颠覆性影响？欧盟法院将“评分”视为 GDPR 第 22 条规定的“自动个人决策”

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

文/ 王捷律师团队

W&W国际法律团队

专注互联网出海法律实务：

W&W国际法律团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

互联网前沿领域法律服务：

W&W国际法律团队深耕出海法律实务的同时，也紧跟互联网前沿动态，可以为互联网企业提供前沿领域的法律服务，为企业开拓新的业务领域保驾护航，比如AIGC产品全链路合规法律服务，包括AI与数据合规， AIGC与知识产权布局、侵权风险防范，内容审核标准制定等。

覆盖以下行业领域：

物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。

（此处仅展示部分内容，如有任何需求，请尽管与我们联系。）

引言

鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势，W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块，跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向，提示企业合规要点，为企业开展出海业务、部署国内合规工作提供参考。

本期W&W地区观察聚焦：一、欧盟法院将“评分”视为 GDPR 第 22 条规定的“自动个人决策”；2、丹麦Datatilsynet发布数据访问权限管理指南。

欧盟：欧盟法院将“评分”视为 GDPR 第 22 条规定的“自动个人决策”

2023 年 12 月 7 日，欧盟法院（the Court of Justice of the European Union）宣布已通过对 C-634/21 OQ 诉黑森州案（OQ v. Land Hessen）以及 C-26/22和C-64/22 UF/AB 诉黑森州（UF/AB v Land Hessen）联合案的裁决，这些案件与德国私人信贷机构 Schufa Holding（以下简称 Schufa）有关。Schufa 是德国最大的私人信贷机构，该机构根据人们的信誉对其进行评分。第一起案件（C-634/21）涉及的问题是，Schufa 是否被允许自动发布信用评分，或者这是否构成 GDPR 大部分禁止的“自动化个人决策”。在第二起案件中（合并案件C-26/22 和 C-64/22），数据主体要求在已从公共破产登记册中删除破产数据后，从 Schufa 数据库中删除这些数据，因为这些数据是由 Schufa 从公共破产登记册中获取并存储的。

该判决有何影响？

对Schufa信用评分业务的影响

根据欧盟法院的判决，Schufa使用不透明算法进行信用评分属于GDPR第22条的特殊保护范围。GDPR第22条禁止将个人数据用于对数据主体具有“重大不利影响”的全自动决策。欧盟法院认为，就Schufa的客户（例如银行）属性而言，鉴于其在授予信用方面发挥决定性作用，原则上GDPR第22条应当禁止这种行为。由于欧盟法院将“信用评分”被视为“自动化个人决策”，则目前形式的自动化信用评分对整个欧盟的信用机构都是禁止的。如果Schufa想在未来计算用户的信用可靠性，则需要得到他们的明确同意。

长期保留债务清偿信息

此外，欧盟法院认为，私营机构保留与免除剩余债务有关的数据的时间超过了德国公共破产登记法律规定的期限（六个月），违反了GDPR。免除剩余债务的目的是让数据主体重新进入经济生活，因此，欧盟法院认为，六个月期限过后，数据主体的权益优先于其他人的权益。公众有权访问该信息。由于长期保留此类数据是非法的，欧盟法院认为数据主体有权要求删除数据，相关私人机构有义务尽快删除数据。

垦丁W&W简评

简言之，根据欧盟法院的裁定，使用个人数据作出的“信用评分”被视为“自动化个人决策”，这将为信用机构行业实现完全的GDPR合规带来挑战。该判决旨在强调将信贷决策流程与GDPR要求保持一致以保护个人隐私权的重要性。该裁决可能会导致企业在使用第三方信用评分服务时评估和调整其做法，以确保遵守欧盟隐私法规。

丹麦：Datatilsynet 发布数据访问权限管理指南

2023年12月7日，丹麦数据保护机构Datatilsynet宣布发布了关于管理访问权限的指南。该指南特别讨论了权限管理（rights management）的概念，即管理对IT系统和场所的访问权限，以及个人用户可以访问的信息。

谁负责权限管理？

根据该指南，组织内的权限管理是一项集体责任，包括各种角色，每个角色都有特定的职责。指南指出，数据处理人员IT系统操作人员应确保IT系统的配置符合权限管理政策。而数据保护官(data protection officers)负责监控个人数据保护并提供建议，以防止未经授权的访问。

该指南指出，组织中的所有员工，无论其在IT安全中的角色如何，都有责任了解自己的访问权限，并确保这些权限符合其工作要求。

可以采取哪些措施来确保有效的权限管理？

此外，该指南概述了为确保负责任的权利管理而可以采取的技术和组织措施。这些措施主要包括：

多重身份验证（multi-factor authentication）；
记录用户对个人数据的访问；
自动访问控制；
最大限度地减少特权访问权限；
实施基于角色的访问权限。

根据该指南，无论是内部还是通过外部供应商，全面了解组织的IT环境对于实施适当的权限管理措施至关重要。该指南建议组织应对所有权限管理措施进行风险评估，以识别和减轻信息安全风险。

权限管理不力的后果？

该指南提供了以下示例说明权限管理不力的潜在后果：

缺乏访问限制；
勒索软件；
由于缺乏IT技能而出错；
滥用超级用户权利；
未能在员工离职期间取消访问权限。

垦丁W&W简评

权限管理是信息安全的基础，一方面，通过设置访问权限层级，限制不同类型的主体访问企业内部数据的资格和范围，可以从源头上减少数据泄露和信息安全风险。根据此前W&W法律团队所汇总的全球数据资讯，许多企业正是因为未设置恰当的数据访问权限导致了未经授权的数据访问，进而引发数据泄露而面临巨额罚款和诉讼。

另一方面，外部可能会对企业进行黑客和勒索软件攻击，如果事先已对访问权限进行了良好的控制，可以大大减少外部攻击造成的损害。另外，精确设置数据访问权限可以确保员工只能访问他们需要的数据，避免信息混乱和错误的数据操作，从而提高数据管理的效率和准确性。企业可以参考丹麦这份数据访问权限管理指南以及其他类似指导文件，积极开展权限管理工作，重视权限管理体系的建设。

主编介绍

王捷 律师

垦丁国际业务部负责人、广州执行主任

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

业务领域：

个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全

王律师持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士。

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验，具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务，行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。

王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地，包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局，已为各类涉互联网企业拓展全球市场提供法律支持，尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。

同时，王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列

开辟万象，OPEN你的AI｜垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》（附下载）

W&W解读|欧洲动态|指南+1！Cookie等跟踪技术指南草案通过

企业出海实务分享 | 2024年，如何布局AIGC出海？

W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读

挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布

合规实务 | AIGC非知识产权领域的法律风险与合规应对

合规实务 | AIGC知识产权领域的法律风险与合规应对