随着2019新型冠状病毒大流行继续肆虐，马来西亚政府颁布了一项从2020年3月18日至2020年3月31日为期两周的行动管制令，随后又延长了四周，限制民众的自由行动，包括禁止群众聚会、限制马来西亚人民到海外旅行和外国游客进入国内，以及关闭学校、政府和私人场所（涉及基本服务的场所除外）。跨州出行需得到警方的许可证。马来西亚皇家警察以及随后的马来西亚武装部队（包括人员和无人机）被调动执行该行动管制令。在和平时期前所未有的举措，马来西亚成为第一个把人民置于行动限制的东南亚国家，以尽可能长时间地降低感染速度，从而减轻其医疗保健系统的负担，同时保护最易受感染的人群。

在行动管制令实施之前，一些受影响的企业已做出反应，实施居家工作和其他商业上可行的社会疏远措施。马来西亚人配备着洗手液和三层手术口罩，冒着受到感染的风险，去处理日常事务，其中大多数是去上班。有目的性地漫步进工作场所已被长长的队伍取代，以接受体温检测和记录个人资料。随着申报旅行史、接触者追踪、旅游限制、自我隔离及最后多个国家关闭边境而打乱旅游计划，“现在人人都能飞”的口号也静音了。社交媒体平台充斥着人们接受健康筛检的照片，被感染者的姓名及其工作场所也被随意分享。资料都在遏制病毒的名义下被收集和处理。随着马来西亚和世界各地继续努力应对这个病毒，资料隐私及其脆弱性已受到严峻的考验。以下重点讨论雇主在面对2019新型冠状病毒大流行的情况下该如何使用和分享雇员、承包商和访客的个人资料。

1. 是否有任何关于在2019新型冠状病毒爆发期间处理个人资料的特定指南？

   马来西亚个人资料保护专员尚未就2019新型冠状病毒大流行期间合法处理个人资料发布任何特定的。 各企业应遵守2010年个人资料保护法令。

   卫生部已发布了一项指南让活动举办商自活动结束后保存所有活动参与者联系方式的记录至少一个月。 当有活动参与者受感染，他们必须协助卫生部进行接触者追踪及把密切接触者置于居家监控。该指南在此处。.

2. 什么种类的个人资料通常会在2019新型冠状病毒爆发期间被处理？

   除了个人资料如基本身份、联系方式、位置资料和旅游史以及密切接触者的资料，被归类为敏感个人资料的健康状况、体温测量数据和医疗状况也会被处理。敏感个人资料会在2010年个人资料保护法令下受到更严格和更多的保障。

3. 雇主可否为雇员、承包商和访客进行体温检测？

   可以。雇主可以收集雇员、承包商和访客的体温读数，以依照1994年职业安全与健康法令的要求而保护人们在工作场所的安全和健康。

   这些资料属于敏感个人资料，可以在没有获得明确同意下被收集，以履行1994年职业安全与健康法令下的法定责任，或是为了保护其雇员、承包商、访客和其他人的切身利益（即生命、死亡或安全），若该同意无法被给予、无法被雇主合理获得，或遭无理拒绝。

   但是，雇主必须确保发给雇员、承包商和访客的现有通知足够广泛以涵盖被处理的敏感个人资料的种类、目的及可以与之披露资料的第三方类别，否则将需发出补充通知。

4. 雇主可否收集有关雇员、承包商和访客的旅游史资料？

   可以。雇主可以收集有关雇员、承包商和访客的旅游史资料，以依照1994年职业安全与健康法令的要求而保护人们在工作场所的安全和健康。 此外，根据卫生部发布的指南，雇主也被鼓励向雇员索取旅游玩声明。

   这些资料可以在没有获得其雇员、承包商和访客的同意下被收集，以履行施加于雇主的安全和健康责任。这或许也可以援引保护他们的切身利益（即生命、死亡或安全）为例外免除同意的条件。

   但是，雇主必须确保发给雇员、承包商和访客的现有通知足够广泛以涵盖被处理的个人资料的种类、目的及可以与之披露资料的的第三方类别，否则将需发出补充通知。

5. 雇主可否收集有关雇员、承包商或访客的症状资料？

   可以。雇主可以收集有关雇员、承包商和访客的症状资料，以依照1994年职业安全与健康法令的要求而保护人们在工作场所的安全和健康。 此外，为在工作场所的雇员监测症状也是卫生部发出的指南中建议雇主采用的安全措施之一。

   这些资料属于敏感个人资料，可以在没有获得明确同意下被收集，以履行1994年职业安全与健康法令下的法定责任，或是为了保护其雇员、承包商、访客和其他人的切身利益（即生命、死亡或安全），若该同意无法被给予、无法被雇主合理获得，或遭无理拒绝。

   但是，雇主必须确保发给雇员、承包商和访客的现有通知足够广泛以涵盖被处理的敏感个人资料的种类、目的及可以与之披露资料的第三方类别，否则将需发出补充通知。

6. 雇主可否要求若雇员、承包商或访客确诊必须通知他们？

   雇主可以将相关要求纳入其机构的人力资源政策中为健康和安全措施的一部分，要求雇员如被确诊必须通知雇主。雇员也受到法律责任的约束必须与雇主合作以遵守该措施，包括该通知要求。

   承包商和访客也可以被机构要求给予通知，以依照1994年职业安全与健康法令的要求而预防或遏制病毒在工作场所的雇员和其他个人中传播。

   这些资料属于敏感个人资料，可以在没有获得明确同意下被收集，以履行1994年职业安全与健康法令下的法定责任，或是为了保护其雇员、承包商、访客和其他人的切身利益（即生命、死亡或安全），若该同意无法被给予、无法被雇主合理获得，或遭无理拒绝。

   但是，雇主必须确保发给雇员、承包商和访客的现有通知足够广泛以涵盖被处理的敏感个人资料的种类、目的及可以与之披露资料的第三方类别，否则将需发出补充通知。

7. 雇主可否通知他人有关受感染或怀疑受感染的雇员、承包商或访客的消息？

   可以。基于谨慎雇主应该把受感染或怀疑受感染的雇员、承包商或访客的消息只披露给那些曾与受感染或怀疑受感染的雇员、承包商或访客接触的人，如果这在1994年职业安全与健康法令下对于防止或遏制病毒在工作场所的雇员和其他个人中的传播是必要的。

   这些资料涉及受感染或怀疑受感染者的身份和健康状况（即受感染或怀疑受感染），分别属于个人资料和敏感个人资料。 雇主可以在没有获得同意下收集并随后向他人披露该个人资料，以履行施加于雇主的安全和健康责任。

   同样的，这些敏感个人资料可以在没有获得明确同意下被收集并随后向他人披露，以履行1994年职业安全与健康法令下的法定责任，或是为了保护人们的切身利益（即生命、死亡或安全），若该同意无法被给予、无法被雇主合理获得，或遭无理拒绝。

   但是，雇主必须确保发给雇员、承包商和访客的现有通知足够广泛以涵盖被处理的个人资料和敏感个人资料的种类、目的及可以与之披露的第三方类别，否则将需发出补充通知。

   如果相关通知未涵盖其目的，该资料仍然可以向他人披露，因为该披露是依照1994年职业安全与健康法令的要求或授权的。

8. 雇主是否需要依照相关单位的要求向他们披露其雇员、承包商或访客的个人资料？

   是的，有三项规定涵盖了这项要求：

   • 1988年预防和控制传染病法令第22I条，将拒绝提供任何在1988年预防和控制传染病法令或相关法规下所需的资料定为刑事罪行；

   • 2020年预防和控制传染病（在感染区域内的措施）条例第6条和 2020年预防和控制传染病（在感染区域内的措施）条例（第2号）第9条（统称为，“预防和控制传染病条例”），要求在行动管制令和延长行动管制令各为期14天内，需遵守授权官员就预防和控制传染病要求提供任何相关的资料； 以及

   • 1994年职业安全与健康法令第46条，要求雇主根据所需提供协助予职业安全与卫生官员（“官员”），以让该官员进入、审视、检查或询问关于工作场所的问题或履行其职责

   因此，当卫生当局或官员要求提供雇员或访客的个人资料以进行调查或接触者追踪，雇主将受到 1988年预防和控制传染病法令、预防和控制传染病条例和1994年职业安全与健康法令下法定责任的约束，必须协助和与他们合作并遵守他们各别的要求。

   这最终意味着雇主能够在没有获得同意下收集并随后向卫生当局和官员披露该资料，以履行1988年预防和控制传染病法令、预防和控制传染病条例和1994年职业安全与健康法令下的法定责任。

   敏感个人资料可以在没有获得明确同意下被收集，并随后向卫生当局和官员披露，以履行1988年预防和控制传染病法令、预防和控制传染病条例和1994年职业安全与健康法令下的法定责任，或是为了保护其雇员、承包商、访客和其他人的切身利益（即生命、死亡或安全），若其同意无法被给予、无法被雇主合理获得，或遭无理拒绝。

   但是，雇主必须确保发给雇员、承包商和访客的现有通知足够广泛以涵盖被处理的个人资料和敏感个人资料的种类、目的及可以与之披露的第三方类别，否则将需发出补充通知。

   如果相关通知未涵盖其目的，该资料或许仍然可以在没有获得同意下向卫生当局披露，藉由该披露是依照1988年预防和控制传染病法令、预防和控制传染病条例和1994年职业安全与健康法令的要求或授权为例外。

   此外，基于该资料的处理是用于研究，以鉴定、检验和隔离受影响者，并为了阻止病毒的传播，而不是出于任何其他目的，就资料的收集和向卫生当局的披露而发给人们的通知可以被豁免，只要受影响者的身份不被揭露即可。

9. 关于举报呢？雇主是否需要通知有关当局有关受感染或怀疑受感染的雇员或承包商的消息？

   不必要。根据1988年预防和控制传染病法令和预防和控制传染病条例，雇主没有义务这样做。 但是，如果2019新型冠状病毒被归类为职业疾病，雇主则需要通知临近的职业安全与卫生当局。

   在大多数情况下，除了医疗保健服务外，2019新型冠状病毒并非职业疾病，因为病原体通常不是一种在工作当中与工作性质相关的危害。 因此，雇主没有义务通知职业安全与卫生当局。

   话虽如此，基于谨慎雇主应该通知卫生当局有关受感染或怀疑受感染的雇员、承包商或访客的消息，以依照1994年职业安全与健康法令的要求而防止或遏制病毒在工作场所的雇员和其他个人之间的传播。

   这些资料涉及受感染或怀疑受感染者的身份和健康状况（即受感染或怀疑受感染），分别属于个人资料和敏感个人资料。 雇主可以在没有获得同意下收集并随后向卫生当局披露该个人资料，以履行施加于雇主的安全和健康责任，或是为了保护受感染或怀疑受感染者的切身利益（即生命、死亡或安全）。

   同样的，这些敏感个人资料可以在没有获得明确同意下被收集并随后向卫生当局披露，以履行1994年职业安全与健康法令下的法定责任，或是为了保护受感染或怀疑受感染者的切身利益（即生命、死亡或安全），若该同意无法被给予、无法被雇主合理获得，或遭无理拒绝。

   但是，雇主必须确保发给雇员、承包商和访客的现有通知足够广泛以涵盖被处理的个人资料和敏感个人资料的种类、目的及可以与之披露资料的第三方类别，否则将需发出补充通知。

   如果相关通知未涵盖其目的，该资料仍然可以向卫生当局披露，因为该披露是依照1994年职业安全与健康法令的要求或授权。

10. 为了遏制2019新型冠状病毒而处理的个人资料可以保存多长时间？

    该个人资料可以被保存直至有需要遏制2019新型冠状病毒，并且应在2019新型冠状病毒爆发结束后被永久删除或移除。

尽管在这个充满挑战和不确定的时期，各个机构在处理个人资料时应该牢记他们在2010年个人资料保护法令下的责任。

随着受感染人数的暴涨，越来越多的个人资料（包括敏感个人资料）被处理并在各个机构和卫生当局之间传输，敦促强化资料安全措施和实施资料小化原则的需要。任何对个人资料的不当处理或非法使用将可能使机构面临因违反2010年个人资料保护法令而遭受罚款和/或监禁的风险，这远比社交疏远要痛苦得多。

随着与时间竞赛以追溯和追踪受感染者的密切接触者，全球对资料安全的需求不断增长，而新兴技术也在全球被应用。 密切接触者追踪的努力见证了手机应用程序和电子追踪设备在亚洲国家如中国、南韩、香港、台湾和新加坡不断涌现，以进行即时接触者追踪、助于严格执行隔离措施并向用户发出潜在曝露的警告。

随着疫情震中向西转移到美国和欧洲，英国、爱尔兰和德国，这些国家跟随亚洲的经验，已经宣布开发类似的接触者追踪应用程序的举措。 在欧洲，符合欧盟资料保护法的泛欧洲手机追踪应用程序也正被研究，以助于国内和跨边界的接触者追踪。

在马来西亚，MySejahtera手机应用程序最近在卫生部与国家安全委员会和马来西亚行政现代化与管理计划单位联手合作之下被推出，通过健康自我评估从而向人民收集资料，以协助政府监控、管理和缓解2019新型冠状病毒的爆发。

尽管事实证明数码接触者追踪可以有效地减缓病毒的传播，适当的安全措施必须被采用以保护用户的个人资料免受网络安全的威胁。

以上内容仅供律师事务所的客户与朋友作一般资料之用。它无意构成法律意见，更不该在没有获得法律意见下据此采取行动。 如果您有任何关于这些或其他相关事宜的疑问或需要任何进一步的资料，请与我们联系。

Lee Lin Li
合伙人
T: +603 2050 1898
linli.lee@taypartners.com.my

Chong Kah Yee
律师
T: +603 2050 1831
kahyee.chong@taypartners.com.my