【快訊】防疫期間資料主體權利限制的邊界在哪裡? —歐盟EDPB就GDPR第23條發表聲明
編譯:許 斌 博士/特約研究員
審閱:葉奇鑫 律師
王慕民 律師
全文約1100字,閱讀約需4分鐘
新冠肺炎防疫期間,為落實防疫措施、避免疫情擴散,許多國家都在既有的隱私與個資保護法規之外,對民眾的個人資料自主權與隱私權作出了進一步干預。例如,我國制定《嚴重特殊傳染性肺炎防治及紓困振興特別條例》,以個資法的特別法方式,對於在特殊個案中對於違反隔離或檢疫命令者或有違反之虞者,允許中央流行疫情指揮中心公布其個人資料(註1),此即為在現行個資法外立法干預人民的資訊隱私權。相較之下,有些國家的干預範圍更廣、程度更甚。匈牙利政府於今年5月4日發布第179/2020號政府命令(註2),宣布國家進入緊急狀態,且對於在緊急狀態期間為防疫目的處理個人資料之行為,暫不允許資料主體行使歐盟GDPR第15條至第22條規定之各項權利。
雖然GDPR第23條允許會員國為公共安全、一般公共利益等目的,對資料主體之各項權利課加必要限制,但前開匈牙利政府命令,依然引發了諸多爭議。歐盟公民團體因此聯名致函歐洲個人資料保護委員會(European Data Protection Board, EDPB),請求後者檢視匈牙利政府命令是否符合GDPR(註3)。
EDPB於6月3日作出回函(註4),強調GDPR在國家緊急狀態期間依然適用。但由於GDPR在會員國境內係由會員國資料保護主管機關負責實施,EDPB並未對匈牙利政府命令之適法性作出明確判斷。
EDPB同時針對國家緊急狀態期間資料主體之權利限制發表聲明(註5)。聲明強調:
- 無論在何種情況下,以普遍、廣泛、侵入式(intrusive)的限制架空一項基本權之核心內容,都不是合理(justified)措施。
- 資料主體的權利為資料保護基本權之核心,此等權利之適用為一般常態。GDPR第23條所允許之資料主體權利限制為例外,僅限於特定情形。
- GDPR第23條規定之權利限制須以「法律」定之,且此等法律須明確可預見,以便資料主體明確預知資料控管者可在何種情形下援引此等限制。期限不確定、溯及適用或適用條件不明確者,不符明確可預見原則。
- 疫情大流行或其他緊急狀況自身並非限制資料主體權利之適足理由。疫情流行期間宣告國家緊急狀態,可作為限制資料主體權利的正當性理由,惟此等限制須出於確保公共健康之目的,須尊重基本權利及自由之本質,且須係符合比例原則的必要措施。限制之適用須有嚴格範圍與期限,且須包含GDPR第23條第2項所列之保障事項。
- 若在國家緊急狀態期間,暫不允許資料主體行使歐盟GDPR規定之各項權利,而不列明暫停之具體時限,無異於對資料主體權利事實上之無限暫停,不符基本權利和自由之本質。
EDPB還表示,其將在下個月發布GDRP第23條之實施指引。指引發布後,達文西個資暨高科技法律事務所將為大家作進一步解讀。
_________________________
註1:衛生福利部「嚴重特殊傳染性肺炎防治及紓困振興特別條例」全文請見:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=L0050039。
註2:匈牙利政府第179/2020號政府命令原文請見:
https://magyarkozlony.hu/dokumentumok/008772a9660e8ff51e7dd1f3d39ec056853ab26c/megtekintes。
註3:歐盟公民團體之聯名函原文請見:
註4:EDPB之回函原文請見:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_letter_out2020-0046_ngoshudecrees.pdf。
註5:EDPB之聲明原文請見:
https://edpb.europa.eu/sites/edpb/files/files/file2/edpb_statement_art_23gdpr_20200602_en.pdf。
※歡迎註明出處後轉載。