2020年4月21日星期二
European Data Protection Board – Twenty-third Plenary session: EDPB adopts further COVID-19 guidance
Tuesday, 21 April, 2020
◎ 翻譯:陳志遠
◎ 審定:邱文聰
◎ 加註:李建良
在第23次全體會議上,EDPB通過了COVID-19研究利用健康資料的處理準則,以及COVID-19疫情採用地理定位及其他追蹤工具指南。

COVID-19研究利用健康資料的處理準則
旨在闡明運用健康資料進行研究時,可能涉及之最緊迫的法律問題,例如資料蒐集處理與利用的合法基礎;為科學研究目的而二次利用健康資料的適法性;如何落實適當的個資保障措施;資料當事人權利的行使等。
準則指出,GDPR本身包含科研目的下蒐集處理利用健康資料的若干規定,這些規定也適用於COVID-19大流行,特別是與同意和各國內國法相關的部分。GDPR早已預見有可能為了科學研究目的,必須蒐集處理或利用特種個資,例如健康資料。
再者,該準則也在尚缺合宜之正式決定也無其他適當保護措施的情況下,特別針對為了COVID-19抗疫相關研究進行健康資料國際傳輸所涉及的法律問題,做出回應。
EDPB主席Andrea Jelinek表示:「為了對抗COVID-19,目前已投入相當大的心血進行研究。研究人員希望盡快產生結果。GDPR並未妨礙科學研究,而是藉由確保健康資料能合法地蒐集處理與利用,協助達成找尋COVID-19疫苗或其療法的目標。」
COVID-19疫情採用地理定位及其他追蹤工具的指南
旨在為下列兩個特定目的,闡明符合比例地使用位置資料和接觸追蹤工具的條件和原則:
- 使用位置資料對病毒傳播狀況進行模擬,以評估居家禁令的整體有效性,提供疫情反應措施的實證依據;
- 為進行接觸者追蹤,通知曾與被確診為病毒帶原者近距離接觸之人,以便儘早打破傳染鏈。
本準則強調GDPR與《電子隱私指令》[譯註] 均包含具體規定,允許使用匿名或個人資料來支持國家和歐盟層面的公權力機關和其他行為者,監控和遏止COVID-19的傳播。成員國或歐盟機構在採取涉及處理個人資料之任何措施以應對COVID-19時,必須遵守有效性、必要性與合比例性的一般原則。
Jelinek博士補充說道:「手機應用程式永遠無法取代護士和醫生。儘管資料和技術可成為重要的工具,但我們需要牢記它們具有內在的局限性。應用程式只能扮演補充的功能,因為公共衛生措施本身具有有效性以及醫護人員盡心奉獻才是抗疫成功的必要條件。無論如何,人們不應被迫在有效應對危機和基本權利保護之間做出選擇。」
此外,EDPB也通過了接觸追蹤應用程式指南作為本準則的附件。該指南並不企圖提供鉅細靡遺的規範,僅提供接觸追蹤應用程式的設計者和應用者一般性的指引,而強調任何評估都必須逐案進行。
有鑑於當前情況的緊迫性,必須立即提出相關指引以供遵循,因此兩套準則公佈前,將例外地不再先提交公眾諮詢。
[譯註] ePrivacy Directive, https://edps.europa.eu/node/3100#e-privacy_directive2009-136-ec.