德国《新法学周刊》杂志(NJW)2020年5月20日出版的第22期刊登了德国雷根斯堡大学公法教授于尔根·库林(Jürgen Kühling)与其合作者的论文《“新冠”相关APP——危机时期的数据和基本权利保护》。该文指出,在新冠肺炎疫情的危机时期,随之而来的公众生活的关停不可避免地与敏感的基本权利限制联系在一起,更不用说对经济的影响。在讨论有关的严格规定的可能的放松时,所谓的新冠相关APP的投入使用同时带来了希望与恐惧。从法律上看,这里产生了从多级系统中的数据保护法到复杂的基本权利权衡相关的许多新颖的问题,特别是关于APP的使用是否可以通过国家强制力来达成的问题。这个讨论由于有关的传染病防治法迄今在学术上仍陷于“睡美人的沉睡”中而变得困难。同时,APP的可实现性也是一个问题,其是否能够为战胜新冠疫情做出贡献,是数据保护法规的可操作性的试金石。
该文的研究背景是,德国直到4月底才首次放松管制措施,开放了大部分的商业经营。但幼儿园和小学低年级何时开园、开学,夏季假期在何种范围内可跨境度假旅游,目前完全不明确。音乐会等活动8月底前禁止举办。封停措施不仅导致了巨大的经济损失,也带来了一系列社会和公众心理问题。鉴于因此产生的负担和对基本权利的侵害,德国社会正在探讨更宽松的机制,其中之一是使用APP应对疫情。但这方面目前事实与法律状况尚不明确,对此争论颇多。该文首次从数据保护法和宪法的角度系统地研究该问题。论文介绍了相关APP的功能;分析了欧盟和德国层面的法律框架;研究了相关APP的合法性;最后对数据保护法为应对疫情可能面临的挑战进行了展望。
德国正在和将要使用的APP有两款。一款是2020年4月初德国罗伯特·科赫研究所提供的可免费下载的名为“新冠——数据捐献”APP(Corona-Datenspende)。该APP通过运动手环或手表可以测量使用者的身体数据例如脉搏、血压、睡眠、体温等。此外,使用者还需输入邮编、年龄、身高、体重等数据。地址、GPS数据、电话号码及使用者姓名等在不包含在内。使用者的极为敏感的健康数据在假名之下予以存储。该APP旨在在有充分样本的情况下,早期识别受感染群体,掌握当地感染趋势,而不会确定具体的受感染者。另一款“Corona-Tracing”(新冠——追踪)APP已在韩国使用,预计即将在德国使用。该APP利用手机的蓝牙功能,预警使用者周围是否有感染者,其旨在切断病毒的传染路径。法律框架方面,目前有《欧盟一般数据保护条例》、《德国联邦数据保护法》、《德国传染病防治法》、《德国电信法》和《德国基本法》。
论文研究的问题如下:在使用者假名、匿名的情况下,能否适用数据保护法?因为根据《欧盟一般数据保护条例》第4条第1项,“个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息。APP对数据的处理是否符合同意原则?此外,欧盟条例第9条第1款规定,禁止处理与自然人健康相关的数据。而第9条第2款a项规定了例外:数据主体明确同意基于一个或多个特定目的而授权处理其个人数据,可以处理其个人数据。那么在何种情况下,同意之作出符合条例第4条第11项规定的透明、知悉、合目的性和自愿条件?社会、国家通过激励措施产生的压力,入住旅馆、外出旅游需要出示APP,是否危及到数据主体的自愿?最后,国家是否可以强制使用APP?根据欧盟条例第9条第2款i项,在公共健康领域,处理是为了实现公共利益所必要的,例如,在欧盟或成员国内已经为保障数据主体的权利与自由而采取合适与特定措施的法律基础上,处理对于预防严重的跨境健康威胁是必要的,可以不经数据主体同意,也可处理与健康相关的数据。强制使用是否侵害了使用者的基本权利?在何种程度上符合比例原则?哪种强度的基本权利侵害是实现APP强制使用所必要的?
论文的研究结论指出,即使是假名、匿名,但也可能识别出具体的使用者,因而能适用相关数据保护法。两款APP的适用,基本上符合同意、自愿原则,是合法的。国家的强制使用,需要在公众的健康、自由和私人领域之间进行复杂的、多极的基本权利权衡。即使没有对个人数据进行处理,强制使用APP也构成对《德国基本法》第2条第1款一般行为自由的侵害。数据保护之基本权利不是排除任何限制的“超级基本权利”;自动化追踪密切接触者并不比卫生行政机构的人工追踪的侵害强度要重;相对于全体“封停”,APP的强制使用是对宪法上自由权和经济权的限制更温和的手段。强制没有手机的少数人履行随身携带手机和禁止关闭蓝牙义务,将产生更强的人格权侵害。如果存在以自愿为基础的APP的使用能达到同样的效率,则强制这些少数人使用不符合比例原则。
论文框架
1. 引言
2. 新冠相关APP的功能发挥
2.1 罗伯特·科赫研究所的“新冠——数据捐献”APP
2.2 “新冠——追踪”APP
3. 法律的基本框架
3.1 主要/基本问题:个人数据的处理方式?
3.2 《欧盟一般数据保护条例》和开放性条款
3.2.1 实体法上的准许之构成要件
3.2.2 健康数据保护法中的开放性条款
3.2.2.1 开放性条款的范围
3.2.2.2 适用开放性条款的要求
3.3 德国法中的补充条款
4. 法律后果
4.1 罗伯特·科赫研究所的“新冠——数据捐献”APP
4.1.1 个人数据的处理
4.1.2 基于自愿的准许
4.2 “新冠——追踪”APP
4.2.1 个人数据?
4.2.2 以自愿为基础的原则上的准许
4.2.3 即使未经同意也可以准许?
5. 结论和展望
作者介绍:
于尔根·库林(Jürgen Kühling):法学博士,LL.M,雷根斯堡大学公法、房地产法、基础设施法和信息法教授
罗曼·希尔德巴赫(Roman Schildbach):雷根斯堡大学研究助理,博士候选人。
论文来源:新法学周刊 (NJW,Neue Juristische Wochenschrift)2020年第22期,第1545页至1550页。
