首页> 图书频道> 政法> 法学

判决

2026年01月16日
版权
判决

2003年11月6日,欧洲法院对本案作出判决。

1.关于歌塔法院提出的第1个问题,欧洲法院认为,根据《95/46指令》第2条(a)项的定义,《95/46指令》第3条第1款使用的“个人数据”这一用语涵盖了“与已识别或可识别的自然人有关的任何信息”,即涵盖了个人的姓名、电话号码或有关其工作条件或爱好的信息。根据《95/46指令》第2条(b)项规定的定义,该指令第3条第1款规定的个人数据处理,包括对个人数据的任何单一或一系列的操作,无论是否通过自动化方式进行。该项规定列举了此类操作的若干范例,包括通过传输披露、传播或通过其他方式提供。因此,将个人数据上传至网页应认定为个人数据处理。

此外,还需认定的是,此种处理是否全部或部分通过自动化方式进行。根据目前的技术和计算机程序,将信息放置于网页之上,需要将该网页上传至服务器以及其他为连接到互联网的人访问该网页所需的操作,而这些操作起码有一部分是自动进行的。

据此,欧洲法院认为,对于歌塔法院提出的第1个问题的答复是,在互联网网页上提及多人,并通过姓名或其他方式(例如给出其电话号码或有关其工作条件和爱好的信息)对他们进行识别构成“个人数据处理”。

2.关于歌塔法院提出的第2个问题,欧洲法院认为,《95/46指令》第3条第2款规定了不适用该指令的两个例外情形。第一个例外情形涉及发生在欧盟法律范围之外的活动过程中的个人数据处理,例如,《欧洲联盟条约》第五编“关于共同外交和安全政策的条款”、第六编“关于司法和内部事务领域内合作的条款”所规定的活动中的个人数据处理,与公安、国防、国家安全(包括国家经济福利,如果数据处理操作与国家安全事项相关)以及国家在刑法领域中的活动有关的个人数据处理。鉴于林德奎斯特女士的涉案行为就性质而言并非经济活动,而是慈善和宗教活动。因此,有必要考量该活动是否构成《95/46指令》第3条第2款规定的“发生在欧盟法律范围之外的活动过程中的个人数据处理”。考虑到《95/46指令》第3条第2款第1段以举例方式列明的活动,均系国家或国家机关的活动,而与个人的活动无关。在此情形下,应认定《95/46指令》第3条第2款第1段列举这些活动的目的是界定该段规定的例外情形的范围。据此,该例外情形仅适用于该段规定明确列明的活动,或者与这些活动同类的活动。鉴于慈善或宗教活动,例如林德奎斯特女士在本案中所进行的活动,不能认定为类同于该段规定所列明的活动,故林德奎斯特女士的行为不能为该例外情形所涵盖。

就《95/46指令》第3条第2款第2段规定的第1个例外情形,即自然人在纯粹的个人或家庭活动过程中的个人数据处理而言,《95/46指令》“序言”部分第12条将通信和持有通信记录列举为“自然人在纯粹的个人或家庭活动过程中的个人数据处理”。该例外情形由此应解释为仅与个人在私人或家庭生活过程中进行的活动有关,而本案所涉的个人数据处理活动,即在互联网上刊载信息,以便这些信息可被任何人访问则显然与该例外情形无关。(https://www.daowen.com)

据此,欧洲法院认为,对于歌塔法院提出的第2个问题的答复是,在互联网网页上提及多人,并通过姓名或其他方式(例如给出其电话号码或有关其工作条件和爱好的信息)而对他们进行识别,并未被《95/46指令》第3条第2款规定的任何例外情形所涵盖。

3.关于歌塔法院提出的第3个问题,欧洲法院认为,根据《95/46指令》的宗旨,该指令第8条第1款规定的“健康数据”需予宽泛解释,以便包含个人健康的所有方面(身体方面和心理方面)的信息。因此,欧洲法院认为,对于歌塔法院提出的第3个问题的答复是,提及某个人脚部受伤并因健康原因而半工半薪这一事实的信息,构成《95/46指令》第8条第1款规定的有关健康的个人数据。

4.关于歌塔法院提出的第4个问题,欧洲法院认为,《95/46指令》并未界定“向第三国传输个人数据”这一用语的含义。为确定向网页上传个人数据是否仅因其使得该数据可为第三国的人访问,因而构成《95/46指令》第25条规定的向第三国传输该数据,有必要考量相关行为的技术性质以及《95/46指令》第25条所属的《95/46指令》第四章的宗旨和结构。

欧洲法院指出,互联网上的信息可为无限的居住在不同地方的人在任何时候访问。该信息所具有的无所不在的性质,系由互联网的相关技术方式相对简单且愈发廉价等因素所致。诸如林德奎斯特女士这样的意图在互联网上发布网页的个人在20世纪90年代可获得互联网应用程序,并可将该网页的数据传输给其托管服务提供商,而该托管服务提供商则管理着存储这些数据所需的计算机基础设施,并将该网页的服务器连接至互联网,这使得这些数据后续可以传输给任何连接至互联网并寻求访问互联网的人。前述计算机基础设施可以放置于而且事实上也经常被放置于托管服务提供商设立地之外的一个或多个国家,但其客户则对此并不知情。从本案材料来看,为获取林德奎斯特女士的网页中包含的有关其同事的信息,互联网用户不仅需要连接互联网,而且还需要采取必要的行动访问该网页。换言之,林德奎斯特女士的网页并不包含将这些信息自动发送给无意访问这些网页的人的技术措施。据此,在本案所涉的情形下,出现在第三国个人计算机上的个人数据——该个人数据来自将其上传至相关网页的个人——并非在这两个人之间直接传输,而是通过网页存储地的托管服务提供商的计算机基础设施进行传输。在此情形下,有必要审查欧盟立法机关是否意图将林德奎斯特女士从事的涉案活动,涵盖于《95/46指令》第25条规定的“向第三国传输个人数据”之内。

欧洲法院认为,《95/46指令》第25条所属的该指令第四章设立了一个允许欧盟成员国对个人数据向第三国传输进行监管的特别机制。该章就《95/46指令》第二章设立的、有关个人数据处理合法性的通常机制设立了一个补充机制。该章的目的载于《95/46指令》“序言”部分第56—60条之中。第56—60条规定:《95/46指令》对欧盟个人的保护并不妨碍向确保了充分的个人数据保护水平的第三国传输个人数据,而相关保护的充分性必须依照数据传输行为的所有相关情况予以评估。在第三国无法确保充分的个人数据保护水平的情况下,禁止向该国传输个人数据。为此,《95/46指令》第25条对欧盟成员国以及欧盟委员会课以了一系列义务,以监督欧盟成员国基于第三国赋予相关个人数据的保护水平而向该第三国传输个人数据。第25条第4款特别规定,在欧盟委员会认定,第三国未能确保充分的个人数据保护水平的情况下,欧盟成员国应采取必要措施,阻止向该第三国传输任何个人数据。值得注意的是,《95/46指令》第四章未就互联网的使用作出任何规定,该章亦未规定相关标准,就托管服务提供商进行的操作是否应视为发生于该托管服务提供商的设立地或经营地或其计算机基础设施的放置地予以认定。考虑到《95/46指令》制定时的互联网发展状况,以及《95/46指令》第四章缺少适用于互联网使用这一情形的标准,欧洲法院无法推测欧盟立法机关意图让“向第三国传输个人数据”涵盖如同林德奎斯特女士这样的个人向网页上传数据的行为,即便这些数据因此可为第三国拥有相关技术方法的个人所访问。另外,若《95/46指令》第25条被解释为,在个人数据每次被上传至网页之际均存在“向第三国传输个人数据”,则在访问互联网所需的技术方法存在的情况下,该数据传输将必然成为向所有第三国进行的数据传输。在此情形下,即使欧盟委员会认定,根据《95/46指令》第25条第4款的规定,只有某个第三国未确保充分的个人数据保护,欧盟成员国于此场合仍有义务阻止任何数据上传于互联网。综上,《95/46指令》第25条应解释为,诸如林德奎斯特女士在本案中进行的相关操作并不构成“向第三国传输个人数据”。在此情形下,审查某个第三国的个人是否访问相关网页或者相关托管服务器是否位于第三国已无必要。

据此,欧洲法院认为,对于歌塔法院提出的第4个问题的答复是,在一个欧盟成员国境内的个人将个人数据上传至存储于其托管服务提供商(该托管服务提供商设立于该欧盟成员国或者其他成员国境内)的网页,并因此使得这些个人数据可为连接至互联网的任何人(包括第三国的个人)访问的情况下,《95/46指令》第25条规定的“向第三国传输个人数据”并不存在。