歐盟法院最新判例精解|個人資料間接收集與生成:知情權與控制者義務的司法平衡

已結課!最後的最大優惠!掃碼立享!
整理:何淵,DPOHUB主理人

引言

歐盟法院(CJEU)在2024年11月28日公布的 C-169/23 案件中的裁定深刻闡釋了 GDPR 第14條第5款(c)項的例外情形,尤其是資料主體權利與資料控制者義務之間的平衡。本判例探討了資料控制者在處理從第三方獲取或自行生成的資料時的資訊提供義務,以及監督機構在審查相關例外情形下的權責。本文將從標題、案情、裁判要旨、裁判內容、爭議焦點、法官分析思路及相關法律條款等角度,全面解讀本案。

案情

案件背景

COVID-19疫情期間,匈牙利政府頒佈了國家法,用以支援對公民免疫狀態的認證和管理。根據此法律,匈牙利首都政府辦公室(Budapest Metropolitan Government Office,簡稱“控制者”)負責簽發COVID-19免疫證書。此證書中包含的資料包括:
  • 從電子健康服務平臺(Elektronikus Egészségügyi Szolgáltatási Tér,EESZT)收集的疫苗接種記錄;
  • 從人口登記資料庫收集的個人身份資訊,如姓名、地址、身份證號碼等;
  • 控制者基於已有資料生成的附加資訊,如證書序列號、到期日期和二維碼。
免疫證書的頒發旨在為接種疫苗或曾感染COVID-19康復的個人提供有效證明,但資料處理的透明性問題引發了爭議。

投訴與調查

資料主體UC因認為控制者未能充分告知其個人資料的處理情況,於2021年向匈牙利國家資料保護和資訊自由機構(簡稱“國家機構”)提交投訴,主要提出以下問題:
  1. 控制者未明確說明資料處理的目的和法律依據;
  2. 未提供如何行使資料主體權利的相關資訊;
  3. 未公開資料保護宣告,尤其是在涉及生成的資料(如二維碼)時。
國家機構隨後展開調查,並基於控制者引用的GDPR第14(5)(c)項例外條款作出決定,認為:
  • 控制者無須向UC提供詳細資訊,因為國家法律已明確規定其資料處理活動;
  • 控制者透過其網站釋出的資料保護宣告是一種良好實踐,但非強制性要求。

訴訟過程

UC對國家機構的決定提出行政上訴,匈牙利高階法院支援了UC的觀點,認為控制者生成的資料不屬於“從第三方收集的資料”,因此不應適用GDPR第14(5)(c)的例外。國家機構隨即向匈牙利最高法院(Kúria)提起上訴,最高法院將問題提交歐盟法院請求初步裁定。

裁判要旨

歐盟法院判定:
  1. GDPR第14(5)(c)項的例外涵蓋所有未直接從資料主體處收集的個人資料,包括控制者基於第三方資料生成的資訊
  2. 在資料主體提出的投訴程式中,監督機構有權核查成員國法律是否提供了充分保護措施,但不需審查技術和組織措施的適當性。
  3. 例外情形的適用須確保資料主體權利的保護水平不低於GDPR第14(1)-(4)條的規定。

裁判內容

第一問題:GDPR第14(5)(c)的適用範圍

法院認為,第14(5)(c)項明確規定,當資料的獲取或披露是基於歐盟或成員國法律的強制性要求,並且該法律提供了適當的保護措施時,控制者可以免於向資料主體提供處理資訊的義務。具體而言:
  1. "獲取"的定義:法院指出,"獲取"包括兩種情況:一是控制者從第三方直接獲取資料,二是控制者基於從第三方獲取的資料生成額外資訊。後一種情況包括免疫證書的序列號、到期日期及二維碼等由控制者自行生成的資料。
  2. 語言解釋:不同語言版本中對“獲取”的表述存在差異,但法院結合上下文和GDPR的立法目的,確認該術語涵蓋了資料生成的情形
  3. 目的解釋:GDPR旨在確保資料主體在資料處理中的知情權和控制權,而第14(5)(c)的例外並未削弱這一核心目標。相反,該例外透過法律規定的保護措施為資料主體提供了另一種保障。

第二問題:監督機構的核查範圍

法院裁定,監督機構在處理投訴時可以:
  1. 核查法律依據:審查控制者是否根據明確的國家法律或歐盟法律進行資料獲取或生成。
  2. 核查保護措施:確保國家法律提供了足夠的保護措施以保障資料主體的合法權益。保護措施的適當性應達到GDPR第14(1)-(4)條的要求,即資料主體應能充分了解其資料的處理方式和目的。

第三問題:技術和組織措施的審查

法院明確,監督機構的核查範圍不包括對技術和組織措施(GDPR第32條規定)的適當性進行評估。第32條旨在確保資料處理的安全性,而與第14條的知情義務例外無直接關聯。

爭議焦點

本案的核心爭議集中在以下幾個方面:
  1. GDPR第14(5)(c)項例外的適用條件
    • 該條文是否僅適用於控制者從第三方獲取的資料,還是涵蓋控制者基於這些資料生成的內容?
    • 法院透過文義、目的及體系解釋,確認例外適用於控制者生成的資料。
  2. 資料主體權益的保障機制
    • 例外的適用是否會削弱資料主體的知情權,導致其無法有效控制資料的處理?
    • 法院認為,例外的適用必須以國家法律提供充分保護措施為前提,且保護水平不得低於GDPR第14(1)-(4)條的要求。
  3. 監督機構的核查職責
    • 監督機構是否應擴充套件核查範圍至技術和組織措施的適當性?
    • 法院認為,第14(5)(c)項的核查應集中於法律保護措施,而非技術或組織層面的安全措施。

法官分析思路

1. 文義解釋

法院詳細分析了“獲取或披露”的含義,強調該術語在不同語言版本中均指向“個人資料”,而不僅限於第三方提供的資料。這種廣義的解釋符合GDPR第14條的整體邏輯,確保資料主體的知情權不因資料來源不同而受到不必要的限制。

2. 目的解釋

GDPR的核心目標是保護資料主體的基本權利,尤其是隱私權和資料控制權。法院認為,第14(5)(c)項的例外並未削弱這些權利,而是透過立法提供替代性保護措施。在本案中,匈牙利的國家法律明確規定了資料獲取和生成的範圍,同時要求對資料主體合法權益的保護。

3. 體系解釋

法院結合GDPR第13條和第14條的結構,確認兩者分別針對資料直接收集和間接收集的情形。第14(5)(c)的例外必須在整體框架下解讀,以確保資料主體權利不受影響。此外,法院特別指出,第14條中的例外情形應在特殊情況下適用,其目的是在確保資料處理效率的同時避免加重控制者的義務。

4. 風險權衡

法院強調,例外情形的適用需考慮資料主體權利與資料控制者義務之間的平衡。若國家法律提供的保護措施不足以保障資料主體的知情權,則控制者不能主張該例外條款的適用。本案中,法院認定匈牙利法律透過透明資訊披露機制和明確的資料處理規定,提供了充分的保護措施,從而滿足了GDPR第14(5)(c)項的要求。

5. 監督機構的角色

法院進一步分析了監督機構在處理投訴中的角色,指出監督機構的職責是確保控制者行為符合法律要求,但不應過度擴充套件其許可權,例如對技術和組織措施的審查超出了GDPR第14條的範圍。

相關法律條款解讀

GDPR第14條

  • 第1-4款:規定資料控制者的知情義務,包括處理目的、法律依據、資料類別、接收方資訊等。
  • 第5款(c)項:明確當資料的獲取或披露是基於法律強制要求,並且法律提供了適當保護措施時,控制者可免於提供資訊

GDPR第14(5)(c)條文規定了在資料主體未直接從資料主體那裡獲得個人資料的情況下,資料控制者可以不提供資料主體的資訊的一種豁免情況這種豁免適用於“提供這些資訊將涉及到不成比例的努力,且資訊的獲得不對資料主體造成重大影響”。

具體內容如下:
  • 豁免適用的條件
    1. 資料控制者能夠證明提供資訊會涉及到不成比例的努力。這裡的“不成比例的努力”通常是指,如果提供這些資訊會對資料控制者的運營、組織或法律責任產生重大負擔。
    2. 資訊的提供不會對資料主體造成重大影響。也就是說,即便不提供這些資訊,資料主體的基本權利和自由不會受到嚴重影響。
  • 資料控制者的責任
    1. 如果使用豁免,資料控制者仍然需要確保資訊的獲取不影響資料主體的基本權利。
    2. 資料控制者應當能夠解釋為何提供這些資訊會涉及不成比例的努力,並且確保資料主體可以以其他方式(例如透過聯絡表單或請求途徑)獲得這些資訊。
這種豁免通常適用於資料控制者在日常操作中處理的大量資訊、如網際網路服務提供商等。它允許在特殊情況下避擴音供所有與資料收集相關的資訊,從而簡化資料處理的透明性。
GDPR第77條
賦予資料主體向監督機構投訴的權利,確保其能夠對可能的權利侵害提出救濟請求。

GDPR第32條

要求控制者採取技術和組織措施,確保資料處理的安全性,包括加密、資料恢復能力和安全評估機制。

判例的實踐意義

  1. 對資料控制者的啟示。控制者應確保其資料處理行為符合法律規定,並在適用例外時提供充分的法律依據和保護措施。
  2. 對監督機構的指導。監督機構需在處理投訴時嚴格審查法律保護措施,但應避免擴大核查範圍至技術和組織措施。
  3. 對資料主體的保障。資料主體透過投訴程式,可有效監督控制者對其資料處理行為的合法性,並獲得司法救濟。
。。。。。。判決書全文中譯本,請加入DPOHUB開放社群

全部AI及資料中譯本及資訊請加入


相關文章