欧洲法院裁决对移动应用程序环境下个人数据处理的复杂性进行深入探讨
2024 年 2 月 14 日

欧洲法院于2023年10月5日就RK和捷克共和国卫生部(Ministry of Health, Czech Republic)提出的初步裁决请求作出了具有里程碑意义的裁决,对移动应用程序环境下的“处理”个人数据的复杂性进行了深入探讨(案件号C-659/22)。该裁决涉及《通用数据保护条例》(GDPR)下个人数据处理的法律问题。

法律背景

《通用数据保护条例》(GDPR)是保护个人数据处理的基石,旨在维护个人的基本权利。GDPR下的个人数据是指与已知或可识别的自然人相关的任何信息,包括姓名、身份证号码、位置数据、在线标识符或与个人特定的因素。 个人数据保护法管理着对个人数据进行“处理”的情况,无论是手动还是自动方式。处理个人数据涉及对个人数据进行的各种活动。它包括收集、记录、组织、建立结构、存储、调整、修改、检索、咨询、使用、披露、传输、传播、提供或销毁个人数据等活动。

GDPR的第1款回顾强调了保护个人数据的基本性质。此外,欧洲联盟基本权利宪章的第8(1)条和《欧洲联盟功能条约》的第16(1)条强调了每个人有权保护自己的个人数据。

案件背景

为了减少COVID-19病毒的传播,欧盟推出了“欧盟数字COVID证书” to implement a system for the issuance of COVID-19 certificates in compliance with the EUDCC Regulation. The system required the collection and processing of personal data, including health data, from individuals in order to issue the certificates.

The Czech Data Protection Authority raised concerns about the legality of the measure and referred the case to the Court of Justice of the European Union for a preliminary ruling. The Court was asked to clarify whether the measure complied with the GDPR and the EUDCC Regulation, particularly with regard to the principles of necessity and proportionality.

In its judgment, the Court first noted that the processing of personal data for the purpose of issuing COVID-19 certificates was indeed necessary to achieve the public health objective of facilitating free movement during the pandemic. However, the Court emphasized that the processing must be limited to what is strictly necessary and proportionate to achieve that objective.

The Court then examined the specific provisions of the Czech measure and found that it went beyond what was strictly necessary and proportionate. The measure required the collection and processing of personal data, including health data, from individuals who were not only seeking to travel but also from those who were exempt from the travel restrictions.

The Court held that such broad collection and processing of personal data was not justified and went against the principles of necessity and proportionality. The Court stressed that the processing of personal data must be limited to individuals who are subject to the travel restrictions and only for the purpose of issuing COVID-19 certificates.

Therefore, the Court concluded that the Czech measure was not in compliance with the GDPR and the EUDCC Regulation. The Court emphasized the importance of ensuring that any measures taken to address public health concerns during the pandemic respect individuals' fundamental rights, including the right to the protection of personal data.

In summary, the Court's judgment highlights the need for Member states to implement measures for the issuance of COVID-19 certificates in compliance with the GDPR and the EUDCC Regulation. These measures must be necessary and proportionate, ensuring the protection of individuals' personal data while facilitating free movement during the pandemic. 为了规范对特定室内和室外场所的进入以及参加大规模组织的活动,采取了一项措施,以减轻病毒的传播。该措施要求运营商使用捷克部委的移动应用程序“čTečka”进行COVID-19证书检查。该应用程序可以可靠地验证所提供的包含QR码的证书的真实性和有效性。如果个人未能通过此类检查,运营商将被禁止允许该人员进入场所或参加活动。

对这项措施提出质疑的个人RK发起了法律诉讼,促使捷克共和国最高行政法院向欧洲法院寻求初步裁决。核心问题是,使用“čTečka”应用程序验证欧盟数字COVID证书是否构成根据第4(2)条的个人数据自动处理。

Note: The provided Markdown does not contain any picture links. 根据《通用数据保护条例》(GDPR),由于证书中包含的一些信息被认为是根据GDPR第4(1)条的规定属于个人数据。

提及的法院解释了“ČTečka”在验证欧盟数字COVID证书的真实性方面的作用,如2021/953号法规所述。该应用程序通过手机摄像头扫描证书上的QR码来简化验证过程。扫描后,该应用程序提供了关键的身份识别细节的预览,包括证书持有人的姓氏、名字和出生日期,以及证书的状态(有效或无效)。提及的法院解释说,通过点击应用程序的特定按钮,进行检查的人可以访问证书中显示的完整信息集,例如接种疫苗的情况、疫苗类型、疫苗制造商、接种剂量数量、接种日期、首次阳性日期等。 果和证书发行者。 “čTečka”应用程序在进行检查的人的移动屏幕上暂时显示了这些数据。

决定

引发的问题是,必须将个人数据的“处理”概念解释为包括使用国家移动应用程序验证根据2021/953号法规发放的COVID-19疫苗、检测和康复证书的有效性。法院在其裁决中确认,在验证欧盟数字COVID证书期间访问的某些信息符合《通用数据保护条例》第4(1)条对“个人数据”的定义,并且鉴于“处理”概念所赋予的广泛含义,法院得出结论,通过“čTečka”应用程序进行欧盟数字COVID证书的验证过程符合《通用数据保护条例》第4(2)条对“处理”的规定。

影响

虽然COVID-19可能不再主导当前讨论,但这一具有里程碑意义的裁决确立了对个人数据的处理范围的理解。法院认定,在验证欧盟数字COVID证书期间访问的信息属于个人数据,并且使用“čTečka”应用程序进行欧盟数字COVID证书的验证过程被认定为《通用数据保护条例》第4(2)条中对“处理”的范畴。这一裁决对数据保护和隐私权具有重要影响,并为未来类似情况的处理提供了指导。 法院的裁决确认了通过设备扫描证书的过程确实构成了根据《通用数据保护条例》(GDPR)的定义来说的“处理”,允许进行检查的人在自动化过程(扫描)结束时查询个人数据,并据此评估数据主体的情况是否符合适用的国家卫生要求。法院进一步裁定评估结果也是自动化的。当卫生要求符合时,检查进行人的设备上会显示一个绿色的勾号,而如果不符合,则会显示一个红色的勾号。法院认为,这个涉及自动化手段的过程属于GDPR下的“处理”,因此受到数据保护法律的监管。

法院的决定解决了一个长期的争议,确认在屏幕上生成信息也可以被视为数据处理,即使这些数据没有存储或在其他地方共享。 本文首次发表于《马耳他独立报》2023年12月27日。

过去的一年是充满挑战和机遇的。全球范围内的疫情对每个人的生活产生了巨大影响。然而,我们也看到了人类的力量和团结。本文将回顾2023年的一些重要事件和趋势。

去年,COVID-19疫情继续肆虐,并对经济、健康和教育等领域造成了深远影响。全球各国采取了各种举措来控制疫情的传播。随着疫苗的研发和推广,我们看到了一线希望。疫苗接种计划在全球范围内展开,为恢复经济和恢复正常生活奠定了基础。

在科技领域,人工智能和数字化技术继续取得突破。这些技术的应用范围越来越广,包括医疗、金融、交通和教育等领域。人们对数据隐私和信息安全的担忧也在增加,政府和企业需要采取相应措施来保护个人数据。

环境保护和气候变化也成为重要议题。人们对可持续发展和减少碳排放的呼声越来越高。各国政府在减少温室气体排放和推动可再生能源发展方面取得了一些进展。然而,环境问题仍然严重,需要更多的合作和行动来解决。

社交媒体的影响力继续增强。人们在社交媒体上分享信息、交流观点和参与社会活动。然而,虚假信息和网络欺凌等问题也随之增加。我们需要更好地管理和监管社交媒体,以确保其积极影响社会。

在全球政治中,一些重要事件和变革正在发生。各国之间的关系变得更加紧张和复杂。同时,国际组织和多边合作也变得更加重要。全球治理需要更加有效和包容,以应对全球挑战。

总体而言,2023年是一个充满希望和挑战的一年。我们需要团结起来,共同努力,以创造一个更加公正、和平和可持续的世界。