To track or not to track？

Employees' data privacy in the age of corporate wellness, mobile health, and GDPR, International Data Privacy Law

跟踪或不跟踪？企业健康、移动医疗和GDPR时代的员工数据隐私

Céline Brassart Olsen

文章首先指出了雇主利用移动健康设备促进职场健康与保护雇员的健康数据隐私之间的矛盾。接着，文章分析了在GDPR和相关解释指导下的雇佣关系背景下，与在ECtHR最新案例法的规定下，雇员移动健康数据受到了什么水平的保护。最后，文章指出当前欧盟法律制度在规制移动健康设备的职场应用方面的局限性和潜在漏洞。

I. 问题介绍

i.移动健康：定义和应用

世界卫生组织将移动健康定义为由手机、患者监测设备、个人数字助理（PDAs）等移动设备支持的医疗和公共卫生实践。移动健康设备的核心是可以跟踪运动和生物特征的智能传感器。近年来，可穿戴设备不再局限于改善体型的功能，还会提供医疗建议改善个人和公共健康。例如，Apple Watch可以检测出使用者遭遇心律不齐、跌倒等状况。可穿戴设备收集的数据可以被同步到健康应用程序或云端，使用户了解自身健康状况。可穿戴设备行业持续飞速发展，被视为继智能手机后的下一个技术风口。

ii.移动健康技术在促进职场健康方面的应用

职场健康促进运动（Worksite health promotion）指“旨在支持有益于员工及其家人健康的行为的教育、组织和环境的活动。”该运动超越了传统的职业健康和安全要求，重在鼓励员工采取健康的生活方式。

可穿戴设备最初多由医疗社区和个人消费者购买，但是在过去的几十年职场健康促进运动的背景下，越来越多加入该运动的公司表示有意为员工购买可穿戴设备。例如，2015年，Target公司为33.5万名员工提供了Fitbit计步器。Apple公司官网也有向雇主推荐了其可穿戴设备产品的宣传语：“Apple Watch的设计与公司的健康计划无缝对接，让员工全天保持活跃、高效、健康。”。

iii.移动健康设备的局限

尽管移动健康设备可以有效改善员工的健康，仍有学者指出使用此类设备所带来的诸多问题。首先，移动健康设备收集大量个人数据的同时缺乏高水平的数据保护配套措施，员工高度私人化的健康信息可能被雇主或第三方访问或利用。其次，移动健康设备也被批评促成了“监控社会”的形成。社会学学者认为，移动健康技术将主体转化为被记录、监控、约束的客体。最后，职场健康促进运动也难逃其咎：一些学者将此类倡议描述为通过控制、操纵员工行为以满足公司需求的手段。

iv.数据保护法的一般原则

数据保护法包含许多核心原则，包括公平原则和相称性原则。公平原则包括许多要求：首先，公平意味着数据处理是平衡的，与所追求的目标相称。其次，公平要求数据主体不会在受到不适当的压力下不情愿提供个人数据，或同意其数据的新用途。因此，处理数据必须征得数据主体的自由同意（freely consent）。也存在法定例外：在没有获得同意时，如果数据处理者能证明对数据的处理是必要的，则仍然可以处理，例如为了公共利益处理数据。最后，公平也意味着数据应该被透明地处理，且应满足数据主体的合理期待而不应用于数据主体无法预料的目的。

相称性原则已经发展成为一项相对独立的数据隐私原则。该原则是欧盟法和ECtCH判例法的核心，此原则强调根据收集数据的目的评估处理个人数据的充分性、必要性和最低限度。数据只能为“指定的、明确的、合法的目的”收集，即目的限制原则（principle of purpose limitation）。对数据的处理必须限制在对达成目的足够且必要的范围内，即最小化原则（principle of data minimization）。这些原则尤其适用于在职场上移动健康技术的使用，因为移动健康设备通常会收集工作时间之外的数据，及对评估职场健康不具有必要性的数据。

数据保护法还有一个关键原则是数据敏感性原则（principle of data sensitivity）。该原则认为性质格外敏感的数据类型应受到额外的保护。除非获得数据主体的明确同意或数据处理者可以证明处理是必要的，原则上禁止处理敏感性数据。该原则与移动健康数据紧密相关，欧盟法律和ECtHR的判例法都将健康数据视为敏感性数据。

v.职场员工隐私和数据保护

私人生活权和数据保护权的定义在雇佣关系中发生了变化。工作场所是一个“社会和合作环境”，员工在职场中需要接受雇主一定程度的监督。如果隐私被理解为个人“不受打扰”的权利，那么员工在工作时就不能期望得到高水平的隐私保护。

近四十年来，信息通信的发展使监工现象成倍增加甚至泛滥，雇主可能在员工毫无察觉的情况下入侵员工的私人生活。移动健康技术即是一个鲜明的例子：移动健康设备可能在员工不知情的条件下收集员工工作以外的、非必要的数据。雇主可能在不遵守数据隐私的基本原则的情况下储存、利用这些数据，甚至分享给第三方。

GDPR是第一个提出在雇佣关系中数据处理存在特殊性的欧盟法律文书。虽然没有规定具体规则，但第88条提议成员国可以设置具体规则保护员工数据。ECtHR近期的判例法也开始承认员工在工作中享有数据隐私权利。以上最新的法律发展为保护员工移动健康数据提供了一个框架。

vi、健康数据隐私的保密义务

移动健康数据作为数据隐私与健康隐私的交集，自然同时引发这两个领域的法律问题。健康信息作为个人最隐秘的信息，理应受到严格保密规则的保护。早在《希波克拉底誓言（Hippocratic Oath）》中，就出现了基于病人与医疗人员之间信任关系的保密义务，其理念至今广为各国法律与国际条约所认可。保密义务意味着病人向医疗人员透露其健康状况后，可以合理地期望医疗人员在未经同意的情况下不会向第三方透露其信息。

II. 依据GDPR处理员工移动健康数据

i.GDPR简介

在GDPR之前，1995年数据保护指令即DPD规定了在欧盟收集和处理个人数据的规则。然而，互联网技术发展迅速，需要更新欧盟的数据保护规则；且需要将相关规则由指令上升为法规，以避免数据保护原则在国家层面产生分歧。此外，2000年通过的《欧洲基本权利宪章》第8条明确承认了数据保护的权利。这些法律进步促使欧盟在2016年通过了GDPR。虽然GDPR沿袭了DPD创设的原则，但它提供了更具体的数据保护要求，具有全球性影响力，并提供了更严格的执行机制与更严厉的违法处罚。

ii.处理雇佣关系中的健康数据

要判断处理雇佣关系中的移动健康数据是否符合GDPR的规定，需要考察多个要素。首先，需要确定移动健康数据的是否属于GPDR第9条禁止处理的“仅为识别自然人的遗传数据、生物数据”和“有关健康的数据”等“特殊类别的数据”。结合GDPR的具体规定与DPD工作组对相关定义的解释，上述GDPR定义的健康、生物特征或基因的数据的范围是相当广泛的，移动健康设备收集的大部分数据似乎都应被认定为上述类型，受到特别保护，而不允许雇主处理。

其次，应考虑是否存在GDPR第9条禁令的例外情况。例如，得到数据主体明确同意就可以处理健康、遗传和生物特征数据。如上述，此同意必须是主体知情的、自由给出的、具体的和明确的。2016年，DPD工作组通过了指导方针以明确有效同意的要件，指导方针审视雇佣关系中权力失衡的现状后指出：考虑到员工在雇佣关系中的被动地位，员工自然会担心拒绝雇主的请求会带来后续不利影响，数据主体不太可能享有拒绝的自由。因此应预设员工不能自由地同意或拒绝处理其数据的请求，而由雇主证明员工拒绝其请求不会带来任何不利影响。考虑到健康数据的敏感性，雇主较难达成上述证明义务。

工作组2017年发布的第2/2017号意见也认为雇主举出的“自愿同意”很难收到法院的认可，因此认为雇主只能依据其他法定例外处理数据，如主张为了正当权益而有处理数据的“必要性”。但同时，意见认为雇主所谓的正当利益也很难凌驾于员工的权益之上。此外，意见表示，即使雇主不直接处理数据，而由第三方收集、分析数据后，雇主从第三方处获得关于员工健康的笼统而不具体的评估，仍是不合法的。甚至明确要求雇主向员工提供移动健康设备前应审查设备的隐私政策，以确保员工数据不被非法处理。

GDPR和相关解释似乎为员工的健康数据提供了高水平的保护。然而，保护的效果取决于GDPR的有效执行，与对违规行为的有效制裁。

iii.制裁和处罚

根据GDPR和DPD工作组的解释，审查雇主或移动健康供应商因非法处理员工移动健康数据能受到何种程度的制裁是很有必要的。根据GDPR，因数据被非法处理而遭受实体或非实体损害的雇员均可以起诉雇主，并要求赔偿损失。值得注意的是，相较于DPD只允许投诉数据控制者，GDPR新增了允许投诉数据处理者的规定。GDPR也为代表员工提起诉讼的团体赋予了DPD未能赋予的诉讼地位，在公司普遍侵犯多个员工的数据权益时更便于员工群体共同诉讼。此外，如果公司违反GDPR，国家数据保护机构可以处以行政罚款。GDPR大幅增加了罚款金额，且规定当数据格外敏感时加重处罚，以促进企业重视健康数据保护。

III. 限制和潜在漏洞

i.对于预防医学和职业医学有“必要性”的数据处理

第2/2017号意见保护员工数据权益的立场非常鲜明，但存在以下几个问题可能导致其高水平保护机制的效果不能达到预期。首先，意见没有给出“必要性”例外的具体要件。当符合GDPR第9.2（h）项：“处理对于预防医学或职业医学目的是必要的，或者对于评估雇员的工作能力、医疗诊断……是必要的”的情形时，第9.1款的禁令不再适用。当员工在公司健康计划背景下使用移动健康设备时，雇主可能会辩称处理这些数据对于公司预防医学和职业医学政策是必要的。这种情况下，往往由公司雇佣的专业医疗人员处理数据。根据GDPR规定，医疗人员应对第9.2（h）项规定的数据恪守职业保密义务。所以雇主无法从医疗人员处获取上述数据。

然而，上述阻止雇主获取数据机制的核心是医疗领域的保密义务，那么似乎如果数据并未由医疗人员处理，该机制就不复存在。就比如，若公司人力资源部门以对“评估雇员的工作能力有必要性”为由处理数据，雇主似乎就有机会获知员工健康状况。

若雇主依据第9.2（h）项规定的例外来处理员工的健康数据，根据GDPR第35条雇主可能需要完成DPIA。不仅是因为移动健康数据的处理涉及新技术（即移动健康技术），也是出于处理具有高度敏感性的移动健康数据可能会对员工权利产生影响。根据GDPR第35.7款规定的DPIA的最低要求，雇主首先需要解释其处理是为了预防医学和职业医学的目的和合法利益。第二，雇主必须评估处理操作对其目的的必要性和相称性，这意味着雇主必须表明其不处理移动健康数据就无法实现职业健康。第三，雇主必须评估处理移动健康数据时对员工权利与自由的风险，确保员工的隐私权、数据权益、不受歧视的权利不受威胁。考虑到这些权利的地位、雇佣关系权利的不平衡性与健康数据的敏感性，雇主基本上很难给出符合要求的评估结果。最后一项要求雇主证明采取了有效措施保护处理后的数据。雇主可以通过证明只有负有保密义务的医疗人员才能接触到数据来完成这一要求。

有趣的是，ECtHR在2017年巴布莱斯库诉罗马尼亚（Bǎrbulescu v Romania）一案中确立了一种必要性与相称性测试与DPIA条款相通，包括以下六个考量要素：

（1）是否事先通知员工其监视的目的与范围

（2）雇员是否知悉雇主监视的范围与侵犯隐私的程度，尤其是仅通讯的存在被监视，还是通讯的内容也被监视

（3）雇主是否有监视通讯的内容的正当理由

（4）是否存在比监视通讯内容入侵性更低的措施；

（5）监视的后果

（6）是否提供了有效保密措施

上述必要性检验的六个因素中，后四项与DPIA的四项要求如出一辙。而前两项主要通过考察员工对监视的存在是否知情，以判断员工是否有权对其私人通讯不受侵犯持有合理预期。判决中这一部分的观点遭到了一些批评。如果认为员工知情监控的存在时，不再有权对其私人通讯不受侵犯持有合理预期，实际是对隐私保护的限缩。

将视角重新转向移动健康技术的问题，ECtHR大概率认定存在比处理员工健康数据入侵程度更低的措施，雇主处理数据不具有相称性而无法通过上述检验法。ECtHR也在多个案件中承认医疗信息的敏感性并利用ECHR第8条为医疗信息提供了保护。因此，虽然ECtHR额外关注上述“合理预期”存在与否，但在保护健康数据领域，ECtHR与欧盟的保护水平大体上是一致的。在这两种制度下，理论上雇主都有通过证成“必要性”的存在而被允许处理健康数据的可能性，而实践中很难证成处理移动健康数据对预防医学与职业医学目标的必要性与相称性。

与保护数据隐私领域不同，在禁止以健康状况为由的歧视领域，ECtHR与欧盟的保护水平存在差异。《欧盟基本权利公约》第21.1条禁止以年龄、残疾和遗传特征为由的歧视，而不包括健康状况。而ECtHR主张ECHR第14条与第8条潜在包含了对以健康状况为由的歧视的禁止。此外，ECtHR也扩大了“残疾”的含义，将艾滋病、糖尿病等疾病纳入残疾的范畴。可见，在禁止歧视的领域，ECtHR相较于欧盟法律额外向因健康状况被歧视者提供了保护。若一员工在健康数据被雇主获取健康状况受到歧视，那么根据欧盟法律，该员工将其起诉建立在数据保护法下比建立在反歧视法下更有可能胜诉。

ii.防止第三方处理的保护

关于第三方尤其是移动健康提供商和开发商处理移动健康数据的问题，第2/2017号意见仅做了简要阐述。该意见指出，雇主应检查可穿戴设备提供商的隐私政策，因为提供商将是数据控制者。2016年，欧盟发布了移动健康应用隐私行为准则草案。草案在欧盟委员会的推动下由移动健康行业组织制定，主要规定了对制造商保护用户数据的要求。草案提交给了工作组（现欧洲数据保护委员会），然而工作组并未批准，目前正按照工作组的意见重新起草。根据草案规定，征得用户“自由、具体、知情、明确”的同意后，移动健康应用程序可以处理数据。然而实际上，在设备由雇主提供的情况下，即使同意是给予开发商而非雇主的，该同意仍有可能被认为间接发生在了雇佣关系中，而同意的效力仍是不明确的。工作组也认为当应用程序将同意选项推荐给用户的情况下，用户不一定能完全自由地决定是否同意。

iii.健康数据与生活方式数据

GDPR只提供了健康数据的积极定义，没有明确哪些数据不属于其范畴。而守则草案将“健康数据”和“生活方式数据”进行了区分，以填补这一空白。守则草案将“健康数据”定义为“任何与个人身体或精神健康有关的个人数据，包括个人接受的医疗保健服务反映的健康状况” 。该定义反映了GDPR第4条。然而，守则草案还引入了“生活方式数据”的概念。守则草案规定，“与个人健康本身没有联系的个人习惯和行为的原始数据，不一定被视为健康数据”。如果处理这些数据的目的不是为了评估健康状况，则可以认定为生活方式数据。

这一区分与工作组在2015年提出的一个意见异曲同工。该意见认为数据的预期用途可以决定它是否属于健康数据。然而工作组审查草案后又指出，草案中与生活方式数据的相区分后的健康数据的门槛，已经高于GDPR中规定的健康数据的门槛。实际上，与其说草案并未严格贯彻GDPR，不如说草案揭示了GDPR的定义存在的局限性。GDPR因缺乏“准健康数据”或“生活方式数据”的概念产生了不确定性。

健康数据和生活方式数据的区分意义重大。如果某些移动健康数据被视为生活方式数据，此类数据就不会落入GDPR第9.1条的范围。根据GDPR第6.1条，数据控制者或处理者可以在用户同意的情况下处理此类信息。但如上所述，无论数据属于健康数据还是生活方式数据，员工的同意都依旧不太可能是自由给出的。健康专业人员处理生活方式数据时，保密义务不太可能再涵盖到生活方式数据。因此，在GDPR体系中，健康数据和生活方式数据的区分会涉及后续一系列数据保护机制。而目前缺乏明确的指导，这为数据保护留下了主观臆断和潜在失误等隐患，可能直接影响员工健康数据的保护水平。

考虑到此前讨论过的公平性、相称性和必要性原则，且鉴于新技术带来日益增长的监视的背景，应接受GDPR宽泛的健康数据定义，避免节外生枝。移动健康数据中的生活方式数据很可能落入GDPR第9条的生物特征数据的范围。GDPR规定生物特征数据包括“通过与自然人的身体、生理或行为特征相关的特定技术处理产生的个人数据”。行为特征包括行为与习惯，即包括大部分生活方式数据。将健康数据和生活方式数据相区别最初是由DPD工作组提出的。该区别对只将健康数据作为特殊类别的DPD可能更有意义。但对于GDPR该区别可能意义不大，因为生物特征数据也被GPDR列为特殊类别，且其范围很宽泛。将生活方式数据视为健康数据或生物特征数据，更符合GDPR第9条致力于毫无遗漏地为各种敏感数据提供特殊保护的精神。

尽管存在一些不确定性，但目前的数据保护制度至少在理论上为员工的移动健康数据提供了高水平的保护。考虑以下三点：（1）雇佣关系中“自愿同意”的证明标准被潜在地提高了；（2）雇主亦很难证成“必要性例外”的存在；（3）健康数据能受到保密义务的保护；（4）GDPR违规处理数据的雇主规定了重罚，总体上，可以认为员工的移动健康数据能得到高水平的保护。GDPR对雇员健康隐私信息的高水平的保护也能够保护雇员免受基于怀孕、残疾、遗传或健康状况等理由的歧视。

欧盟对移动健康数据高水平的保护可能导致移动健康供应商的担忧。但从长远来看，这一高水平的保护能培养用户对移动健康技术的信任，可能有利于移动健康开发者。