編譯：許  斌 博士／特約研究員

審閱：葉奇鑫 律師

王慕民 律師

 

全文約1100字，閱讀約需4分鐘

 

新冠肺炎防疫期間，為落實防疫措施、避免疫情擴散，許多國家都在既有的隱私與個資保護法規之外，對民眾的個人資料自主權與隱私權作出了進一步干預。例如，我國制定《嚴重特殊傳染性肺炎防治及紓困振興特別條例》，以個資法的特別法方式，對於在特殊個案中對於違反隔離或檢疫命令者或有違反之虞者，允許中央流行疫情指揮中心公布其個人資料（註1），此即為在現行個資法外立法干預人民的資訊隱私權。相較之下，有些國家的干預範圍更廣、程度更甚。匈牙利政府於今年5月4日發布第179/2020號政府命令（註2），宣布國家進入緊急狀態，且對於在緊急狀態期間為防疫目的處理個人資料之行為，暫不允許資料主體行使歐盟GDPR第15條至第22條規定之各項權利。

 

雖然GDPR第23條允許會員國為公共安全、一般公共利益等目的，對資料主體之各項權利課加必要限制，但前開匈牙利政府命令，依然引發了諸多爭議。歐盟公民團體因此聯名致函歐洲個人資料保護委員會（European Data Protection Board, EDPB），請求後者檢視匈牙利政府命令是否符合GDPR（註3）。

 

EDPB於6月3日作出回函（註4），強調GDPR在國家緊急狀態期間依然適用。但由於GDPR在會員國境內係由會員國資料保護主管機關負責實施，EDPB並未對匈牙利政府命令之適法性作出明確判斷。

 

EDPB同時針對國家緊急狀態期間資料主體之權利限制發表聲明（註5）。聲明強調：

1. 無論在何種情況下，以普遍、廣泛、侵入式（intrusive）的限制架空一項基本權之核心內容，都不是合理（justified）措施。
2. 資料主體的權利為資料保護基本權之核心，此等權利之適用為一般常態。GDPR第23條所允許之資料主體權利限制為例外，僅限於特定情形。
3. GDPR第23條規定之權利限制須以「法律」定之，且此等法律須明確可預見，以便資料主體明確預知資料控管者可在何種情形下援引此等限制。期限不確定、溯及適用或適用條件不明確者，不符明確可預見原則。
4. 疫情大流行或其他緊急狀況自身並非限制資料主體權利之適足理由。疫情流行期間宣告國家緊急狀態，可作為限制資料主體權利的正當性理由，惟此等限制須出於確保公共健康之目的，須尊重基本權利及自由之本質，且須係符合比例原則的必要措施。限制之適用須有嚴格範圍與期限，且須包含GDPR第23條第2項所列之保障事項。
5. 若在國家緊急狀態期間，暫不允許資料主體行使歐盟GDPR規定之各項權利，而不列明暫停之具體時限，無異於對資料主體權利事實上之無限暫停，不符基本權利和自由之本質。

 

EDPB還表示，其將在下個月發布GDRP第23條之實施指引。指引發布後，達文西個資暨高科技法律事務所將為大家作進一步解讀。

 

_________________________

 

註1：衛生福利部「嚴重特殊傳染性肺炎防治及紓困振興特別條例」全文請見：https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=L0050039。

註2：匈牙利政府第179/2020號政府命令原文請見：

https://magyarkozlony.hu/dokumentumok/008772a9660e8ff51e7dd1f3d39ec056853ab26c/megtekintes。

註3：歐盟公民團體之聯名函原文請見：

https://www.accessnow.org/cms/assets/uploads/2020/05/Joint-letter-to-EDPB-Hungary-GDPR-Decree-Access-Now-Liberties-HCLU.pdf。

註4：EDPB之回函原文請見：

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_letter_out2020-0046_ngoshudecrees.pdf。

註5：EDPB之聲明原文請見：

https://edpb.europa.eu/sites/edpb/files/files/file2/edpb_statement_art_23gdpr_20200602_en.pdf。

 

※歡迎註明出處後轉載。