首页> 图书频道> 政法> 法学

评析

2026年01月16日
版权
评析

本案涉及多个个人数据保护方面的基本问题,包括将相关个人的详细资料保存于公司登记簿之中并应第三人的请求予以传送是否构成个人数据处理、数据主体是否对公司登记簿中的个人数据拥有删除权(被遗忘权)、个人数据保护与经济利益如何平衡等。

第一,本案明确了将相关个人的详细资料保存于公司登记簿之中,并应第三人的请求予以传送构成个人数据处理。首先,包括在公司登记簿之中的相关个人(该个人被授权在与第三方的交易中暨相关法律程序中代表该公司,或者参与该公司的管理、监督或控制)的详细资料构成欧盟法律规定的个人数据,因为这些资料系“与已识别或可识别的个人相关的信息”。而这些资料作为业务活动的一部分而提供并不意味着这些资料不能被界定为个人数据。

其次,将前述个人的详细资料保存于公司登记簿之中,并应第三人的请求予以传送构成欧盟法律规定的个人数据处理,因为该操作符合欧盟法律有关个人数据处理的定义,即个人数据处理是指对个人数据或个人数据集合的任何单一或一系列的操作,无论是否通过自动化方式进行,例如对个人数据或个人数据集合的记录、存储、传播或通过其他方式提供。

第二,本案明确了数据主体对公司登记簿中的个人数据原则上不拥有删除权(被遗忘权)。鉴于向数据主体提供删除其自身数据的权利,对于数据保护原则特别是数据最小化原则(个人数据必须限于为处理这些数据的目的所需)的有效适用特别重要。[2]因此,《一般数据保护条例》明确规定了数据主体的拒绝权(被遗忘权)。根据《一般数据保护条例》第17条的规定,数据主体有权要求控制者对其个人数据进行删除,并且在相关情形下,控制者有义务及时地删除个人数据。这些情形包括就收集或以其他方式处理个人数据的目的而言该个人数据已非必要,以及数据主体以其所处特定情形有关的理由反对对数据进行处理,并且没有有关数据处理的更为重要的合法依据等。但是,数据主体所享有的删除权(被遗忘权)并非绝对。在本案中,欧洲法院认为,数据主体对于公司登记簿中的个人数据原则上不拥有删除权(被遗忘权),理由主要如下。

首先,披露这些个人数据的主要目的有三点:一是保护第三方就相关股份有限公司和有限责任公司所享有的权益,因为这些公司能向第三方提供的唯一保障,是这些公司的资产。二是考虑到欧盟内部市场建立之后欧盟成员国之间的贸易日益增加的情况,保证公司与第三方之间交易的法律确定性。三是使得任何利害第三方自行知晓相关事项,而无须另行确立需保护的权益。

其次,即使在公司解散之后,与该公司有关的权利和法律关系仍将继续存在。因此,在发生争议的情况下,前述数据对于评估代表该公司进行的相关行为的合法性,以及第三方对公司机关的成员或公司的清算人提起诉讼仍可能是必要的。同时,要求提供相关数据的问题将因欧盟各成员国适用的诉讼时效而在某个公司停止存在多年后仍可能产生。鉴于此问题可能涉及几个欧盟成员国的主体,而欧盟各成员国国内法就不同法律领域所规定的诉讼时效有可能显著不一。因此,现在就确定一个统一的自公司解散之日起算的期限(该期限届满后,将相关数据涵盖于公司登记簿之中,以及披露相关数据均不再需要)似乎是不可能的。(https://www.daowen.com)

综上,鉴于披露公司登记簿中载明的个人数据的目的是合法的,同时考虑到确定一个统一的期限,该期限届满之后相关个人数据即可在不损害第三方利益的情况下从公司登记簿中移除是困难的,欧洲法院遂认定,数据主体对公司登记簿中的个人数据原则上不拥有删除权(被遗忘权)。但欧洲法院同时指出,在存在与个人的特定情况相关的、更为重要的合法理由的情形下,可以例外地限制第三方在相关公司解散之日起一段足够长的时间之后,对公司登记簿中载明的个人数据进行访问。

第三,本案明确了个人数据保护权需与数据控制者、处理者或社会公众的经济利益进行平衡。欧盟数据保护法的主要考量之一是向个人提供对其个人数据更多的控制。在数据时代,处理并获取大量个人数据的商业实体的力量与相关个人控制其信息的力量并不均衡。为此,欧洲法院采取了个案评估的方法,对个人数据保护权与数据控制者、处理者或社会公众的经济利益进行平衡,以确定后者能否成为限制前者的正当理由。[3]本案中,欧洲法院对数据主体就公司登记簿中载明的个人数据所享有的删除权(被遗忘权)与社会公众的经济利益进行了平衡,并最终认定,保护第三方就相关股份有限公司和有限责任公司所享有的利益,以及确保法律确定性、公平交易以及欧盟内部市场正常运作之要求优于数据主体享有的删除权(被遗忘权)。

【注释】

[1]http://curia.europa.eu/juris/document/document.jsf?text=&docid=188750&page Index=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=2013814.

[2]European Union Agency for Fundamental Rights and Council of Europe[M].Handbook on European Data Protection Law,2018:221.

[3]European Union Agency for Fundamental Rights and Council of Europe[M].Handbook on European Data Protection Law,2018:78-79.