欧洲法院个人数据保护典型案例述评
上QQ阅读APP看书,第一时间看更新

二、西班牙音乐制作协会诉西班牙电信公司案(1)
——知识产权受保护的权利和获得有效救济的权利需与个人数据保护权进行平衡

案情

西班牙音乐制作协会(以下简称协会)是一个由音乐和视听唱片的生产商和出版商组成的非营利性组织。2005年11月28日,协会向西班牙马德里第五商事法院(以下简称马德里第五商事法院)提出针对西班牙电信公司(该公司系一家商业公司,其活动包括提供互联网接入服务)的临时措施申请,要求西班牙电信公司披露使用其互联网接入服务的某些个人(这些个人的IP地址以及链接日期和时间是已知的)的身份和实际地址。协会主张,这些个人使用了KaZaA文件交换程序(该程序属于点到点或P2P交换程序),并在个人计算机的共享文件中提供了对相关唱片(对于这些唱片,协会的成员拥有著作权)的访问。基于这些个人从事了不正当竞争行为并侵犯了相关知识产权,协会要求公开这些个人的上述信息,以便能够对这些个人提起民事诉讼。马德里第五商事法院于2005年12月21日发布命令,支持了协会的申请。

西班牙电信公司对该命令提起上诉,理由是:根据《西班牙信息社会服务和电子商务法》第12条的规定,提供协会所要求的数据仅仅在刑事调查中或出于维护公共安全和国防的目的才被授权进行,而不能在民事诉讼中或者在与民事诉讼有关的临时措施中进行。对此,协会辩称,《西班牙信息社会服务和电子商务法》第12条必须根据《欧洲议会和欧盟理事会有关欧盟内部市场中的信息社会服务特别是电子商务的若干法律方面的2000/31指令》(以下简称《欧盟电子商务指令》)、《欧洲议会和欧盟理事会有关统一信息社会中的著作权和相关权利的若干方面的2001/29指令》(以下简称《欧盟著作权指令》)、《欧洲议会和欧盟理事会有关知识产权实施的2004/48指令》(以下简称《欧盟知识产权实施指令》)以及《宪章》第17条第2款和47条的规定予以解释,而这些规定不允许欧盟成员国将提供涉案数据仅限于《西班牙信息社会服务和电子商务法》明确提及的相关目的。

因本案涉及欧盟法律的解释,马德里第五商事法院遂决定中止本案诉讼,并请求欧洲法院就以下问题作出先予裁决,即在相关通信系于电信网络和服务运营商、电信网络接入提供商、数据存储服务提供商提供信息社会服务期间进行的情况下,根据欧盟法律,也就是《欧盟电子商务指令》《欧盟著作权指令》《欧盟知识产权实施指令》以及《宪章》的相关规定,是否允许欧盟成员国将这些运营商和提供商保留并提供相关通信所产生的链接和流量数据的义务,限制在刑事调查或维护公共安全和国防的范围之内,而将民事诉讼排除在外?

判决

2008年1月29日,欧洲法院就本案作出判决。在判决中,欧洲法院认为,马德里第五商事法院提出的问题实质上是询问,根据欧盟法律,特别是《欧盟电子商务指令》《欧盟著作权指令》《欧盟知识产权实施指令》以及《宪章》的规定,是否要求欧盟成员国规定在民事诉讼中提供相关个人数据的义务,以确保对著作权的有效保护。

对此,欧洲法院首先指出,即使马德里第五商事法院将其问题限于对《欧盟电子商务指令》《欧盟著作权指令》《欧盟知识产权实施指令》以及《宪章》的解释,此情况亦不能阻止欧洲法院向马德里第五商事法院提供与本案相关的欧盟法律的解释,以协助后者对本案进行裁判。

接着欧洲法院指出,马德里第五商事法院提及的上述欧盟法律的意旨是欧盟成员国应确保有效保护知识产权,特别是协会在本案中主张的著作权,这在信息社会中尤其如此。尽管马德里第五商事法院认为,与前述知识产权保护相关的欧盟法项下的义务可能受到了《西班牙信息社会服务和电子商务法》第12条的限制。但欧洲法院认为,《欧盟电子商务指令》系于2002年被转化为《西班牙信息社会服务和电子商务法》,该法第12条的目的是执行保护私人生活的相关规则,而这也是《95/46指令》及《欧洲议会和欧盟理事会有关个人数据处理以及保护电子通信行业隐私的2002/58指令》(以下简称《欧盟电子隐私指令》,该指令涉及个人数据的处理以及电信行业的隐私保护,而电信行业系本案所涉的行业)所要求的。考虑到在本案中,协会要求提供某些KaZaA用户的姓名和地址,而这涉及个人数据,即《95/46指令》第2条(a)款规定的与已识别或可识别的自然人有关的信息的提供。同时考虑到该信息(系由西班牙电信公司存储)的提供构成《欧盟电子隐私指令》第2条第1款以及《95/46指令》第2条(b)项规定的个人数据处理。据此,可以认定该信息的提供属于《欧盟电子隐私指令》的规制范围之内。在此情形下,首先应确定《欧盟电子隐私指令》是否禁止欧盟成员国为了确保有效保护著作权而规定提供相关个人数据的义务(该义务将使得著作权人能够基于相关著作权提起民事诉讼)。如果情况并非如此,那么就必须确定是否可以直接从马德里第五商事法院提及的三个欧盟指令,即《欧盟电子商务指令》《欧盟著作权指令》以及《欧盟知识产权实施指令》中,得出欧盟成员国应规定此种义务的结论。如果情况仍非如此,则为了解答马德里第五商事法院提出的问题,就必须审查在本案所涉的情形下,其他欧盟法律是否要求对上述三个指令作出不同的解读。

欧洲法院认为,根据《欧盟电子隐私指令》规定,欧盟成员国必须确保通过公共通信网络和公共电子通信服务进行的通信以及相关流量数据的保密性,且原则上必须禁止未经相关用户同意,由用户以外的其他人存储该数据。唯一的例外情形系根据该指令的规定获得合法授权的人员以及通信传输所必需的技术存储。此外,关于流量数据,《欧盟电子隐私指令》规定,在不影响该指令第6条第2—3款和5款以及15条第1款规定的情况下,已存储的流量数据必须在这些数据不再为通信传输所需时予以删除或做匿名化处理。

就《欧盟电子隐私指令》第6条第2—3款和第5款而言,这些条款与按照账单、营销服务以及增值服务的要求对流量数据进行处理有关,并且只涉及向公共通信网络和公共电子通信服务提供商授权的人员提供流量数据。同时,就《欧盟电子隐私指令》第6条第6款而言,该款规定只涉及供应商和用户之间关于存储相关数据的争议。因该款规定明显与本案所涉情形无关,因此,在评估本案所涉情形时不能将该款规定考虑在内。

就《欧盟电子隐私指令》第15条第1款而言,根据该款规定,欧盟成员国可以在相关限制构成民主社会中维护国家安全、国防、公共安全以及预防、调查、侦查和起诉刑事犯罪或未经授权使用电子通信的必要、适当和成比例的措施的情况下,采取立法措施限制确保流量数据保密性这一义务的范围。因此,《欧盟电子隐私指令》第15第1款为欧盟成员国提供了就该指令第5条设定的确保个人数据保密性的义务规定相关例外的可能性。但是,这些例外均与民事诉讼的提起无关。因为这些例外一是涉及国家安全、国防和公共安全,而这些都属于国家或国家机关的活动,而与个人活动无关;二是涉及犯罪行为的起诉。

不过,欧洲法院注意到,《欧盟电子隐私指令》第15条第1款同时授权欧盟成员国采取立法措施,以便在相关限制对于保护他人的权利和自由是必要的情况下,限制个人数据的保密义务。因上述规定未对相关权利和自由予以明确,因此,《欧盟电子隐私指令》第15条第1款的规定应解释为表达了欧盟立法机关的如下意图,即该指令并未将保护财产权或者相关作者寻求在民事诉讼中获得财产权保护的情形排除在适用范围之外。

综上,欧洲法院认定,《欧盟电子隐私指令》并未排除欧盟成员国就民事诉讼中披露个人数据的义务作出规定的可能性。同时,欧洲法院认为,该指令第15条第1款的措辞不能解释为强制要求欧盟成员国就前述义务作出规定。

关于马德里第五商事法院提及的《欧盟电子商务指令》《欧盟著作权指令》和《欧盟知识产权实施指令》是否要求欧盟成员国规定前述义务,以确保有效保护著作权的问题,欧洲法院认为,如前所述,该三项指令的目的是欧盟成员国应确保有效保护知识产权,特别是著作权。但是,根据《欧盟电子商务指令》《欧盟著作权指令》和《欧盟知识产权实施指令》的相关规定,此类保护不能影响个人数据保护的要求。

此外,尽管《欧盟知识产权实施指令》第8条第1款要求欧盟成员国确保在知识产权侵权诉讼中,相关司法机关可以应原告正当、合理的请求,下令被告提供有关侵权商品或服务的来源和经销网络的信息。但是,结合该指令第8条第3款(e)项的规定,该指令第8条第1款不能被解读为要求欧盟成员国为了确保有效保护著作权,而规定在民事诉讼中提供相关个人数据的义务。同时,《欧盟电子商务指令》或者《欧盟著作权指令》的相关规定也没有要求欧盟成员国就此义务作出规定。

关于协会引以为据的《与贸易有关的知识产权协定》(以下简称《TRIPs协定》)第41、42和47条的规定,尽管在欧盟法律规制的领域亦适用《TRIPs协定》的情况下,欧盟法律应尽可能根据《TRIPs协定》予以解释,而《TRIPs协定》第41、42和47条要求有效保护知识产权并就知识产权的实施提供司法救济,但这些条款并未要求将前述指令解释为强制要求欧盟成员国规定在民事诉讼中提供相关个人数据的义务。

欧洲法院注意到,马德里第五商事法院在其先予裁决请求中提及了《宪章》第17和47条。《宪章》第17条涉及保护包括知识产权在内的财产权,第47条则涉及获得有效救济的权利。依欧洲法院之见,马德里第五商事法院的这一行为应视为该院意图知晓,将上述指令解释为欧盟成员国无须为了确保有效保护著作权而规定在民事诉讼中提供个人数据的义务,是否构成对财产权以及获得有效司法保护权等基本权利的侵犯。

对此,欧洲法院认为,财产权(包括诸如著作权这样的知识产权)以及获得有效司法保护权等基本权利构成欧盟法律的基本原则。但值得注意的是,马德里第五商事法院提出的问题除涉及这两项权利外,还涉及另一项基本权利,即个人数据和私人生活受保护的权利。根据《欧盟电子隐私指令》“序言”部分第2条的规定,该指令旨在尊重基本权利并遵守《宪章》所确认的原则,特别是尊重《宪章》第7和8条规定的权利。《宪章》第7条规定了私人生活获得尊重的权利,而《宪章》第8条则规定了个人数据保护权。因此,本案提出了对保护不同的基本权利——一是私人生活获得尊重的权利;二是财产获得保护以及获得有效救济的权利——的要求予以协调的问题,而对这些不同的权利和利益予以平衡的机制首先载于《欧盟电子隐私指令》之中。该平衡机制还载于马德里第五商事法院提及的欧盟三项指令之中,因为这些指令规定了为保护其所规制的权利而采取的相关措施影响个人数据保护的具体情形。此外,该平衡机制亦产生于欧盟成员国为转化这些指令而制定的国内法律以及相关国家机关对这些指令的适用。

就上述指令而言,欧洲法院认为它们的规定相对笼统,因为它们必须适用于各个欧盟成员国可能出现的不同情况。因此,在逻辑上,这些指令包括相关规则,这些规则赋予了欧盟成员国必要的自由裁量权,以界定可适用于各种情况的转化措施。在此情形下,欧盟成员国在转化上述指令时,必须注意依据对这些指令所作的相关解释,该解释应该能够在受欧盟法律保护的各项基本权利之间实现公平的平衡。在实施转化这些指令的措施时,欧盟成员国的机关和法院不仅必须以与这些指令一致的方式解释其本国法律,而且还必须确保它们对这些指令的解释不会与上述基本权利或欧盟法律的其他基本原则(例如比例原则)相冲突。另需指出的是,欧盟立法机关在《欧盟电子隐私指令》第15条第1款中明确要求,该款所提及的措施应由欧盟成员国依照欧盟法律的基本原则而采取。

综上,欧洲法院认为,对于马德里第五商事法院提出的问题的答复是,《欧盟电子商务指令》《欧盟著作权指令》《欧盟知识产权实施指令》和《欧盟电子隐私指令》并未要求欧盟成员国在本案所涉的情形中规定提供个人数据的义务,以确保在民事诉讼中有效保护著作权。但是,欧盟法律要求欧盟成员国在转化上述指令时,必须注意依据对这些指令所作的相关解释,该解释能够在受欧盟法律保护的各项基本权利之间实现公平的平衡。此外,在实施转化这些指令的措施时,欧盟成员国的机关和法院不仅必须以与这些指令一致的方式解释其本国法律,而且还必须确保它们对这些指令的解释不会与上述基本权利或欧盟法律的其他基本原则(例如比例原则)相冲突。

评析

第一,本案明确了提供互联网文件共享平台用户的姓名和地址构成个人数据处理。首先,互联网文件共享平台用户的姓名和地址符合《95/46指令》以及《一般数据保护条例》就个人数据所作的定义,即“与已识别或可识别的自然人有关的任何信息。可识别的自然人是指其能够被直接或间接通过识别要素得以识别的自然人,尤其是通过姓名……等识别数据……”,故构成个人数据。

其次,提供互联网文件共享平台用户的姓名和地址符合《95/46指令》以及《一般数据保护条例》就个人数据处理所作的定义,即“对个人数据或个人数据集合的任何单一或一系列的操作,无论是否通过自动化方式进行,例如对个人数据或个人数据集合的收集、记录、组织、建构、存储、适配或修改、检索、咨询、使用、通过传输披露、传播或通过其他方式提供、排列或组合、限制、删除或销毁”,故而构成个人数据处理。

第二,本案明确了欧盟法律既未禁止亦未强制要求欧盟成员国课予网络服务提供商(ISP)在民事诉讼中披露个人数据的义务。首先,尽管《欧盟电子隐私指令》要求确保通过公共通信网络和公共电子通信服务进行的通信以及相关流量数据的保密性,且原则上禁止未经相关用户同意,由用户以外的其他人存储该数据。而且,该指令规定的例外情况也均未提及网络服务提供商在民事诉讼中披露个人数据这一情形,但鉴于《欧盟电子隐私指令》第15条第1款规定,欧盟成员国可以采取立法措施,以便在相关限制对于保护他人的权利和自由是必要的情况下,限制个人数据的保密义务。而该规定并未对此处的“权利和自由”予以明确。在此情形下,该规定应视为表达了欧盟立法机关的如下意图,即《欧盟电子隐私指令》并未将保护财产权或者相关作者寻求在民事诉讼中获得财产权保护的情形排除在其适用范围之外。据此,欧洲法院认定,《欧盟电子隐私指令》既未禁止欧盟成员国课予网络服务提供商在民事诉讼中披露个人数据的义务,但同时也未强制要求欧盟成员国课予网络服务提供商该等义务。

其次,考虑到《欧盟电子商务指令》《欧盟著作权指令》和《欧盟知识产权实施指令》均规定对知识产权特别是著作权的保护不能影响对个人数据的保护,而且,这些指令均未强制欧盟成员国为了确保有效保护著作权而要求网络服务提供商承担在民事诉讼中披露相关个人数据的义务。加之《TRIPs协定》亦未要求将这些指令解释为强制要求欧盟成员国课予网络服务提供商在民事诉讼中提供相关个人数据的义务。据此,欧洲法院认定,这些指令并未强制要求欧盟成员国课予网络服务提供商在民事诉讼中披露个人数据的义务。

再次,将《欧盟电子商务指令》《欧盟著作权指令》和《欧盟知识产权实施指令》解释为欧盟成员国没有义务课予网络服务提供商在民事诉讼中披露个人数据的义务,并不构成对《宪章》第17条规定的财产权,以及第47条规定的获得有效司法保护等基本权利的侵犯。因为尽管这些权利构成了欧盟法律的基本原则,但是,这些权利必须与个人数据保护权以及私人生活受保护的权利进行平衡。而相关的平衡机制载于《欧盟电子隐私指令》《欧盟电子商务指令》《欧盟著作权指令》《欧盟知识产权实施指令》以及欧盟成员国的转化措施之中。鉴于这些指令相对笼统,因此,这些指令赋予欧盟成员国必要的自由裁量权,以界定可适用于各种情况的转化措施。在此情形下,欧盟成员国仅需确保其在适用转化这些指令的国内法时,已在各项基本权利之间实现公平的平衡,并且已通过与这些基本权利和欧盟法律的基本原则相一致的方式,对这些指令进行了解释。综上可知,欧盟法律既未禁止亦未强制要求欧盟成员国课予网络服务提供商在民事诉讼中披露个人数据的义务,故将上述指令解释为未要求欧盟成员国课予网络服务提供商在民事诉讼中披露个人数据的义务,并不构成对《宪章》规定的财产权以及获得有效司法保护权等基本权利的侵犯。

第三,本案明确了知识产权受保护的权利需与个人数据保护权进行平衡。个人数据保护权经常会与欧盟法律保护的其他权利相冲突。由于个人数据保护权并非绝对权利,因此,在该权利与其他权利冲突的情况下,应将该权利与其他权利进行平衡。该平衡除了可由欧洲法院和欧盟成员国法院实施之外,欧盟成员国亦可在必要的情况下通过相关立法,对个人数据保护权与其他权利予以协调。(2)

本案,欧洲法院首次面对个人数据保护权与知识产权受保护的权利以及获得有效救济的权利相互冲突的问题,该问题主要体现在:一方面,若知识产权的权利人无法获得为识别和追诉知识产权侵权人所需的数据,则其享有的知识产权获得保护以及获得有效救济的权利将受到侵害;但另一方面,知识产权权利人所需的数据的保存、披露以及进一步的处理,可能侵犯互联网用户的个人数据保护权。对此,欧洲法院认为,本案所涉的知识产权受保护的权利以及获得有效救济的权利需与个人数据保护权相互协调。具体方法是:欧盟成员国在转化《欧盟电子商务指令》《欧盟著作权指令》《欧盟知识产权实施指令》和《欧盟电子隐私指令》时,必须注意依据对这些指令所作的、能够在知识产权受保护的权利、获得有效救济的权利以及个人数据保护权之间实现公平的、平衡的解释。此外,在实施转化这些指令的措施时,欧盟成员国的机关和法院不仅必须以与这些指令一致的方式解释其本国法律,而且还必须确保它们对这些指令的解释不会与相关基本权利或欧盟法律的其他基本原则,特别是与比例原则相冲突。


(1) http://curia.europa.eu/juris/document/document.jsf?text=&docid=70107&page Index=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=2023183.

(2) European Union Agency for Fundamental Rights and Council of Europe[M]. Handbook on European Data Protection Law, 2018: 53.