查看原文
其他

欧盟法院关于特殊数据类型的最新判例

中伦蔡鹏律师团队 数据与电商研究室
2024-08-26

导读

2022年8月1日,欧盟法院(The Court of Justice of the European Union,CJEU)通过判决确立,个人姓名数据可能间接揭示自然人性向。GDPR限制成员国立法要求公共机构负责人在网络上公开私人利益声明时公布其伴侣的具体姓名数据


本案不仅重申了比例原则,且对于敏感个人信息的判定标准加以澄清:即能够间接揭示自然人健康状态信息的数据属于受GDPR第9条保护的特殊类别数据。


OP是立陶宛政府设立的一家非盈利机构。2018年,立陶宛首席道德委员会(立陶宛政府反贿赂部门)作出决定称,OP的负责人没有在OP的网站上公开私人利益声明,违反了立陶宛本国法律。随后,OP向立陶宛法院起诉,要求撤销该决定。OP表示,在网站中公开私人利益声明会影响其负责人以及声明中被要求披露的配偶的隐私。


由于该案涉及对个人数据保护的特殊要求,立陶宛法院遂就该案寻求欧盟法院的先决裁定。欧盟法院于2022年8月1日裁定,立陶宛法律不应要求OP在政府公开网站中公示包含伴侣具体姓名数据的私人利益声明。欧盟法院在其裁定中澄清了以下几点:


  1. 与健康有关的个人数据包括揭示数据主体过去、当前或未来的身体或心理健康状况有关的信息。不应以“关于(concerning)”或“揭示(revealing)”的程度来区别其是否属于GDPR第9(1)条规定的特殊种类个人数据。


  2. 配偶个人姓名数据可能间接揭示性向,属于特殊种类的个人信息。 因此在立陶宛有关机关的网站上公布这些个人数据将构成GDPR规定的敏感个人数据处理。


  3. GDPR第 6 (1)(e)条所规定的个人数据处理法律基础——为了执行公共利益领域的任务或行使控制者既有公务职权之必要——必须满足公共利益目标的要求且符合比例原则。


  4. 特定场景下在网络上公开载明的相关个人的姓名以及交易信息等个人数据,将严重干预该个人享有的私人生活获得尊重的权利以及个人数据保护权,而防止利益冲突和打击腐败的目标和成效不足以消弭这些数据被公开造成的影响,因此不符合比例原则。


长久以来,GDPR虽然为处理所谓的特殊类别个人数据制定了严格的规则,但对于欧盟及其成员国如何统一处理可能存有敏感字段的数据一直存在争论。对于大型平台而言,它们已经掌握了足够的个人行为数据,基本上可以通过识别(和替代)敏感字段来规避狭义解释下对特殊类别数据的处理限制。因此,一些平台虽然声称他们在技术上没有处理特殊类别数据,但其操作对数据主体权利的腐蚀作用和影响别无二致。


本案中,欧盟法院认为,公布配偶或伴侣的姓名被认定为可能揭示数据主体的性向,因此属于特殊类别的个人信息。这一裁定打破了原有的灰色地带,并且相同的解释规则适用于GDPR第9条所规定其他特殊类别个人数据的处理。


这将对使用背景跟踪分析为用户提供行为广告或者为推荐引擎提供所谓“个性化”内容的网络平台产生重大影响,包括在线广告、约会应用、网络看诊等。同时,新的规则也增加了平台管理用户数据和建立不同合规轨道的巨大复杂性和实际困难,以及其他个人信息在线处理形式的法律风险。


欧盟法院的判决属实是意料之外,情理之中。欧盟法院对伴侣姓名与特殊类型数据关系的推演解释表明:特殊类型个人数据所指代的并非GDPR第9条罗列的特定类型数据,而应落脚到“特殊”二字,以这些信息对个人信息主体的实际影响作为评判标准。


这一判断为未来数字广告生态系统的数据保护解决方案拨清了方向。企业在理解法律时应当先行一步,看到文字背后的法理基础,才能更好地部署商业安排和合规路径。


此外,“公共利益”不是行政部门的万金油,仅以“公共利益”四个字作为个人数据处理的法律基础是远远不够的。还需要进一步分析具体做法/法规是否符合比例原则,与所追求的目标相称。


长按二维码一键关注

继续滑动看下一个
数据与电商研究室
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存