护消费者的观点。
因此，例如，美国联邦通信委员会(FCC)早在2月份就宣布了对美国四家主要电信公司的潜在制裁，这些制裁涉及共享与手机跟踪相关的数据-这不是应用程序中的地理位置，而是实际上刺探了手机发射塔-并且在没有适当保护措施的情况下将数据共享给第三方。因为未在其隐私权政策中披露该信息。
他们实际上并未开出这些罚款，但宣布可能对这四家公司(AT&T，Verizon *，T-Mobile和Sprint)追究2.08亿美元的罚款，因此，他们非常认真地对待如何保护数据，如何共享。而且我们处于紧急状态并不能改变对消费者保护的重视。
您会发现，对于负责任何医疗或健康数据的卫生与公共服务部(HHS)来说，情况也是如此。
这实际上仅限于HIPAA(《健康保险可移植性和责任法案》)所涵盖的实体或其业务伙伴。因此，它并不适用于所有人。但是，如果您是医院健康计划的提供者，无论您是雇主，还是有团体健康计划，保险公司或业务合作伙伴支持其中一个承保实体，那么您必须在遵守以下规定的前提下遵守HIPAA处理受保护的健康信息。这比您在GDPR下对个人数据的定义要窄一些。
因此，您实际上是在寻找该患者的身份信息：他们的医疗状况，出生日期，住所，诸如此类的信息，这些信息可能非常容易识别并且与该人有关。但是您可以分享更笼统的内容。例如，您有一个来自该县的中年男子，他的COVID测试呈阳性，正在XYZ医院接受治疗，病情稳定。否则他的病情很危急。因此，您可以共享这种详细程度-但不能进一步。
因此，HHS在2月份发布了一项子弹，强调您在紧急情况下不能搁置HIPAA下的隐私和安全保护措施。他们向所有涵盖实体强调，您仍必须遵守法律-制裁仍在进行中。并且在一定程度上您必须披露某些受保护的健康信息，它必须在必要的最小范围内。可以向其他医院披露，也可以向监管机构披露，以帮助阻止COVID的传播并为患者提供治疗。因此，他们列出了几个不同的例外，您可以如何共享这些信息，但实际上强调的是最低限度的要求。
如果雇主试图共享有关员工的信息，对雇主来说(例如团体健康计划)也是如此，但实际上他们的共享范围非常狭窄。而且，他们不能只是为了公共卫生利益而例外。您不必披露他们去过的国家/地区，而只是去了旅行限制地区中的某个国家/地区。因此，它正在寻找创造性的方法来传达您所需的必要信息，并且如果您遇到的干扰较小，则您需要走这条路。
就是说，就在上周，HHS还发布了另一项子弹，称他们将在全国公共卫生紧急情况下免除HIPAA的制裁和处罚。但是它只针对医院-因此它不适用于所有承保实体。
他们还发布了另一个公告，称他们将放宽使用电子手段基本共享数据的限制。因此，在与医学和健康信息相关的电子方式共享数据方面，存在非常严格的限制。因此，这允许医生通过FaceTime或视频聊天以及其他可能未加密或不安全的方法进行通信。或与患者交流等。因此，他们放弃了或只是减轻了与电子传输健康数据有关的一些限制。
因此，您可以看到情况正在发生变化，但是他们仍然采取了非常保守和保守的态度-确实强调您确实需要遵守保护健康数据的义务。因此，您可以在其中看到最强大的实施。然后，FCC从保护消费者的角度出发。
回到您先前关于[与政府]与Google共享数据的观点-您可以到达那里，这仅取决于其隐私权政策的结构。
在跟踪个人方面，我们没有像GDPR这样的国家法规可以阻止这种情况，但是匿名化该数据也非常困难，因为它与个人息息相关–就像您的DNA;您可以绘制一个人的地图，该人要离开家，去上班或上学，去医生的办公室，再回到家-它确实具有非常敏感的信息，并且由于所有特定的数据点，这意味着很难对其匿名化并提供未经他人同意不会侵犯他人隐私的格式。因此，尽管您可能不需要在美国获得完全同意，但仍需要对这些政策具有注意和透明度。
然后，如果您是加利福尼亚州居民，则情况会略有不同-根据新的加利福尼亚法律[CCPA]，您需要提供学位的程度，以提供披露信息，并让个人有机会选择退出以分享您的信息。因此，在那种情况下，FCC可能会起诉电信公司与第三方共享数据，如果没有给消费者提供机会选择退出其信息的机会，那也将特别违反新的加利福尼亚州法律。出售。
因此，由于我们有一个拼凑而成的数据保护被子，所以有很多不同的拼图组合在一起-取决于不同的州和联邦法律。
我想政府可能会发布其他命令或规定[以获取与COVID相关的公共卫生目的的电话跟踪数据] –我不知道他们会这样做。我希望更多地呼吁军方要求私营部门的支持和协助。考虑到我们政府的组织方式，您不必共享数据也不必执行任务。除非事情变得异常可怕，否则我并没有看到公司必须要共享某些数据才能追踪患者的要求。
[如果Google利用与健康相关的搜索/查询来丰富其用于商业目的的用户个人资料，那么它本身就不会受到保护。
Google不是[HIPAA]涵盖的实体。而且，根据它为受覆盖实体提供的支持类型而定，在有限的情况下，可以将其视为可能受到HIPAA约束的业务伙伴，但在仅收集有关消费者的数据的情况下，则不受此约束。
因此，只要它不执行超出其隐私权政策范围之内的任何事情，就可以了-这样一来，事实便是它会根据您在Google上进行的搜索收集数据，而该搜索无论如何仍应属于隐私权政策。不一定要针对您正在运行的搜索类型。因此，它正在寻找如何进行COVID测试或治疗或COVID的症状是什么的事实，诸如此类的事情，都可以与[保留在用户身上的]数据绑定在一起并加以丰富。除非您是加利福尼亚州居民，否则也可以共享并出售给第三方。他们为加利福尼亚州居民制定了单独的隐私政策……他们只需要遵守其隐私政策即可。
对我而言，有趣的是，亚洲采取的方法-它们对商业领域和数据跟踪具有更大的影响力-因此您实际上需要监管机构介入并进行更多的跟踪，而不仅仅是私营公司。但是私人公司能够提供跟踪信息。
您实际上是在Uber上看到的。他们还向消费者发布了其他隐私权声明-说，在我们了解到有COVID的乘客或驾驶员的情况下，我们将通知在特定时间段内与该Uber接触过的人。他们试图主动进行自己的跟踪，以保护工人和消费者。
他们可以做到这一点-他们只需要注意共享的个人信息的详细程度。不是说出受到影响的人的名字[而是说像”“在过去的24小时内，您可能骑过受到影响或已知在该Uber中感染个人的Uber”。
[关于远程医疗平台和隐私保护]取决于它们是否被视为涵盖实体的业务伙伴。因此，它们本身可能不是受保实体，但如果他们是支持受保实体的业务伙伴，例如共享该数据并依赖远程医疗平台的医院或诊所或保险公司。在这种情况下，它们将受HIPAA下某些相同的隐私和安全法规的约束。
与业务实体相比，其中某些业务与受保护实体略有不同，但通常情况下，如果您要处理受保护实体的数据并且具有相同的限制，则您会涉足受保护实体。
汇总数据不会被视为受保护的健康信息，因此它们可以[共享]症状热图，该热图无法识别特定的个人或患者及其健康数据。
[但是]直接从消费者收集数据的独立远程医疗应用程序不受HIPAA的保护。
就消费者保护，与健康数据相关的隐私保护而言，这实际上是一个很大的漏洞。所有健康健身应用程序都有相同的问题-无论是fitbit还是其他健康应用程序，或者如果您怀孕了，您都拥有一个可跟踪您的产假或期间或类似情况的应用程序。所收集的任何数据均不受保护。
您拥有的唯一保护是隐私策略中的任何披露。并且他们必须透明并在该隐私政策内行事。如果不这样做，他们将面临FCC的执法行动，但不受HIPAA的卫生与公共服务部监管。
因此，与GDPR相比，这是一种非常不同的方法，后者更加全面。
但这并不是说将来我们可能会看到严格的限制，但个人可以自由提供这些信息-理论上，您应该阅读登录到该应用程序时提供的隐私权政策。但是大多数用户可能不会阅读，然后可以与其他第三方共享数据。
他们可以与监管机构共享该信息，也可以将其出售给其他第三方，只要他们有适当的披露，即可以出售您的个人信息或与第三方共享。这取决于他们制定隐私政策的方式。只要涵盖了这些特定操作。对于加利福尼亚州居民而言，这是一项更具体的测试-需要进行更多披露。
例如，您要收集的数据类型，收集目的，处理方式，共享对象以及原因。因此，对于加利福尼亚州的居民而言，收紧政策变得更加严格，但是在美国其他地区，您只需要遵守您的隐私权政策，就无需披露相同级别的信息。
但是，更复杂，规模更大的公司肯定已经在遵守GDPR或正在努力遵守加利福尼亚州的法律，因此它们拥有比美国法律所要求的更为复杂，详细的隐私声明。但是它们有点像在全球平台上运作，并试图制定全球隐私政策。