欧洲数据保护委员会(EDPB)主席
关于新冠肺炎爆发背景下处理个人数据的声明
(16-03-2020)
吴沈括译
北京师范大学网络法治国际中心执行主任
中国互联网协会研究中心秘书长
布鲁塞尔,2020年3月16日 – 全欧洲的政府、公共和私人组织正在采取措施遏制和缓解新冠肺炎。这可能涉及处理不同类型的个人数据。
欧洲数据保护委员会(EDPB)主席安德里亚·耶利内克(Andrea Jelinek)表示:“数据保护规则(例如GDPR)并不妨碍为对抗新冠肺炎大流行而采取的措施。但是,我想强调的是,即使在这些特殊情况下,数据控制者也必须确保对数据主体的个人数据的保护。因此,应当考虑多种因素以确保合法处理个人数据。”
GDPR是一项广泛的立法,其规定了适用于在与新冠肺炎等相关背景下处理个人数据的规则。事实上,GDPR提供了相关法律依据,使雇主和公共卫生主管部门可以在疫情下处理个人数据,而无需征得数据主体的同意。例如,当雇主为了公共卫生领域的公共利益或保护重大利益(GDPR第6和第9条),或者为了遵守另一项法律义务而必需处理个人数据时,就适用此规定。
对于诸如移动位置数据(mobile location data)之类的电子通信数据的处理,适用补充规则。实施《电子隐私指令》(ePrivacy Directive)的国家法律规定了以下原则:只有在匿名或者获得个人同意的情况下,运营商才能使用位置数据。公共当局应当首先追求以匿名方式处理位置数据(即以无法将其逆转为个人数据的方式处理汇总数据)。这可以赋能生成关于移动设备在特定位置的集中度的报告(“制图”)。
当不可能只处理匿名数据时,《电子隐私指令》第15条使成员国能够采取立法措施以保障国家安全和公共安全(1)。如果在民主社会框架下符合必要性、适当性和相称性的要求,这种紧急立法是可以的。如果采取此类措施,则成员国有义务采取适当的保障措施,例如赋予个人以司法救济权。
(1)在此背景下,应当指出的是,保障公共健康可能属于国家和/或公共安全例外。
北京师范大学网络法治国际中心
2020年3月 北京
声明:本文来自网络法治国际中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。