欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译(DPO社群出品)
在我国新冠病毒疫情较为严重的期间,本公号发表过关于个人信息保护与疫情联防联控的系列文章:
除原创文章之外,本公号还收集或翻译了关于疫情防控和个人信息、网络安全方面,域外政府部门或当局发布的权威文件:
2020年4月8日,欧盟委员会公布了其利用移动数据和应用支撑应对新冠病毒的建议(中文翻译见上)。4月17日,欧盟委员会进一步发布了与该建议配套的“支持抗击新冠疫情的APP的数据保护指引”(Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection)。公号君第一时间翻译了其公告全文和建议的全文,供大家参考。
新闻公告全文翻译
今天,欧盟委员会发布了关于开发支持冠状病毒防治工作的新APP在个人数据保护方面的指引。这类APP的开发和公民的使用,可以对病毒的防治产生重大影响,并在解除遏制措施的战略中发挥重要作用,还能与其他措施如提高检测能力等形成有意补充。然而,重要的是,要确保欧盟公民能够充分信任这种创新的数字解决方案,并能毫无顾忌地接受它们,欧盟公民尽可能最大限度的参与,对于充分发挥追踪应用程序的潜力是必要的。
欧盟的规则,特别是《通用数据保护条例》(GDPR)和《电子隐私指令》(ePrivacy Directive),为此类应用程序的广泛和准确运行提供了最有力的信任保障(例如自愿的方式、数据最小化、时间限制)。该指引旨在提供必要的框架,以保证公民在使用此类应用时,其个人数据得到充分的保护,并限制其的入侵性。在撰写该指引是,已经征求了欧洲数据保护委员会(European Data Protection Board)的意见。通过承诺遵守指引中的这些标准,即使在危机时期,也可以确保这些工具的充分有效性和合规性。
负责价值和透明度的欧盟委员会副主席Věra Jourová说:“这是第一次在全球危机中,我们可以充分运用技术的力量提供有效的解决方案,并支持大流行病的退出战略。欧洲人的信任将是接触追踪移动应用成功的关键。尊重欧盟的数据保护规则,将有助于确保我们的隐私和基本权利得到维护,欧洲的做法将是透明和相称的。"
欧盟委员会司法事务专员Didier Reynders说。“手机应用程序的使用有可能真正帮助防治冠状病毒,例如帮助用户自我诊断,作为医生和病人之间的安全沟通渠道,提醒有感染病毒风险的用户,并帮助我们解除禁闭措施。同时,我们谈论的是收集非常敏感的公民健康数据,我们有义务保护好这些数据。我们的指引能支持APP的安全发展,保护我们公民的个人数据,符合欧盟强大的数据保护规则。我们将在保持基本权利不受侵犯的前提下,走出卫生危机。”
该数据保护指引是在欧盟委员会最近发布关于移动应用和移动数据使用的共同欧盟建议之后发布的,与之配套的还有今天同时发布的“欧盟关于接触追踪应用的工具箱”(an EU toolbox on contact tracing apps)。
指引所针对的APP类型和功能
该指引主要针对具有以下一项或多项功能的自愿性APP:
为用户提供准确的冠状病毒大流行的相关信息;
为个人提供自我评估和指导的调查问卷(症状检查功能);
提醒曾在感染者附近的人接受检测或自我隔离(接触追踪和警告功能);以及
在自我隔离的患者和医生之间建立沟通平台,包括提供进一步的诊断和治疗建议(远程医疗)。
开发冠状病毒应用程序的主要前提条件
国家卫生部门的角色
必须从一开始就明确规定谁负责遵守欧盟的个人数据保护规则。考虑到数据的高度敏感性和应用程序的最终目的,委员会认为这是国家卫生主管部门的职责,而国家卫生主管部门将反过来负责确保在使用所收集的数据时遵守GDPR,包括向个人提供与处理其个人数据相关的所有必要信息。
用户仍可完全控制其个人数据
在用户的设备上安装应用程序应该是自愿的;用户应该能够对应用程序的每个功能分别给予同意。如果使用了近距数据(proximity data),应将其存储在个人设备上,并且只有在用户同意的情况下才可以共享;用户应该能够行使GDPR规定的权利。
个人数据的有限使用
应用程序应坚持数据最小化原则,即只能处理仅限于相关目的的有关的个人数据。委员会认为,位置数据对于追踪联系人的目的而言并非必要,建议不要在此情况下使用位置数据。
严格限制数据存储
个人数据的保存时间不应超过必要时间。时限应根据医疗相关性以及采取必要的行政措施的现实时间来确定。
数据的安全性
数据应存储在个人的设备上,并进行加密处理。
确保所处理的数据的准确性
根据欧盟个人数据保护规则的要求,第三方处理的任何个人数据必须准确无误。为了确保最大程度的准确性,这也是接触追踪应用程序的效率所必需的,应该使用蓝牙等技术,对个人与对方的联系进行更精确的评估。
国家数据保护机构的参与
数据保护机构应充分参与到APP的开发过程中。在开发过程中,应与数据保护机构进行协商,同时数据保护机构应负责审查APP的部署情况。
指引全文翻译
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
人脸识别系列文章
美国联邦隐私保护立法草案研究
美国联邦隐私保护立法草案研究(一):“行为个性化”
美国联邦隐私保护立法草案研究(二):“个人敏感信息”
美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则
美国联邦隐私保护立法草案研究(四):“生物识别信息”