欧洲法院个人数据保护典型案例述评
上QQ阅读APP看书,第一时间看更新

下编 具体案例述评

一、瑞典政府诉林德奎斯特(Lindqvist)女士案
——将个人数据上传至网页构成个人数据处理(1)

案情

林德奎斯特女士是一个维修工,同时还在瑞典阿西达教区担任传教士。林德奎斯特女士于1998年年底在其个人电脑上建立了涉案网页,以允许即将获得确认的教区信徒获取他们可能需要的信息。应林德奎斯特女士的要求,瑞典教会网站的管理人设置了教会网站与涉案网页的链接。

涉案网页中载有林德奎斯特女士及其在阿西达教区的18位同事的信息(包括全名或只有姓氏)。林德奎斯特女士以幽默的笔调描述了这些同事的工作及其爱好,并提及了他们的家庭情况、电话号码以及其他事项,包括其中一个同事脚部受伤并因此处于半工半薪的状态。

林德奎斯特女士没有告知其同事涉案网页的存在或取得其同事的同意,也没有将其行为通知瑞典电子数据传输监管局。在知晓一些同事不喜欢这些网页之后,林德奎斯特女士迅速删除了这些网页。

后瑞典检察机关对林德奎斯特女士提起公诉,理由是林德奎斯特女士违反了《瑞典数据保护法》的规定。具体而言,首先,林德奎斯特女士在未事先书面通知瑞典电子数据传输监管局的情况下,通过自动化方式处理了个人数据;其次,林德奎斯特女士在未获得授权的情况下处理了他人的敏感个人数据;再次,林德奎斯特女士在未获得授权的情况下,向第三国传输了他人的个人数据。

林德奎斯特女士对案件事实予以确认,但辩称其行为不构成犯罪。瑞典埃克舍地区法院(以下简称埃克舍法院)对林德奎斯特女士处以4 000瑞典克朗的罚款,同时判令林德奎斯特女士支付300瑞典克朗以补偿犯罪受害者。林德奎斯特女士对埃克舍法院的判决不服,向瑞典歌塔法院(以下简称歌塔法院)提起上诉。因其对《95/46指令》在本案中应如何适用存在疑问,歌塔法院遂决定中止本案诉讼,并请求欧洲法院就相关问题作出先予裁决,其中包括以下主要问题。

1.在互联网网页上通过姓名或电话号码而提及相关个人,是否属于《95/46指令》的规制范围之内?在自制的网页上列明一些个人,并伴有对其工作和爱好等评论,是否构成“全部或部分通过自动化方式处理个人数据”?

2.将有关工作同事的信息上传至个人主页(该主页可为知道其地址的任何人访问)的行为,是否不在《95/46指令》的规制范围之内,理由是该行为被《95/46指令》第3条第2款规定的例外情形所涵盖?

3.置于个人主页之上,并且指名道姓地称某个同事脚部受伤以及半工半薪的信息是否《95/46指令》第8条第1款规定的不可以被处理的有关健康的个人数据?

4.《95/46指令》禁止在某些情况下向第三国传输个人数据。如果瑞典境内的个人使用计算机将个人数据上传至存储在瑞典境内服务器上的相关主页,从而导致第三国的人可以访问该个人数据,则上述行为是否构成《95/46指令》规定的向第三国传输数据?如果就目前所知没有第三国的人访问过该数据,或者相关服务器位于第三国境内,则在此情况下,对于前述问题的答复是否仍然相同?

判决

2003年11月6日,欧洲法院对本案作出判决。

1.关于歌塔法院提出的第1个问题,欧洲法院认为,根据《95/46指令》第2条(a)项的定义,《95/46指令》第3条第1款使用的“个人数据”这一用语涵盖了“与已识别或可识别的自然人有关的任何信息”,即涵盖了个人的姓名、电话号码或有关其工作条件或爱好的信息。根据《95/46指令》第2条(b)项规定的定义,该指令第3条第1款规定的个人数据处理,包括对个人数据的任何单一或一系列的操作,无论是否通过自动化方式进行。该项规定列举了此类操作的若干范例,包括通过传输披露、传播或通过其他方式提供。因此,将个人数据上传至网页应认定为个人数据处理。

此外,还需认定的是,此种处理是否全部或部分通过自动化方式进行。根据目前的技术和计算机程序,将信息放置于网页之上,需要将该网页上传至服务器以及其他为连接到互联网的人访问该网页所需的操作,而这些操作起码有一部分是自动进行的。

据此,欧洲法院认为,对于歌塔法院提出的第1个问题的答复是,在互联网网页上提及多人,并通过姓名或其他方式(例如给出其电话号码或有关其工作条件和爱好的信息)对他们进行识别构成“个人数据处理”。

2.关于歌塔法院提出的第2个问题,欧洲法院认为,《95/46指令》第3条第2款规定了不适用该指令的两个例外情形。第一个例外情形涉及发生在欧盟法律范围之外的活动过程中的个人数据处理,例如,《欧洲联盟条约》第五编“关于共同外交和安全政策的条款”、第六编“关于司法和内部事务领域内合作的条款”所规定的活动中的个人数据处理,与公安、国防、国家安全(包括国家经济福利,如果数据处理操作与国家安全事项相关)以及国家在刑法领域中的活动有关的个人数据处理。鉴于林德奎斯特女士的涉案行为就性质而言并非经济活动,而是慈善和宗教活动。因此,有必要考量该活动是否构成《95/46指令》第3条第2款规定的“发生在欧盟法律范围之外的活动过程中的个人数据处理”。考虑到《95/46指令》第3条第2款第1段以举例方式列明的活动,均系国家或国家机关的活动,而与个人的活动无关。在此情形下,应认定《95/46指令》第3条第2款第1段列举这些活动的目的是界定该段规定的例外情形的范围。据此,该例外情形仅适用于该段规定明确列明的活动,或者与这些活动同类的活动。鉴于慈善或宗教活动,例如林德奎斯特女士在本案中所进行的活动,不能认定为类同于该段规定所列明的活动,故林德奎斯特女士的行为不能为该例外情形所涵盖。

就《95/46指令》第3条第2款第2段规定的第1个例外情形,即自然人在纯粹的个人或家庭活动过程中的个人数据处理而言,《95/46指令》“序言”部分第12条将通信和持有通信记录列举为“自然人在纯粹的个人或家庭活动过程中的个人数据处理”。该例外情形由此应解释为仅与个人在私人或家庭生活过程中进行的活动有关,而本案所涉的个人数据处理活动,即在互联网上刊载信息,以便这些信息可被任何人访问则显然与该例外情形无关。

据此,欧洲法院认为,对于歌塔法院提出的第2个问题的答复是,在互联网网页上提及多人,并通过姓名或其他方式(例如给出其电话号码或有关其工作条件和爱好的信息)而对他们进行识别,并未被《95/46指令》第3条第2款规定的任何例外情形所涵盖。

3.关于歌塔法院提出的第3个问题,欧洲法院认为,根据《95/46指令》的宗旨,该指令第8条第1款规定的“健康数据”需予宽泛解释,以便包含个人健康的所有方面(身体方面和心理方面)的信息。因此,欧洲法院认为,对于歌塔法院提出的第3个问题的答复是,提及某个人脚部受伤并因健康原因而半工半薪这一事实的信息,构成《95/46指令》第8条第1款规定的有关健康的个人数据。

4.关于歌塔法院提出的第4个问题,欧洲法院认为,《95/46指令》并未界定“向第三国传输个人数据”这一用语的含义。为确定向网页上传个人数据是否仅因其使得该数据可为第三国的人访问,因而构成《95/46指令》第25条规定的向第三国传输该数据,有必要考量相关行为的技术性质以及《95/46指令》第25条所属的《95/46指令》第四章的宗旨和结构。

欧洲法院指出,互联网上的信息可为无限的居住在不同地方的人在任何时候访问。该信息所具有的无所不在的性质,系由互联网的相关技术方式相对简单且愈发廉价等因素所致。诸如林德奎斯特女士这样的意图在互联网上发布网页的个人在20世纪90年代可获得互联网应用程序,并可将该网页的数据传输给其托管服务提供商,而该托管服务提供商则管理着存储这些数据所需的计算机基础设施,并将该网页的服务器连接至互联网,这使得这些数据后续可以传输给任何连接至互联网并寻求访问互联网的人。前述计算机基础设施可以放置于而且事实上也经常被放置于托管服务提供商设立地之外的一个或多个国家,但其客户则对此并不知情。从本案材料来看,为获取林德奎斯特女士的网页中包含的有关其同事的信息,互联网用户不仅需要连接互联网,而且还需要采取必要的行动访问该网页。换言之,林德奎斯特女士的网页并不包含将这些信息自动发送给无意访问这些网页的人的技术措施。据此,在本案所涉的情形下,出现在第三国个人计算机上的个人数据——该个人数据来自将其上传至相关网页的个人——并非在这两个人之间直接传输,而是通过网页存储地的托管服务提供商的计算机基础设施进行传输。在此情形下,有必要审查欧盟立法机关是否意图将林德奎斯特女士从事的涉案活动,涵盖于《95/46指令》第25条规定的“向第三国传输个人数据”之内。

欧洲法院认为,《95/46指令》第25条所属的该指令第四章设立了一个允许欧盟成员国对个人数据向第三国传输进行监管的特别机制。该章就《95/46指令》第二章设立的、有关个人数据处理合法性的通常机制设立了一个补充机制。该章的目的载于《95/46指令》“序言”部分第56—60条之中。第56—60条规定:《95/46指令》对欧盟个人的保护并不妨碍向确保了充分的个人数据保护水平的第三国传输个人数据,而相关保护的充分性必须依照数据传输行为的所有相关情况予以评估。在第三国无法确保充分的个人数据保护水平的情况下,禁止向该国传输个人数据。为此,《95/46指令》第25条对欧盟成员国以及欧盟委员会课以了一系列义务,以监督欧盟成员国基于第三国赋予相关个人数据的保护水平而向该第三国传输个人数据。第25条第4款特别规定,在欧盟委员会认定,第三国未能确保充分的个人数据保护水平的情况下,欧盟成员国应采取必要措施,阻止向该第三国传输任何个人数据。值得注意的是,《95/46指令》第四章未就互联网的使用作出任何规定,该章亦未规定相关标准,就托管服务提供商进行的操作是否应视为发生于该托管服务提供商的设立地或经营地或其计算机基础设施的放置地予以认定。考虑到《95/46指令》制定时的互联网发展状况,以及《95/46指令》第四章缺少适用于互联网使用这一情形的标准,欧洲法院无法推测欧盟立法机关意图让“向第三国传输个人数据”涵盖如同林德奎斯特女士这样的个人向网页上传数据的行为,即便这些数据因此可为第三国拥有相关技术方法的个人所访问。另外,若《95/46指令》第25条被解释为,在个人数据每次被上传至网页之际均存在“向第三国传输个人数据”,则在访问互联网所需的技术方法存在的情况下,该数据传输将必然成为向所有第三国进行的数据传输。在此情形下,即使欧盟委员会认定,根据《95/46指令》第25条第4款的规定,只有某个第三国未确保充分的个人数据保护,欧盟成员国于此场合仍有义务阻止任何数据上传于互联网。综上,《95/46指令》第25条应解释为,诸如林德奎斯特女士在本案中进行的相关操作并不构成“向第三国传输个人数据”。在此情形下,审查某个第三国的个人是否访问相关网页或者相关托管服务器是否位于第三国已无必要。

据此,欧洲法院认为,对于歌塔法院提出的第4个问题的答复是,在一个欧盟成员国境内的个人将个人数据上传至存储于其托管服务提供商(该托管服务提供商设立于该欧盟成员国或者其他成员国境内)的网页,并因此使得这些个人数据可为连接至互联网的任何人(包括第三国的个人)访问的情况下,《95/46指令》第25条规定的“向第三国传输个人数据”并不存在。

评析

第一,本案明确了将个人数据上传至网页构成个人数据处理。根据《95/46指令》以及《一般数据保护条例》的界定,个人数据处理是指对个人数据或个人数据集合的任何单一或一系列的操作,无论是否通过自动化方式进行,例如对个人数据或个人数据集合的收集、记录、组织、建构、存储、适配或修改、检索、咨询、使用、通过传输披露、传播或通过其他方式提供、排列或组合、限制、删除或销毁。此外,根据《95/46指令》以及《一般数据保护条例》的规定,该指令及条例所适用的个人数据处理,或者以完全自动或部分自动方式进行,或者以非自动方式进行。但是,在个人数据处理以非自动方式进行的情况下,相关个人数据须构成个人数据整理汇集系统的一部分。

本案中,欧洲法院认定,将个人数据上传至网页构成《95/46指令》项下的个人数据处理,理由如下:一是由于将个人数据上传至网页符合《95/46指令》有关“个人数据处理”的前述定义。二是根据目前的技术和计算机程序,将个人数据上传至网页所需进行的操作最起码有一部分是自动进行的。因此,将个人数据上传至网页符合《95/46指令》有关个人数据处理的规定,构成《95/46指令》项下的个人数据处理。

第二,本案明确了相关个人将个人数据上传至网页的行为不符合“发生在欧盟法律范围之外的活动过程中的个人数据处理”,以及“家庭豁免”这两个不适用《95/46指令》和《一般数据保护条例》的例外情形,故应受《95/46指令》乃至《一般数据保护条例》的规制。

首先,根据欧洲法院的诠释,《95/46指令》和《一般数据保护条例》规定的“发生在欧盟法律范围之外的活动过程中的个人数据处理”这一例外情形,仅适用于《95/46指令》和《一般数据保护条例》明确列明的活动,即与个人活动无关的、国家或国家机关的活动,或者与这些活动同类的活动。基于相关个人将个人数据上传至网页的行为原则上不属于国家或国家机关的活动(例如本案中林德奎斯特女士将个人数据上传至网页的行为就属于慈善或宗教活动,而不属于国家或国家机关的活动)。因此,该行为不符合“发生在欧盟法律范围之外的活动过程中的个人数据处理”这一例外情形。

其次,根据欧洲法院的解释,《95/46指令》和《一般数据保护条例》规定的“自然人在纯粹的个人或家庭活动过程中的个人数据处理”这一例外情形,即所谓的“家庭豁免”应解释为仅与相关个人在私人或家庭生活过程中的活动有关。而根据本案总法律顾问蒂扎诺(Tizzano)就本案出具的法律意见,“纯粹的个人或家庭活动”系指限于相关个人或家庭圈子的明显是私人和秘密的活动。(2)根据《95/46指令》以及《一般数据保护条例》“序言”部分的规定,纯粹的个人或家庭活动包括通信及持有通信记录,或在该等活动的背景下进行的社交和网络活动等。基于将个人数据上传至网页并非相关个人在私人或家庭生活过程中的活动,因此该行为将导致这些数据可为数目无限的人所访问,而这明显超出了相关个人的私人和家庭圈子。因此,该行为亦不符合“自然人在纯粹的个人或家庭活动过程中的个人数据处理”这一例外情形。

第三,本案明确了对于《95/46指令》和《一般数据保护条例》规定的“健康数据”需予以宽泛解释。健康数据系指与自然人身体或心理健康相关的个人数据,包括可以体现其健康状况的健康服务数据。由于健康数据属于敏感数据,为充分保护该数据,欧洲法院在本案中认定,《95/46指令》和《一般数据保护条例》规定的健康数据需予以宽泛解释,以便包含个人健康的所有方面(身体方面和心理方面)的信息。根据《一般数据保护条例》“序言”部分的规定,健康数据包括在为自然人登记或提供医疗保健服务过程中收集的有关自然人的信息;分配给某一自然人的、能够在健康方面识别该自然人的唯一序号、标记或独特标识;身体部位检测产生的信息,包括基因数据和生物样本产生的信息和有关数据主体疾病、残疾、疾病风险、病史、临床治疗或生理或生还状况等信息,无论该信息是从医师或其他专业人员、医院、医疗设备或体外诊断试验取得的。

第四,本案明确了个人向网页上传个人数据并不构成《95/46指令》和《一般数据保护条例》规定的向第三国传输个人数据。由于《95/46指令》和《一般数据保护条例》均对欧盟境内的数据控制者或处理者向第三国传输个人数据作出了规定。鉴于此,向网页上传个人数据是否构成向第三国传输个人数据并因此受制于这些规定,即成为一个需要解决的问题。在本案中,欧洲法院明确,向网页上传个人数据并不构成向第三国传输个人数据,理由如下。

首先,从《95/46指令》制定时的互联网发展状况,以及该指令第四章未规定适用于互联网使用这一情形的标准来看,欧盟立法机关无意让“向第三国传输个人数据”涵盖个人向网页上传数据的行为,即使这些数据可被第三国拥有相关技术方法的个人所访问。

其次,若《95/46指令》第25条被解释为,在个人数据每次被上传至网页之际均存在“向第三国传输个人数据”,则在访问互联网所需的技术方法存在的情况下,该传输将必然成为向所有第三国的传输。《95/46指令》第四章规定的特别机制由此将必然成为与互联网上的操作相关的普遍适用的机制。在此情形下,根据《95/46指令》的规定,即使欧盟委员会认定,只有某个第三国未确保充分的个人数据保护,欧盟成员国于此场合仍有义务阻止任何数据上传于互联网,而这显然是不合理的。


(1) http://curia.europa.eu/juris/document/document.jsf?text=&docid=48382&page Index=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=2023183.

(2) Opinion of Advocate General Tizzano, delivered on 19 September 2002.