Skip to content

新聞稿

新闻稿 - 对抗2019冠状病毒病大流行疫情给僱主和僱员的指引

日期:2020年3月30日

对抗2019冠状病毒病大流行疫情
给僱主和僱员的指引


2019冠状病毒病疫情持续,令僱主关注有关是否可以收集僱员的健康数据,以帮助监察和预防在工作场所及社区传播病毒。2019冠状病毒病亦令很多僱主和僱员在家工作并在线进行商务会议,而个人资料私隐外洩的可能性也需要高度关注。
 
香港个人资料私隐专员(私隐专员)黄继儿说:「于大流行疫情期间,社区的公共衞生及安全仍然是我们的首要关注。在遵从资料保障法律时,我们应该注意当前突发公共衞生事件下的重大公众利益,尤其是当收集及使用个人资料是出于公众利益和/或公共衞生利益的考虑,不应该阻碍打击大流行疫情的措施。」
 
私隐专员亦强调:「当我们理解僱主有合理依据收集僱员的额外资料以控制疾病传播,僱员个人资料的收集及处理应该只与公共衞生相关并用于该目的,且应根据特定情况的需要在收集时间和范围上有所限制。额外收集的资料仍须遵从保障资料原则的规定,如不超乎适度、目的明确及使用上的限制。收集的资料必须是必要、适当及与达到的目的相称。」
 
于大流行疫情期间,许多公共及私人机构都推行了在家工作安排,以减低社交接触。这转变意味着更多错误可能会发生,包括一些低技术错误例如便携式装置被盗窃或遗失、资讯科技人员面对更大压力,以及网络犯罪者乘机以虚假的健康警报以传送窃取密码的恶意邮件或软件。私隐专员呼吁僱主和僱员在这段时间保持警惕。
 
僱主可以收集僱员的体温测量或其他健康数据吗?
 
僱主有法律及企业责任去保障僱员及访客的健康。在2019冠状病毒病下,为了保障僱员及访客的健康,僱主收集他们的体温测量数据或属2019冠状病毒病医学症状的有限资讯,一般而言属合理的做法。
 
僱主可收集哪类个人资料,及如何正确地收集?
 
僱主在收集资料时必须遵守的一般规定是,收集的资料应该是必要、适当与达到的目的相称。他们应先以匿名或删除可识别资料的方式处理相关资料,以侵犯最少私隐的措施为首选。
 
一般而言,自我申报机制较无差别地收集健康数据的全面强制机制更为可取。僱主应向僱员说明如何处理收集到的资料。如现有的私隐声明中未涵盖该类资料的收集,则必须在收集资料时或之前向僱员提供一个新的《收集个人资料声明》,以告知僱员所收集的资料及其目的(例如保障公共衞生)及资料可能会转移给哪类人士(例如公共衞生机关)。作为良好的道德规范,在《收集个人资料声明》中应告知僱员有关资料将被僱主保留多久。
 
外游纪录如何?僱主可要求僱员提供外游资料吗?
 
《个人资料(私隐)条例》(《私隐条例》)没有禁止任何机构收集他人的外游资料。鑑于本地及全球的2019冠状病毒病确诊个案不断上升,以及僱主提供安全工作环境的法律及企业责任,僱主向从海外(特别是高风险地区)回港的僱员收集外游资料实属合理。一如健康数据,外游资料的收集应针对特定的目的,并应收集最少的资料,而自我申报机制亦比全面强制申报机制更可取。
 
可以把收集的个人资料向其他人披露、或用作其他目的吗?
 
除非得到相关人士自愿给予的明示同意,或《私隐条例》下的豁免适用,否则僱主不得将为对抗2019冠状病毒病而收集的个人资料披露或使用作其他无关的目的。
 
为了保障公共衞生,如僱主仅为了追踪和治疗感染者,及因有迫切需要追踪其紧密接触者,向政府或衞生机构披露他人的身份、健康状况及位置资讯,是不会被视为违反《私隐条例》(即保障资料第3原则)。
 
如僱员不幸感染2019冠状病毒病,僱主可在不透露感染者的个人身份信息下通知其他员工、访客及物业管理处,例如发出告示说明有员工受感染已足够。在大多数情况下,于告示中披露受感染僱员的名字及其个人资料会被视为不必要或不相称。
 
收集的个人资料可以被保留多长时间?
 
在已达致收集目的后,如经过一段合理时间亦没有证据说明僱员感染2019冠状病毒病,或与感染者有密切接触,僱主应永久销毁为对抗2019冠状病毒病而收集的个人资料。
 
僱员的医疗及健康数据方面,僱主应注意甚么资料保安问题?
 
僱主应采取所有可行的步骤(例如把资料存放于上锁的柜中、对资料进行加密并仅允许获授权人士存取资料),以保障所收集的个人资料免遭未经授权或意外的存取、处理、删除、遗失或使用。 由于医疗或健康数据被视为较敏感资料,而外洩资料可能对相关人士造成重大伤害,因此足够的资料保安措施尤其重要。
 
于大流疫情期间大多数僱员都会在家工作,僱主应为在家工作采取甚么样的安全措施?
 
个人资料的保障不应妨碍在家工作安排,但僱主及僱员在远离有专业管理的工作环境下处理转移或使用文件和数据时要格外小心,以免发生如网络攻击或遗失便携式装置等事故。网络犯罪者可能会借员工分散,把窃取密码的恶意邮件或软件伪装成健康警报,渗透到机构中。以下是在家工作的一些切实可行的措施以保障个人资料的安全。
 
由办公室转移文件或电脑档案至家中前:

  1. 先向上司寻求指示或批准;
  2. 尽量减少由僱主的处所及资讯系统转移至外间的资料;
  3. 采取所有可行的步骤,以保障个人资料免遭未经授权或意外的存取、处理、删除、遗失或使用,尤其是须注意:
    • 资料的种类及可能造成的损害
    • 资料存放的实体地点
    • 存放资料的设备是否已采取任何保安措施
    • 任何确保能查阅资料的人员具备良好操守、审慎态度及办事能力的措施
    • 任何可确保安全传送资料的措施;
  4. 由僱主的处所转移至外间前,将个人资料/保密资料篡辑;
  5. 在使用便携式装置储存及转移资料前必须得到上司批准及将储存的文件加密;
  6. 将数据加密;
  7. 在特别情况下,在运送期间将文件或装置与运送者紧系;及
  8. 记录资料的转移历程并保存记录。

此外,在家工作并使用自己的装置的僱员,要小心留意有关网络保安以防资料外洩。一些有关的保安建议如下:

  1. 使用多重身份认证;
  2. 不要和其他人共用工作装置的帐户;
  3. 确保无线安全;
  4. 定期更改密码;
  5. 安装适合的防病毒软件;
  6. 为装置定期进行系统更新;
  7. 选择私隐友好的设定,例如进行在线会议时不允许录制视频或音频。禁用任何关注追踪功能;及
  8. 在开始会议之前务必验证在线会议的参与者身份。

最后,当僱员发现可疑的网站或接获可疑的电子邮件时,他们:

  1. 切勿点撃网页链结及下载文件或应用程式。 相反,他们应向有关组织或当局核实其真确性;及
  2. 在发送或上载文件之前,应一再仔细检查要发送的内容和收件人的身份。

更多由私隐专员提供的建议:
 
私隐专员曾经就2019冠状病毒病引发的私隐议题提出一系列意见,并发表了以下新闻稿:
 

环球私隐议会(Global Privacy Assembly)是全球私隐及资料保障机构的重要平台。该议会已把上述建议载于其「有关资料保障与2019冠状病毒病的资源」网页,有关网页包括来自环球私隐议会不同成员及观察员就资料保障与2019冠状病毒提供相关的最新指引和资讯:https://globalprivacyassembly.org/covid19/
 
 
背景资料
 
重大公共衞生利益

  • 世界衞生组织于2020年1月30日宣布2019冠状病毒病爆发为国际关注的突发公共衞生事件,并于2020年3月11日定性为「全球大流行疫情」。现时本地及全球均有急切需要控制病毒的传播,重大公共衞生及安全利益,应属所有人包括资料使用者的首要关注。
  • 保障资料的原则不应阻碍对抗2019冠状病毒病的措施,但机构亦不应轻视其在处理个人资料时的责任。

《私隐条例》中与突发公共衞生事件有关的豁免

  • 根据《私隐条例》第59 (1) 条,当个人资料的使用与保障资料当事人或任何其他人的健康有关,而若遵从《私隐条例》附表一的保障资料第3原则(资料的使用)的管限会对资料当事人或任何其他人的健康造成严重损害,该个人资料的使用可能获豁免而不受此管限。换句话说,如能展示使用资料是出于保障个人及整体公共衞生,即使因未经同意而使用相关资料而出现违规的情况,亦可能得以免责。而《私隐条例》第59 (2) 条更指出,在相当可能会对资料当事人或任何其他人的身体或精神健康造成严重损害的情况下,资料使用者可毋须得到资料当事人的同意而向第三者披露关乎某资料当事人的身分或位置的个人资料。

平衡私隐与公共卫生需要

  • 个人资料私隐权并非绝对的权利。事实上,它可能会受到其他与其有冲突的权利或利益所约束,例如属绝对权利的个人生存权和公众利益(包括公共卫生)。
  • 根据 (i) 《香港人权法案条例》第II部第二条,和 (ii)《公民权利和政治权利国际公约》第6条,「生存权」是指人人皆有天赋之生存的权利。联合国人权事务委员会在2018年11月亦指出,「生存权是享有所有其他人权的前提」,并将「生存权」定义为「最高等权利」。此权利属绝对性,并凌驾于其他可能与其有冲突的基本人权,包括私隐权。生存权不仅指资料当事人的生存权,例如2019冠状病毒病的潜在带病毒者,亦包括社会上的其他人。

-完-