评论丨 疫情防控与个人信息保护初探之五:GDPR框架下的公共卫生数据共享
在GDPR框架下,对于基于疫情监测、防控、隔离等目的,互联网公司、电信运营商基于已掌握的个人信息为相关部门进行传染病防控提供数据支撑,不必拘泥于数据主体的同意要件
本系列短文,旨在初步探讨传染病疫情与个人信息保护之间的复杂关系。此前已经发出的该系列文章:
系列之一请见:《评论丨传染病疫情防控与个人信息保护初探前言及之一》
https://m.21jingji.com/article/20200128/herald/c896dbbf7ae0b10905bdf224cb9789e1.html
系列之二请见:《评论丨疫情防控与个人信息保护初探系列之二:数据技术的应用路径》
https://m.21jingji.com/article/20200129/herald/0edd82a1c1b73cfccc3a634988c6d254.html
系列之三:《评论丨疫情防控与个人信息保护初探之三:“接触追踪”的数据共享安全规范》
https://m.21jingji.com/article/20200130/herald/ed380053d1db7506b121c02f0980e5ab.html
系列之四:《评论丨疫情防控与个人信息保护初探之四:电信数据的安全规范》
https://m.21jingji.com/article/20200131/herald/3bc5db73337049db2a9d820a343bddbc.html
一、GDPR针对公共卫生领域个人数据处理的一般立场
GDPR将个人数据保护作为公民基本权利,但仍允许基于重大公共利益等事项对此项权利加以克减,在序言中多处体现了公共利益和个人数据保护的平衡考虑,基本立场在于公共卫生构成重大公共利益,同时传染病监测还构成重大生命利益,由此在个人数据处理的合法性基础、特殊数据处理、数据主体权利限制等方面予以特别规定。详细内容见下:
一是数据主体同意的例外。序言第(45)条明确公共卫生构成重大公共利益,依据第6条1(e)的规定,当个人数据处理为“为公共利益目的执行任务或履行所赋予公共职能所必要”时,可不征得数据主体的同意。
序言第(46)条明确传染病监测除构成公共利益之外,还构成“重大生命利益”,依据第6条1(d)规定,当个人数据处理为“保护数据主体或其他自然人的重要利益所必要”时,可不征得数据主体的同意。
二是特殊数据处理的例外。序言第(52)明确传染病预防和控制构成第9条2(i)中所述的公共利益,从而允许处理第9条1中所规定的特殊类型个人数据,如基因数据、生物识别数据、健康相关数据等;
序言(54)还进一步指出在公共卫生领域未征得数据主体同意而进行特殊类型数据处理可能是必要的。
三是对数据主体权利的限制。序言第(65)(73)则明确针对公共卫生的公共利益,允许欧盟或成员国通过立法对数据主体权利、数据保护基本原则等施加限制。
二、GDRR框架下合规要求分析
就数据处理的合法性而言,如本系列此前文章所述,在GDPR框架下,对于基于疫情监测、防控、隔离等目的,互联网公司、电信运营商基于已掌握的个人信息为相关部门进行传染病防控提供数据支撑,不必拘泥于数据主体的同意要件,可援引第6条(d)“为保护数据主体或其他自然人重大利益”或第6条(e)“公共利益目的执行任务或数据控制者履行所赋予的公共职能所必要”作为数据处理的合法性基础。以下将对此等数据处理行为中的具体合规义务加以分析。
首先需要明确此等数据处理行为中具体涉及的数据处理行为性质和双方所负角色。互联网公司、电信运营商基于已掌握的个人信息为相关部门进行传染病防控提供数据支撑:对于互联网公司或电信运营商而言,属于变更初始目的的个人信息处理行为;对于接收数据的有关部门而言,构成个人信息的间接收集;对双方而言属于个人信息共享行为,双方构成共同控制者。
具体的合规要求分析:
对于变更初始目的的个人信息处理行为
GDPR第13条3规定,当数据控制者进行个人数据处理的目的与初始收集的目的不一致时,应当在此之前基于变更后的数据处理目的向数据主体进行告知,尤其是变更后的个人数据处理目的、个人数据处理的法律依据、数据接收方或其类别等。对于互联网公司、电信运营商而言,可以通过App、手机号码等直接触达信息主体,完成告知义务。
对于间接收集个人信息的行为
GDPR第14条规定,数据控制者应当向数据主体进行告知,包括数据控制者的身份、数据处理目的、个人数据处理的法律依据、个人数据的种类、存储期限、数据主体享有的各项权利等内容。同时,该条第5款规定了例外情形,如果是数据主体已知前述信息,或者向数据主体进行告知不可能或需要付出不合比例的努力、或者告知可能导致处理目的无法实现或受到严重影响时,可免于进行告知,但要采取适当措施保护数据主体的合法权益。
对于接收数据的政府部门而言,需要判断向信息主体进行告知,是否会导致处理目的无法实现或受到严重影响,如不存在此等情形,则应当向信息主体进行告知。明确负有告知义务后,存在告知的实现方式问题。对于政府部门而言,由于其并非相应数据的直接掌控方,可能在确定告知对象方面存在一定的困难,相比之下互联网公司、电信运营商可以通过App、手机号码等直接触达信息主体,更具便利性和时效性,因此可通过提供数据的互联网公司、电信运营商完成告知,可由政府部门承担相应的成本。
对于数据共享行为
GDPR第26条规定共同控制者之间应当以明确各自的责任,特别是有关数据主体权利行使、向数据主体履行告知义务等事项。对此,互联网公司、电信运营商与政府部门之间可以通过签订数据共享协议等方式明确双方的角色、数据共享的目的等重大事项,并在数据共享过程中遵守GDPR中有关数据处理公平性、透明度、数据最小化等原则性要求,确保数据安全,保障数据主体权利的实现。
下一篇将介绍美国的情况。
(编辑:祝乃娟)