团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过80+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
引言
2024年11月28日,欧盟法院 (CJEU) 公布了对案例 C-169/23 的判决,判决涉及间接收集个人数据的用户知情权。
判决书原文 | 图源:欧盟法院官网
01
判决背景
匈牙利政府颁布了关于新冠免疫证书的第60/2021号法令(以下简称“匈牙利法令”),规定了证书的内容及发放方式,其中涉及个人数据处理的事项。
2021年4月30日,原告向上诉机关投诉,称证书发行机关未提供个人数据处理的信息,包括处理目的、法律依据及数据主体权利行使方式等。
发行机关表示,其任务执行依据匈牙利法令第2条。数据处理法律依据为GDPR第6(1)(e) 条和第9 (2)(i) 条,依据GDPR第14(5)(c) 条无需提供信息,但仍发布了数据保护声明。
上诉机关经审查后,于2021年11月15日驳回原告请求,认为发行机构处理数据适用GDPR第14 (5)(c) 条例外规定,无提供信息义务,同时将法令部分条款视为保护数据主体合法利益的合理措施。
原告不服上诉机关决定,向布达佩斯高等法院提起行政上诉,法院于2022年12月14日判决撤上诉机关决定,责令其重新启动程序,理由是发行机构生成的部分数据不适用GDPR 第14 (5)(c)条例外规定,上诉机关对此提起向匈牙利最高法院提起特别上诉。
匈牙利最高法院于2023年2月8日决定中止诉讼,并将以下问题提交法院进行初步裁决:
1. GDPR 第14 (5)(c) 条豁免情形,究竟包不包括控制者自己产生的数据?
2. 欧盟成员国监管机构是否有权核实成员国法律是否提供了适当措施来保护数据主体合法利益(即上述第14(5)(c)条)?如果能,验证过程是否要核查GDPR第32条?
02
欧盟法院的裁定
欧盟法院对以下两个问题进行了裁决:
1. GDPR 第14 (5)(c) 条豁免情形,我们理解包括控制者从数据主体处收集的数据和从第三方处收集的数据,但控制者自己产生的数据是否属于此情形?
针对上述问题,欧盟法院从多维度进行了剖析。
GDPR第14(4)条规定,如果数据控制者打算出于获取个人数据的目的以外的目的进一步处理个人数据,则控制者应在进一步处理之前向数据主体提供有关信息。
但GDPR第14(5)(c)条规定了上述义务的豁免情况,如果控制者所遵守的欧盟或成员国法律明确规定了获取或披露,并且该法律提供了保护数据主体合法利益的适当措施,则该义务不适用。
第一,从法条文本表述来看,虽然各成员国的法律语言表述有些许不同,但各个国家并没有明确“获取或披露”的数据是否包含控制者自己收集的数据。例如,该条款的法语版本是指获取或披露“信息”(information),有的版本是指获取或披露“数据”(data),芬兰语版本有一个术语 ('tietojen'),它可以涵盖“数据”和“信息”)。但欧盟法院认为,欧盟法律条款的某一语言版本中使用的措辞不能作为解释该条款的唯一依据,也不能凌驾于其他语言版本之上。欧盟法律的规定必须根据欧盟所有语言的现有版本进行统一解释和适用。
故,结合立法原意和整体框架,欧盟法院认为GDPR第14(5)(c)条中,“获取或披露”的数据显然涵盖了控制者从其他来源获取的数据和其自身生成的数据。
第二,我们必须参考其所属规则的一般方案和目的来解释相关条款。GDPR序言61和62提到 “个人数据......获取和个人数据......披露“以及”个人数据的记录或披露......法律明确规定“。GDPR第4条关于“处理”涵盖了对个人数据执行的任何操作,更加确定了获取和披露的是个人数据。
第三,从架构来看,对比GDPR第13、14 条。第13条明确从数据主体处收集数据的义务,第14条明确未从数据主体处收集的数据,第14条是由第13条引申而来。鉴于这种二分法,所有不从数据主体收集数据的情况都属于第14条的范围。
最后,从宗旨来看,GDPR旨在保护数据主体的隐私权,例外条款应从严解释,不能由成员国随意扩大适用范围。
综上,裁决结果:GDPR 第14(5)(c) 条规定的涵盖控制者未直接从数据主体收集的所有个人数据,包括从他人获取和自身任务执行中生成的数据。
2. 欧盟成员国监管机构是否有权核实成员国法律是否提供了适当措施来保护数据主体合法利益(即上述第14(5)(c)条)?是否需同时审查第32条的数据安全措施?
首先,根据GDPR第57 (1) (a) 条规定,监管机构在其领土上有权监督和实施法规。且GDPR未排除监管机构对第14(5)(c) 条规定例外应用第14 (5)(c) 条的权限,故监管机构有权处理数据主体针对控制者错误适用例外条款的投诉。
第二,监管机构的核查仅限于确定控制者在具体案件中是否有权依赖该例外条款,而不涉及对成员国法律有效性的审查。
第三,GDPR第14(5)(c)条只豁免第14条里的部分信息提供义务,第32条规定的确保数据安全措施义务不受影响,依旧要遵守。在因控制者错误依赖该例外引发的投诉程序里,监管机构仅核查第14条相关内容,不涉及第32条措施是否恰当。
综上,裁决结果:监管机构有权在投诉处理中核查控制者适用第14(5)(c)条例外的合理性,但不需审查第32条的安全措施。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验,具备中外律所从业背景;为各类涉互联网企业提供各类综合合规支持,包括数据合规、个人信息保护、产品模式合规等,尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过80+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案;并发表了超过200多篇的实务文章与专题报告。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
欧洲(欧盟、英国、俄罗斯)、北美洲(美国、加拿大)、日本、韩国、印度、东南亚多国(新加坡、泰国、马来西亚、印尼、越南、菲律宾等多国)、中东(沙特、阿联酋、阿曼、埃及等)、南美洲(巴西、阿根廷等)、非洲多国、以及中国(港澳台地区)等超过30+国家与地区。
职业资格:
是广东数据资产登记合规委员会评审专家、联合国世界丝绸之路委员会专家、中国国际贸易促进委员会深圳调解中心专家调解员、广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。持有CIPP/E(国际信息隐私专家认证/欧盟)、CIPM(注册信息隐私管理专家)区块链应用操作员资格证书、数据安全师数据合规官等资格证书。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
访谈实录(中):没有什么事是做分享解决不了的,如果有,那就继续坚持
新年贺礼| 《全球数据合规2023图鉴》重磅发布 ,要做年终总结吗,我们帮你梳理好了
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读
