新冠肺炎期间欧盟GDPR有关个人数据处理规则的法律分析与合规提示

研究成果研究成果

2020年07月25日 09:20:04 作者:张志强来源:互联网法治研究

随着新型冠状病毒肺炎（COVID-19，以下简称“新冠肺炎”）相继在欧美各国的爆发，各国政府、科技企业等主体正积极探索通过大数据技术、尤其是通过对公民位置轨迹、健康信息等数据的采集和分析，来监测人员流动、防止交叉感染，成为通过科技支撑疫情防控的有效举措之一。而公民位置、健康信息等个人数据的大规模收集及其自身较高的敏感度，此类举措同时也引发了公众对有关个人数据是否会遭泄漏或是滥用的担忧。4月10日，苹果和谷歌共同宣布即将推出一款追踪新型冠状病毒传播的系统，它将允许用户通过低功耗蓝牙（BLE）传输健康信息，并追踪人群的活动轨迹。[1]尽管苹果和谷歌公司共同表示会严格保护用户数据隐私，确保数据安全，但是鉴于iOS 与安卓系统加起来在全球已经有 30 亿用户，覆盖了全球智能手机市场的 99%，如此广泛的数据收集是史无前例的，也引发了公众对该举措可能导致的个人数据安全问题的忧虑。

就新冠肺炎期间中国法下有关个人信息的处理和法律保护这一议题，此前我们已在第一时间进行了初步的分析。[2]而不同法域及其公民意识的差异，尤其是中国同欧美之间的差异，给中国走出去企业就新冠肺炎期间可能的个人数据处理带来合规挑战。GDPR作为全球个人数据保护领域较为成熟的、具备引领性的个人数据处理法规，加之其实施一年多以来诸多高昂代价的执法案例[3]，本文将在疫情及其防控这一背景下，结合当前欧盟数据保护委员会就疫情期间的个人数据处理问题发表的有关声明，分析GDPR有关个人数据处理的规则适用，并就相应合规要求予以提示。

一、个人数据保护意识和规制的差异给中国走出去的企业带来合规挑战

上述苹果和安卓的有关举措及相应忧虑，实质是新冠肺炎这一特殊背景下的个人数据处理[4]及其保护问题，其关键在于出于社会公共利益的需要，数据上的个人数据主体利益是否能够予以减损，以及减损的限度如何（比如如何保护那些感染/接触了新冠病毒的人的隐私，同时仍然有效地告知那些可能处于危险中的人）？

对于这一问题，不同法域的具体规制有所差异，公众相应的意识、态度也不一。根据我们的调研了解，中国在三复期间，在华外企的外籍员工就出现以“个人信息涉及个人隐私”为由拒绝配合个人信息收集，亦担心各类登记所收集的个人信息的安全性，可以说是涉外人员独有的特别忧虑。而我国在欧美企业，尤其是在欧企业，亦反应疫情期间收集处理个人数据规则的差异较大。以欧盟为例，不仅需要兼顾GDPR，各成员国国内的具体规制也存在差异，中国国内诸如“绿码”这样的应用很难实施。

这种情形差异主要在于外企及外籍员工（尤其是欧美公民）对个人信息的敏感性及保护意识更强，对个人信息收集等处理情形更为警惕，担心遭到泄漏或是滥用。在新冠肺炎成为全球流行病（pandemic）的背景下，意识的不同、规则的差异将给跨域企业、个人带来理解上的困难以及合规上的挑战。对于上述差异，尤其是在欧美国家个人数据/个人隐私保护规制更为严格的情形下，对于中国走出去的科技企业而言，应对疫情下可能的个人数据处理合规适宜予以关注和重视。

二、疫情背景下GDPR针对个人数据处理的规则适用

就个人数据处理必须满足的条件，亦即个人数据处理的合法性（lawfulness of processing），不同于当前中国法下个人信息保护法律体系采用的、以“经被收集者同意”为个人信息处理的单一合法性基础为原则的立法思路，GDPR则以多种合法性基础进行了较为完备的规定（数据主体知情同意原则只是其中一种合法性基础），并设定了个人数据处理的一般规则和特殊规则，完全涵盖了疫情背景下的个人数据处理这一特殊情形。具体而言，GDPR在个人数据处理的一般合法性基础、特殊类型的个人数据处理等方面予以了相应规定，为疫情期间有关个人数据处理提供了法律依据。具体如下：

（一）疫情期间数据处理的合法性问题

1、个人数据处理无需数据主体同意的规则适用（Art.6）

GDPR正文第6条第一款就个人数据处理需符合的一般条件规定了六项合法性基础：

（a）数据主体已经对基于一个或多个具体目的而处理其个人数据的行为表示同意；

（b）履行数据主体为一方当事人的合同或在订立合同前为实施数据主体要求的行为所必要的数据处理；

（c）为履行数据控制者的法定义务所必要的数据处理；

（d）为保护数据主体或另一自然人的重大利益所必要的数据处理；

（e）为履行涉及公共利益的职责或实施已经授予数据控制者的职务权限所必要的数据处理；

（f）数据控制者或第三方为追求合法利益目的而进行的必要数据处理，但当该利益与要求对个人数据进行保护的数据主体的利益或基本权利和自由相冲突时，尤其是当该数据主体为儿童时，则不得进行数据处理。

第1段（f）不适用公共机构在履行其任务时的处理。

首先，上述六项合法性基础彼此之间属于并列关系，无先后之分，只要满足（a）至（f）项中任意一项的规定，即具备了个人数据处理的一般合法性基础。当然，由于《条例》第六条第一款采取的是完全列举的方式，因此，数据控制者只能在所列举的六项合法性基础中寻找个人数据处理的依据。

再次，依据GDPR序言第（45）条、第（46）条等条款的规定，GDPR明确公共卫生构成重大公共利益，传染病监测构成公共利益以及“重大利益”。

据此，疫情期间有关个人数据的处理可以援引GDPR第6条1（d）以及（e）的规定，亦即当个人数据处理“为保护数据主体或另一自然人的重大利益所必要的数据处理”或是“为履行涉及公共利益的职责或实施已经授予数据控制者的职务权限所必要的数据处理”时，可不征得数据主体的同意。

2、特殊类型的个人数据处理的规则适用（Art.9）

GDPR第9条就特殊类型的个人数据（类似于我国《信息安全技术个人信息安全规范》所规定的个人敏感信息）的处理进行了规定。所谓特殊类型个人数据，是指“那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据”。依据GDPR第9条的规定，此类数据以禁止处理为原则、特殊情形允许处理为例外。

具体而言，如果想突破对特殊类型个人数据处理的一般原则的限制，则需在满足一般合法性基础（Art.6）的前提下，进一步满足第九条第二款之规定。第九条第二款共提供了十项合法性基础，整体上而言，该十项合法性基础是对第六条第一款六项合法性基础的限缩，要求更加严格。

GDPR序言第（52）条明确传染病预防和控制构成正文第9条第二款（i）项所述的公共利益，从而允许处理正文第9条第一款中所规定的特殊类型的个人数据，如基因数据、生物识别数据、健康相关数据等，为疫情防控需要提供了相应的法律依据。

（二）《新冠肺炎疫情下个人数据处理的声明》中的相关立场

针对疫情期间的数据处理议题，2020年3月20日，欧盟数据保护委员会（European Data Protection Board, 以下简称“EDPB”）发布了《新冠肺炎疫情下个人数据处理的声明》，就相关焦点问题提供了原则性的指引。其中有关个人数据处理的合法性问题（Lawfulness of processing），其明确表示：

GDPR是一项广泛适用的立法，其制定的规则也适用于例如新冠疫情这样的特殊时期的个人数据处理活动。GDPR允许公共健康主管机关以及雇主在疫情期间根据成员国本国法及其规定的条件处理个人数据。例如，若因公共健康领域的重大公众利益而需要进行数据处理，此时，数据处理无需依赖于征求个人的同意。[5]具体到有关个人数据的处理，包括主管公共机构（competent public authorities）（例如公共健康部门）对特殊类型的个人数据的处理，EDPB认为GDPR第6条和第9条赋予了相关机构对个人数据的处理权力，尤其是当该等处理活动属于各成员国法或GDPR规定的公共部门的法律职能范围之内时。

可见，声明中的上述要点进一步明确了“疫情背景下GDPR针对个人数据处理的规则适用”的有关分析，简言之，即GDPR等相关数据保护规则仍然适用于疫情背景下有关个人数据的处理，数据处理者、数据控制者依然需要遵守相应的法律要求。比如，以企业雇主收集使用员工有关健康信息为例，疫情期间，雇主能否要求访客或雇员提供特定的健康信息？此时适用比例原则和最小化原则是非常重要的，雇主仅应在本国法允许的范围内要求个人提供健康信息。[6]

三、GDPR框架下相应的合规事项提示

首先，就疫情背景下个人数据处理的合法性而言，在GDPR框架下，对于基于疫情监测、防控、隔离等目的，互联网公司、电信运营商基于已掌握的个人信息为相关部门进行传染病防控提供数据支撑，不必拘泥于数据主体的同意要件，可援引第6条第一项（d）或（e）款作为处理的合法性基础，而GDPR下对数据处理者和控制者的其他一般义务仍应予以遵循，需要根据相应的业务活动予以具体分析，在此不做详述。

其次，对此等数据处理行为中关键的具体合规原则，《关于新冠疫情下数据处理的声明》基本予以了明确和强调。当疫情防控工作涉及到个人数据处理时，一是个人数据处理应当遵循目的限定原则，即数据控制者职能基于具体、明确、合法的目的收集个人数据，且一旦数据基于特定目的被收集以后，则不能在基于与收集时确定之目的不相兼容的其他目的被处理。二是应当遵循透明原则，即数据控制者在特定条件下应当告知数据主体相关的信息，尤其是个人数据收集的目的、储存期限等等，并应当以容易理解、易访问、简介明了的方式予以提供。三是采取充分的安全措施和保密政策，确保个人数据不被披露给无权方，此外还应当适当记录为管控当前紧急情况和决策程序的有关措施。此外，根据GDPR的规定，一旦个人信息不再需要用于收集时的目的，就要将其删除。为此，一旦新型冠状病毒的威胁过去，企业应确保删除其收集的任何与新型冠状病毒有关的信息。

再次，《关于新冠疫情下数据处理的声明》指出，当疫情防控涉及到对公民位置数据的收集和使用时，有权机关原则上应坚持匿名化的处理方式。在无法完全匿名化处理相关数据的情况下，各成员国可依据《电子隐私指令》（ePrivacy Directive）第15条，在符合必要性、适当性和相称性的要求下，采取立法措施来保障公共安全。对于后者的适用，声明强调，必须采取适当的保障措施，例如赋予数据主体司法救济权，并且对于公民位置数据的利用应当坚持比例原则，优先适用最小损害的使用方式等严格限制要求。

最后，根据EDPB最新公布的有关议程，其正在就疫情期间较为敏感的个人健康数据以及行踪轨迹这两类数据优先制定详细的处理操作指引，相关政策和规定的出台应予以特别关注。

四、关注疫情背景下欧盟成员国是否有特别规定

就法律层面的合规事宜而言，鉴于欧盟及其成员国之间的政治结构关系，一般就某一议题，不仅要关注欧盟层面的立法，也要关注欧盟成员国的立法，采取量身定制的合规措施是较为稳妥的应对之策。尽管GDPR作为欧盟层面统一适用的法律取代了欧盟1995年《数据保护指令》（Directive 95/46/EC），结束了各成员国自行制定数据保护法（不仅立法不统一，而且执法分散且成本高昂）的局面。但是，GDPR依然给予了各成员国在一些特殊情形下进行规制的例外情形。针对疫情而言，GDPR序言第（65）（73）条明确，针对公共卫生的公共利益，允许欧盟或成员国通过立法对数据主体权利、数据保护基本原则等施加限制。正文第九条第4款规定，对基因数据、生物特征数据和健康数据的处理，成员国可以制定更加严格的限制规范。正文第八十九条相应条款亦规定，当个人数据处理是为了实现公共利益，欧盟或成员国的法律可以对GDPR规定的数据主体权利予以相应的限制。

因此，诸如在处理基因数据、生物特征数据和健康数据时，以及援引公共利益需要为个人数据处理的合法性基础时，不仅应考察疫情背景下欧盟是否有相关规定（如EDPB的声明以及正在制定中的相关具体指引），还应当适当考虑成员国是否具有特别规定。

根据观察，目前欧盟多各成员国相继已经就疫情期间个人数据处理相关的问题发表了有关声明。[7]就声明内容而言，各成员国（包括法国、德国、意大利、西班牙、奥地利、芬兰等在内的多个成员国）数据保护机构表示疫情期间不能违反GDPR的规定，要求个人数据的收集和使用应当遵守数据保护立法的要求，且部分国家对于健康数据的范围进行了详细明确，要求健康数据的收集和使用要求应当遵守立法中针对特殊类别数据的保护规定。

以芬兰为例。2020年3月12日，芬兰数据保护机构明确数据保护法规不限制采取公共卫生措施或预防传染病，但在处理个人数据时仍必须进行考虑。比如在处理员工的个人数据时，芬兰的立法允许基于治疗和预防严重的传染病的目的处理个人数据，个人数据的处理必须始终是必要且适当的，应当遵守包括GDPR在内的立法规定。健康数据属于需要特殊保护的特殊类别的个人数据，在疫情下具体来说：员工感染冠状病毒的信息是健康数据，员工从风险区返回的信息不是健康数据，员工在隔离区中的信息（未指定原因）不是健康数据。除GDPR外，芬兰《工作生活隐私保护法》专门规定了健康数据的处理，并规定只有在必要时才能处理员工的个人数据。《传染病法》和其他与职业安全有关的法规也可能适用。

责任编辑：郑通