吴沈括,北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长。
汤彦怡,北京师范大学网络法治国际中心研究助理。
作为欧盟委员会应对新冠疫情行动的一部分,欧盟委员会与欧洲电信公司和GSMA(全球移动通信系统协会)通过视频会议进行了磋商,讨论共享匿名元数据来建模和预测病毒传播的问题。
据悉欧盟委员会已要求电信运营商提供匿名移动元数据。欧盟内部市场专员Thierry Breton强调这些数据的使用方式完全符合《一般数据保护条例》(GDPR)和欧盟电子隐私立法。
欧洲数据保护专员Wojciech Wiewiórowski在致欧盟DG CNECT的一封信中表示,现行欧洲数据保护规则非常灵活,足以允许采取各种措施抗击新冠疫情。同意并支持相关方的呼吁,即紧急建立一项协调的欧洲方案以尽可能最有效、最实际和最合规的方式处理紧急情况。现在显然有必要在欧洲层面采取行动。
Wiewiórowski强调了数据的匿名化,指出匿名数据不属于数据保护规则的适用范围:“当然,有效的匿名性要求的不仅仅是删除电话号码和IMEI码[国际移动设备识别码]等明显的标识符。”他还呼吁保障公众的数据安全和信息透明,以避免任何可能的误解。
如果欧盟委员会通过第三方处理信息,这些第三方必须采取同等的安全措施,并受严格的保密义务和禁止进一步使用的约束。
一旦当前的紧急情况结束,从移动运营商获得的任何数据都应当立即删除。
欧洲数据保护委员会(EDPB)在早前《关于新冠肺炎爆发背景下处理个人数据的声明》中曾表示,GDPR提供了相关法律依据,使雇主和公共卫生主管部门可以在疫情下处理个人数据,而无需征得数据主体的同意。
对于诸如移动位置数据(mobile location data)之类的电子通信数据的处理,适用补充规则。实施《电子隐私指令》(ePrivacy Directive)的国家法律规定了以下原则:只有在匿名或者获得个人同意的情况下,运营商才能使用位置数据。公共当局应当首先追求以匿名方式处理位置数据(即以无法将其逆转为个人数据的方式处理汇总数据)。这可以赋能生成关于移动设备在特定位置的集中度的报告(“制图”)。
当不可能只处理匿名数据时,《电子隐私指令》第15条使成员国能够采取立法措施以保障国家安全和公共安全(在此背景下,应当指出的是,保障公共健康可能属于国家和/或公共安全例外)。如果在民主社会框架下符合必要性、适当性和相称性的要求,这种紧急立法是可以的。如果采取此类措施,则成员国有义务采取适当的保障措施,例如赋予个人以司法救济权。
声明:本文来自网络法治国际中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
