關注公眾號並設為
標,獲取AI治理全球最佳實踐
標,獲取AI治理全球最佳實踐來源:歐盟法院
整理:何淵,DPOHUB主理人
普通法院在T-354/22號案件 “賓德爾訴歐盟委員會” 中的判決
歐盟法院新聞稿第 1/25 號
盧森堡,2025 年 1 月 8 日
普通法院因個人資料向美國跨境傳輸一事,判令歐盟委員會向歐洲未來會議網站的一名訪問者支付賠償金
歐盟委員會透過在歐盟登入網頁上顯示的 “使用 Facebook 登入” 超連結,為將相關個人的 IP 地址傳輸給美國企業 Meta 平臺創造了條件。
一名居住在德國的公民賓德爾訴稱,
在2021年和2022年他訪問由歐盟委員會管理的歐洲未來會議網站時,歐盟委員會侵犯了他的個人資料權利。
具體而言,他透過該網站使用歐盟委員會的歐盟登入認證服務註冊了 “走向綠色” 活動,並選擇了使用他的Facebook賬戶登入的選項。
賓德爾訴稱
,在他訪問該網站期間,
他的個人資料,包括他的 IP 地址以及有關他的瀏覽器和終端的資訊,被傳輸給了位於美國的接收方
。
賓德爾訴稱
,這些資料被傳輸給了美國企業亞馬遜網路服務公司(Amazon Web Services),因其是相關網站所使用的內容交付網路亞馬遜 CloudFront 的運營商。此外,當他使用 Facebook 賬戶註冊 “走向綠色” 活動時,
他的個人資料被傳輸給了美國企業Meta平臺公司。
然而,據
賓德爾認為
,
美國沒有足夠的保護水平
。他堅稱這些傳輸引發了他的資料被美國安全和情報部門獲取的風險。
歐盟委員會沒有指明任何可能證明這些傳輸合理的適當保障措施。
基於此,他要求就他訴稱因所涉傳輸而遭受的非物質損害支付400歐元的賠償金。
他還
要求撤銷其個人資料的傳輸
,宣佈歐盟委員會非法未就資訊請求確定其立場,並命令歐盟委員會就他聲稱因資訊獲取權受到侵犯而遭受的非物質損害向他支付 800 歐元的賠償金。
普通法院
駁回了撤銷申請,認為其不可受理
,並認定已無需就宣佈不作為的請求作出裁決。普通法院
還駁回了基於侵犯資訊訪問權的損害賠償請求
,認定不存在所聲稱的非物質損害。
關於基於有爭議的資料傳輸的損害賠償請求,普通法院
駁回了與透過亞馬遜 CloudFront 進行的資料傳輸相關的該請求。
普通法院認定,在其中一次有爭議的連線中,根據鄰近原則,資料被傳輸到了位於德國慕尼黑的一臺伺服器,而非美國。根據歐盟委員會與管理亞馬遜 CloudFront 的盧森堡企業亞馬遜網路服務公司簽訂的合同,亞馬遜網路服務公司必須確保資料在靜態和傳輸過程中都留在歐洲。
在另一次連線中,是
原告透過亞馬遜 CloudFront 路由機制將其重定向到美國的伺服器
。由於一項技術調整,他看起來像是位於美國。
然而,關於原告對 “走向綠色” 活動的註冊,普通法院認定,
歐盟委員會透過在歐盟登入網頁上顯示的 “使用 Facebook 登入” 超連結,為將他的 IP 地址傳輸給 Facebook 創造了條件
。
該 IP 地址構成個人資料,透過該超連結被傳輸給了位於美國的企業 Meta 平臺。該傳輸必須歸咎於歐盟委員會。
在 2022 年 3 月 30 日進行該傳輸時,歐盟委員會沒有作出認定美國確保對歐盟公民個人資料提供充分保護的決定。此外,歐盟委員會既未證明也未聲稱存在適當的保障措施,特別是標準資料保護條款或合同條款。
歐盟登入網站上 “使用 Facebook 登入” 超連結的顯示完全受 Facebook 平臺的一般條款和條件管轄。
因此,歐盟委員會沒有遵守歐盟法律為歐盟機構、機關、辦公室或機構向第三國傳輸個人資料所設定的條件。
普通法院認定,
歐盟委員會嚴重違反了旨在賦予個人權利的法律規則
。原告遭受了非物質損害,
因為他對自己個人資料(尤其是他的 IP 地址)的處理處於某種不確定的狀態。此外,歐盟委員會的侵權行為與相關個人遭受的非物質損害之間存在足夠直接的因果關係
。
由於確立歐盟非合同責任的條件已滿足,普通法院命令歐盟委員會向相關個人支付所要求的
400 歐元
。
注:任何認為歐盟已產生非合同責任的人都可以提起損害賠償訴訟。這種責任以滿足三個累積條件為前提:
(1)嚴重違反旨在賦予個人權利的法律規則;(2)存在損害事實;(3)歐盟的非法行為與所遭受的損害之間存在因果關係。
注:可在普通法院判決通知後兩個月零十天內,就法律問題向歐洲法院提起上訴。
供媒體使用的非官方檔案,對普通法院無約束力。
判決全文及(視情況而定)摘要在宣判當日釋出於 CURIA 網站。
。。。。。。
全部AI及資料中譯本及資訊請加入