商傳媒|康語柔/綜合外電報導
歐洲資料保護委員會(EDPB)已於2026年4月15日通過《科學研究目的個人資料處理指引1/2026》(以下簡稱「指引」)草案,目前正進行公眾諮詢,意見徵集至同年6月26日截止。這份指引旨在為各類研究機構、研究領域、資料類型及技術,提供明確且實用的規範,以釐清《一般資料保護規範》(GDPR)在科學研究領域的適用方式。
根據《Passle》報導,該指引一旦最終定稿,將成為歐洲資料保護委員會對個人資料控制者(Controllers)與處理者(Processors)在科學研究中處理個人資料的權威解釋。指引內容包含一項「六要素測試」,用於判斷某項活動是否屬於真正的科學研究。若所有要素均符合,則推定該活動為科學研究;若不完全符合,控制者需自行證明其活動仍應符合《一般資料保護規範》的定義。
指引明確,為科學研究目的而進一步處理個人資料,可推定其目的與初始收集目的相容,這將免除進行單獨相容性測試的需求。然而,控制者仍須確定並依據合法基礎來進行後續處理。此外,指引允許控制者在研究目的於收集時尚未完全明確時,可取得「廣泛同意」(broad consent),但必須採行額外保障措施,並盡可能清晰定義未來可能的研究目的。例如,即使數據用於未來個別研究項目,控制者也需妥善告知並準備資料主體。
對於資料處理的合法基礎,私人實體若其活動符合相關法律規定,可依賴《一般資料保護規範》第6(1)(e)條的「公共利益」基礎;同時,無論研究是否具商業性質,第6(1)(f)條的「合法利益」亦適用於科學研究。該指引強調,匿名化或假名化應是首要保障措施,應在研究目的允許下盡量採用,特別是假名化需建基於安全的驗證框架。
在跨境資料傳輸方面,若涉及將個人資料傳輸至歐洲經濟區(EEA)以外的第三國或國際組織,控制者必須履行對資料主體的透明化義務,並符合《一般資料保護規範》第五章的特定傳輸要求。例如,新增歐洲經濟區以外的研究合作夥伴,不僅需更新透明化資訊,還需建立適當的傳輸機制。該指引也證實,製藥公司進行的臨床試驗,若符合其關鍵指標要素,亦可視為《一般資料保護規範》下的科學研究。
