2020年4月22日消息，歐洲數(shù)據(jù)保護(hù)委員會(huì)（EDPB）在第23次全體會(huì)議上通過(guò)了關(guān)于COVID-19爆發(fā)環(huán)境下出于科研目的對(duì)健康相關(guān)數(shù)據(jù)進(jìn)行處理的指導(dǎo)方針03/2020。主要內(nèi)容如下：

由于COVID-19疫情大流行，目前歐盟在與SARS-CoV-2的斗爭(zhēng)中作出了大量的科學(xué)研究努力，以盡快形成研究結(jié)果。與此同時(shí)，為此研究目的依GDPR第4(15)條要求使用健康數(shù)據(jù)的相關(guān)法律問(wèn)題不斷地出現(xiàn)。本方針旨在闡明上述問(wèn)題中最緊迫的部分，例如法律依據(jù)，為健康數(shù)據(jù)處理而采取適當(dāng)?shù)谋Ｕ洗胧┮约皵?shù)據(jù)主體權(quán)利行使。值得注意的是，針對(duì)供科研目的健康數(shù)據(jù)處理來(lái)制定更深入詳盡的指導(dǎo)方針，是EDPB年度工作計(jì)劃的一部分。此外目前方針并沒(méi)有以個(gè)人數(shù)據(jù)處理為中心來(lái)進(jìn)行流行病學(xué)監(jiān)測(cè)。

數(shù)據(jù)保護(hù)規(guī)則（如GDPR）不會(huì)妨礙針對(duì)COVID-19大流行防控所采取的措施。GDPR立法范圍廣泛，并規(guī)定了若干條款，允許與COVID-19大流行相關(guān)為科研目的進(jìn)行的個(gè)人數(shù)據(jù)處理，該數(shù)據(jù)處理必須符合關(guān)于隱私和個(gè)人數(shù)據(jù)保護(hù)的基本權(quán)利。GDPR還預(yù)見(jiàn)到，在上述科研目的有必要的情況下，對(duì)某些特定類別的個(gè)人數(shù)據(jù)（例如健康數(shù)據(jù)）處理的禁止將有明確減損。

當(dāng)為COVID-19大流行相關(guān)的科研目的而處理健康數(shù)據(jù)時(shí)，必須適用歐盟的基本權(quán)利。無(wú)論是《數(shù)據(jù)保護(hù)規(guī)則》還是根據(jù)《歐盟基本權(quán)利憲章》第13條規(guī)定的科學(xué)自由，對(duì)其他規(guī)則都沒(méi)有優(yōu)先權(quán)。相反，數(shù)據(jù)處理者必須認(rèn)真評(píng)估和平衡這些權(quán)利和自由，以達(dá)成尊重兩者本質(zhì)的結(jié)果。

本指導(dǎo)方針的主要結(jié)論概括如下：

1. GDPR規(guī)定了關(guān)于供科研目的的健康數(shù)據(jù)處理的特殊規(guī)則，該規(guī)則在COVID-19疫情大流行環(huán)境也同樣適用。

2. 各成員國(guó)的國(guó)家立法人員可以根據(jù)GDPR第(9)(2)(i)和(j)條制定具體法律，以便進(jìn)行供科研目的的健康數(shù)據(jù)處理，還需兼顧GDPR第6(1)條的其中一個(gè)法律基礎(chǔ)。因此，對(duì)這類數(shù)據(jù)處理的條件和限度因具體成員國(guó)制定的法律而異。

3. 根據(jù)GDPR第(9)(2)(i)和(j)條制定的所有法律，必須依據(jù)GDPR第5條原則并考慮到歐洲法院的法學(xué)研究來(lái)進(jìn)行解讀。特別是，GDPR第9(2)(j)條和第89(2)條規(guī)定的數(shù)據(jù)保護(hù)方面的減免和限制必須僅在嚴(yán)格必要的情況下適用。

4. 考慮到在COVID-19疫情環(huán)境下的數(shù)據(jù)處理風(fēng)險(xiǎn)，必須高度重視對(duì)GDPR第5 (1)(f)條、第32(1)條和第89(1)條的合規(guī)。如果必須開(kāi)展GDPR第35條規(guī)定的數(shù)據(jù)保護(hù)影響評(píng)估（DPIA），此評(píng)估務(wù)必落到實(shí)處。

5. 對(duì)健康數(shù)據(jù)處理必須設(shè)定相稱的儲(chǔ)存期限（時(shí)間線）。對(duì)儲(chǔ)存期限的確定應(yīng)考慮到諸如研究時(shí)長(zhǎng)和目的之類的標(biāo)準(zhǔn)。國(guó)家規(guī)定也可以制定有關(guān)儲(chǔ)存期限的規(guī)則，也可被納入考慮因素中。

6. 原則上，當(dāng)前COVID-19爆發(fā)的情況不會(huì)中止或限制數(shù)據(jù)主體依GDPR第12至第22條規(guī)定來(lái)行使其權(quán)利的可能性。但是，GDPR第89(2)條允許國(guó)家立法者根據(jù)GDPR第3章的規(guī)定，限制數(shù)據(jù)主體的（某些）權(quán)利。因此，對(duì)數(shù)據(jù)主體權(quán)利的限制可能會(huì)因具體成員國(guó)制定的法律而有所不同。

7. 關(guān)于國(guó)際中轉(zhuǎn)，在缺少依GDPR第45(3)條的適當(dāng)性決議或缺少依GDPR第46條規(guī)定的適當(dāng)保障措施的情況下，公共當(dāng)局和私人實(shí)體可以依照GDPR第49條的規(guī)定的可適用減損來(lái)進(jìn)行。但是GDPR第49條的減損確實(shí)僅具有特殊性質(zhì)。

指導(dǎo)方針03/2020的全文內(nèi)容請(qǐng)見(jiàn)：

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf

本新聞?dòng)蓮V東省WTO/TBT通報(bào)咨詢研究中心摘錄/編輯/整理并翻譯，轉(zhuǎn)載請(qǐng)注明來(lái)源。

更多詳情請(qǐng)見(jiàn)：

https://edpb.europa.eu/news/news/2020/twenty-third-plenary-session-adopted-documents_en

關(guān)注“廣東技術(shù)性貿(mào)易措施”，獲取更多服務(wù)