寰球密码简报(第14期)丨欧盟“保障数字绿色证书合理使用”提议及其评价
一、EDPB、EDPS联合提议的背景
公民自由流动的权利,是欧盟对公民规定的四大权利之一。而各国对疫情防范的措施都在不同程度上限制了公民对这一权利的行使。2021年3月17日欧盟委员会为了保证公民在疫情期间正常行使自由流动的权利,发布了《欧洲议会和理事会关于发放、验证和接受疫苗接种、检测和恢复互操作证书框架的条例提案》和《欧洲议会和理事会关于在新冠肺炎大流行病期间,向合法居留或居住在成员国境内的第三国国民,发放、核查和接受关于疫苗接种、检测和恢复的共同操作证书的框架的条例提案》(统称“提案”)。
欧洲数据保护委员会(EDPB)和欧洲数据保护监督机构(EDPS)针对欧盟委员会发布的两个提案,重点从四个方面进行了一系列的建议(“提议”)。
二、提议重点考虑的四个方面
1、抗击疫情期间,落实对个人权利的限制和保障个人权利之间的衡量
(1)明确给出的基调是不得以抗击疫情为由,过分限制个人的权利。使用数字绿色证书也只是在特殊时期,对自由流动权利的一种保障而不是限制。
(2)首要的是强调所规定的制度均不得与《宪法》、《TFEU公约》(保障个人数据安全)、《一般数据保护条例》的规定相冲突。
(3)再者,应根据整体性考虑和道德标准的考虑,并遵守有效性原则、必要性原则和比例性原则,对数字绿色证书的制作和使用进行限制,以此实现对数字绿色证书中所包含的个人信息的数据安全和隐私权进行保障。
2、对证书类型和使用范围的限制
(1)明确“疫苗接种证书”的定义。根据确定的定义,要求第三方对证书使用有效性进行评估,进而明确使用证书是否能够实现预期的目标。
(2)确定证书的操作系统,避免出现因为各国实施的差异,歧视其他国家公民的现象。确定所发放证书的形式为纸质版和电子版两种形式,以此确保每公民都能够免费获取证书。对证书的过期、篡改、造假、二次使用风险进行防范,以确保公民能够正常使用证书和实现人员流动的安全。
(3)根据对个人隐私保护的考虑,对证书发放的时间,是先申请再制作还是先制作再申请;以及设计的证书所包含的个人信息,从最小必要等方面提出了一些质疑。
(4)为了避免不同国家的公民被歧视,建议要求所有的国家都必须接受数字绿色证书的各个类型。
3、建立法律框架的提议
(1)在此框架下,提案的规定和实施方案都要符合《宪法》规定的必要性原则、比例性原则以及《一般数据保护条例》的对数据安全的规定,避免法律上的冲突,以确保法律的兼容。
(2)在法律框架内限制数字绿色证书使用的期限、范围和权限。应规定,一旦疫情结束,不得以任何理由储存、使用个人数据。
(3)设立监督机制,对侵犯数据安全和个人隐私的行为,提供专门追责法律依据和追责途径。
4、对数据保护的重点考虑
(1)规定不得私自建立数据库保存个人数据,并且不得以其他任何理由,使用证书数据。
(2)明确管理人员和实施人员的责任划分,以及追责制度。
三、EDPB和EDPS提议的评价
对于欧洲数据保护委员会(EDPB)和欧洲数据保护监督机构(EDPS)的联合提议,其主要关注是提案目标的明确、冲突之间的调和以及个人权利保障的落实。尤其是强调了规定的实施层面。
在疫情的大背景下,欧盟委员会为了保障公民自由流动权利的实行,采取了数字绿色证书充当自由流通时的健康证明。EDPB和EDPS在此基础上,进一步讨论了法律之间的冲突、保障了公民的数据安全和隐私权、监督管理者和实施者的行为和追责制度,从而全方位地考虑保障公民的权利。
欧洲数据保护委员会(EDPB)和欧洲数据保护监督机构(EDPS)提议的特点是通过三方面规定了更加针对实操层面措施。
(1)通过法律之间的协调和法律框架的确立,为使用数字绿色证书提供法律的依据和现有法律之间保证一致性,同时也限制了数字绿色证书的使用范围。
(2)通过规定更详细地明确了欧盟各个国家使用数字绿色证书目的、证书种类、证书类型,既满足了所有公民都能够使用数字绿色证书,同时也避免了不同国家对提案理解的差异和事实上的差异,保障公民在行使自由流动权时不会受到歧视。
(3)明确了数字绿色证书的使用和范围、限制对数据的储存和传输,以及明确了责任划分和追责方式,保证了公民的数据安全和隐私安全。
EDPB和EDPS的提议首先是确保了实施提案的规定,不会和其他法律进行干涉。尤其是对实施时会出现的各种细节的规定和可能出现的风险的规避,这也是本次提议的一大亮点。另外欧盟在处理应急问题上,设立专门的部门并且预先对可能出现的风险和责任进行划分也是常见的做法。
四、对我国的可参考价值
我国在疫情防控方面,无论是应急反应还是抗疫效果方面,确有很多经验总结,但在疫情之初,也出现了很多个人权利的行使与限制的冲突现象。结合保障数字绿色证书合理使用提议,以及我国疫情防控实践,特别是2021年3月以来我国开始部署和未来涉及互认的“国际旅行健康证明”等,建议:
1、在法律、政策规定出台后,对所规定的模糊性条款进行及时的细化规定,确保在实施时不会因为理解的差异对法律产生误解和执法的差距。
2、在疫情防控期间,保障绿色健康码和疫苗接种信息,在使用过程中保障数据安全和个人隐私权。
3、健康证明等应使用加密技术,由于涉及各国间的互认机制,应在强化加密保护的同时,加快国家商用密码的国际标准化进程,以实现加密“健康证明”的互认。
(本期翻译、撰稿:赵丽莉 校对:原 浩)
附:原文参考
https://edps.europa.eu/system/files/2021-04/21-03-31_edpb_edps_joint_opinion_digital_green_certificate_en_0.pdf
关于“寰球密码法律政策发展动态简报”
为深入研讨我国密码法相关制度与现实挑战,凝聚国内外密码与网络安全精英,合力推动我国密码产业发展,苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报,供政府、产业及学术同仁参考。以期联合政产学研力量,为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会(筹)、编辑部采取开放组织形式,欢迎各界同仁予以各种方式积极参与和支持,踊跃投稿!
主 编:马民虎
副 主 编:黄道丽 朱莉欣
责任编辑:原浩 赵丽莉 马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯
联系电话:0512—69562805,17792480296
投稿邮箱:xieyonghong2015@xjtu.edu.cn
往期简报回顾
“苏州信息安全法学所”