GDPR中的特殊类别个人数据与英国1998年《数据保护法》中的敏感个人数据大致相似。但是,特殊类别个人数据也与遗传和生物特征识别数据有关。特殊类别数据是数据控制者可以处理的最敏感的个人数据,滥用此数据可能会干扰个人的基本权利和自由,并可能造成真正的伤害和损害。为了避免可能存在的风险,英国信息专员办公室(ICO)要求控制者采取一切必要的预防措施来保护此数据,并发布了相关指南。
什么是“特殊类别的个人数据”?
GDPR认为某些类型的个人数据可能更敏感,并为他们提供了额外的保护,包括:揭示种族或民族起源的个人数据;揭示政治观点的个人数据;揭示宗教或哲学信仰的个人数据;揭示工会成员身份的个人数据;遗传数据;生物特征数据(用于识别目的);有关健康的数据;有关个人性生活的数据;有关个人性取向的数据。
该指南将其称为“特殊类别数据”。大多数特殊类别未定义,并且很容易解释。但是,指南为遗传数据、生物特征数据和健康数据提供了特定的定义。
为什么这类数据特别?
不仅仅是这种类型的信息可能被视为更敏感或更“私人”,GDPR才认为这些类型的个人数据值得特别保护,更是因为使用此类数据可能会对个人的基本权利和自由造成重大风险。例如,这些数据与以下内容紧密相关:思想、良知和宗教自由;表达自由;集会和结社自由;身体完整权;尊重私人和家庭生活的权利;及免于歧视。
处理这类数据需要格外小心,因为收集和使用该数据更有可能干扰这些基本权利或使他人容易受到歧视。这是GDPR基于风险的保护方法的一部分。
尽管其他数据(例如个人的财务数据)也可能很敏感,但这并不会引起同等的基本问题,因此就GDPR而言并不构成特殊类别的数据。尽管有关刑事指控或定罪的数据可能会引起一些类似的问题,但由于它包含在单独的规则中,因此并不构成特殊类别的数据。
这些特殊类别的个人数据被广泛地定义,并且可能还会涉及到那些并非特别敏感的信息,例如,关于一个人的心理健康的细节可能比他们的腿是否骨折更敏感,但两者都是关于健康的数据。考虑到基本权利的潜在风险,企业重要的是需要识别所有特殊类别的数据并谨慎处理,即使企业自身认为它不是特别敏感。
什么是遗传数据?
GDPR在第4条第13款中定义了遗传数据:“遗传数据”是指与自然人的遗传或获得的遗传特征有关的个人数据,这些数据提供有关该自然人的生理或健康的独特信息,尤其是通过对来自该自然人的生物样品进行分析而得出的自然人信息。这包括染色体、DNA或RNA分析,或能够获得等效信息的任何其他类型的分析。但并非所有的遗传信息都构成遗传数据,应当判断的第一个问题始终是遗传信息是否为个人数据,遗传样本本身不是个人数据,除非对其进行分析以产生一些数据。如果可以将基因分析数据链接回可识别的个人,那么它就是个人数据(因此也是遗传数据)。
在某些情况下,遗传信息不是可识别的个人数据。例如,当您拥有匿名的或聚集的部分遗传序列或遗传检测结果(例如,出于统计或研究目的)时,它们将不再链接回特定的遗传特性,样本或概况;患者记录;或任何其他标识符。
什么是生物识别数据?
GDPR第9条第1款在特殊类别的数据列表中包括:“以唯一识别自然人为目的的生物数据”。GDPR在第4条第14款中定义了生物识别数据:“生物数据”是指通过与自然人的身体、生理或行为特征有关的特定技术处理而产生的个人数据,例如面部图像或指纹数据,这些个人数据允许或确认该自然人的唯一标识。
健身房引入了电子指纹扫描系统,成员扫描他们的指纹以便通过入口旋转栅门。该系统正在处理生物特征数据以识别单个成员,因此健身房需要有效条件来处理特殊类别数据;一所学校引入了电子指纹扫描系统,向学生收取他们的校餐费用。该系统正在处理生物特征数据以识别个别学生,因此学校需要有效条件来处理特殊类别数据。
面部成像和指纹数据仅是两个示例,但并不详尽。定义中还包括许多其他类型的物理、生理或行为“指纹”。
物理或生理生物特征识别技术的示例:面部识别;指纹验证;虹膜扫描;视网膜分析语音识别; 和耳朵形状识别。
行为生物识别技术的示例:击键分析;手写签名分析;步态分析和注视分析(眼动追踪)。
如果您处理个人的数字照片,即使您将其用于识别目的,也不会自动成为生物特征数据。尽管数字图像可能允许使用物理特征进行识别,但只有执行“特定技术处理”后,它才成为生物特征数据。通常,这涉及使用图像数据创建单独的数字模板或配置文件,然后将其用于自动图像匹配和识别。
所有生物识别数据均为个人数据,因为它允许或确认个人身份。每当“为了唯一识别自然人的目的”处理生物识别数据时,它也是特殊类别数据。这意味着在大多数情况下,生物识别数据将是特殊类别的数据。如果使用生物识别技术来了解某个人,验证其身份,控制其访问权限,对他们做出决定或以任何方式对他们进行区别对待,则需要遵守第9(1)条特殊类别数据的规定。
什么是健康数据?
GDPR在第4条第15款中定义了健康数据:“有关健康的数据”是指与自然人的身心健康有关的个人数据,包括提供医疗保健服务,以揭示有关其健康状况的信息。
健康数据可以与个人的过去,当前或将来的健康状况有关。它不仅涵盖了医疗状况、测试或治疗的具体细节,而且还包括任何揭示某人健康状况的相关数据。因此,健康数据可以包括各种个人数据,例如:有关伤害、疾病、残疾或疾病风险的任何信息,包括病史、医学意见、诊断和临床治疗;体格检查数据、测试结果、医疗设备数据或健身追踪器数据;在注册医疗服务或获得治疗时从个人那里收集的信息;约会详细信息,提醒和发票(这些属于“提供医疗保健服务”,但必须揭示有关个人健康状况的一些信息。例如,全科医生或医院预约可能不会透露任何人的健康状况,因为可能是检查或筛查预约。但是,可以从个人在整骨诊所的预约清单或一系列物理治疗会议的发票中合理推断出健康数据);和分配给个人的数字,符号或其他标识符,这是出于健康目的对其进行唯一标识(例如,NHS号码或苏格兰的社区健康指数(CHI)号码),如果该信息与揭示其健康状况的信息结合在一起的话即属于健康数据。
犯罪数据
有关刑事指控、诉讼或定罪的个人数据不是特殊类别数据。但是,对于处理此类数据也有类似的规则和保护措施,以应对与之相关的特定风险。
推理和有根据的猜测
GDPR认为,特殊类别数据不仅包括确定相关详细信息的个人数据,而且还包括揭示或涉及这些详细信息的个人数据。可以推断或猜测有关特定数据类别中某人的详细信息,这是否算作特殊类别的数据和是否适用第九条取决于推论是如何确定的,以及是否属于故意描述出来的推论。如果可以以合理的确定性推断相关信息,那么即使不是百分百的确定,也可能是特殊类别数据。但是,如果只是极少部分可能的推论或“有根据的猜测”,那不是特殊的类别数据(除非您根据推论进行特定处理可以区别对待某人),即使事实证明这种猜测是正确的。
通常,可以根据姓名或图片推断个人的宗教信仰或种族。例如,许多姓氏与特定的种族或宗教相关。但是,在所有情况下都将所有此类名称视为特殊类别数据是不合适的,因为这意味着仅需要将特殊名称条件保存在客户数据库中就需要特殊类别数据的处理条件,事实并非如此。但如果专门处理此类名称是因为它们表示种族或宗教,例如以此为目标定位服务,那么正在处理特殊类别数据。如果进行某些数据之间的结果分析(例如,种族、信仰、政治、健康风险、性取向或关系状况),并打算创建此类推论的原则,则无论统计可信度的高低,都是在处理特殊类别的数据。这里的关键问题不是推理是否正确,而是是否使用链接到特殊类别之一的推理以任何方式影响处理活动。
特殊类别数据的处理规则
GDPR第9条禁止处理特殊类别数据,但有10个例外,通常称为“处理特殊类别数据的条件”,且GDPR还表示,成员国可以为遗传、生物识别或健康数据添加更多特定条件(英国尚未这样做)。因此,第一,需要弄清楚为什么需要特殊类别数据,大多数条件是基于处理的特定目的。然后,可以确定最相关的条件;第二,需要能够证明处理符合相关条件的特定要求;第三,如果根据特殊类别数据做出完全自动化的决策(包括配置文件),则规则会更严格。如果这可能对个人产生重大影响,则只能在获得明确同意或实质性公共利益的情况下继续进行。
作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
