欧洲数据保护委员会关于出于科研目的的健康数据处理的03/2020指导方针

2020年4月22日消息，欧洲数据保护委员会（EDPB）在第23次全体会议上通过了关于COVID-19爆发环境下出于科研目的对健康相关数据进行处理的指导方针03/2020。主要内容如下：

由于COVID-19疫情大流行，目前欧盟在与SARS-CoV-2的斗争中作出了大量的科学研究努力，以尽快形成研究结果。与此同时，为此研究目的依GDPR第4(15)条要求使用健康数据的相关法律问题不断地出现。本方针旨在阐明上述问题中最紧迫的部分，例如法律依据，为健康数据处理而采取适当的保障措施以及数据主体权利行使。值得注意的是，针对供科研目的健康数据处理来制定更深入详尽的指导方针，是EDPB年度工作计划的一部分。此外目前方针并没有以个人数据处理为中心来进行流行病学监测。

数据保护规则（如GDPR）不会妨碍针对COVID-19大流行防控所采取的措施。GDPR立法范围广泛，并规定了若干条款，允许与COVID-19大流行相关为科研目的进行的个人数据处理，该数据处理必须符合关于隐私和个人数据保护的基本权利。GDPR还预见到，在上述科研目的有必要的情况下，对某些特定类别的个人数据（例如健康数据）处理的禁止将有明确减损。

当为COVID-19大流行相关的科研目的而处理健康数据时，必须适用欧盟的基本权利。无论是《数据保护规则》还是根据《欧盟基本权利宪章》第13条规定的科学自由，对其他规则都没有优先权。相反，数据处理者必须认真评估和平衡这些权利和自由，以达成尊重两者本质的结果。

本指导方针的主要结论概括如下：

1. GDPR规定了关于供科研目的的健康数据处理的特殊规则，该规则在COVID-19疫情大流行环境也同样适用。

2. 各成员国的国家立法人员可以根据GDPR第(9)(2)(i)和(j)条制定具体法律，以便进行供科研目的的健康数据处理，还需兼顾GDPR第6(1)条的其中一个法律基础。因此，对这类数据处理的条件和限度因具体成员国制定的法律而异。

3. 根据GDPR第(9)(2)(i)和(j)条制定的所有法律，必须依据GDPR第5条原则并考虑到欧洲法院的法学研究来进行解读。特别是，GDPR第9(2)(j)条和第89(2)条规定的数据保护方面的减免和限制必须仅在严格必要的情况下适用。

4. 考虑到在COVID-19疫情环境下的数据处理风险，必须高度重视对GDPR第5 (1)(f)条、第32(1)条和第89(1)条的合规。如果必须开展GDPR第35条规定的数据保护影响评估（DPIA），此评估务必落到实处。

5. 对健康数据处理必须设定相称的储存期限（时间线）。对储存期限的确定应考虑到诸如研究时长和目的之类的标准。国家规定也可以制定有关储存期限的规则，也可被纳入考虑因素中。

6. 原则上，当前COVID-19爆发的情况不会中止或限制数据主体依GDPR第12至第22条规定来行使其权利的可能性。但是，GDPR第89(2)条允许国家立法者根据GDPR第3章的规定，限制数据主体的（某些）权利。因此，对数据主体权利的限制可能会因具体成员国制定的法律而有所不同。

7. 关于国际中转，在缺少依GDPR第45(3)条的适当性决议或缺少依GDPR第46条规定的适当保障措施的情况下，公共当局和私人实体可以依照GDPR第49条的规定的可适用减损来进行。但是GDPR第49条的减损确实仅具有特殊性质。

指导方针03/2020的全文内容请见：

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf

本新闻由广东省WTO/TBT通报咨询研究中心摘录/编辑/整理并翻译，转载请注明来源。

更多详情请见：

https://edpb.europa.eu/news/news/2020/twenty-third-plenary-session-adopted-documents_en

关注“广东技术性贸易措施”，获取更多服务