判决
2019年7月29日,欧洲法院就本案作出判决。
1.关于杜塞尔多夫高院提出的第1个问题,欧洲法院认为,该问题实质上是询问《95/46指令》第22、23和24条的规定是否应解释为,禁止欧盟成员国法律允许消费者保护协会针对违反个人数据保护法的责任人提起诉讼或进行相关抗辩。
对此,欧洲法院认为,《95/46指令》第22条明确,欧盟成员国应规定任何人均就侵犯其权利(该权利系由适用于相关个人数据处理的欧盟成员国法律所保障)的行为享有司法救济权。《95/46指令》第28条第3款规定,相关监管机构(根据该指令第28条第1款的规定,该机构负责监督欧盟成员国依照该指令制定的相关规定在该国境内的适用)被赋予在欧盟成员国制定的相关规定被违反的情况下参与相关诉讼的权利,或者将这些违反情形提请司法机关注意的权利。《95/46指令》第28条第4款规定,监管机构应处理代表数据主体的协会提出的涉及个人数据处理时与数据主体的权利和自由保护相关的申诉。但是,该指令的条款均未要求欧盟成员国在其本国法律中规定或明确授权其规定,相关协会可以在诉讼中代表数据主体或主动针对违反个人数据保护法的责任人提起诉讼。不过,从上述意见并不能得出以下结论,即《95/46指令》禁止欧盟成员国制定有关允许消费者保护协会针对前述责任人提起诉讼或进行相应抗辩的法律。
欧洲法院指出,根据《欧盟运作条约》第288条第3款的规定,欧盟成员国在转化相关指令时,应确保其完全有效,但是,欧盟成员国在确保实施该指令的方式选择上享有广泛的自由裁量权。该选择自由并不影响所有欧盟成员国所应承担的采取所有必要措施以确保相关指令对其欲实现的目标而言充分有效的义务。需予指出的是,《95/46指令》的基本目标之一是在个人数据处理方面确保对自然人的基本权利和自由,特别是对其隐私权的有效和完整保护。同时,根据《95/46指令》“序言”部分第10条的规定,对此领域的欧盟成员国法律的统一不得导致这些法律已提供保护的任何削减,而是应确保欧盟境内的高水平保护。因此,欧盟成员国在其法律中规定,消费者协会有权针对违反个人数据保护法的责任人提起诉讼,不仅丝毫不损害该等保护的目标,而且实际上有助于实现这些目标。
欧洲法院注意到,时尚身份公司和脸书爱尔兰公司认为,由于《95/46指令》充分统一了欧盟成员国有关数据保护的规定,因此,该指令未明确规定的任何诉讼均应排除在外。考虑到《95/46指令》第22、23和28条仅规定了由数据主体和数据保护监督机构提起的诉讼,故除此之外的诉讼均应排除在外。对此,欧洲法院认为,时尚身份公司和脸书爱尔兰公司的上述主张不应予以采信,理由如下。
《95/46指令》确实对有关个人数据保护的欧盟成员国法律进行了统一,该指令总体上是完整的。鉴此,欧洲法院已经认定,该《指令》第7条规定了个人数据处理可视为合法的、穷尽式的、限制性的清单。欧盟成员国不能在该条规定中增加有关个人数据处理合法化的新原则,也不能在相关额外要求的效果是修改该条规定的六个合法情形的范围的情况下提出该额外要求,但《95/46指令》也规定了相对宽泛的规则,因为它必须适用于许多迥异的情形。这些规则具有一定程度的灵活性,且在许多情况下将决定细节或在相关选项中进行选择的任务交给了欧盟成员国,这意味着欧盟成员国在许多方面就如何执行该指令享有一定的自由裁量权。
《95/46指令》第22—24条也是如此,这些条款使用了宽泛的用语,且并未对欧盟成员国有关司法救济(这些救济系针对违反个人数据保护法的责任人所寻求的救济)的规定予以彻底统一。尤其是,尽管该《指令》第22条要求欧盟成员国规定任何人均就侵犯其权利(这些权利由适用于相关个人数据处理的欧盟成员国法律所保障)的行为享有司法救济权,但该指令并不包含有关行使该救济之条件的任何具体规定。
此外,《95/46指令》第24条规定,欧盟成员国应采取“适当措施”,以确保该指令的规定获得充分执行,但该条并未对该措施予以界定。根据欧洲法院的判例,可以让消费者保护协会针对违反个人数据保护法的责任人提起诉讼的规定,可以构成该条规定的有助于实现该指令目标的适当措施。
与时尚身份公司的主张相反,欧盟成员国在其法律中,就消费者保护协会针对违反个人数据保护法的责任人提起诉讼的可能性作出规定这一事实,并未破坏监管机构在履行《95/46指令》第28条赋予其的职能时所具备的独立性,因为这种可能性既不影响监管机构作出决定的自由,也不影响其行动自由。
此外,2018年5月25日开始实施的《一般数据保护条例》在第80条第2款中,明确授权欧盟成员国允许消费者保护协会针对违反个人数据保护法的责任人提起诉讼或进行相应的抗辩这一事实,并不意味着欧盟成员国不能根据《95/46指令》授予消费者保护协会该权利。相反,《一般数据保护条例》第80条第2款的上述规定表明,本判决对《95/46指令》的解释反映了欧盟立法机关的意愿。
综上,欧洲法院认为,对于杜塞尔多夫高院提出的第1个问题的答复是,《95/46指令》第22—24条应解释为,这些条款并未禁止欧盟成员国制定有关允许消费者保护协会针对违反个人数据保护法的责任人提起诉讼或进行相应抗辩的法律。
2.关于杜塞尔多夫高院提出的第2个问题,欧洲法院认为,该问题实质上是询问,诸如时尚身份公司这样的网站运营商(该运营商在其网站上嵌入了相关社交插件,该插件导致网站访问者的浏览器向该插件的提供商请求相关内容,并为此将访问者的个人数据传输给该提供商)是否可视为《95/46指令》第2条(d)项规定的“控制者”,即使在该运营商无法影响传输给相关社交插件提供商的数据处理时也是如此?
对此,欧洲法院认为,《95/46指令》第2条(d)项依照该指令所追求的目标,即在个人数据处理方面确保对自然人的基本权利和自由,特别是对其隐私权的高水平保护,而将“控制者”的概念宽泛地界定为,单独或与他人共同决定个人数据的处理目的和方式的自然人或法人、公共机构、行政机关或其他实体。此前,欧洲法院已经判决,该项规定的目的是通过对控制者的概念予以宽泛界定,从而确保对数据主体进行有效和完整的保护。
此外,正如《95/46指令》第2条(d)项所明确规定的,“控制者”的概念与单独或与他人共同决定个人数据的处理目的和方式的实体有关。因此,该概念并非必然指向单个实体,而是可能涉及参与个人数据处理的多个行为人,并且每个行为人均受应适用的数据保护规定的约束。同时,欧洲法院还曾认定,出于其自身目的而对个人数据处理施加影响的自然人、法人,或者参与决定该处理目的和方式的自然人、法人可视为《95/46指令》第2条(d)项规定的“控制者”。此外,若干行为人根据该项规定对同一个人数据处理承担共同责任并不要求每一行为人均访问有关个人数据。
由于《95/46指令》第2条(d)项的目的是通过对“控制者”的概念予以宽泛界定,从而确保对相关个人进行有效和完整的保护。同时,共同责任的存在并不必然意味着参与个人数据处理的各行为人应承担同等责任。相反,这些行为人可能涉及个人数据处理的不同阶段且参与程度各不相同,故每一位行为人的责任必须根据特定案件的所有相关情况予以评估。
应予指出的是,首先,《95/46指令》第2条(b)项将“个人数据处理”定义为“对个人数据的任何单一或一系列的操作,无论是否通过自动化方式进行,例如对个人数据的收集、记录、组织、建构、存储、适配或修改、检索、咨询、使用、通过传输披露、传播或通过其他方式提供、排列或组合、限制、删除或销毁”,从该定义可以清楚地看出,个人数据处理可以由一个或多个操作组成,每个操作均与个人数据处理可能涉及的不同阶段相关。
其次,由《95/46指令》第2条(d)项规定的“控制者”的定义可见,在几个行为人共同决定个人数据处理的目的和方式之际,这些行为人均作为控制者参与数据处理。
因此,自然人或法人只有在与其他人共同决定涉及个人数据处理的相关操作的目的和手段时,才是《95/46指令》第2条(d)项规定的控制者。相反,在不损害欧盟成员国法律就此规定的任何民事责任的情况下,对于该自然人或法人未决定其目的或手段的居于个人数据处理链条之前或之后的操作,该自然人或法人不能视为《95/46指令》第2条(d)项规定的控制者。
具体到本案,从在案材料可以清楚地看出,通过在时尚身份公司的网站上嵌入脸书的“赞”按钮,时尚身份公司使得脸书爱尔兰公司有可能获得其网站访问者的个人数据。并且,无论相关访问者是否脸书社交网络的成员,是否点击脸书的“赞”按钮或知道此类操作,只要该访问者访问时尚身份公司的网站,上述情形就有可能发生。(https://www.daowen.com)
据此,欧洲法院认为,时尚身份公司能够与脸书爱尔兰公司共同决定涉及个人数据处理操作的目的和方式,收集网站访问者的个人数据并通过传输而披露该数据。而在将数据传输给脸书爱尔兰公司之后,时尚身份公司不可能决定脸书爱尔兰公司所进行的后续个人数据处理操作的目的和方式,这意味着对于这些后续操作,时尚身份公司不能视为控制者。
关于收集时尚身份公司网站访问者的若干个人数据以及通过传输而披露该数据的具体方式,考虑到时尚身份公司系在充分意识到无论其网站的访问者是否脸书社交网络的成员,脸书爱尔兰公司提供给其的脸书的“赞”按钮均系收集其网站访问者的个人数据并通过传输而披露该数据的工具的情况下,在其网站上嵌入了脸书的“赞”按钮。同时,通过在其网站上嵌入该按钮,时尚身份公司就收集其网站访问者的个人数据,并将该数据传输给该插件的提供商脸书爱尔兰公司(如果没有该按钮,上述收集和传输将无法发生)施加了决定性的影响。在此情况下,受限于杜塞尔多夫高院就此所作的进一步调查,应认定脸书爱尔兰公司和时尚身份公司共同决定了收集时尚身份公司网站访问者的个人数据,并通过传输而披露该数据等个人数据处理操作方式。
关于上述个人数据处理操作的目的,时尚身份公司在其网站上嵌入脸书的“赞”按钮,使得其网站的访问者在点击该按钮时,更易于看见其商品,从而优化其商品的宣传。时尚身份公司同意在其网站上嵌入该按钮,通过该按钮收集网站访问者的个人数据,并通过传输而披露该数据的原因是为了从大力宣传其商品所带来的商业好处中获益。上述个人数据处理操作系为了时尚身份公司和脸书爱尔兰公司的经济利益而进行。而就脸书爱尔兰公司而言,其能够出于自身的商业目的使用这些数据,是其给予时尚身份公司相关利益的对价。据此,可以认定,受限于杜塞尔多夫高院的调查,时尚身份公司和脸书爱尔兰公司共同决定了上述个人数据处理操作,即收集个人数据并通过传输而披露该数据的目的。
此外,由欧洲法院的判例可见,诸如时尚身份公司这样的网站运营商,本身无法访问已收集并传输给社交插件提供商(该社交插件提供商与网站运营商共同决定了个人数据处理的方式和目的)的个人数据这一事实,并不妨碍其成为《95/46指令》第2条(d)项规定的控制者。
另须强调的是,时尚身份公司的网站既可以由脸书的会员,即在脸书上拥有账户的人访问,也可以由没有脸书账户的人访问。在后一种情况下,诸如时尚身份公司这样的网站运营商,就处理这些个人的个人数据所承担的责任似乎更大,因为仅查阅带有脸书“赞”按钮的此类网站即可触发脸书爱尔兰公司对这些个人数据的处理。
据此,就收集其网站访问者的个人数据以及通过传输而披露该数据等个人数据处理操作而言,时尚身份公司可以与脸书爱尔兰公司一起视为《95/46指令》第2条(d)项规定的控制者。
综上,欧洲法院认为,对于杜塞尔多夫高院提出的第2个问题的答复是,诸如时尚身份公司这样的网站运营商(该运营商在其网站上嵌入了相关社交插件,该插件导致该网站访问者的浏览器向该插件的提供商请求相关内容,并为此将访问者的个人数据传输给该提供商)可以视为《95/46指令》第2条(d)项规定的控制者。但是,该运营商的责任仅限于该运营商实际上决定了其目的和方式的一个或一系列个人数据处理操作,即收集相关数据并通过传输而披露该数据。
3.关于杜塞尔多夫高院提出的第3个问题,欧洲法院认为,该问题实质上是询问,在如同本案这样的情形,即网站的运营商在其网站上嵌入相关社交插件,该插件导致该网站访问者的浏览器向该插件的提供商请求相关内容,并为此将该访问者的个人数据传输给提供商的情形下,根据《95/46指令》第7条(f)项的规定,究竟是考虑该运营商所追寻的合法利益,还是考虑该提供商的合法利益才是恰当的?
对此,欧洲法院认为,首先,根据《95/46指令》第二章(标题为“关于个人数据处理合法性的一般规则”)的规定,受限于该《指令》第13条规定的豁免和限制情形,所有个人数据处理均须遵守该《指令》第7条载明的使数据处理合法的标准。
其次,根据《95/46指令》第7条(f)项的规定(本案杜塞尔多夫高院寻求的恰为该项规定的解释),如果个人数据处理为实现控制者、第三方或接受数据披露的一方所追求的合法利益所必需,则可以处理个人数据,但根据第1条第1款需要保护的数据主体的基本权利和自由的利益优先于上述合法利益的除外。《95/46指令》第7条(f)项由此规定了个人数据处理系合法的三个条件:一是数据控制者、第三方或接受数据披露的一方所追求的合法利益;二是为实现该合法利益而处理个人数据的需求;三是需要保护的数据主体的基本权利和自由并不优先于该合法利益。
鉴于根据欧洲法院对第2个问题的答复,在诸如本案这样的情形中,网站的运营商(该运营商在其网站上嵌入了相关社交插件,该插件导致该网站访问者的浏览器向该插件的提供商请求该访问者的相关内容,并为此将该访问者的个人数据传输给该提供商)可以视为控制者。该控制者应与社交插件的提供商一起对相关个人数据处理操作(具体形式为收集网站访问者的个人数据并通过传输披露该数据)承担责任。因此,这些控制者均应通过上述个人数据处理操作追求《95/46指令》第7条(f)项规定的合法利益,以使这些操作对这些控制者而言均为正当。
综上,欧洲法院认为,对于杜塞尔多夫高院提出的第3个问题的答复是,在如同本案这样的情形,即网站的运营商在其网站上嵌入相关社交插件,该插件导致该访问者的浏览器向插件的提供商请求访问者的相关内容,并为此将该访问者的个人数据传输给提供商的情形下,网站运营商以及插件提供商均须通过相关个人数据处理操作,追求《95/46指令》第7条(f)项规定的合法利益,以使这些操作对这些控制者而言均为正当。
4.对于杜塞尔多夫高院提出的第4、5个问题,欧洲法院认为,杜塞尔多夫高院实质上意图知晓,首先,《95/46指令》第2条(h)项和第7条(a)项是否应解释为,在如同本案这样的情形,即网站的运营商在其网站上嵌入相关社交插件,该插件导致该网站访问者的浏览器向插件的提供商请求该访问者的相关内容,并为此将该访问者的个人数据传输给提供商的情形下,网站运营商或插件提供商应获得上述条款所规定的同意。其次,该《指令》第10条是否应解释为,在这种情况下,该网站运营商负有该条规定的告知义务。
对此,欧洲法院认为,由欧洲法院对第2个问题的答复可见,网站运营商可以视为《95/46指令》第2条(d)项规定的“控制者”。但是,该控制者的责任仅限于控制者实际上决定了其目的和方式的一个或一系列个人数据处理操作。据此,该控制者根据《95/46指令》所承担的义务,例如该《指令》第2条(h)项和第7条(a)项规定的获得数据主体同意的义务以及第10条规定的告知义务,必须与该控制者实际上决定了其目的和方式的一个或一系列个人数据处理操作有关。
本案中,尽管网站运营商可以与插件供应商一起,在收集网站访问者的个人数据以及通过传输而披露该数据等个人数据处理操作方面视为控制者,但该运营商获取数据主体同意的义务以及告知义务仅与这些操作相关。这些义务与发生在前述操作之前或之后的其他阶段的个人数据处理操作无涉。
就《95/46指令》第2条(h)项和第7条(a)项规定的同意而言,该同意必须在收集数据主体的数据和通过传输披露该数据之前作出。在这种情况下,基于相关网站的访问者查阅该网站而触发个人数据处理这一事实,应由网站运营商而不是社交插件的提供商来获得该同意。如果数据主体仅向后期介入的共同控制者,即社交插件的提供商作出同意,这将与有效并及时地保护数据主体的权利不符。但是,数据主体需向网站运营商作出的同意仅与该运营商实际上决定了其目的和方式的一个或一系列个人数据处理操作有关。
上述原则亦适用于《95/46指令》第10条规定的告知义务。从该条规定的措辞可以看出,控制者或其代表必须至少向其数据被收集的数据主体提供该条规定的信息,该信息应由控制者在相关个人数据被收集时立即提供。据此,在诸如本案这样的情形下,网站运营商亦负有《95/46指令》第10条规定的告知义务。但是,该网站运营商必须向数据主体提供的信息仅需与该运营商实际上决定了其目的和方式的一个或一系列个人数据处理操作有关。
综上,欧洲法院认为,对于杜塞尔多夫高院提出的第4、5个问题的答复是,《95/46指令》第2条(h)项和第7条(a)项应解释为,在如同本案这样的情形,即网站的运营商在其网站上嵌入相关社交插件,该插件导致该网站访问者的浏览器向该插件的提供商请求该访问者的相关内容,并为此将该访问者的个人数据传输给该提供商的情形下,该运营商应仅就决定了其目的和方式的一个或一系列的个人数据处理操作获得上述条款所规定的同意。此外,该《指令》的第10条应解释为,在这种情况下,该运营商负有该条规定的告知义务,但是,该运营商必须向数据主体提供的信息仅需与该运营商实际上决定了其目的和方式的一个或一系列个人数据处理操作有关。