判决
2017年3月9日,欧洲法院就本案作出判决。在判决中,欧洲法院认为,意大利最高法院提出的两个问题,实质上是询问欧盟《68/151指令》第3条和《95/46指令》第6条第1款(e)项是否应解释为,欧盟成员国可以且事实上必须允许欧盟《68/151指令》第2条第1款(d)项和(j)项涵盖的个人,在相关公司的解散已经过一段时间的情况下,请求负责保存公司登记簿的机关基于个案评估,对访问公司记录簿中载明的这些个人的数据予以限制。
对此,欧洲法院首先指出,根据欧盟《68/151指令》第2条第1款(d)项的规定,欧盟成员国必须采取必要措施,以确保公司强制披露相关职位的任命和终止,以及相关个人(这些个人或是根据法律组建的机关,或是这些机关的成员。这些个人被授权在与第三方的交易中暨相关法律程序中代表该公司或者参与该公司的管理、监督或控制)的详细资料。此外,根据欧盟《68/151指令》第2条第1款(j)项的规定,公司清算人的任命、清算人的详细资料及其各自的权限亦应予以披露。同时,根据欧盟《68/151指令》第3条第1款—3款的规定,上述详细资料必须由欧盟成员国记录于中央登记簿、商业登记簿或者公司登记簿之中,并且这些详细资料的全部或部分的副本需经申请即可获得。
接着,欧洲法院指出,欧盟《68/151指令》第2条第1款(d)和(j)项所提及的有关个人身份的详细资料,作为与已识别或可识别的自然人相关的信息,构成《95/46指令》第2条(a)项规定的个人数据。需指出的是,从欧洲法院的判例可以清楚地看出,相关信息系作为业务活动的一部分而提供这一事实并不意味着这些信息不能被界定为个人数据。
此外,通过将这些信息记录并保存于公司登记簿之中,并在恰当的情况下基于第三方的请求对这些信息予以传送,负责保存公司登记簿的机关进行了《95/46指令》规定的个人数据处理。而就该处理而言,该机关应系《95/46指令》规定的控制者。在此情形下,该机关因执行欧盟《68/151指令》第2条第1款(d)和(j)项的规定而进行的个人数据处理,应受制于《95/46指令》的规定。
就《95/46指令》而言,从该指令第1条以及“序言”部分第10条可以清楚地看出,该指令意图确保对自然人的基本权利和自由,特别是对其隐私权进行高水平的保护。根据《95/46指令》“序言”部分第25条的规定,该指令规定的保护原则,一方面,反映在负责数据处理的个人的义务(特别是有关数据质量、技术安全、通知监管机构的义务)以及可以进行数据处理的情形之中;另一方面,则反映在赋予其数据系处理对象的个人的以下权利,即获知数据处理正在进行、查询数据、要求更正以及在某些情形下反对数据处理等权利之中。欧洲法院已经判决,对于《95/46指令》的相关规定(这些规定对侵犯基本自由特别是隐私权的个人数据处理予以规制)必须基于《宪章》所保障的基本权利予以解释。
《宪章》第7条保障私人生活获得尊重的权利,《宪章》第8条则明确规定了个人数据保护权。《宪章》第8条第2和3款规定,个人数据必须出于特定目的并基于相关个人的同意或法律规定的其他合法理由予以公平处理;每个人均享有访问与其有关的业已被收集的数据的权利,并享有更正数据的权利;上述规则的遵守应受到独立机构的监控。《宪章》第8条提出的这些要求系通过《95/46指令》第6、7、12、14和28条予以执行。
就《95/46指令》所规定的个人数据处理合法性的一般条件而言,欧洲法院注意到,受限于《95/46指令》第13条规定的例外情形,所有个人数据处理首先必须遵守该指令第6条规定的有关数据质量的原则。其次,还须遵守该指令第7条列明的使数据处理合法化的标准之一。就此,欧洲法院认为,根据欧盟《68/151指令》第2条第1款(d)和(j)项的规定,负责保存公司登记簿的机构对个人数据的处理符合《95/46指令》第7条规定的使数据处理合法化的若干标准,即该指令第7条(c)项有关遵守法定义务的标准、第7条(e)项有关行使法定职权或执行公共利益领域的任务的标准,以及第7条(f)项有关实现控制者或第三方所追求的合法利益的标准。就该指令第7条(e)项规定的标准而言,欧洲法院已经判决,公权力机关在数据库中存储相关企业基于法定义务必须报告的数据允许相关人员搜索,并向这些人员提供这些数据打印件的活动属于对公权力的行使。此外,该活动亦构成该项规定的执行公共利益领域的任务的活动。
在本案中,双方当事人对负责保存公司登记簿的机构是否有义务在公司已停止经营一段时间的情况下,基于数据主体的请求,删除、匿名化处理或者限制披露相关个人数据存在争议。在此情形下,意大利最高法院询问《95/46指令》第6条第1款(e)项是否要求负责保存公司登记簿的机构承担这一义务。
对此,欧洲法院认为,根据《95/46指令》第6条第1款(e)项的规定,欧盟成员国必须确保个人数据以允许识别数据主体的方式存储,保存时间不得长于为收集该数据或者进一步处理该数据的目的所需的时间。在个人数据系出于历史研究、统计或科学研究目的而保存更长时间的情况下,欧盟成员国必须规定恰当的保障措施。根据《95/46指令》第6条第2款的规定,控制者负有确保上述规定获得遵守的责任。而在《95/46指令》第6条第1款(e)项规定的条件未能获得遵守的情况下,欧盟成员国应保证相关人员根据该指令第12条(b)款的规定,享有在恰当的情况下要求控制者删除或屏蔽相关数据的权利。此外,根据《95/46指令》第14条第1款(a)项的规定,欧盟成员国应在该指令第7条(e)和(f)项规定的情形下,赋予数据主体以其所处特定情形有关的令人信服的合法理由随时拒绝与其相关的数据处理的权利,除非欧盟成员国法律另有规定。依照《95/46指令》第14条第1款(a)项所进行的平衡,由此使得对数据主体特定情形的所有情况的考量,可以通过更为特定的方式进行。而在数据主体的拒绝为正当的情况下,控制者进行的数据处理即不应再涉及这些数据。(https://www.daowen.com)
对于欧盟《68/151指令》第2条第1款(d)和(j)项所提及的自然人,欧盟成员国是否应向其提供以下权利,即在某段时间之后有权申请负责保存公司登记簿的机构删除或屏蔽该登记簿中载明的其个人数据,或者限制访问这些数据这一问题,首先有必要确定该登记的目的。从欧盟《68/151指令》的“序言”部分以及标题可以看出,该指令所规定的披露的目的是保护第三方就相关股份有限公司和有限责任公司所享有的权益,因为这些公司能够向第三方提供的唯一保障是这些公司的资产。基于此,这些公司的基本文件必须予以披露,以便第三方能够查明这些文件的内容以及其他有关这些公司的信息,特别是被授权约束这些公司的相关人员的详细信息。此外,欧洲法院已经认定,欧盟《68/151指令》的目的是考虑到欧盟内部市场建立之后欧盟成员国之间的贸易日益增加的情况,保证公司与第三方之间的交易的法律确定性。同时,欧洲法院还认定,任何希望与其他欧盟成员国国内设立的公司建立并发展贸易关系的个人,应易于获得有关交易公司的构成以及被授权代表该公司的个人的权限的基本信息。为此,所有相关信息应明确载于公司登记簿之中。
另外,从欧洲法院的判例可以看出,欧盟《68/151指令》所规定的披露旨在令任何利害第三方自行知晓相关事项,而无须另行确立需予保护的权利或利益。欧洲法院注意到,《欧洲联盟条约》第53条第3款(g)项(欧盟《68/151指令》系建立在该项规定的基础之上)提及了保护第三方的要求,同时未对第三方的类别作出区分或排除。因此,该项规定所提及的第三方不能仅仅限于相关公司的债权人。
此外,关于为实现欧盟《68/151指令》第3条所规定的目的,该指令第2条第1款(d)和(j)项所提及的自然人的个人数据在相关活动业已停止且相关公司业已解散的情况下,原则上是否有必要保留在该记录簿上,或者是否有必要基于请求可为任何第三方访问这一问题。应予指出的是,该指令并未就此作出明确规定。不过,即便在公司解散之后,与该公司有关的权利和法律关系仍将继续存在。因此,在发生争议的情况下,欧盟《68/151指令》第2条第1款(d)和(j)项所提及的数据,对于评估代表该公司进行的相关行为的合法性,以及第三方对公司机关的成员或公司的清算人提起诉讼仍可能是必要的。
同时,关于要求提供相关数据的问题将因欧盟各成员国适用的诉讼时效而在某个公司停止存在多年后仍可能产生。鉴于此问题可能涉及几个欧盟成员国的主体,而欧盟各成员国国内法就不同法律领域所规定的诉讼时效有可能显著不一。因此,确定一个统一的自公司解散之日起算的期限(该期限届满后,将相关数据涵盖于公司登记簿之中,以及披露相关数据均不再需要)似乎是不可能的。在此情形下,欧盟成员国无法依照《95/46指令》第6条第1款(e)项和第12条(b)项的规定,保证欧盟《68/151指令》第2条第1款(d)和(j)项提及的自然人原则上有权在相关公司解散一段时间之后,要求删除其个人数据(这些个人数据系根据欧盟《68/151指令》的规定载入公司登记簿)或者将这些数据隔离在公众之外。
依欧洲法院之见,对《95/46指令》第6条第1款(e)项和第12条(b)项所作的上述解释并不会导致对相关个人的基本权利,特别是隐私权以及个人数据保护权的不成比例的干预,理由如下。
第一,欧盟《68/151指令》第2条第1款(d)(j)项和第3条仅要求披露数量有限的个人数据,即那些有关个人(该个人拥有对第三方而言能够约束公司的权力、拥有代表公司的权力或参与公司的管理、监督或控制的权力,或者业已被任命为公司的清算人)的身份和相关职能的数据。
第二,欧盟《68/151指令》之所以要求披露该指令第2条第1款(d)项及(j)项所提及的数据,是考虑到以下事实,即股份有限公司和有限责任公司提供给第三方的唯一保障是这些公司的资产。而对第三方而言,该资产可能构成日益增长的经济风险。鉴于此,要求选择通过这些公司参与交易的自然人披露其在这些公司的身份和职能具备正当理由,这在这些自然人决定参与此类活动时即知晓上述要求的情况下尤其如此。
第三,就《95/46指令》第14条第1款(a)项而言,需指出的是,尽管从前述意见可以看出,在根据该项规定进行平衡时,原则上,保护第三方就相关股份有限公司和有限责任公司所享有的利益,以及确保法律确定性、公平交易和欧盟内部市场正常运作之要求应居于优先地位。但是,特定情形的存在并不能被排除。在该情形中,与相关个人的特定情况有关的更为重要的合法理由可以例外地限制第三方(其就查询相关个人数据具有特定利益)在相关公司解散之日起一段足够长的时间之后,对公司登记簿中载明的个人数据进行访问。对此,应予强调的是,因《95/46指令》第14条第1款(a)项的适用受制于欧盟成员国法律未作出相反规定这一限制性条款。因此,欧盟《68/151指令》第2条第1款(d)和(j)项所提及的自然人是否可以在个案评估的基础上,向负责保存公司登记簿的机构申请前述访问限制系欧盟成员国立法机关应予解决的事项。就本案而言,应由意大利最高法院对其国内法的相关规定予以认定。假设意大利最高法院所进行的审查显示,意大利的国内法允许此类申请,则意大利法院应在考虑所有相关情况以及相关公司解散后所经过的时间的基础上,对是否可能存在更为重要的合法理由可以例外地限制第三方对公司记录簿中有关萨尔瓦托雷·曼尼先生的数据(从该数据可以看出萨尔瓦托雷·曼尼先生系萨伦托房地产和金融公司的唯一管理人和清算人)进行访问予以评估。不过,萨尔瓦托雷·曼尼先生目前为意大利建筑公司建设的旅游综合体的相关物业难以销售,因为这些物业的潜在买主能够访问公司登记簿中载明的萨尔瓦托雷·曼尼先生的数据这一事实并不能构成更为重要的合法理由,这在考虑到这些买主享有访问这些信息的合法权益的情况下尤其如此。
综上,欧洲法院认为,对于意大利最高法院提出的问题的答复是,《95/46指令》第6条第1款(e)项、第12条(b)项、第14条第1款(a)项以及欧盟《68/151指令》第3条应解释为,就欧盟现行法律而言,应由欧盟成员国决定,欧盟《68/151指令》第2条第1款(d)和(j)项所提及的自然人是否可以基于个案评估以及与其特定情形相关的更为重要的合法依据,在具备例外的正当理由的情况下以及在相关公司解散之日起一段足够长的时间届满之际,向负责保存中央登记簿、商业登记簿或公司登记簿的机构申请对第三方(这些第三方能够证明其对查询这些数据具有特定利益)访问这些登记簿中载明的这些个人的数据予以限制。