歐洲理事會關於COVID-19大流行脈絡下的個人資料保護權的聯合聲明



陳志遠 譯 趙若漢邱文聰 審定
2020年05月11日


歐洲理事會2020年03月30日於斯特拉斯堡發布


COVID-19大流行(更通常稱為冠狀病毒)對個人和世界各國構成了前所未有的威脅和挑戰。阻止其傳播並治癒受苦者的需要是全球各國共同的重要目標。

世界衛生組織、其他國際組織、政府、健康照護機構及其員工以及企業為防止病毒更大規模傳播,挽救人民和保護社會所做的努力是無限的,應當被鼎力支持。

各國必須應對因COVID-19大流行而在民主、法治和人權(包括隱私權和個人資料保護權)方面造成的威脅。

為了減少新的污染數量,政府不得不採取非常手段,包括在許多情況下宣布進入緊急狀態。儘管這些國家令人不安的公共衛生狀況正當化了實行特定制度的合理性,然應強調的是,在這些有限的時期內,於若干國際法(例如《公民與政治權利國際公約》和《歐洲人權公約》)以及內國法中所規定的人權之實行,並不能被懸置,只能在狀況急迫的嚴格必要範圍內,且基本權利和自由之本質仍被尊重的前提下,以法律縮減或限制之。

一般資料保護原則和規則

關於個人資料保護權,首應注意的是,第108號公約以及現代化的「第108+號公約」,都明示了得與其他基本權和相關公共利益兼容並蓄的個人資料保護高標準。

重要的是要記得,資料保護絕不能成為挽救生命的障礙,適用的原則始終可以平衡利益各方。

根據第108+號公約,至關重要的是,即使在特別困難的情況下,也要遵守資料保護原則,因此要確保使資料主體了解與他們有關的個人資料的處理;個人資料的處理僅得於必要時,按所追求的明確、特定且合法之目的合比例地進行;在開始處理之前,進行影響評估;通過設計確保隱私,並採取適當的措施來保護資料的安全性,尤其是與諸如健康相關資料之類的特種資料相關時;資料主體有權行使其權利。

「第108+號公約」規定的主要資料保護原則之一是合法性原則,根據該原則,可以在資料當事人的同意下,或在法律規定的其他合法基礎上進行資料處理。應當指出,正如「第108+號公約」解釋性報告所明示的那樣,這種合法基礎尤其包括為個人的切身利益而必須的資料處理,以及基於公共利益的理由進行的資料處理,例如:監測威脅生命的流行病。

例如,個人資料保護權並不妨礙公共衛生主管機關與負責分發FFP2口罩的實體,共享衛生專業人員的名單(姓名和聯繫方式)。也不能聲稱個人資料保護權與流行病學監測不相容,蓋個人資料保護之要求並未涵蓋匿名資料。因此,資料保護要求並不會阻止使用統整(而非個人)的位置資料以標定出違反限制要求的「聚會」,或顯示從嚴重接觸區域(以COVID-19陽性案例的數量計)離開人員的整體移動方向。

此外,「第108+號公約」也承認有必要在為達成公共利益和個人切身利益的目的下,允許若干例外和限制。儘管如此,對其原則和權利的限制也必須對應於非常明確的需求,即使在緊急狀態下也是如此,以確保能持續尊重法治和基本權利。

根據「第108+號公約」(見第11條),例外應「由法律規定,尊重基本權利和自由的本質,且是民主社會中必要且合乎比例的措施」。

在施加限制的地方,這些措施必須僅在臨時基礎上,並僅明確限於緊急狀態的這段時間內被採取。同樣重要的是,要採取具體的安全措施,並保證一旦緊急狀態解除後,將對個人資料提供全面的保護。這應包括有關恢復「正常」資料處理制度的具體措施和程序,並特別注意包含與健康相關的資料或其他特種資料的資料庫和/或為追蹤、關注和剖繪個人之目的,而於緊急狀態下處理後創建者。

請資料保護機關仔細評估各成員國官方針對這些情況採取的措施。

處理與健康相關的資料

假設人類的首要地位和專業標準的採行是衛生領域的指導價值觀,則與健康有關的資料處理應保證尊重每個人的權利和基本自由,特別是隱私權及個人資料保護權。關於健康相關資料的CM / Rec(2019)2號建議就此提供了具體指南。 其有關衛生專業人員間,以及衛生部門與其他部門之間資料共享的規定,尤其應指導有關專業人員的實踐。

衛生和政府部門與公眾的交流應續作為優先事項,以便能保護,告知和建議公眾。但在進行此類交流時,應避免發布特定個人的敏感資料(例如與健康相關資料),並建議僅在能額外補完適用於非敏感資料的技術上和組織上措施已到位的情況下,才對此類資料進行處理。

大規模資料處理

由於生成大量的資料和資料庫,從而獲得了資料處理技巧和技術(例如大數據或人工智能)的好處,故在此類環境中應以尊重人性尊嚴和個人資料保護的方式處理資料。第108號公約委員會在大數據和人工智慧背景下制定的相應指南,可為開發人員和政府提供有用的工具,從而防止資料處理過程中的自願濫用或意外負面後果-包括對個人或個人群體的歧視。

分析或AI解決方案的透明性和「可解釋性」,預防措施和風險管理策略(包括匿名資料情況下的再識別風險),著眼於資料品質和最小化,以及人為監督的作用,是在開發與COVID-19抗衡的創新解決方案時要考慮的若干關鍵點。

雇主處理資料

雇主在維護業務或活動的同時,還面臨著保護公眾和員工的困難,而員工往往是遠端辦公的。但這種做法不應導致對員工的監視,包括通過視訊手段;在組織工作和工作條件時,應考慮採取非侵入性措施。

在給定的情況下,雇主可能必須處理他們通常不處理的個人或敏感資料(例如與健康相關的資料);故應記住,這樣做時,他們應尊重必要性原則、比例原則和問責原則,並應遵循此類設計上旨在於資料處理時,最大程度地減少可能對員工的權利和基本自由(尤其像是如CM / Rec(2015)5號建議書中特別提到的,關於在勞雇關係脈絡下中處理個人資料的隱私權利)造成風險的原則指導。尤其是,雇主不應處理超出識別潛在感染風險的受僱員工所必須的個人資料。

如果法律要求他們基於公共衛生原因向成員國政府披露某些資料,則請他們嚴格遵守基本法律依據,並採取必要措施以便於緊急狀態不再成立時,得恢復「正常」處理(包括永久刪除)。

手機、電腦資料

電信公司,線上平台和網路服務提供商也積極參與了阻止COVID-19傳播的戰役,並日益被要求與公共機構共享訂戶資料、他們收集的個人資訊,以及其他類型的資訊,以顯著促進當局對流行病的監測,包括對空間數據的分析,以確定可能感染者的位置。私人和公共團體也可以開發用於流行病監測的IT解決方案。

大規模個人資料處理僅得在基於科學證據,證實數位流行病監測(例如接觸者追蹤)的潛在公共衛生利益(包括準確性),超過了其他較少侵入性的替代解決方案的利益時,才能實行。

這些監視解決方案的開發應基於對預期資料處理對資料主體的權利和基本自由可能產生影響的事前評估,並應以防止或最大程度降低干涉這些權利和基本自由的風險的方式,設計資料處理。

根據預警和比例原則,應建議在各種「沙盒」中進行預先測試,就像目前在臨床試驗測試各種可能的藥物一樣。

儘管有關病毒傳播的即時資訊可以幫助隔離病毒,但必須強調的是,侵入性最低的解決方案應始終是首選。

教育系統中的資料處理

學校和大學正在盡一切可能的努力來增加遠端學習技能和資源,而教授和老師們本身也面臨著隔離的挑戰。在考慮旨在確保教學工作連續性的技術解決方案時,應優先考慮面向資料保護的標準配置,例如關於預設選項的設定,以便使用應用程式和軟體時不會侵犯資料主體的權利(資料保護預設),並避免處理逾越實現確保教育連續性合法目的所需的更多資料。

同樣重要的是,選擇適當的法律依據(包括在必要時獲得父母或法定監護人的同意),並以最大透明性方式處理孩子資料,使父母得因此受益。

第108號公約委員會目前正在制定有關在教育背景下處理個人資料的其他準則,這些準則將為從業者和決策者服務。

當人們面臨艱難和充滿威脅的時代,局勢迅速發展,各國政府在採取措施保護人民時,他們必須在避免使社會處於更大的長期風險的前提下為之。

只有團結一致,充分尊重法治,人權和民主的前提下,我們將能克服此一空前局勢。


Image by  petovarga from Shutterstock

資料來源

Alessandra Pierucci, Chair of the Committee of Convention 108and Jean-Philippe Walter, Data Protection Commissioner of the Council of Europe, Joint Statementon the right to data protection in the context of the COVID-19 pandemic, Mar. 30, 2020, https://rm.coe.int/covid19-joint-statement/16809e09f4 (last visited May 13, 2020).


延伸閱讀


翻譯

陳志遠


審定

中央研究院法律學研究所 趙若漢
中央研究院法律學研究所 邱文聰