首页> 图书频道> 政法> 法学

判决

2026年01月16日
版权
判决

2018年6月5日,欧洲法院就本案作出判决。针对德国联邦行政法院提出的上述问题,欧洲法院认为,德国联邦行政法院实质上意图知晓,根据《95/46指令》第2条(d)项、第17条第2款、第24条以及第28条第3款第1段的规定,社交网络上的粉丝主页的管理人在个人数据保护规定被违反的情况下,是否因其选择使用该社交网络发布其提供的信息而应承担相关责任。

对此,欧洲法院认为,从《95/46指令》第1条第1款以及鉴于部分第10条的规定可以清楚地看出,该指令意图确保对自然人的基本权利和自由,特别是对其隐私权进行高水平的保护。基于该目的,《95/46指令》第2条(d)项将“控制者”宽泛地界定为,单独或与他人共同决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他实体。如同欧洲法院在此前的“谷歌西班牙公司、谷歌公司诉西班牙数据管理局、马里奥·科里哈·冈萨雷斯案”中所认定的,《95/46指令》第2条(d)项规定的目的是通过对控制者的概念予以宽泛界定,从而确保对数据主体进行有效和完整的保护。此外,由于《95/46指令》第2条(d)项明确规定,“控制者”的概念与单独或与他人共同决定个人数据的处理目的和方式的实体有关。因此,该概念并非必然指向单个实体,而是可能涉及参与个人数据处理的多个行为人,并且每个行为人均受应适用的数据保护规定的约束。

具体到本案,就脸书用户以及访问脸书上的粉丝主页的访问者的个人数据而言,脸书公司以及脸书爱尔兰公司系决定这些个人数据的处理目的和方式的主要实体,并因此属于《95/46指令》第2条(d)项规定的“控制者”的范围之内。对此,本案各方均无异议。于此场合,欲回答德国联邦行政法院提出的问题,就必须审查诸如经济学院这样的脸书上粉丝主页的管理人,是否以及在何种程度上与脸书爱尔兰公司暨脸书公司共同决定了该粉丝主页访问者的个人数据的处理目的和方式,并因此可以被认定为《95/46指令》第2条(d)项规定的“控制者”。

欧洲法院注意到,任何意图在脸书上创建粉丝主页的人,均需与脸书爱尔兰公司就创建该主页订立特定的合同,并同意使用该主页的相关条件,包括浏览记录政策等。本案所涉的个人数据处理系由脸书通过在粉丝主页访问者的电脑或其他设备中设置浏览记录的方式进行,其目的是在这些访问者的浏览器中存储信息。前述浏览记录如未被删除则有效期为两年。实务中,脸书将在相关人士使用脸书或脸书集团的其他成员以及享受脸书服务的其他公司所提供的服务时,接收、登记并处理存储于浏览记录中的信息。此外,其他实体,例如脸书的合作伙伴,甚至第三方均可使用该浏览记录,以便直接向脸书以及在脸书上发布广告的企业提供服务。(https://www.daowen.com)

上述个人信息处理的目的是使脸书能够提升其广告系统(该系统系通过脸书的网络传输),并使粉丝主页的管理人能够获得脸书基于对该主页的访问情况所制作的统计数据,以便粉丝主页的管理人对其推广活动进行管理,并了解喜欢其粉丝主页或使用其应用程序的访问者的基本信息,从而能够向这些访问者提供相关的内容,并研发这些访问者可能更感兴趣的功能。尽管仅凭使用如同脸书这样的社交网络这一事实并不足以使得脸书的使用者成为对脸书的个人数据处理行为共同承担责任的数据控制者。但需要指出的是,一方面,脸书上粉丝主页的管理人通过创建该主页,从而给予了脸书将浏览记录设置于访问该主页的相关人士的计算机或其他设备之中的机会,无论该人是否拥有脸书账号。根据在案材料,在脸书上创建粉丝主页涉及管理人对相关参数的界定,该界定所依据的因素包括目标受众以及对管理人的相关活动予以管理和推广的目标等。这些因素对于脸书出于以下目的,即基于粉丝主页的访问情况制作相关统计数据,而进行的个人数据处理能够产生影响。管理人可以在脸书提供的过滤器的帮助下,界定相关统计数据据以作出的标准,甚至指定其个人数据将被脸书使用的相关人员的类别。在此情况下,脸书上粉丝主页的管理人亦促成了对其主页访问者的个人数据的处理。

值得一提的是,粉丝主页的管理人能够要求提供有关目标受众的人口特征数据(包括年龄、性别、血缘关系以及职业方面的动态)、有关目标受众的生活方式和兴趣中心的信息、有关其主页的访问者的购买情况以及在线购买习惯的信息、有关最具吸引力的商品和服务的种类的信息,以及可以告知管理人去何处报价和组织活动的地理数据,或者更宽泛地说,可以使管理人锁定其所提供的相关信息的目标的地理数据,并因此能够要求对这些数据和信息进行处理。尽管由脸书编撰的相关受众的统计数据仅以匿名方式发送给粉丝主页的管理人,但这些统计数据的制作系建立在出于统计目的而收集(该收集系通过脸书设置在该粉丝主页访问者的计算机或其他设备之中的浏览记录进行)和处理该主页访问者的个人数据的基础之上则是不争的事实。不管怎样,在几个运营商对同一个人数据处理行为承担责任的情况下,《95/46指令》并未要求每一运营商均能够访问相关个人数据。鉴于此,诸如经济学院这样的脸书上粉丝主页的管理人,应视为通过其界定相关参数的行为,从而参与决定了其粉丝主页访问者的个人数据的处理目的和方式。该管理人由此应归属于《95/46指令》规定的与脸书爱尔兰公司一道在欧盟境内对个人数据处理承担责任的数据控制者。而该管理人使用脸书提供的平台以从关联服务中获益这一事实,并不能免除其保护个人数据的义务。

需要进一步强调的是,脸书上的粉丝主页亦可由非脸书用户,即不拥有脸书账户的人士访问。于此场合,该管理人就处理这些人士的个人数据所承担的责任似乎更大,因为仅仅查阅此类主页即可自动进行脸书爱尔兰公司对这些人士的个人数据的处理。鉴于此,确认社交网络的运营商以及该社交网络上粉丝主页的管理人在该主页访问者的个人数据处理方面的共同责任,能够确保依照《95/46指令》的要求对该主页访问者的权利进行更为完整的保护。但需要指出的是,该共同责任的存在并不必然意味着参与个人数据处理的各运营商应承担同等责任。相反,这些运营者可能涉及个人数据处理的不同阶段且参与程度各不相同,故每一个运营者的责任必须根据特定案件的所有相关情况予以评估。

综上,欧洲法院认为,对德国联邦行政法院提出的上述问题的答复是,《95/46指令》第2条(d)项应解释为,该指令所规定的控制者应涵盖社交网络上粉丝主页的管理人。