关注公众号并设为🌟标,获取AI治理全球最佳实践
来源:欧盟法院
整理:何渊,DPOHUB主理人
普通法院在T-354/22号案件 “宾德尔诉欧盟委员会” 中的判决
欧盟法院新闻稿第 1/25 号
卢森堡,2025 年 1 月 8 日
普通法院因个人数据向美国跨境传输一事,判令欧盟委员会向欧洲未来会议网站的一名访问者支付赔偿金
欧盟委员会通过在欧盟登录网页上显示的 “使用 Facebook 登录” 超链接,为将相关个人的 IP 地址传输给美国企业 Meta 平台创造了条件。
一名居住在德国的公民宾德尔诉称,在2021年和2022年他访问由欧盟委员会管理的欧洲未来会议网站时,欧盟委员会侵犯了他的个人数据权利。具体而言,他通过该网站使用欧盟委员会的欧盟登录认证服务注册了 “走向绿色” 活动,并选择了使用他的Facebook账户登录的选项。
宾德尔诉称,在他访问该网站期间,他的个人数据,包括他的 IP 地址以及有关他的浏览器和终端的信息,被传输给了位于美国的接收方。
宾德尔诉称,这些数据被传输给了美国企业亚马逊网络服务公司(Amazon Web Services),因其是相关网站所使用的内容交付网络亚马逊 CloudFront 的运营商。此外,当他使用 Facebook 账户注册 “走向绿色” 活动时,他的个人数据被传输给了美国企业Meta平台公司。
然而,据宾德尔认为,美国没有足够的保护水平。他坚称这些传输引发了他的数据被美国安全和情报部门获取的风险。欧盟委员会没有指明任何可能证明这些传输合理的适当保障措施。
基于此,他要求就他诉称因所涉传输而遭受的非物质损害支付400欧元的赔偿金。
他还要求撤销其个人数据的传输,宣布欧盟委员会非法未就信息请求确定其立场,并命令欧盟委员会就他声称因信息获取权受到侵犯而遭受的非物质损害向他支付 800 欧元的赔偿金。
普通法院驳回了撤销申请,认为其不可受理,并认定已无需就宣布不作为的请求作出裁决。普通法院还驳回了基于侵犯信息访问权的损害赔偿请求,认定不存在所声称的非物质损害。
关于基于有争议的数据传输的损害赔偿请求,普通法院驳回了与通过亚马逊 CloudFront 进行的数据传输相关的该请求。
普通法院认定,在其中一次有争议的连接中,根据邻近原则,数据被传输到了位于德国慕尼黑的一台服务器,而非美国。根据欧盟委员会与管理亚马逊 CloudFront 的卢森堡企业亚马逊网络服务公司签订的合同,亚马逊网络服务公司必须确保数据在静态和传输过程中都留在欧洲。
在另一次连接中,是原告通过亚马逊 CloudFront 路由机制将其重定向到美国的服务器。由于一项技术调整,他看起来像是位于美国。
然而,关于原告对 “走向绿色” 活动的注册,普通法院认定,欧盟委员会通过在欧盟登录网页上显示的 “使用 Facebook 登录” 超链接,为将他的 IP 地址传输给 Facebook 创造了条件。该 IP 地址构成个人数据,通过该超链接被传输给了位于美国的企业 Meta 平台。该传输必须归咎于欧盟委员会。
在 2022 年 3 月 30 日进行该传输时,欧盟委员会没有作出认定美国确保对欧盟公民个人数据提供充分保护的决定。此外,欧盟委员会既未证明也未声称存在适当的保障措施,特别是标准数据保护条款或合同条款。欧盟登录网站上 “使用 Facebook 登录” 超链接的显示完全受 Facebook 平台的一般条款和条件管辖。
因此,欧盟委员会没有遵守欧盟法律为欧盟机构、机关、办公室或机构向第三国传输个人数据所设定的条件。
普通法院认定,欧盟委员会严重违反了旨在赋予个人权利的法律规则。原告遭受了非物质损害,因为他对自己个人数据(尤其是他的 IP 地址)的处理处于某种不确定的状态。此外,欧盟委员会的侵权行为与相关个人遭受的非物质损害之间存在足够直接的因果关系。
由于确立欧盟非合同责任的条件已满足,普通法院命令欧盟委员会向相关个人支付所要求的 400 欧元。
注:任何认为欧盟已产生非合同责任的人都可以提起损害赔偿诉讼。这种责任以满足三个累积条件为前提:(1)严重违反旨在赋予个人权利的法律规则;(2)存在损害事实;(3)欧盟的非法行为与所遭受的损害之间存在因果关系。
注:可在普通法院判决通知后两个月零十天内,就法律问题向欧洲法院提起上诉。
供媒体使用的非官方文件,对普通法院无约束力。
判决全文及(视情况而定)摘要在宣判当日发布于 CURIA 网站。
全部AI及数据中译本及资讯请加入
