号称“史上最严数据保护条例”的欧盟GDPR（又称《通用数据保护条例》）一经颁布，即得到了欧盟乃至世界范围内的高度关注。欧盟GDPR颁布的一个主要目的即在于对数据的充分保护，主要涉及数据处理程序的前、中、后三个阶段。同时，由于数据类型的纷繁复杂使得数据保护难度颇大，特别是其中相对属于特殊类型的个人数据，欧盟GDPR更是以专门条款对其相关内容进行了明确规定。

一、特殊类型的个人数据之具体范围

对于特殊类型个人数据的处理，首先必须明确其具体范围为何。虽然各国对于特殊类型个人数据的认定难免存在差异，但欧盟GDPR中将所谓特殊类型的个人数据划定了一个相对明确且具共识性的具体范围。根据欧盟GDPR规定，若此个人数据涉及的内容包括民族或者种族背景、政治立场、宗教哲学信仰或者工会成员的个人数据、基因数据，旨在识别特定自然人生物识别数据，与自然人的身体健康状态、性取向以及个人性生活的内容，此类个人数据即会被认定为特殊类型的个人数据，对必须使用前述数据进行的数据处理就应当格外留心。由于个人数据相对于其他类型的数据而言，本就更多地涉及自然人的个人隐私，因而更容易使自然人的合法权益受到侵犯，自然人在授权他人处理其个人数据时也会更为谨慎和复杂。特殊类型的个人数据作为个人数据中更敏感的信息部分，自然应得到比一般的个人数据更为严密的保护和控制使用。因此，对于前述的一系列特殊类型的个人数据，根据欧盟GDPR规定，数据控制者及处理者不得在数据处理活动中使用。

二、特殊类型的个人数据之限制

当然，对于特殊类型的个人数据虽然必须严格限制其使用，同时必须予以最严密的保护，但这并不意味着此类数据就永远不得进行任何数据处理。根据欧盟GDPR规定，在满足特定条件时，此类特殊类型的个人数据仍能够进行相关操作。

首先，数据主体明确同意的情形下，数据控制者可以对特殊类型的个人数据进行相关必要的处理。因为即使是特殊类型的个人数据，其被处理时，利益受到侵犯的主体仍是该个人数据的主体，若数据主体在明确知晓该处理操作，且明确其个人数据一旦被授权使用可能给自己带来的后果，仍授权数据控制者对该个人数据进行操作时，欧盟GDPR则尊重个人数据主体的自主意愿，允许数据控制者对该个人数据进行相关操作。其次，若基于侦查犯罪的需要，在必须使用的情形下，为了公共利益及国家利益的维护，该特殊类型的个人数据同样需要在未经数据主体同意的情形下被使用。当然，由于该类数据信息极为敏感，必须处于必不可少的情形下才能够被强制处理，同时需要将知晓该信息的人控制在最小范围内，对该数据的使用程度也控制在数据最少、频率最低的范围内。因此，该个人数据即使被强制使用，也必须保证对数据主体最小程度的损害。

但同时，由于欧盟各成员国中的实际情形不尽相同，欧盟GDPR也给予了各成员国较大程度的自由裁量余地。根据欧盟GDPR规定，对于基因数据、生物性识别数据以及健康相关数据，各成员国可维持其在欧盟GDPR颁布前所作出的相关规定，或者进行新的与欧盟GDPR规定有所不同的具体规则制定。

因此，对于特殊类型的个人数据，欧盟GDPR既有原则性的规定以保证数据主体的权益受到最大程度的保护，同时又给予了各成员国一定的自由裁量范围以期更加灵活地兼顾数据保护及数据处理二者之间的关系。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。