【域外文献导读】万物之法:宽泛的个人数据概念和欧盟数据保护法的未来
【域外文献导读】
万物之法:宽泛的个人数据概念
和欧盟数据保护法的未来
篇名:The law of everything. Broad concept of personal data and future of EU data protection law
作者信息:Nadezhda Purtova,荷兰Tilburg大学法律、技术与社会研究所(TILT)。
文献来源:LAW, INNOVATION AND TECHNOLOGY, 2018, VOL. 10, NO. 1, 40–81
第一部分为引言
作者整体介绍了文章的基本观点,即欧盟的《统一数据保护条例》(GDPR)的适用范围以及个人数据概念范围是十分宽泛的。这种趋势的坏处是,可能导致未来欧盟的数据保护体系受到冲击。
第二部分作者分析了个人数据概念
本部分,作者分析了欧盟数据保护法(包括1995年《指令》和GDPR)中个人数据概念,并总结出该概念具有灵活性、可改变性和不确定性三大特征。1995年《指令》和GDPR(第4条a项)在个人数据概念上无甚差别,个人数据概念都包含“可识别”、“有关”、“任何信息”等各个要件。作者将概念中的各个要件分别抽出,并配合对GDPR之鉴于(whereas)部分第26段,进行解读。由于GDPR第4条a项及GDPR之鉴于部分第26段,是文章讨论的重点,故笔者将该两处原文摘录于此:
GDPR第4条a项:‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
GDPR之鉴于部分第26段:The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.
第三部分作者分析了29条工作组对个人数据概念的指导意见
29条工作组是根据1995年指令成立的组织。2007年,29条工作组就如何理解1995年《指令》中的个人数据概念发布了一份指导意见(Opinion 4 /2007 on the concept of personal data,01248 /07 /EN WP 136,以下简称《意见》)。在《意见》中,29条工作组把个人数据的定义分解成“已识别或可识别”、“任何信息”、“有关”、“自然人”四要件。循着这一思路,作者重点就前三个要件进行分析。最终得出结论,按照29条工作组的《意见》,个人数据范围将无比宽泛。作者甚至举了天气数据的事例,以表明在特定场景下天气数据也有可能被视为个人数据。
第四部分作者梳理了欧洲法院(CJEU)对于个人数据概念的理解
由于29条工作组的《意见》仅具有参考性质,而没有适用上的约束力。所以作者在本部分从几个典型案例出发,着重考察了欧洲法院对于个人数据概念范围的理解。作者在该部分首先分析指出,29条工作组的《意见》对于判例法的发展有一定间接影响,至少为法官们列出了思考重点。
在Lindqvist案和Google Spain案中,欧洲法院均认为,个人数据保护法的范围仍然应当采广义理解。如果因采广义理解导致出现了任何意外(any possible undesirable)结果,那么需要依靠具体的数据保护规范进行调整。
关于“可识别”要件。在breyer案中,欧洲法院认可了29条工作组《意见》关于“可识别”要件的解释,即采客观解释——只要数据控制者、处理者或其他任何人能够识别自然人,那么“可识别”要件即满足。
关于“任何信息”要件。在nowak案中,欧洲法院认为,“任何信息”这一表达,表明无论是主观的还是客观的、形式上无论是意见还是评估,都不影响对于其个人数据属性的肯定。作者认为欧洲法院在此案中保持了与《意见》的一致,对个人数据从宽理解。
关于“有关”要件。关于这一点,欧洲法院的态度发生过转变。在 YS and others案中,法院认为如果数据保护法适用范围过宽导致不合理结果,那么就对个人数据概念进行限缩解释。所以法院在YS and others案中对“有关”进行了限缩解释,认为仅内容相关才认定为“有关”。但是在后来的Nowak案中,法院改变了这一看法,继续保持与《意见》一致。
因此即便是在判例法上,个人数据范围仍然很大。
第五部分作者分析了个人数据概念范围宽泛的影响
该部分中,作者分两个阶段对个人数据概念范围宽泛造成的影响进行深度分析。
从目前和未来较短时间来看,个人数据范围过于宽泛、GDPR适用范围过于宽泛,不会产生什么问题。因为虽然学理上将个人数据扩张很多,但是实践当中相当一部分情形中没有被认定为个人数据。所以这套保护系统还没有过载(system overload)。
但是从长期来看,作者认为这种趋势会导致GDPR成为万物之法(the law of everything),将有害于该法的实施。当然,作者指出问题之根本不在于个人数据概念范围过宽,而在于数据控制者及处理者相应义务的强度过高。
第六部分,针对个人数据概念范围宽泛以及数据保护法适用范围宽泛的问题提出了三种可能的解决路径
第一种路径是对个人数据概念进行限缩解释。但该路径的缺陷时个人权利保护将失之不周延。
第二种路径是仍然对个人数据概念进行广义理解,但是调整义务强度为与风险相匹配。该路径的缺陷是,我们不知道如何划定不同强度的边界,不知道如何能保证与保护目标相统一。
第三种路径(也是作者最为推荐的路径)是完全放弃在数据保护制度中对个人数据与非个人数据的区分,转而寻求对“信息导致的损害”的救济(remedies for ‘information-induced harms’)。道理在于任何信息都有可能是个人数据。
作者 | 李群涛
华东政法大学法律学院,互联网法治研究院(杭州)助理
编辑| 徐静赛
审稿| 刘秀丽
更多内容
【前沿观点】高富平 | 形成全社会“共建共治共享”的治理生态
专注“互联网法治”研究👉