判决
2016年10月19日,欧洲法院就本案作出判决。
1.关于德国联邦最高法院提出的第1个问题,欧洲法院认为,该问题实质上是询问《95/46指令》第2条(a)项是否应解释为,在线媒体服务提供者在相关个人访问其网站(该网站可供社会公众访问)时登记的动态IP地址,即使在只有第三方(在本案中为互联网服务提供商)才拥有识别该个人所需的额外数据的情况下仍然构成该项规定的“个人数据”。
对此,欧洲法院指出,根据《95/46指令》第2条(a)项的规定,个人数据系指与已识别或可识别的自然人(数据主体)有关的任何信息。可识别的自然人是指能够直接或间接通过身份证号码或者通过特定于该自然人的物理、生理、心理、经济、文化或社会身份的一项或多项要素予以识别的自然人。需予指出的是,在其此前所作的判决中,欧洲法院已经认定,互联网用户的IP地址系应予保护的个人数据,因为该IP地址使得互联网用户能够被精确地识别。不过,该认定涉及收集和识别互联网用户的IP地址系由互联网服务提供商进行的情况,而本案所涉的第一个问题则涉及在线媒体服务提供者(在本案中为德国联邦政府)对其网站(该网站可供社会公众访问)用户的IP地址进行登记,而其并不拥有识别这些用户所需的额外数据的情况。另外,本案所涉的IP地址系动态IP地址,该地址系分配给每一互联网连接的临时地址,且该地址在后续连接的情况下将被替换。该地址并非静止不变且允许对连接至网络的设备进行持续性识别的静态IP地址。据此,德国联邦最高法院提出的第1个问题系建立在以下两个前提的基础之上:一是在缺乏更多数据的情况下,涉案数据,即在线媒体服务提供者登记的动态IP地址以及该IP地址访问相关网站的日期和时间,并未给予该服务提供者在相关用户访问其网站期间识别该用户的可能性。二是互联网服务提供商拥有额外的数据,这些数据若与该IP地址结合将使得相关用户被识别。
接下来,欧洲法院注意到,首先,动态IP地址并不构成与已识别的自然人有关的信息,因为该地址并不直接披露相关自然人(该自然人拥有用于访问相关网站的计算机)的身份,或者可能使用相关计算机的其他自然人的身份。
其次,为确定在前述两个前提下,动态IP地址就在线媒体服务提供者而言是否构成《95/46指令》第2条(a)项规定的个人数据,必须确定,在识别相关网站(该网站系在线媒体服务提供者提供给社会公众访问)的用户所需的额外数据系由该用户的互联网服务提供商持有的情况下,该在线媒体服务提供者登记的IP地址是否可视为与可识别的自然人有关的数据。对此,欧洲法院认为,从《95/46条例》第2条(a)项的用语可以清楚地看出,一个可识别的自然人是指能够被直接或间接识别的自然人。欧盟立法机关使用“间接”一词意味着,为将相关信息视为个人数据,该信息自身能够让数据主体被识别是不必要的。此外,《95/46条例》“序言”部分第26条规定,为确定一个自然人是否可被识别,必须考虑数据控制者或任何其他人可能合理使用的识别该自然人的所有方式。该条规定的用语显示,在认定相关信息是否可视为《95/46条例》第2条(a)项规定的个人数据时,能够识别数据主体的所有信息无须在一个人的手上。由此,本案为识别网站用户所需的额外数据并非由在线媒体提供者持有,而是由相关用户的互联网服务提供商持有这一事实并不能排除该在线媒体提供者登记的动态IP地址构成《95/46指令》第2条(a)项规定的个人数据的可能性。
此外,本案还需确定动态IP地址与互联网服务提供商持有的额外数据的结合,是否构成识别数据主体的可能合理的方式。对此,欧洲法院认为,在识别数据主体为法律所禁止,或者在该识别因其在时间、成本和人力资源方面所需的不成比例的投入而在实践中并无可能的情况下,该识别的风险在现实中可谓微不足道。在此情形下,前述结合并非识别数据主体的可能合理的方式。然而,尽管德国联邦最高法院在本案中称,德国法律不允许互联网服务提供商直接向在线媒体服务提供者传输为识别数据主体所需的额外数据。但是,在发生网络攻击的情况下,似乎存在在线媒体服务提供者能够与主管机关联系,该主管机关由此能够采取必要措施,从互联网服务提供商处获取额外数据并启动相关刑事程序的法律途径(德国联邦最高法院应对此进行进一步的核查)。在此情形下,在线媒体服务提供者似乎拥有可予合理使用的方式,以便在主管机关和互联网服务提供商的帮助下基于被存储的IP地址识别数据主体。
综上,欧洲法院认为,对于德国联邦最高法院提出的第1个问题的答复是,《95/46指令》第2条(a)项应解释为,在线媒体服务提供者在相关个人访问其网站(该网站可供社会公众访问)时登记的动态IP地址,在该提供者拥有合法方式,能够令其基于互联网服务提供商拥有的有关该等个人的额外数据,对数据主体予以识别的情况下,就该提供者而言构成该项规定的个人数据。(https://www.daowen.com)
2.关于德国联邦最高法院提出的第2个问题,欧洲法院认为,该问题实质上是询问《95/46指令》第7条(f)项是否应解释为,禁止欧盟成员国制定以下法律,根据该法律,在线媒体服务提供者可以在不经用户同意的情况下,仅在便利该用户对电子媒介的特定使用或对该使用收取费用的必要范围内,收集并使用该用户的个人数据。并且,根据该法律,确保电子媒介的通常可操作性这一目的不能成为使用该用户个人数据的正当理由。
对此,欧洲法院认为,在回答该问题之前,必须先确定,根据《95/46指令》第3条第2款有关该指令不适用于与欧盟成员国在刑法领域的行为相关的个人数据处理的规定,案涉个人数据处理,即德国联邦机构某些网站存储其用户的动态IP地址是否被排除于该指令的适用范围之外。就此,欧洲法院认为,该项规定所列举的活动均系国家或国家机关的活动,而与个人的活动无关。具体到本案中,提供在线媒体服务并负责对动态IP地址进行处理的德国联邦机构尽管属于公共机构,但其似乎是以个人的身份行事。因此,其活动不属于欧盟成员国在刑法领域中的活动(对此,德国联邦最高法院应予核查)。在此情形下,应进一步确定如同本案所涉的《德国电子媒介法》这样的欧盟成员国立法是否与《95/46指令》第7条(f)项相符。
欧洲法院对前述问题进行了分析,并认为本案所涉的《德国电子媒介法》授权在未经在线媒体服务用户同意的情况下,仅在便利该用户对电子媒介的特定使用,或就该使用收取费用的必要范围内收集并使用该用户的个人数据,即便确保在线媒体运作的一般功能这一目标可以在这些媒体使用相关数据的期间结束之际,成为继续使用这些数据的正当理由的情况下也是如此。欧洲法院注意到,根据《95/46指令》第7条(f)项的规定,如果个人数据处理为实现控制者或者接受数据披露的第三方所追求的合法利益所必需,则个人数据可以被处理,但是,数据主体所享有的利益、基本权利和自由优先于上述合法利益的除外。而欧洲法院已经判决,《95/46指令》第7条规定了个人数据处理可视为合法的穷尽式的、限制性的清单。欧盟成员国不能在该条规定中增加有关个人数据处理合法化的新原则,也不能在相关额外要求的效果是修改该条规定的六个合法情形的范围的情况下提出该额外要求。《95/46指令》第5条授权欧盟成员国在该指令第二章,包括第7条的限制之内,明确规定个人数据处理系合法的条件。而欧盟成员国依据第5条所享有的自由裁量权,仅能依据《95/46指令》所欲实现的目标,即在个人数据的自由流动和保护私人生活之间保持平衡而予以行使。根据《95/46指令》第5条的规定,除了该指令第7条所列的六个情形之外,欧盟成员国不能引进有关个人数据处理合法性的新原则,也不能通过额外的要求修改上述六个情形的范围。
具体到本案中,《德国电子媒介法》第15条较之《95/46指令》第7条(f)项似乎范围更为受限。《95/46指令》第7条(f)项以概括方式提及了控制者或者接受数据披露的第三方所追求的合法利益,而《德国电子媒介法》第15条则仅授权在线媒体服务提供者在便利相关用户对电子媒介的特定使用,或者就该使用收取费用的必要范围内收集并使用该用户的个人数据。因此,《德国电子媒介法》第15条禁止在线媒体服务提供者在相关用户访问在线媒体之后,以通常方式存储该用户的个人数据以保证这些在线媒体的使用。而提供在线媒体服务的德国联邦机构除了就使用其网站(该网站可供社会公众访问)拥有合法利益之外,可能还就确保这些网站的正常运行拥有合法权益。在此情形下,《德国电子媒介法》并非仅对《95/46指令》第7条(f)项规定的合法权益予以界定,而是超越了界定的范畴。
《95/46指令》第7条(f)项禁止欧盟成员国在特定案件中,在未对相互对立的权利和利益予以平衡的情况下,绝对地和一般性地排除处理某类个人数据的可能。因此,欧盟成员国不能在不允许因单个案件的特定情况而产生的不同结果的情况下,就某类个人数据决定性地规定对相互对立的权利和利益予以平衡的结果。就本案所涉的在线媒体网站用户的个人数据处理而言,案涉《德国电子媒介法》因排除了对确保在线媒体的通常可操作性这一目标以及在线媒体用户的利益或基本权利和自由(根据《95/46指令》第1条第1款的规定,该等利益或基本权利和自由应予保护)进行平衡的可能性,从而缩减了《95/46指令》第7条(f)项规定情形的适用范围。
综上,欧洲法院认为,对于德国最高法院提出的第2个问题的答复是,《95/46指令》第7条(f)项应解释为禁止欧盟成员国制定以下法律,根据该法律,在线媒体服务提供者可以在不经用户同意的情况下,仅在便利该用户对电子媒介的特定使用,或就该使用收取费用的必要范围内收集并使用该用户的个人数据,即使确保在线媒体运作的一般功能这一目标可以成为在线媒体服务提供者在该用户访问这些网站之后,使用这些数据的正当理由的情况下也是如此。