歐盟機構關于限制數據主體權利的新動向

【摘 要】 為保護歐盟成員國國民的個人數據，歐盟通過了數項法規，為個人數據數據保護提供了充分的法律框架。與此同時，歐盟也意識到在維護國家安全等某些特殊情況下，需要對個人的數據保護權利加以限制，以實現個人保護與國家社會利益保護間的平衡。2020年3月，歐洲數據保護主管發布了 《關于第2018/1725號條例第25條以及限制數據主體權利的內部規則的指南》，該指南對2018年發布的《關于在歐盟機構、機關、辦公室和辦事處處理個人數據方面對自然人的保護以及這些數據的自由流動，并廢除（EC）第 45/2001 號條例和（EC）第 1247/2002 號決定的條例》（下文簡稱“第2018/1725 號條例”）第25條的規定進行完善，對如何擬定和執行內部規則以限制數據主體權利進行了具體規定并提供了相關范本。

【關鍵詞】 歐洲數據保護主管 個人數據保護 必要性

比例性

一、出臺背景及目的

個人數據保護是歐盟賦予成員國公民的的一項基本權利。《歐盟基本權利憲章》（以下簡稱“憲章”）第8條規定了數據的查詢權和更正權，第45/2001號法規（《關于在社區機構和團體處理個人數據以及此類數據的自由流動的方面對個人保護的條例》）規定了數據主體的反對權和刪除權。為了保護數據主體的權利，2016年 4 月 14 日，歐盟議會和歐盟理事會發布了《通用數據保護條例》（GDPR），條例制定了個人數據保護的一般規則。2018年11 月 21 日，歐洲議會和歐盟理事會發布了第2018/1725 號條例[1]，規制了歐盟機構、機關、辦公室和辦事處處理個人數據方面對自然人的保護。第2018/1725號條例的發布，是歐盟為數字時代數據保護制定全面框架的又一個重要步驟，這使歐盟機構能夠以身作則，采取積極的必要的步驟和行動，確保個人數據處理的整體安全環境。第2018/1725 號條例第25條的標題為“限制”，即當出現第25條第1款列出的情形，包括成員國的國家安全，公共安全或國防;預防，調查，偵查和起訴刑事犯罪或執行刑事處罰等，歐盟機構可能會限制數據主體的權利。歐盟機構應當僅在必要且始終基于法律規定的情況下采用此類限制，或者在沒有此類法律規定的情況下，在與歐盟機構有關的事項上，應以歐盟機構的內部規則為基礎采用此類限制。

然而，自第2018/1725 號條例生效以來，由于第25條對數據主體權利的限制的規定較為模糊，因此在執行層面曾多次遭到數據主體的質疑和投訴。為了明確歐盟機構何時可以對數據主體進行限制，以及如何制訂限制數據主體權利的內部規則，確保限制的必要性和比例性，EDPS發布了《關于第2018/1725號條例第25條的指南以及限制數據主體權利的內部規則》。

二、主要內容

（一）框架

該指南的結構如下：第一，EDPS強調了數據保護是歐盟民主國家的基本權利，因此在歐盟機構在限制數據主體的權利時應當有法律依據或者內部規則做支撐。第二，指南對第2018/1725 號條例第25條對限制的規定做了進一步的明確，包括限制是什么，哪些權利可能受到限制的影響，限制的條件。第三，指南對限制數據主體權利的內部規則的制訂和執行進行了具體規定，并提供了相關的模型[2]。

（二）對第2018/1725 號條例第25條的完善

第2018/1725 號條例第25條規定的限制不意味著要剝奪數據主體權利，限制本身就是一種臨時措施，當證明限制條件成立的情況不再存在時，歐盟機構必須“歸還”數據主體的權利。當歐盟機構對數據主體實行限制時，數據主體的知情權、查閱權、更正權、刪除權、反對權、數據移植權利、電子通信機密性等權利可能受到影響，例如在歐洲反欺詐辦公室（OLAF）展開調查過程中，可以暫時限制數據主體的知情權、查閱權、更正權和刪除權;在任何階段，數據主體始終有權提出反對權，但是，歐盟機構必須檢查反對意見，并可能需要證明存在令人信服的合理理由從而不接受反對意見;在進行恐怖活動等危害國家安全的調查時，歐盟機構可能會限制電子通信的機密性。

限制數據主體權利的因素有三個，一是必要性和比例性檢驗;二是需要法律依據，三是限制的依據。關于必要性和比例性檢驗，EDPS已頒布一系列相關指南，歐盟機構在限制數據主體權利時應依據指南展開必要性和相關性測試，有關個人數據保護的限制必須僅在嚴格必要的范圍內適用。由于測試必要性是測試比例性的前提，若歐盟機構所設想的措施未通過必要性測試，則無需檢查其比例性。關于需要法律依據，指南指出被廢止的條例即第45/2001條例直接以第20條為依據進行限制，即如果是出于預防、調查、偵查和起訴刑事犯罪或成員國或歐洲共同體的重要經濟或金融利益等原因，社區機構和團體可以限制數據主體的權利。而第2018/1725號條例與第45/2001條例不同，其規定限制要以法律為基礎，對于與歐盟機構有關的事項，沒有法律基礎的，則以歐盟機構的內部規則為基礎。關于限制的依據，指南對第2018/1725號條例第25條列舉的每一項限制依據都予以了解釋，如預防、調查、偵查和起訴刑事犯罪或執行刑事處罰，包括維護和預防對公共安全的威脅，對于該項限制數據主體權利的依據，指南指出第2018/1725號條例在第45/2001號條例的基礎上對適用范圍進行了拓展，即只要與預防或調查犯罪行為有聯系，就必須將其廣義地解釋為涵蓋行政詢問，紀律處分程序或歐洲反腐敗辦公室（OLAF）調查，從而對數據主體的權利進行限制。歐盟機構應確保在其網站上發布一份正式的數據保護通知，告知潛在的數據主體其權利可能受到的臨時限制。在預防、調查、發現和起訴受管制職業的道德違規行這項限制依據中，指南還特別指出，在反騷擾的調查程序中，此前出于保護受害者的目的，歐盟機構會根據第45/2001號條例第20條規定的限制來限制被指控的騷擾者獲取其自身數據的權利。但依據第2018/1725號條例第25條，歐盟機構不能直接限制騷擾者的查閱權，而應在個案的基礎上加以處理，以平衡所謂的騷擾者的權利與對潛在受害者的保護之間的關系。

（三）內部規則的制訂和執行

關于內部規則的制訂，從理論層面來講，指南提供了內部規則的一些范本，但歐盟機構可根據特定需求量身定制內部規則。在制訂內部規則時，歐盟機構需要向數據保護官（DPO）和EDPS咨詢，內部規則制訂后須經歐盟機構的最高管理級別同意才能通過。一旦通過，內部規則必須在《歐盟官方公報》以及該機構的網站上發布。從實踐層面來講，內部規則應提及進行限制的目的、適用限制的個人數據類別、限制的權利并盡可能將三者聯系起來。例如，在反騷擾的調查程序中，歐盟機構可能會限制被指控騷擾者對開始調查的決定、調查的初步結果等數據類別的查閱權和刪除權，這是保護被騷擾者所必需的。此外，內部規則還應注明權利限制的時間，并規定審查關于限制的既定決定的定期措施，如限制時間可以計算為處理操作的持續時間加上潛在訴訟的時間，歐盟機構應每六個月審查限制措施，以確保其理由仍然有效。

關于內部規則的執行，歐盟機構必須告知數據主體可能對其施加限制，并在歐盟機構的網站上發布通用數據保護通知。數據主體應該意識到，如果他們牽涉到行政或刑事等調查程序中，在此期間可能會被限制數據權利。但數據主體應該享有了解限制數據權利的目的以及向EDPS投訴的權利。在調查的初步階段完成之后，數據主體應收到特定的數據保護通知，例如數據保護通知可能會限制訪問調查文件或潛在騷擾受害者指控的文件的權利，并在可能的情況下指出權利完全恢復的期限。一旦證明限制的理由不再成立，歐盟機構應以特定的數據保護通知的形式及時通知數據主體，數據主體有權知道對他們的限制已到期，權利得到恢復。如果數據主體特別要求在特定調查的非常關鍵的時刻行使某項權利，歐盟機構應盡可能將限制的主要原因告知數據主體。但是，如果將限制的主要原因告知數據主體會妨礙限制的效果，那么告知數據主體限制的主要原因和他們可向EDPS提出投訴的權利的時間可以推遲。

三、評價

由于數據保護是歐盟的一項基本權利，其中包括查閱權，更正權，刪除權等多項權利，嚴格尊重數據主體的這些權利是數據保護的實質。憲章第52條第1款規定了對行使憲章所承認的權利和自由的任何限制都必須由法律規定，這與《歐洲人權公約》（ECtHR）第8條第2款中的依法行事相對應。因此歐盟機構在制訂內部規則對數據主體施加限制時必須要嚴格遵守法律，并與法治兼容。內部規則對限制內容的規定必須足夠清晰明確，以使數據主體充分了解歐盟機構有權采取任何此類限制措施的情況和條件。

根據歐洲法院的判例，對數據主體權利的一切限制必須只在絕對必要的情況下適用，因此在制訂內部規章之前，歐盟機構必須逐案進行必要性和比例性測試，對此可參照2020年1月28日EDPS發布的《EDPS必要性和比例性快速指南》[3]。關于必要性評估，歐盟機構應當制定限制權利的事實說明;分析限制影響的基本權利，是否會對公民的隱私權和以及其他權利造成影響;確定限制的目的，可能是包括維護公共利益的需要或保護他人權利和自由的需要從而選擇有效且傷害性最小的限制方案。關于比例性評估，歐盟機構應當評估限制目的的重要性以及采取的限制是否能達到該目的;其次應當評估限制的范圍、程度和強度，如果措施未達比例性要求，則應通過減少個人數據處理的范圍或程度，引入失效條款或到期期限等措施保證符合比例性要求。出于EDPS和DPO問責的目的，指南規定歐盟機構應當說明實施限制的原因，以及必要性和相稱性檢驗的結果。另外，指南還規定歐盟機構應就第2018/1725號條例第25條的適用情況定期編寫評估報告，這些規定能夠保證歐盟機構對數據主體的限制始終符合必要性和比例性要求。

還需要特別注意的是，由于目前新型冠狀病毒正在全球廣泛傳播，2020年4月21日，歐盟數據保護委員會（EDPB）通過了《Covid-19疫情背景下為科學研究目的使用健康數據指南》。該指南指出科學研究目的應包括在公共衛生領域進行的符合公眾利益的研究。在對特定人群的疾病和癥狀進展進行調查以維護公共安全時，研究人員仍需征得數據主體的同意，研究人員也應當認識到，數據主體必須有可能在任何時候撤回同意，如果數據撤回同意且研究人員沒有其他處理數據的合法依據，研究人員應當刪除數據。因此，雖然第2018/1725號條例第25（1）（a）條規定出于維護公共安全的目的，歐盟機構可對數據主體的知情權進行限制，但歐盟機構在依據《關于第2018/1725號條例第25條以及限制數據主體權利的內部規則的指南》限制數據主體權利的過程中，還應充分考慮一些特殊情形，如在限制新型冠狀病毒潛在和確診感染者的數據權利時，歐盟機構還應當參照EDPB發布的相關指南，以充分平衡歐盟機構對數據主體權利的限制以及對數據主體權利的保障之間的關系，從而進一步完善歐盟數據保護框架。

【參考文獻】

[1] European Parliament [EB/OL].https：//eur-lex.europa.eu/legal-content/en/TXT/？uri=CELEX：32018R1725. 2020年4月2日

[2] European Data Protection Supervisor [EB/OL]. https：//edps.europa.eu/data-protection/our-work/publications/guidelines/guidance-art-25-regulation-20181725_en. 2020年4月2日

[3] European Data Protection Supervisor [EB/OL]. https：//edps.europa.eu/sites/edp/files/publication/20-01-28_edps_quickguide_en.pdf. 2020年4月4日

[4] European Data Protection Board [EB/OL]. https：//edpb.europa.eu/our-work-tools/our-documents/mandate-processing-health-data-research-purposes-context-covid-19_en. 2020年4月4日

作者簡介：吳悅舒（19950324）女，漢族，廣東韶關人，單位：西安交通大學法學院，研究生學歷，法學專業，研究方向：國際投資法