首页> 图书频道> 政法> 法学

评析

2026年01月16日
版权
评析

第一,本案明确了在线媒体服务提供者存储的动态IP地址构成个人数据。《95/46指令》和《一般数据保护条例》均将个人数据界定为“与已识别或可识别的自然人(数据主体)有关的任何信息。可识别的自然人是指其能够直接或间接通过识别要素得以识别的自然人,尤其是通过姓名、身份证号码、定位数据、在线身份等识别数据,或者通过该自然人的物理、生理、遗传、心理、经济、文化或社会身份的一项或多项要素予以识别”。同时,根据《95/46指令》和《一般数据保护条例》“序言”部分的规定,经假名化处理的数据若通过使用额外信息即可指向某一自然人的也视为可识别的自然人的信息。在确定某一自然人是否可识别时,应考虑控制者或其他人可能用于直接或间接识别该自然人的所有合理方式(包括挑选方式)。在确定某一方式是否可能被合理用于识别该自然人时,应考虑所有客观因素,例如,识别所需的成本、时间和处理数据时可以采用的技术及其发展。

本案中,欧洲法院基于上述规定,认定在线媒体服务提供者存储的动态IP地址构成个人数据,理由是:尽管在线媒体服务提供者存储的动态IP地址,本身无法让该提供者识别相关用户,该动态IP地址只有与互联网服务提供商拥有的额外数据相结合才能识别相关用户。但鉴于一方面,根据《95/46指令》的相关规定,为将相关信息视为个人数据,该信息自身能够让数据主体被识别是不必要的。而且,能够识别数据主体的所有信息无须在一个人的手上。由此,为识别相关用户所需的额外数据并非由在线媒体服务提供者持有,而是由相关用户的互联网服务提供商持有这一事实并不能导致在线媒体服务提供者存储的动态IP地址无法构成《95/46指令》规定的个人数据。另一方面,在线媒体服务提供者拥有《95/46指令》规定的用以识别相关用户的可能合理的方式。具体而言,在线媒体服务提供者拥有能够令其基于互联网服务提供商拥有的相关用户的额外数据而对相关用户予以识别的合法方式。在此情形下,应认定在线媒体服务提供者存储的动态IP地址,构成《95/46指令》以及《一般数据保护条例》规定的个人数据。

第二,本案明确了《95/46指令》第7条(f)项[现为《一般数据保护条例》第6条第1款(f)项]规定的“平衡测试”原则的内涵。《95/46指令》第7条(f)项[《一般数据保护条例》第6条第1款(f)项]规定,只有在以下情形才能处理个人数据:数据处理为实现控制者或者第三方所追求的合法利益所必需,但数据主体所享有的保护其个人数据的利益、基本权利和自由优先于上述合法利益的除外。该项规定确立了对控制者或第三方的合法利益以及数据主体的利益进行平衡的“平衡测试”原则。

根据欧盟第29条数据保护工作组的诠释,[2]在进行平衡测试时,一方面,应考虑合法利益的性质和来源以及数据处理是否为实现这些利益所需。另一方面,则应考虑对数据主体的影响。该初步评估应考量控制者计划采取的符合《95/46指令》的措施,例如透明度或对数据的有限收集。在分析并对前述两个利益相互权衡之后,可以确立初步的平衡,即就控制者或第三方的合法利益是否优先于数据主体的权利和利益得出初步结论。不过,可能存在平衡测试的结果不明确,且就控制者或第三方的合法利益是否优先以及数据处理是否可基于第7条(f)项进行存在疑问的情况。在此情形下,进一步的评估就很重要。在这一阶段,控制者可以考虑其除了遵守《95/46指令》的其他规定之外,是否能够采取额外措施保护数据主体。相关额外措施可以包括提供简单有效和可访问的机制,以确保数据主体退出数据处理的无条件的可能性。

在适用平衡测试时可考虑的因素包括:①合法利益的性质和来源,包括数据处理是否为行使基本权利所需,或在其他方面符合公共利益或社会、文化或欧盟法律/监管认可的利益。②对于数据主体的影响,包括数据的性质,例如数据处理是否涉及可能被视为敏感数据的数据,或者从公开可得来源获得的数据;数据被处理的方式,包括数据是否被公开披露给大量的人或者可供大量的人访问,或者是否大量的个人数据被处理或与其他数据结合(例如出于商业、执法或其他目的进行数据画像);数据主体的合理预期,特别是在相关情况下有关数据的使用和披露的合理预期;控制者和数据主体的状态,包括数据主体和控制者之间的力量平衡,或数据主体是否儿童或属于人群中更易受伤害的群体。③防止对数据主体的不利影响的额外保障措施,包括数据最小化(例如对收集数据的严格限制或在使用后立即删除);确保数据不能被用于针对个人作出决定或采取其他行为的技术和组织措施;对匿名技术、数据聚合,隐私增进技术、隐私设计、隐私和数据保护影响评估的广泛使用;增加透明度、一般和无条件退出的权利、数据可携带性以及相关措施,以增加数据主体的自主权等。(https://www.daowen.com)

此外,根据欧洲法院在本案中的解释,《95/46指令》第7条(f)项[《数据保护条例》第6条第1款(f)项]确立的“平衡测试”原则,禁止欧盟成员国在特定案件中,在未对相互对立的权利和利益予以平衡的情况下,绝对地和一般性地排除处理某类个人数据的可能。因此,欧盟成员国不能在不允许因单个案件的特定情况而产生的不同结果的情况下,就某类个人数据决定性地规定对相互对立的权利和利益予以平衡的结果。换言之,依照“平衡测试”原则,欧盟成员国应在个案中,根据该案的特定情况,对控制者或第三方的合法利益以及数据主体的利益进行平衡,并得出相应的结果,而不能对该结果予以预设,从而绝对地和一般性地排除对某类个人数据进行处理的可能。本案中,《德国电子媒介法》因预设了平衡的结果,即数据主体的利益优于在线媒体服务提供者的合法权益,从而绝对性地排除了在线媒体服务提供者对数据主体的个人数据进行处理的可能,故被欧洲法院认定为违反了“平衡测试”原则。

【注释】

[1]http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&page Index=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=2023183.

[2]Article 29 Data Protection Working Party,Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC[EB/OL].[2020-08-28].https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2014/wp217_en.pdf.