2019冠狀病毒病疫情持續,令僱主關注有關是否可以收集僱員的健康數據,以幫助監察和預防在工作場所及社區傳播病毒。2019冠狀病毒病亦令很多僱主和僱員在家工作並在線進行商務會議,而個人資料私隱外洩的可能性也需要高度關注。
香港個人資料私隱專員(私隱專員)黃繼兒說:「於大流行疫情期間,社區的公共衞生及安全仍然是我們的首要關注。在遵從資料保障法律時,我們應該注意當前突發公共衞生事件下的重大公眾利益,尤其是當收集及使用個人資料是出於公眾利益和/或公共衞生利益的考慮,不應該阻礙打擊大流行疫情的措施。」
私隱專員亦強調:「當我們理解僱主有合理依據收集僱員的額外資料以控制疾病傳播,僱員個人資料的收集及處理應該只與公共衞生相關並用於該目的,且應根據特定情況的需要在收集時間和範圍上有所限制。額外收集的資料仍須遵從保障資料原則的規定,如不超乎適度、目的明確及使用上的限制。收集的資料必須是必要、適當及與達到的目的相稱。」
於大流行疫情期間,許多公共及私人機構都推行了在家工作安排,以減低社交接觸。這轉變意味著更多錯誤可能會發生,包括一些低技術錯誤例如便攜式裝置被盜竊或遺失、資訊科技人員面對更大壓力,以及網絡犯罪者乘機以虛假的健康警報以傳送竊取密碼的惡意郵件或軟件。私隱專員呼籲僱主和僱員在這段時間保持警惕。
僱主可以收集僱員的體溫測量或其他健康數據嗎?
僱主有法律及企業責任去保障僱員及訪客的健康。在2019冠狀病毒病下,為了保障僱員及訪客的健康,僱主收集他們的體溫測量數據或屬2019冠狀病毒病醫學症狀的有限資訊,一般而言屬合理的做法。
僱主可收集哪類個人資料,及如何正確地收集?
僱主在收集資料時必須遵守的一般規定是,收集的資料應該是必要、適當及與達到的目的相稱。他們應先以匿名或刪除可識別資料的方式處理相關資料,以侵犯最少私隱的措施為首選。
一般而言,自我申報機制較無差別地收集健康數據的全面強制機制更為可取。僱主應向僱員說明如何處理收集到的資料。如現有的私隱聲明中未涵蓋該類資料的收集,則必須在收集資料時或之前向僱員提供一個新的《收集個人資料聲明》,以告知僱員所收集的資料及其目的(例如保障公共衞生)及資料可能會轉移給哪類人士(例如公共衞生機關)。作為良好的道德規範,在《收集個人資料聲明》中應告知僱員有關資料將被僱主保留多久。
外遊紀錄如何?僱主可要求僱員提供外遊資料嗎?
《個人資料(私隱)條例》(《私隱條例》)沒有禁止任何機構收集他人的外遊資料。鑑於本地及全球的2019冠狀病毒病確診個案不斷上升,以及僱主提供安全工作環境的法律及企業責任,僱主向從海外(特別是高風險地區)回港的僱員收集外遊資料實屬合理。一如健康數據,外遊資料的收集應針對特定的目的,並應收集最少的資料,而自我申報機制亦比全面強制申報機制更可取。
可以把收集的個人資料向其他人披露、或用作其他目的嗎?
除非得到相關人士自願給予的明示同意,或《私隱條例》下的豁免適用,否則僱主不得將為對抗2019冠狀病毒病而收集的個人資料披露或使用作其他無關的目的。
為了保障公共衞生,如僱主僅為了追蹤和治療感染者,及因有迫切需要追蹤其緊密接觸者,向政府或衞生機構披露他人的身份、健康狀況及位置資訊,是不會被視為違反《私隱條例》(即保障資料第3原則)。
如僱員不幸感染2019冠狀病毒病,僱主可在不透露感染者的個人身份信息下通知其他員工、訪客及物業管理處,例如發出告示說明有員工受感染已足夠。在大多數情況下,於告示中披露受感染僱員的名字及其個人資料會被視為不必要或不相稱。
收集的個人資料可以被保留多長時間?
在已達致收集目的後,如經過一段合理時間亦沒有證據說明僱員感染2019冠狀病毒病,或與感染者有密切接觸,僱主應永久銷毀為對抗2019冠狀病毒病而收集的個人資料。
在僱員的醫療及健康數據方面,僱主應注意甚麼資料保安問題?
僱主應採取所有可行的步驟(例如把資料存放於上鎖的櫃中、對資料進行加密並僅允許獲授權人士存取資料),以保障所收集的個人資料免遭未經授權或意外的存取、處理、刪除、遺失或使用。 由於醫療或健康數據被視為較敏感資料,而外洩資料可能對相關人士造成重大傷害,因此足夠的資料保安措施尤其重要。
於大流行疫情期間大多數僱員都會在家工作,僱主應為在家工作採取甚麼樣的安全措施?
個人資料的保障不應妨礙在家工作安排,但僱主及僱員在遠離有專業管理的工作環境下處理轉移或使用文件和數據時要格外小心,以免發生如網絡攻擊或遺失便攜式裝置等事故。網絡犯罪者可能會藉員工分散,把竊取密碼的惡意郵件或軟件偽裝成健康警報,滲透到機構中。以下是在家工作的一些切實可行的措施以保障個人資料的安全。
由辦公室轉移文件或電腦檔案至家中前:
此外,在家工作並使用自己的裝置的僱員,要小心留意有關網絡保安以防資料外洩。一些有關的保安建議如下:
最後,當僱員發現可疑的網站或接獲可疑的電子郵件時,他們:
更多由私隱專員提供的建議:
私隱專員曾經就2019冠狀病毒病引發的私隱議題提出一系列意見,並發表了以下新聞稿:
環球私隱議會(Global Privacy Assembly)是全球私隱及資料保障機構的重要平台。該議會已把上述建議載於其「有關資料保障與2019冠狀病毒病的資源」網頁,有關網頁包括來自環球私隱議會不同成員及觀察員就資料保障與2019冠狀病毒提供相關的最新指引和資訊:https://globalprivacyassembly.org/covid19/。
背景資料
重大公共衞生利益
《私隱條例》中與突發公共衞生事件有關的豁免
平衡私隱與公共衛生需要