欧盟《通用数据保护条例》（GDPR）实务指引（第三篇）：个人敏感数据

[导读：将于2018年5月生效的GDPR对企业的数据保护义务提出了全新的监管要求，将对中国企业在欧盟市场的投资、销售和运营产生显著影响，并成为中国企业必须直面的重大法律障碍。大成数据保护团队的欧盟与中国律师联合推出11篇系列原创文章，以协助中国企业从实务角度理解和遵从GDPR，并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。自2018年1月起，系列文章将于每周四通过公众号“个人信息与数据保护实务评论”定期推送。]

本第三份关于《一般数据保护条例》的业务通讯将阐述，荷兰《个人数据保护法》（Personal Data Protection Act，“DPA”）所实施的《数据保护指令》（第95/46/EC号指令）和《一般数据保护条例》（General Data Protection Regulation，“GDPR”）下个人敏感数据处理的差异。

乍看之下，在个人敏感数据处理方面，GDPR（较第95/46/EC号指令）的变化似乎是有限的。与DPA相似，原则上禁止处理个人敏感数据，并且，处理此类数据的依据也与DPA大致相同。

什么是个人敏感数据？

根据GDPR，涉及以下一种或一种以上类别的个人数据视为敏感数据:

1.种族或民族出身

2.政治观点

3.宗教/哲学信仰

4.工会成员身份

5.涉及健康、性生活或性取向的数据

6.基因数据（新）

7.经处理可识别特定个人的生物识别数据（新）

除目前个人敏感数据明确包括基因数据和生物识别数据外，上述类别大致与DPA中的类别相似。此外，根据GDPR，处理照片并不当然地被认为是处理个人敏感数据。仅在通过特定技术方法对照片进行处理，使其能够识别或认证特定自然人时，照片才被认为是生物识别数据。

禁止处理敏感数据的例外

根据GDPR，敏感数据的处理仅在下列例外情况下才被允许：

1. 数据主体明示同意。该等同意应当是自由作出的，特定的，知情的且明确的（参见2017年2月的业务通讯）。需要注意的是，雇主对员工医疗数据的处理（包括药物或酒精测试）不能以员工的同意为依据。这是因为，考虑到双方的层级关系，这种同意不被视为是自由作出的。

2. 在劳动法、社会保障法或社会保护法领域，雇主对此类数据的处理必须在欧盟或成员国法律或集体协议授权的范围内进行。

3. 在数据主体因为身体上或法律上的原因（紧急情况）不能作出同意时，为保护数据主体或他人的重大利益之目的所必需的处理。

4. 处理是由具有政治、哲学、宗教或工会目的的非营利团体进行的，并且该等处理仅涉及团体成员或前成员，同时，相关数据在未经数据主体同意的情况下不会向第三方披露。

5. 涉及已由数据主体公开的个人数据的处理。

6. 为合法诉求的成立、行使或抗辩或法院行使其司法职能之目的所必需的处理。

7. 根据欧盟或成员国的法律，为重大公共利益所必需的处理。该处理所追求的目的应当是适当的，且包含合理的数据保护措施。

8. 根据欧盟或成员国的法律或与医疗专业人士的合同，为预防医学或职业医学，为评估雇员的工作能力，医疗诊断，提供卫生或社会保健或治疗或卫生社会保健系统和服务管理之目的所必需的处理。

9. 根据欧盟或成员国法律规定以适当的、特定的措施保障数据主体的权利和自由，在公共健康领域中为公共利益之目的所必需的处理。例如抵御严重的跨境卫生威胁，或确保医疗保健和医药产品或医疗器械的高标准。

10. 根据欧盟或成员国法律，为公共利益，统计，科学或历史研究之目的所必需的处理。该处理所追求的目的应当是适当的，尊重数据保护的基本权利，并采取了适当的、特定的措施以保障数据主体的基本权利和利益。

虽然在个人敏感数据的类型和数据处理的依据方面基本复制了DPA，但GDPR仍带来了新的变化。

首先，上述第2，7，8，9，10项参照成员国法作为数据处理的法律依据，同时，GDPR允许欧盟成员国维持或引入更多条件，包括关于处理基因数据，生物识别数据或健康数据的限制。

因此，在这些方面，成员国之间的分歧可能会继续存在，也可能进一步加深。

最近，荷兰政府发布了一项对于实施法案的提议。根据本实施法案，处理个人敏感数据的条件仍与DPA的规定相似。

第二，当个人数据的处理可能给数据主体的权利或自由造成高风险时，相关组织有义务进行隐私影响评估（Privacy Impact Assessment，“PIA”）。PIA的目的是识别此类高风险以及制定应对风险的措施。PIA必须在处理开始之前进行。

GDPR明确规定，在对个人敏感数据或与刑事记录和犯罪相关的个人数据进行大规模处理前，必须进行PIA。（我们将会在后续GDPR业务通讯中更详细地论述PIA）

第三，个人敏感数据的大规模处理可能要求数据控制者（或处理者）委派一位数据保护专员（Data Protection Officer，“DPO”）。我们将在接下来的业务通讯中讲解DPO和PIA。

实务建议

就个人敏感信息处理而言，GDPR的生效将不会对现行做法产生实质性影响，乍看之下其变化似乎也是有限的。但是，这些变化可能会对相关组织处理个人敏感数据的方式产生影响。因此，涉及个人敏感数据处理的相关组织须审查现有的政策和做法，并确保：

1.   在大规模处理个人敏感数据之前实施了PIA；

2.   若基于同意处理个人敏感数据，则该等同意应满足GDPR项下的新要求。注意：在雇佣关系中，原则上，同意处理敏感数据不被认为是自愿作出；

3.   根据需要委派DPO；

4.   个人敏感数据的处理须满足相关成员国的条件（包括限制）。