评析

第一，本案明确了税务数据系欧盟法律规定的个人数据。由于税务数据除了包括数据主体的姓名、身份证号码、地址等之外，通常还包括数据主体的收入细节。因此，税务数据符合《95/46指令》以及《一般数据保护条例》就“个人数据”所作的、“与已识别或可识别的自然人相关的任何信息，可识别的自然人是指能够直接或间接通过识别要素得以识别的自然人，尤其是通过姓名、身份证号码等识别数据，或者通过特定于该自然人的……经济……的一项或多项要素予以识别”之定义，构成欧盟法律规定的个人数据。

第二，本案明确了数据主体对相关公权力机关向另一公权力机关传输其个人数据以进行后续处理享有知情权（right to be informed）。根据欧盟法律的规定，数据控制者在收集个人数据时，有义务将其计划进行的数据处理告知数据主体。该义务并不取决于数据主体提出的要求；相反，数据控制者必须积极主动地履行该义务，无论数据主体对相关数据处理信息是否有兴趣。数据控制者的这一义务源于欧盟数据保护法中的透明度原则，该原则要求任何个人数据处理对数据主体而言是透明的。数据主体有权知晓其数据如何被收集、使用或处理，以及何种数据被收集、使用或处理，数据主体也有权知晓有关数据处理的风险、保障及其权利。^[2]

为此，《一般数据保护条例》第12条确立了数据控制者提供信息和（或）让数据主体知晓其应如何行使权利的广泛和全面的义务。相关信息必须是准确、透明、易于理解和易于获取的，须使用清楚、平实的语言。该信息应以书面或其他恰当方式（例如电子方式）提供。在应数据主体的要求且数据主体的身份已通过其他方式予以证实的情形下，该信息可以口头形式提供。同时，该信息应在非过分延迟或不发生费用的情况下提供。此外，《一般数据保护条例》第13和14条分别规定了在个人数据系直接从数据主体处收集，或者并非从数据主体处收集的情形下，数据主体所享有的知情权。^[3]

实践中，欧洲法院已通过诸如本案等相关判例，对数据主体享有的知情权的范围及其限制进行了澄清。本案中，欧洲法院认为，数据主体对相关公权力机关向另一公权力机关传输其个人数据以进行后续处理享有知情权，即相关公权力机关在向另一公权力机关传输数据主体的个人数据并进行后续处理之前，须将此传输及后续处理告知数据主体，理由是：《95/46指令》规定的向数据主体告知其个人数据的处理这一要求至为重要，因为该要求将影响数据主体行使获取及更正被处理数据的权利，以及反对对这些数据进行处理的权利。据此，公平处理个人数据的原则，要求告知数据主体其个人数据被传输给另一个公权力机关，以由后者进一步处理。尽管根据《95/46指令》的规定，欧盟成员国可以在相关限制为保障国家的重大经济利益，包括税收事项所需的情况下限制数据主体的知情权，但该限制应由欧盟成员国的法律规定。本案中，有关被传输的数据的定义以及该传输的详细安排均非规定于法律之中，而是规定于两个公权力机关的协议之中，《95/46指令》规定的例外条件由此未获满足，斯马兰达·巴拉等人由此应被提前告知其数据被传输给健保基金以及该基金对其数据的后续处理。(https://www.daowen.com)

【注释】

[1]http：//curia.europa.eu/juris/document/document.jsf？text=&docid=168943&page Index=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=2023183.

[2]European Union Agency for Fundamental Rights and Council of Europe［M］.Handbook on European Data Protection Law，2018：207.

[3]European Union Agency for Fundamental Rights and Council of Europe［M］.Handbook on European Data Protection Law，2018：208.