一、简介和背景

1. 各国政府和私人行为者正在转向使用数据驱动的解决方案，作为应对COVID-19大流行的一部分。

2. 这引起了许多隐私问题，EDPB强调,数据保护法律框架的设计是灵活的,因此,它既能在限制疫情方面有效地应对,又能保护基本人权和自由.

3. EDPB坚信,当处理个人数据是管理COVID-19大流行的必要条件时,数据保护对于建立信任、为社会接受任何解决方案能够创造条件，对保证这些解决方案的有效性而言是必不可少的。由于病毒不分国界，似乎最好的办法是制定一个共同的欧洲应对当前危机的办法，或者至少建立一个可操作的框架。

4. EDPB认为，用于帮助打击COVID-19的数据和技术，应用于增强个人的能力，而不是控制污名化或压制个人。此外，虽然数据和技术可以是重要的工具，但它们有其内在的局限性，只能借助其他公共卫生措施才能发挥效力。成员国或欧盟机构采取的任何涉及处理个人数据以打击COVID-19的措施，都必须遵循有效性必要性和相称性的一般原则。

5. 本准则阐明了为以下两个具体目的而适度使用位置数据和接触追踪工具的条件和原则：

利用位置数据来模拟病毒的传播情况以支持对疫情的应对措施，以便评估隔离措施的总体效果；

接触追踪，其目的是通知个人他们曾与最终被确认为病毒携带者的人接近，以便尽早打破传染链条。

6. 接触追踪应用程序对管理大流行病的效率取决于许多因素(例如，需要安装该应用程序的人的百分比；关于“接触”的临近程度和持续时间的定义)。此外，这类应用需要成为抗击大流行病的综合公共卫生战略的一部分。除其他外，还包括测试和随后为消除疑虑而进行的人工的接触追踪，在部署这些应用程序的同时，应采取辅助措施，确保向用户提供的信息符合实际情况，并确保警报对公共卫生系统有用。否则，这些应用可能无法达到其全部效果。

7. EDPB强调，《通用数据保护条例》和第2002/58/EC号指令(“电子隐私指令”)均有具体规定，允许使用匿名或个人数据，以支持国家和欧盟各级的公共当局和其他行为者监测和控制SARS-CoV-2病毒的传播。

8. 在这方面，EDPB已经采取了以下立场：使用接触追踪应用程序应是自愿的，不应依赖追踪个人的行踪，而应依赖有关用户的近距信息。

二、使用位置数据

（一）位置数据的来源

9. 位置数据有两个主要的来源，可用于模拟病毒的传播和禁闭措施的总体效果：

电子通信服务供应商(例如移动通信运营者)在提供服务时收集的位置数据；及

信息社会服务提供者的应用程序收集的位置数据，其功能需要使用这些数据(如导航、交通服务等)。

10. EDPB回顾，从电子通信提供商处收集的位置数据只能在“电子隐私指令”第6条和第9条的范围内进行处理.这意味着，这些数据只有在供应商对这些数据进行匿名化处理后，才能传送给当局或其他第三方，或对于显示用户终端设备的地理位置的数据，因为这些数据不属于流量数据，应在用户事先同意的情况下，才能传送给当局或其他第三方。

11. 关于直接从终端设备收集的信息，包括位置数据，适用于“电子隐私指令”第5(3)条.因此，只有在(i)用户同意或(ii)用户明确要求使用的信息社会服务所严格必需的信息存储和/或访问，才允许在用户的设备上存储信息或访问已经存储的信息。

12. 但是，根据第15条，“电子隐私指令”规定的权利和义务可以克减，即根据第15条的规定，当克减本身构成民主社会中为实现某些目标而采取的必要、适当和相称的措施。

13. 至于为建模而二次利用信息社会服务提供者所(例如通过操作系统或以前安装的某些应用程序)收集的位置数据，必须满足其他条件。事实上，当数据的收集符合“电子隐私指令”第5条第(3)款的规定时，只有在得到数据主体的额外同意，或根据联盟或成员国的法律，在民主社会中为保障GDPR第23(1)条所述的目标而采取的必要和相称的措施，才能进一步处理这些数据。

（二）对使用匿名化的位置数据的关注

14. EDPB强调，在使用位置数据时，应始终优先考虑处理匿名数据而不是个人数据。

15. 匿名化指的是使用一套技术，以消除数据与已识别或可识别的自然人之间的联系的能力，即便经过任何“合理”的努力也无法恢复这种联系。这种“合理性测试”必须考虑到客观方面(时间、技术手段)和场景因素，这些因素可能因个案而异(包括人口密度、性质和数据量等现象的稀有性)。如果数据没有通过这一检验，那么就没有被匿名化，因此仍在GDPR的范围内。

16. 评价匿名化的稳健性取决于三个标准。(i)“单拎”(根据数据将一个人从一个较大的群体中分离出来);(ii)可联系性(将有关同一人的两条记录联系在一起);(iii)推理(以显著的概率推断出有关一个人的未知信息)。

17. 匿名化的概念容易被误解，经常被误认为是假名化。虽然匿名化允许不受任何限制地使用数据，但假名化数据仍在GDPR的适用范围内。

18. 有效的匿名化有许多选择，但有一个注意事项。单个数据本身不能被匿名化，这意味着只有数据集作为一个整体，才可能被匿名化。从这个意义上说，对单一数据模式的任何干预(通过加密或任何其他数学转换)最多只能被视为假名化。

19. 匿名化过程和重新识别攻击是一个活跃的研究领域。任何实施匿名化解决方案的控制者必须监测这一领域的最新发展，特别是关于位置数据(来自电信运营商和/或信息社会服务)，众所周知，这些数据很难匿名化。

20. 事实上，大量的研究表明，被认为是匿名的位置数据可能实际上并不是匿名的。个人的流动痕迹本来就具有高度的相关性和唯一性。因此，在某些情况下，这些数据很容易被重新识别。

21. 通过一个单一的数据模式来追踪个人在一段长时间因位置而产生的数据，不能完全匿名化。如果所记录的地理坐标的精度降得不够低，或者如果删除了行踪轨迹的细节，即便只保留了数据主体长时间停留的地点，不能完全匿名化的结论可能仍然成立。这也同样适用于汇总不全的位置数据。

22. 为实现匿名化，必须对位置数据进行仔细处理，以满足合理性测试。从这个意义上说，这种处理包括将位置数据集作为一个整体来考虑，以及利用现有的强有力的匿名化技术处理来自合理数量的个人的数据，前提是这些技术得到充分和有效的实施。

23. 最后，鉴于匿名化过程的复杂性，非常鼓励匿名化方法的透明度。

三、接触追踪应用

（一）一般性的法律分析

24. 对自然人之间的位置和/或接触进行系统的大规模监测是对其隐私的严重侵犯。只有依靠用户出于各自的目的而自愿采用，才能使其合法化。这尤其意味着，决定不使用或不能使用这些应用的个人，不应受到任何不利影响。

25. 为确保问责，应明确界定任何接触追踪应用的控制人。EDPB认为，国家卫生主管部门可以成为这类应用的控制者;也可以设想由其他控制者负责。在任何情况下，如果部署接触追踪应用程序涉及不同的行为体，必须从一开始就明确规定其作用和责任，并向用户解释。

26. 此外，关于目的限制原则，目的必须足够具体，以便排除与COVID-19健康危机管理无关的(如商业或执法目的)的二次处理。一旦明确界定了目的，就必须确保个人数据的使用是充分、必要和成比例的。

27. 在接触追踪应用的场景下，应仔细考虑数据最小化原则，以及通过设计和默认设施实现数据保护的基本原则：

接触追踪应用程序不需要追踪单个用户的位置。相反，应该使用近距数据。

由于接触追踪应用程序可以在没有直接识别个人身份的情况下运作，因此应采取适当的措施防止重新识别；

收集到的信息应存在于用户的终端设备上，只有在绝对必要时才收集相关信息。

28. 关于处理的合法性，EDPB指出，接触追踪应用涉及存储和/或访问已经存储在终端中的信息，这受“电子隐私指令”第5(3)条的约束——如果这些操作对于应用程序的提供者来说是绝对必要的，以便提供用户明确要求的服务，则处理不需要得到用户的同意。对于非严格必要的操作，提供者需要征得用户的同意。

29. 此外，EDPB指出，仅仅是在自愿的基础上使用接触追踪应用程序并不意味着处理个人数据必须以同意为基础。当公共当局根据法律规定的任务和要求提供服务时，最相关的数据处理的法律依据似乎是为了公共利益执行任务的需要，即：第6(1)(e)条。

30. GDPR第6(3)条明确规定，其第6(1)(e)条所述处理的依据应由控制者所依据的联盟或成员国的法律来规定。处理的目的应在该法律依据中确定，或者，就第1款(e)项所述的处理而言，处理的目的应是为执行公共利益或为控制者行使官方所赋予的权力所必需的任务。

31. 然而，为使用接触追踪应用程序提供合法基础的法律依据或立法措施，应包含有意义的保障措施，包括使用应用程序的自愿性质。应包括明确说明目的和关于进一步使用个人数据的限制，并明确指出所涉的控制者。还应确定数据的类别以及向哪些实体披露(以及个人数据可能被披露的目的)。根据侵扰的程度，应考虑到处理的性质、范围和目的，纳入额外的保障措施。最后，EDPB还建议，在可行的情况下，尽快纳入判断何时应用程序应当取消的标准，以及由哪个实体负责作出这一决定。

32. 然而，如果数据处理是基于其他法律依据，例如同意(第6(1)(a)条)，控制者必须确保符合该等法律依据的严格要求。

33. 此外，使用应用程序以抗击COVID-19大流行，可能导致收集健康数据(例如受感染者的状况)。如果出于公共卫生领域的公共利益的原因，在符合第9(2)(i)条的条件时，允许处理这类数据，或出于GDPR9(2)(h)条所述的医疗保健目的，允许处理此类数据。根据法律依据，也可能是基于明确的同意(GDPR第9(2)(a)条)。

34. 根据最初的目的，GDPR第9(2)(j)条还允许在科学研究或统计目的必要时，处理健康数据。

35. 不应利用当前的卫生危机为契机，规定过度的数据留存要求。存储限制应考虑到真正的需求和医学上的相关性(这可能包括流行病学上的考虑，如潜伏期等)，个人数据只应在COVID-19危机期间保留。此后，作为一般规则，所有个人数据应被删除或匿名化。

36. 据EDPB的理解，这类应用程序不能取代，而应支持由合格的公共卫生人员进行的人工接触追踪，因为他们可以辨别出密切接触是否可能导致病毒传播(例如，当与有适当设备保护的人——收银员等——接触时，是否可能导致病毒传播)。EDPB强调，程序和过程，包括接触追踪应用程序实施的相应算法，应在合格人员的严格监督下进行，以限制任何假阳性和假阴性的发生。特别是，随后提出建议的任务，不应仅仅依靠自动处理。

37. 为了确保算法的公正性和可问责制，以及更广泛地确保其符合法律，算法必须是可审计的，并应由独立专家定期审查。应用程序的源代码应予公开，以便进行最广泛的审查。

38. 假阳性总是会在一定程度上出现。由于识别感染风险可能会对个人产生很大的影响，例如在检测为阴性之前一直处于自我隔离状态，因此纠正数据和/或随后的分析结果的能力很有必要。当然，这只能适用于数据的处理和/或存储的方式能够在技术上支持纠正，且确实可能发生上述不利影响的场景和实施。

39. 最后，EDPB认为，在实施这类工具之前必须进行数据保护影响评估，因为该工具的处理被认为可能存在高风险(健康数据"预计大规模采用"系统监测"使用新技术解决方案)。EDPB强烈建议公布数据保护影响评估报告。

（二）建议与功能性的要求

40. 根据数据最小化原则，以及通过设计和默认设置保护数据的其他措施中，应将处理的数据严格减少到最低限度。应用程序不应收集不相关或不需要的信息，这些信息可能包括公民身份"通信标识符"设备目录项"信息"通话记录"位置数据"设备标识符等。

41. 应用程序广播的数据必须只包括一些由该程序生成的和专门针对该程序的独特和假名标识符。这些标识符必须定期更新，更新的频率必须与控制病毒传播的目的相一致，并足以限制识别和实际跟踪个人的风险。

42. 接触追踪的执行工作可以采用集中式或分布式的方式。这两种方法都应被认为是可行的选择，但前提是要有适当的安全措施，每一种方法都有一系列的优点和缺点。因此，应用程序开发的概念阶段应始终包括彻底考虑这两种概念，并仔细权衡各自对数据保护/隐私的影响和对个人权利可能产生的影响。

43. 任何接触追踪系统所使用的服务器，必须只收集经卫生当局适当评估和用户自愿行动而被诊断为受感染的用户的接触记录或假名标识符。另外，服务器必须保留受感染用户的假名标识符清单或其接触记录，并仅在告知可能受感染的用户其接触的时间内保存，不得试图识别可能受感染的用户。

44. 在某些情况下，实施全球接触追踪方法，包括应用程序和人工追踪，可能需要处理额外的信息。在这种情况下，这些额外信息应保留在用户终端上，只有在严格必要时并经用户事先具体同意后才应进行处理。

45. 必须采用最先进的加密技术，以确保服务器和应用程序中存储的数据"应用程序和远程服务器之间的交换的安全。还必须在应用程序和服务器之间进行相互认证。

46. 在应用程序上报告用户为COVID-19感染者，必须得到适当的授权，例如，通过与感染者的假名身份绑定并与测试站或卫生保健专业人员挂钩的一次性使用代码。如果不能以安全的方式获得确认，则不应进行任何假定用户身份有效的数据处理。

47. 控制者要会同公权力机关，明确告知下载国家官方的接触追踪C55的链接，以降低个人使用第三方C55的风险。

四、结论

48.世界正面临着一场重大的公共卫生危机，需要采取强有力的应对措施，这些措施的影响将超过这次紧急事件。自动化数据处理和数字技术可以成为防治COVID-19的关键组成部分。然而，人们应该警惕“棘轮效应”。我们有责任确保在这些非常情况下采取的每一项措施都是必要的"有时间限制的"程度最低的，且定期和真正的审查以及科学评估这些措施。

49.EDPB强调，人们不应该在有效地应对当前危机和保护我们的基本权利之间做出选择：我们可以同时做到这两点，而且数据保护原则可以在对抗病毒的斗争中发挥非常重要的作用。欧洲数据保护法允许为健康管理目的负责任地使用个人数据，同时也确保个人权利和自由不会在这一过程中受到损害。

附件——接触追踪应用程序分析指南

0. 声明

以下指南既非规定性的，也非详尽无遗。本指南的唯一目的是为接触追踪应用程序的设计者和实施者提供一般性指导。除了这里描述的解决方案外，还可以使用其他解决方案，只要符合相关法律框架(即GDPR和“电子隐私指令”)，这些解决方案都是合法的。

还必须指出，本指南是一般性的。因此，本文件所载的建议和义务不能视为详尽无遗。任何评估都必须逐案进行，具体的应用可能需要采取本指南中未包括的额外措施。

1. 总结

许多成员国的利益攸关方正在考虑使用接触追踪!应用，以帮助民众发现他们是否曾接触过SARS-CoV-2感染者。

目前尚未确定这种应用在何种条件下能够有效地促进对这一流行病的管理。这些条件需要在实施这种应用程序之前确定。然而，有必要将相关信息带到上游，即向开发团队提供指导，以便从早期设计阶段就能保证对个人数据的保护。

必须注意的是，本指南是一般性的。因此，本文件中的建议和义务不能被视为详尽无遗。任何评估都必须在个案的基础上进行，具体应用可能需要采取本指南中未包含的额外措施。本指南的目的是为接触追踪应用的设计者和实施者提供一般指导。

有些标准可能超出了数据保护框架的严格要求。这些标准的目的是确保最高水平的透明度，以利于社会上对这种接触追踪应用的接受。

为此，接触追踪应用程序的发布者应考虑到以下标准：

使用这类应用必须是完全自愿的。它不得将获取法律保障的任何权利作为条件。个人在任何时候都必须对其数据有充分的控制权，并应能自由选择使用这种应用。

接触追踪应用可能会对自然人的权利和自由造成很大的风险，需要在部署前进行数据保护影响评估。

可以在不定位用户位置的情况下，获得应用程序用户之间的距离信息。这类应用不需要，因此，也不应涉及位置数据的使用。

当用户被诊断为感染了SARS-CoV-2病毒时，只应告知在流行病学相关保留期内与之密切接触的用户，以便进行接触追踪。

根据所选择的架构，这类应用的操作可能需要使用集中式服务器。在这种情况下，根据数据最小化和数据保护的设计原则，集中式服务器处理的数据应限制在最低限度：

当用户被诊断为受感染时，只有在用户同意的情况下，才可以收集有关其以前的密切接触者或用户应用程序所播放的标识符的信息。需要建立一种验证方法，以便在不识别用户身份的情况下，确认该人确实已感染。从技术上讲，这可以通过在保健专业人员的干预下，例如通过使用特殊的一次性代码来提醒密切接触人来实现。

中央服务器上储存的信息既不能让控制者识别被诊断为受感染或曾与该用户接触过的用户，也不能借此推断出确定就相关接触者来说所不需要的接触模式。

这类应用的操作需要，广播数据以便其他用户的设备能够读取该数据，并收听这些广播：

在用户的移动设备(电脑"平板电脑"联网手表等)之间，例如通过广播(例如通过蓝牙低能量技术)，交换假名标识符就足够了。

标识符应使用最先进的加密程序生成。

必须定期更新标识符，以减少物理跟踪和链接攻击的风险。

这类应用必须保证技术过程的安全。特别是：

应用程序不应向其他用户发送允许他们推断他人身份或诊断的信息。中央服务器既不能识别用户的身份，也不能推断用户的信息。

免责声明：上述原则只涉及接触追踪应用程序所宣称的目的，并且只限于此目的，其目的是自动通知可能接触到病毒的人(但不需要识别他们)。遵循这些准则的全部或部分内容并不一定足以确保完全遵守数据保护框架。

2. 定义

        3. 一般性要求

       4. 目的

        5. 功能性考虑

   6. 数据

   7. 技术特性

   8. 安全

   9. 保护自然人的个人数据和隐私

      提醒：以下准则涉及的是以追踪接触为唯一目的的应用。

    9.2 仅在应用程序向服务器发送自己的标识符列表时才适用的原则：

（责任编辑：周辉）