首页> 图书频道> 政法> 法学

评析

2026年01月16日
版权
评析

第一,本案明确了将个人数据上传至网页构成个人数据处理。根据《95/46指令》以及《一般数据保护条例》的界定,个人数据处理是指对个人数据或个人数据集合的任何单一或一系列的操作,无论是否通过自动化方式进行,例如对个人数据或个人数据集合的收集、记录、组织、建构、存储、适配或修改、检索、咨询、使用、通过传输披露、传播或通过其他方式提供、排列或组合、限制、删除或销毁。此外,根据《95/46指令》以及《一般数据保护条例》的规定,该指令及条例所适用的个人数据处理,或者以完全自动或部分自动方式进行,或者以非自动方式进行。但是,在个人数据处理以非自动方式进行的情况下,相关个人数据须构成个人数据整理汇集系统的一部分。

本案中,欧洲法院认定,将个人数据上传至网页构成《95/46指令》项下的个人数据处理,理由如下:一是由于将个人数据上传至网页符合《95/46指令》有关“个人数据处理”的前述定义。二是根据目前的技术和计算机程序,将个人数据上传至网页所需进行的操作最起码有一部分是自动进行的。因此,将个人数据上传至网页符合《95/46指令》有关个人数据处理的规定,构成《95/46指令》项下的个人数据处理。

第二,本案明确了相关个人将个人数据上传至网页的行为不符合“发生在欧盟法律范围之外的活动过程中的个人数据处理”,以及“家庭豁免”这两个不适用《95/46指令》和《一般数据保护条例》的例外情形,故应受《95/46指令》乃至《一般数据保护条例》的规制。

首先,根据欧洲法院的诠释,《95/46指令》和《一般数据保护条例》规定的“发生在欧盟法律范围之外的活动过程中的个人数据处理”这一例外情形,仅适用于《95/46指令》和《一般数据保护条例》明确列明的活动,即与个人活动无关的、国家或国家机关的活动,或者与这些活动同类的活动。基于相关个人将个人数据上传至网页的行为原则上不属于国家或国家机关的活动(例如本案中林德奎斯特女士将个人数据上传至网页的行为就属于慈善或宗教活动,而不属于国家或国家机关的活动)。因此,该行为不符合“发生在欧盟法律范围之外的活动过程中的个人数据处理”这一例外情形。

其次,根据欧洲法院的解释,《95/46指令》和《一般数据保护条例》规定的“自然人在纯粹的个人或家庭活动过程中的个人数据处理”这一例外情形,即所谓的“家庭豁免”应解释为仅与相关个人在私人或家庭生活过程中的活动有关。而根据本案总法律顾问蒂扎诺(Tizzano)就本案出具的法律意见,“纯粹的个人或家庭活动”系指限于相关个人或家庭圈子的明显是私人和秘密的活动。[2]根据《95/46指令》以及《一般数据保护条例》“序言”部分的规定,纯粹的个人或家庭活动包括通信及持有通信记录,或在该等活动的背景下进行的社交和网络活动等。基于将个人数据上传至网页并非相关个人在私人或家庭生活过程中的活动,因此该行为将导致这些数据可为数目无限的人所访问,而这明显超出了相关个人的私人和家庭圈子。因此,该行为亦不符合“自然人在纯粹的个人或家庭活动过程中的个人数据处理”这一例外情形。

第三,本案明确了对于《95/46指令》和《一般数据保护条例》规定的“健康数据”需予以宽泛解释。健康数据系指与自然人身体或心理健康相关的个人数据,包括可以体现其健康状况的健康服务数据。由于健康数据属于敏感数据,为充分保护该数据,欧洲法院在本案中认定,《95/46指令》和《一般数据保护条例》规定的健康数据需予以宽泛解释,以便包含个人健康的所有方面(身体方面和心理方面)的信息。根据《一般数据保护条例》“序言”部分的规定,健康数据包括在为自然人登记或提供医疗保健服务过程中收集的有关自然人的信息;分配给某一自然人的、能够在健康方面识别该自然人的唯一序号、标记或独特标识;身体部位检测产生的信息,包括基因数据和生物样本产生的信息和有关数据主体疾病、残疾、疾病风险、病史、临床治疗或生理或生还状况等信息,无论该信息是从医师或其他专业人员、医院、医疗设备或体外诊断试验取得的。(https://www.daowen.com)

第四,本案明确了个人向网页上传个人数据并不构成《95/46指令》和《一般数据保护条例》规定的向第三国传输个人数据。由于《95/46指令》和《一般数据保护条例》均对欧盟境内的数据控制者或处理者向第三国传输个人数据作出了规定。鉴于此,向网页上传个人数据是否构成向第三国传输个人数据并因此受制于这些规定,即成为一个需要解决的问题。在本案中,欧洲法院明确,向网页上传个人数据并不构成向第三国传输个人数据,理由如下。

首先,从《95/46指令》制定时的互联网发展状况,以及该指令第四章未规定适用于互联网使用这一情形的标准来看,欧盟立法机关无意让“向第三国传输个人数据”涵盖个人向网页上传数据的行为,即使这些数据可被第三国拥有相关技术方法的个人所访问。

其次,若《95/46指令》第25条被解释为,在个人数据每次被上传至网页之际均存在“向第三国传输个人数据”,则在访问互联网所需的技术方法存在的情况下,该传输将必然成为向所有第三国的传输。《95/46指令》第四章规定的特别机制由此将必然成为与互联网上的操作相关的普遍适用的机制。在此情形下,根据《95/46指令》的规定,即使欧盟委员会认定,只有某个第三国未确保充分的个人数据保护,欧盟成员国于此场合仍有义务阻止任何数据上传于互联网,而这显然是不合理的。

【注释】

[1]http://curia.europa.eu/juris/document/document.jsf?text=&docid=48382&page Index=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=2023183.

[2]Opinion of Advocate General Tizzano,delivered on 19 September 2002.