欧洲数据保护委员会主席关于新冠肺炎爆发背景下处理个人数据的声明

欧洲数据保护委员会（EDPB）主席

关于新冠肺炎爆发背景下处理个人数据的声明

（16-03-2020）

吴沈括译

北京师范大学网络法治国际中心执行主任

中国互联网协会研究中心秘书长

布鲁塞尔，2020年3月16日 – 全欧洲的政府、公共和私人组织正在采取措施遏制和缓解新冠肺炎。这可能涉及处理不同类型的个人数据。

欧洲数据保护委员会（EDPB）主席安德里亚·耶利内克（Andrea Jelinek）表示：“数据保护规则（例如GDPR）并不妨碍为对抗新冠肺炎大流行而采取的措施。但是，我想强调的是，即使在这些特殊情况下，数据控制者也必须确保对数据主体的个人数据的保护。因此，应当考虑多种因素以确保合法处理个人数据。”

GDPR是一项广泛的立法，其规定了适用于在与新冠肺炎等相关背景下处理个人数据的规则。事实上，GDPR提供了相关法律依据，使雇主和公共卫生主管部门可以在疫情下处理个人数据，而无需征得数据主体的同意。例如，当雇主为了公共卫生领域的公共利益或保护重大利益（GDPR第6和第9条），或者为了遵守另一项法律义务而必需处理个人数据时，就适用此规定。

对于诸如移动位置数据（mobile location data）之类的电子通信数据的处理，适用补充规则。实施《电子隐私指令》（ePrivacy Directive）的国家法律规定了以下原则：只有在匿名或者获得个人同意的情况下，运营商才能使用位置数据。公共当局应当首先追求以匿名方式处理位置数据（即以无法将其逆转为个人数据的方式处理汇总数据）。这可以赋能生成关于移动设备在特定位置的集中度的报告（“制图”）。

当不可能只处理匿名数据时，《电子隐私指令》第15条使成员国能够采取立法措施以保障国家安全和公共安全（1）。如果在民主社会框架下符合必要性、适当性和相称性的要求，这种紧急立法是可以的。如果采取此类措施，则成员国有义务采取适当的保障措施，例如赋予个人以司法救济权。

（1）在此背景下，应当指出的是，保障公共健康可能属于国家和/或公共安全例外。

北京师范大学网络法治国际中心

2020年3月 北京

声明：本文来自网络法治国际中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。