涉外法律 | EDPB通过GDPR第23条数据主体权利限制指南
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:《GDPR第23条数据主体权利限制指南》;GDPR;EDPB;欧盟;数据主体;权利限制;公众利益
本文约1753字,大概需要阅读5分钟。
在10月的全体会议上,EDPB在公众咨询后通过了《GDPR第23条数据主体权利限制指南》(以下简称“《指南》”)的最终版本。该《指南》旨在回顾成员国或欧盟立法者根据《基本权利宪章》和《GDPR》使用此类限制的条件。它们对适用限制的标准、需要遵守的评估、限制解除后数据主体如何行使其权利以及违反《GDPR》第23条的后果进行了全面分析。此外,该《指南》分析了规定限制的立法措施如何需要满足可预见性要求,并审查了GDPR第23(1)条所列限制的理由,以及可能受到限制的义务和权利。
GDPR第23条为例外情况提供了一个框架,只要该限制系基于尊重个人的基本权利和自由的本质,并在民主社会是必要和适当的措施来保障,例如,国家安全、国防、公共安全,在这种情况下,允许欧盟或成员国可以限制GDPR中某些条款的适用、对数据主体的权利进行限制(to impose restrictions on data subject rights)。限制可能适用的数据主体权利是第12-22条(例如查阅、删除的权利)、第34条(向个人通报数据违反情况)和第5条(数据处理原则)中所列的权利,只要其规定与数据主体权利相对应。
EDPB同时强调,这些限制应该被狭义地解释,并且应该只适用于符合第23条条件的特定情况。EDPB还指出,GDPR第5(2)条中的问责原则仍然适用于考虑限制和意味着控制人员仍然负责,并必须能够向数据主体证明他们符合GDPR。
《指南》强调的要点
《指南》强调了以下几点:
只有在特殊情况下才可对保障资料原则加以限制,即使在特殊情况下也不得限制对全部个人资料的保障;
在考虑限制时,欧盟或各国立法者必须进行必要性和相称性检验;
成员国立法者在采取或制定任何限制之前必须与相关监管当局协商(根据GDPR第36(4)条);
在已实施限制的情况下,资料当事人必须继续获准就非限制条款行使其权利。一旦限制解除(控制人必须记录),数据主体应能够恢复行使其所有权利,并由控制人告知这一事实。
关于第23条关于“限制在民主社会中是必要和适当的”的要求,《指南》指出,限制必须通过必要和适当的检验。首先必须评估限制的必要性,并且应在立法措施中充分详细地确定限制所保障的目标,以允许进行这种评估。一旦确定了必要性,就必须评估所提议的限制的比例性,但如果一个限制没有被证明是必要的,测试的比例性部分就无关紧要了。相称性检验要求确定限制是实现所追求的合法目标的适当手段,并且不超过实现这些目标所适当和必要的限度。
根据《指南》,有关的限制必须以明确和精确的立法措施加以规定,其可能的适用必须是受限制者可以预见的(即显而易见的)。《指南》指出,载有限制的立法措施必须在相关情况下列出第23条所要求的信息,例如限制(从数据主体的角度)对数据主体的权利和自由构成的风险,在实践中,这意味着有关的成员国国内法应足够明确,以使个人充分明确管制人有权依赖该限制的情况和条件(即应保障的目标)。这将允许数据主体了解限制的潜在影响,并为必要性和比例检验提供背景。
《指南》还强调了组织在实施限制时应采取的进一步行动,如记录和保存限制如何实施的记录,包括必要性和比例检验。《指南》明确指出,实施限制措施的管制人员应该意识到这些限制措施的“特殊性质”。
此外,这些限制并不总是需要限制在特定的时间范围内。例如,第23条将保护司法独立和司法程序作为限制的目标,根据《指南》,这是民主社会的持续目标,为实现这一目标而进行的限制不应受到时间限制。但在另一方面,在突发公共卫生事件中采取的限制措施则应在一段特定的时间中实行。《指南》强调,有关的立法措施应明确说明拟议的限制与为达到可预见标准所追求的目标之间的联系。
《指南》最终版与历史版本的区别
与咨询版本相比,EDPB扩大了最终指引的范围,纳入了一些实际的例子。
其中一个例子是,在涉及“公众利益的其他重要目标”时,《指南》讨论了税务当局对数据主体访问权的限制,只要这种访问权可能危及正在进行的调查。环境保护谘询委员会解释说,这类限制应在时间上加以限制,并须为具体调查及适当的保障措施所必需。
另一个例子涉及法律可及性的一般公共利益目标,在这方面,公共行政部门可能对反对处理法院判决中所载的假名个人数据的权利施加限制,在处理个人伤害个案时,以基准的申索及判给的赔偿金额。如果符合《GDPR》第23(2)条规定的条件,如实施了适当的保障措施(例如,补偿金额的近似、删除争议各方的姓名和数据假名),则可以施加此类限制。
除了大量的技术变更,最终指南还删除了一项声明,即如果监管机构认为根据第23条施加限制的立法措施侵犯了GDPR,则有权启动或参与法庭诉讼。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
点一下在看再走吧