所謂「歐盟規範」為何？

所謂「歐盟規範」尤其是指2018年5月25日生效的General Data Protection Regulation（歐盟個資保護規則）。就這一點，衛生福利部強調數位證明規範符合歐盟個資保護規則(GDPR)。另外，APP在確認符合個資法及歐盟個資保護規則（將除其他事項外）的前提下也可以向數位證明平台提出申請。

符合歐盟個資保護規則為什麼這麼重要？

關於歐盟個資保護規則，現任衛生福利部部長陳時中提醒歐盟針對處理個人資訊的主要原則包含「最小揭露原則、個資可攜權、被遺忘權」。更廣泛來說，歐盟個資保護規則在個人資料對全球公司具有巨大價值的時代為個人資料保護設定新的收集、處理及儲存標準，其中主要為：合法性、公平性及透明度、利用目的限制、資料最少蒐集、正確性、儲存限制、完整性與保密性等處理原則。

個人資料分為一般個人資料和特種個人資料；特種個人資料受加強保護，並包含健康相關之資料。具體而言，健康相關之個人資料是指，在醫療上所收集和提交的數據，以及其他參與者（例如APP的開發商）持有、構成關於個人健康狀態的資料。毫無意外，疫苗接種信息及核酸檢驗結果屬於健康相關個資的範疇，並須以此方式蒐集及處理。

適用於特種個人資料的主要原則為，除非有下列的情形之一，禁止收集或使用該資料：（1）當事人自由提供、具體、知情及明確同意；（2）當事人把該資料公佈於眾；（3）以挽救人命有收集或使用該資料之必要；（4）基於公共利益之重要原因並由主管機構允許的；（5）若該資料涉及尋求實現政治、工會、哲學或宗教目標的協會或組織之會員或追隨者。

核發「數位新冠病毒健康證明」，必然收集及使用申請人之疫苗接種信息或其核酸檢驗結果，以及其他健康相關之個人資料。該特種個人資料之處理行為顯然視為基於公共利益之重要原因，並在台灣由中央流行疫情指揮中心（主管機構）允許的，而更重要的是要求申請人同意隱私權聲明。鑑於這些原因，該處理行為屬於以上例外的範圍之內。在實踐中，在數位證明平台確實符合歐盟個資保護規則的前提下，通過官方平台申請數位新冠病毒健康證明的當事人享有下列的權利/原則：

• 最小揭露原則：數位證明只能顯示相關資料，也就是指最新一筆疫苗的相關資訊，及您在國內已接種的劑次。
• 更正權：當事人有權要求控管者更正其不正確之個資，且有權訪問及補充其個資。例如，申請成功後發現資料有誤時，申請人向所在地衛生所或健康服務中心或原接種/檢驗院所申請更正。
• 被遺忘權（又稱為刪掉權）：主要是當個資收集、處理目的消失，或遭違法處理時，當事人得請求刪除其個資或連結。
• 拒絕權：當事人有權拒絕其個人資料被收集，除非處理控管者證明該收集基於合法、使人信服、凌駕於當事人的利益的理由。還應當指出，當事人有權隨時撤回其同意的意見。
• 個資可攜權：當事人有權以結構化、通用和機器可讀的格式接收其提供給控制者之個人相關資料，並且當事人有權將這些資料不受原控管者阻礙轉輸給另一個控管者。
• 個人決策自動化：當事人有權拒絕全基於自動處理的決定的約束，包括對其產生的法律效果或類似重大影響的分析。

此外，當事人還有權知情：（1）控管者(或其代表人)的名義及聯繫方式；（2）資料收集和處理的目的、法律依據為何；（3）如適用，控管者追踪的合法利益；（4）如適用，資料的最終接收者；（5）如適用，控管者是否有意辦理跨國性的資料移轉；（6）收集資料的儲存期限；（7）上述權利的存在·；（8）如適用，決策自動化的機制（算法）的存在。

總括而言，歐盟個人資料保護規則就個資及其收集和處理方式為個人提供可靠、擴展的保證，知道由衛生福利部推出的數位證明平台是旨在遵守這些規則是好事。現在，如何衛生福利部將合規措施準確地實施還有待觀察。

参考资料：法國信息自由委員會的官網Traitement de données de santé : comment informer les personnes concernées ? | CNIL ；法國信息自由護委員會的官網 Quelles formalités pour les traitements de données de santé à caractère personnel ? | CNIL ；歐盟實施「個人資料保護規則」所生之衝擊及影響 (ndc.gov.tw) ；Vaccination pass policy to begin today - Taipei Times ；「數位新冠病毒健康證明」於1月21日上午8時開放國內使用- 臺灣嚴重特殊傳染性肺炎(COVID 19)防疫關鍵決策網 (mohw.gov.tw) ；數位新冠病毒健康證明- 臺灣嚴重特殊傳染性肺炎(COVID 19)防疫關鍵決策網 (mohw.gov.tw)

by 黃愷蜜 顧問