2026年5月消息,欧洲数据保护委员会(EDPB)正式通过了《科学研究目的下的个人数据处理指南》。该指南旨在阐明《通用数据保护条例》(GDPR)在科学研究领域处理个人数据时的具体适用与解释,以平衡科研自由与数据主体的基本权利。其主要内容如下:
一是明确科学研究的认定标准与适用范围。指南提出了六个关键指示性因素,作为GDPR中“科学研究”的判断标准,包括:研究方法是否具备系统性和方法性,是否遵循伦理标准;结果是否具备可验证性和透明度;研究是否具备自主性和独立性;研究目标是否旨在增进社会普遍知识与福祉;以及是否具备对现有科学知识做出贡献或以新颖方式应用现有知识的潜力。若满足全部因素,则可推定为科学研究;若不全部满足,则控制者需证明其应被视为GDPR意义上的科学研究。此外,指南明确科研数据基础设施、科研辅助性处理操作均纳入适用范畴,确保规则覆盖科研全流程。
二是细化数据保护核心原则的适用规则。在目的限制方面,确立科研目的二次处理默认兼容原则,无需开展GDPR规定的目的兼容性测试,仍需确保处理合法性;在存储限制方面,允许为科研目的超原期限存储个人数据,可用于后续科研项目,同时要求明确存储期限、落实数据最小化并定期审查存储必要性。
三是规范个人数据处理合法依据。“同意”层面,允许采用广义同意(特定科研领域)与动态同意(单个科研项目)两种形式,需配套额外保障措施;“公共利益与行使官方职权”层面,不限于公共实体,公共实体及私营科研实体均可适用,但需以欧盟或成员国法律为依据。“正当利益”层面,科研本身可构成合法利益,无论其主体是否为商业性质,非营利与商业性科研均构成正当利益,科研社会价值在利益平衡测试中予以重点考量;“特殊类别个人数据”层面,可通过明示同意、数据主体主动公开、欧盟或成员国法律授权三种路径合规处理,成员国法律可对基因、生物识别或健康数据的处理施加进一步条件或限制。
四是强化全流程透明告知义务。首先,指南要求科研数据处理全程保持透明,直接收集、间接收集均需履行告知义务,处理事项发生重大变更须及时更新告知信息。其次,严格限定告知例外情形,仅在告知将严重损害科研目标、需付出过度努力、存在法定保密义务等特定条件下可豁免。再次,鼓励采用分层告知、隐私面板、专属联络点等方式保障知情权。
五是明确数据主体权利边界与例外规则。数据主体享有删除权、反对权等法定权利,同时设置科研场景例外:删除权方面,若删除将导致科研目标无法实现或严重受损且已落实保障措施,可拒绝删除请求;反对权方面,若处理为公共利益科研所必需,可驳回数据主体反对申请,两项例外均需严格限定适用条件。
六是厘清多方参与下的责任划分。明确控制者、处理者、联合控制者的认定标准与职责边界,共同决定处理目的与核心方式的主体构成联合控制者,须签订协议划分责任并对外公开;科研项目发起方、合作机构、受托服务商等需按实际角色承担对应数据保护责任,保障数据主体可有效行使权利。
七是压实合规保障措施落地要求。指南要求以GDPR第89条为核心,优先采用匿名化处理,无法实现则采用假名化处理,仅在确有必要时使用可识别个人数据;必须开展风险评估或数据保护影响评估(DPIA);针对遗传数据、生物识别数据等高敏感数据实施特殊保障;配套建立独立伦理监督、安全处理环境、隐私增强技术、结果脱敏发布、保密义务、研究者资质管理等多重保障机制。
来源:CAICT互联网法律研究中心公众号
来源:cacs.mofcom.gov.cn
沪公网安备 31011502006428号