欧盟机构关于限制数据主体权利的新动向

【摘 要】 为保护欧盟成员国国民的个人数据，欧盟通过了数项法规，为个人数据数据保护提供了充分的法律框架。与此同时，欧盟也意识到在维护国家安全等某些特殊情况下，需要对个人的数据保护权利加以限制，以实现个人保护与国家社会利益保护间的平衡。2020年3月，欧洲数据保护主管发布了 《关于第2018/1725号条例第25条以及限制数据主体权利的内部规则的指南》，该指南对2018年发布的《关于在欧盟机构、机关、办公室和办事处处理个人数据方面对自然人的保护以及这些数据的自由流动，并废除（EC）第 45/2001 号条例和（EC）第 1247/2002 号决定的条例》（下文简称“第2018/1725 号条例”）第25条的规定进行完善，对如何拟定和执行内部规则以限制数据主体权利进行了具体规定并提供了相关范本。

【关键词】 欧洲数据保护主管 个人数据保护 必要性

比例性

一、出台背景及目的

个人数据保护是欧盟赋予成员国公民的的一项基本权利。《欧盟基本权利宪章》（以下简称“宪章”）第8条规定了数据的查询权和更正权，第45/2001号法规（《关于在社区机构和团体处理个人数据以及此类数据的自由流动的方面对个人保护的条例》）规定了数据主体的反对权和删除权。为了保护数据主体的权利，2016年 4 月 14 日，欧盟议会和欧盟理事会发布了《通用数据保护条例》（GDPR），条例制定了个人数据保护的一般规则。2018年11 月 21 日，欧洲议会和欧盟理事会发布了第2018/1725 号条例[1]，规制了欧盟机构、机关、办公室和办事处处理个人数据方面对自然人的保护。第2018/1725号条例的发布，是欧盟为数字时代数据保护制定全面框架的又一个重要步骤，这使欧盟机构能够以身作则，采取积极的必要的步骤和行动，确保个人数据处理的整体安全环境。第2018/1725 号条例第25条的标题为“限制”，即当出现第25条第1款列出的情形，包括成员国的国家安全，公共安全或国防;预防，调查，侦查和起诉刑事犯罪或执行刑事处罚等，欧盟机构可能会限制数据主体的权利。欧盟机构应当仅在必要且始终基于法律规定的情况下采用此类限制，或者在没有此类法律规定的情况下，在与欧盟机构有关的事项上，应以欧盟机构的内部规则为基础采用此类限制。

然而，自第2018/1725 号条例生效以来，由于第25条对数据主体权利的限制的规定较为模糊，因此在执行层面曾多次遭到数据主体的质疑和投诉。为了明确欧盟机构何时可以对数据主体进行限制，以及如何制订限制数据主体权利的内部规则，确保限制的必要性和比例性，EDPS发布了《关于第2018/1725号条例第25条的指南以及限制数据主体权利的内部规则》。

二、主要内容

（一）框架

该指南的结构如下：第一，EDPS强调了数据保护是欧盟民主国家的基本权利，因此在欧盟机构在限制数据主体的权利时应当有法律依据或者内部规则做支撑。第二，指南对第2018/1725 号条例第25条对限制的规定做了进一步的明确，包括限制是什么，哪些权利可能受到限制的影响，限制的条件。第三，指南对限制数据主体权利的内部规则的制订和执行进行了具體规定，并提供了相关的模型[2]。

（二）对第2018/1725 号条例第25条的完善

第2018/1725 号条例第25条规定的限制不意味着要剥夺数据主体权利，限制本身就是一种临时措施，当证明限制条件成立的情况不再存在时，欧盟机构必须“归还”数据主体的权利。当欧盟机构对数据主体实行限制时，数据主体的知情权、查阅权、更正权、删除权、反对权、数据移植权利、电子通信机密性等权利可能受到影响，例如在欧洲反欺诈办公室（OLAF）展开调查过程中，可以暂时限制数据主体的知情权、查阅权、更正权和删除权;在任何阶段，数据主体始终有权提出反对权，但是，欧盟机构必须检查反对意见，并可能需要证明存在令人信服的合理理由从而不接受反对意见;在进行恐怖活动等危害国家安全的调查时，欧盟机构可能会限制电子通信的机密性。

限制数据主体权利的因素有三个，一是必要性和比例性检验;二是需要法律依据，三是限制的依据。关于必要性和比例性检验，EDPS已颁布一系列相关指南，欧盟机构在限制数据主体权利时应依据指南展开必要性和相关性测试，有关个人数据保护的限制必须仅在严格必要的范围内适用。由于测试必要性是测试比例性的前提，若欧盟机构所设想的措施未通过必要性测试，则无需检查其比例性。关于需要法律依据，指南指出被废止的条例即第45/2001条例直接以第20条为依据进行限制，即如果是出于预防、调查、侦查和起诉刑事犯罪或成员国或欧洲共同体的重要经济或金融利益等原因，社区机构和团体可以限制数据主体的权利。而第2018/1725号条例与第45/2001条例不同，其规定限制要以法律为基础，对于与欧盟机构有关的事项，没有法律基础的，则以欧盟机构的内部规则为基础。关于限制的依据，指南对第2018/1725号条例第25条列举的每一项限制依据都予以了解释，如预防、调查、侦查和起诉刑事犯罪或执行刑事处罚，包括维护和预防对公共安全的威胁，对于该项限制数据主体权利的依据，指南指出第2018/1725号条例在第45/2001号条例的基础上对适用范围进行了拓展，即只要与预防或调查犯罪行为有联系，就必须将其广义地解释为涵盖行政询问，纪律处分程序或欧洲反腐败办公室（OLAF）调查，从而对数据主体的权利进行限制。欧盟机构应确保在其网站上发布一份正式的数据保护通知，告知潜在的数据主体其权利可能受到的临时限制。在预防、调查、发现和起诉受管制职业的道德违规行这项限制依据中，指南还特别指出，在反骚扰的调查程序中，此前出于保护受害者的目的，欧盟机构会根据第45/2001号条例第20条规定的限制来限制被指控的骚扰者获取其自身数据的权利。但依据第2018/1725号条例第25条，欧盟机构不能直接限制骚扰者的查阅权，而应在个案的基础上加以处理，以平衡所谓的骚扰者的权利与对潜在受害者的保护之间的关系。

（三）内部规则的制订和执行

关于内部规则的制订，从理论层面来讲，指南提供了内部规则的一些范本，但欧盟机构可根据特定需求量身定制内部规则。在制订内部规则时，欧盟机构需要向数据保护官（DPO）和EDPS咨询，内部规则制订后须经欧盟机构的最高管理级别同意才能通过。一旦通过，内部规则必须在《欧盟官方公报》以及该机构的网站上发布。从实践层面来讲，内部规则应提及进行限制的目的、适用限制的个人数据类别、限制的权利并尽可能将三者联系起来。例如，在反骚扰的调查程序中，欧盟机构可能会限制被指控骚扰者对开始调查的决定、调查的初步结果等数据类别的查阅权和删除权，这是保护被骚扰者所必需的。此外，内部规则还应注明权利限制的时间，并规定审查关于限制的既定决定的定期措施，如限制时间可以计算为处理操作的持续时间加上潜在诉讼的时间，欧盟机构应每六个月审查限制措施，以确保其理由仍然有效。

关于内部规则的执行，欧盟机构必须告知数据主体可能对其施加限制，并在欧盟机构的网站上发布通用数据保护通知。数据主体应该意识到，如果他们牵涉到行政或刑事等调查程序中，在此期间可能会被限制数据权利。但数据主体应该享有了解限制数据权利的目的以及向EDPS投诉的权利。在调查的初步阶段完成之后，数据主体应收到特定的数据保护通知，例如数据保护通知可能会限制访问调查文件或潜在骚扰受害者指控的文件的权利，并在可能的情况下指出权利完全恢复的期限。一旦证明限制的理由不再成立，欧盟机构应以特定的数据保护通知的形式及时通知数据主体，数据主体有权知道对他们的限制已到期，权利得到恢复。如果数据主体特别要求在特定调查的非常关键的时刻行使某项权利，欧盟机构应尽可能将限制的主要原因告知数据主体。但是，如果将限制的主要原因告知数据主体会妨碍限制的效果，那么告知数据主体限制的主要原因和他们可向EDPS提出投诉的权利的时间可以推迟。

三、评价

由于数据保护是欧盟的一项基本权利，其中包括查阅权，更正权，删除权等多项权利，严格尊重数据主体的这些权利是数据保护的实质。宪章第52条第1款规定了对行使宪章所承认的权利和自由的任何限制都必须由法律规定，这与《欧洲人权公约》（ECtHR）第8条第2款中的依法行事相对应。因此欧盟机构在制订内部规则对数据主体施加限制时必须要严格遵守法律，并与法治兼容。内部规则对限制内容的规定必须足够清晰明确，以使数据主体充分了解欧盟机构有权采取任何此类限制措施的情况和条件。

根据欧洲法院的判例，对数据主体权利的一切限制必须只在绝对必要的情况下适用，因此在制订内部规章之前，欧盟机构必须逐案进行必要性和比例性测试，对此可参照2020年1月28日EDPS发布的《EDPS必要性和比例性快速指南》[3]。关于必要性评估，欧盟机构应当制定限制权利的事实说明;分析限制影响的基本权利，是否会对公民的隐私权和以及其他权利造成影响;确定限制的目的，可能是包括维护公共利益的需要或保护他人权利和自由的需要从而选择有效且伤害性最小的限制方案。关于比例性评估，欧盟机构应当评估限制目的的重要性以及采取的限制是否能达到该目的;其次应当评估限制的范围、程度和强度，如果措施未达比例性要求，则应通过减少个人数据处理的范围或程度，引入失效条款或到期期限等措施保证符合比例性要求。出于EDPS和DPO问责的目的，指南规定欧盟机构应当说明实施限制的原因，以及必要性和相称性检验的结果。另外，指南还规定欧盟机构应就第2018/1725号条例第25条的适用情况定期编写评估报告，这些规定能够保证欧盟机构对数据主体的限制始终符合必要性和比例性要求。

还需要特别注意的是，由于目前新型冠状病毒正在全球广泛传播，2020年4月21日，欧盟数据保护委员会（EDPB）通过了《Covid-19疫情背景下为科学研究目的使用健康数据指南》。该指南指出科学研究目的应包括在公共卫生领域进行的符合公众利益的研究。在对特定人群的疾病和症状进展进行调查以维护公共安全时，研究人员仍需征得数据主体的同意，研究人员也应当认识到，数据主体必须有可能在任何时候撤回同意，如果数据撤回同意且研究人员没有其他处理数据的合法依据，研究人员应当删除数据。因此，虽然第2018/1725号条例第25（1）（a）条规定出于维护公共安全的目的，欧盟机构可对数据主体的知情权进行限制，但欧盟机构在依据《关于第2018/1725号条例第25条以及限制数据主体权利的内部规则的指南》限制数据主体权利的过程中，还应充分考虑一些特殊情形，如在限制新型冠状病毒潜在和确诊感染者的数据权利时，欧盟机构还应当参照EDPB发布的相关指南，以充分平衡欧盟机构对数据主体权利的限制以及对数据主体权利的保障之间的关系，从而进一步完善欧盟数据保护框架。

【参考文献】

[1] European Parliament [EB/OL].https：//eur-lex.europa.eu/legal-content/en/TXT/？uri=CELEX：32018R1725. 2020年4月2日

[2] European Data Protection Supervisor [EB/OL]. https：//edps.europa.eu/data-protection/our-work/publications/guidelines/guidance-art-25-regulation-20181725_en. 2020年4月2日

[3] European Data Protection Supervisor [EB/OL]. https：//edps.europa.eu/sites/edp/files/publication/20-01-28_edps_quickguide_en.pdf. 2020年4月4日

[4] European Data Protection Board [EB/OL]. https：//edpb.europa.eu/our-work-tools/our-documents/mandate-processing-health-data-research-purposes-context-covid-19_en. 2020年4月4日

作者簡介：吴悦舒（19950324）女，汉族，广东韶关人，单位：西安交通大学法学院，研究生学历，法学专业，研究方向：国际投资法