评析
第一,本案明确了《95/46指令》并未禁止欧盟成员国制定法律,允许消费者保护协会针对违反个人数据保护法的相关责任人提起诉讼或进行相应抗辩。首先,《95/46指令》第22—24条使用了宽泛的用语,且并未对欧盟成员国有关司法救济的规定予以彻底统一。尽管该《指令》第22条要求欧盟成员国规定任何人均就侵犯其权利的行为享有司法救济权,但该指令并不包含有关行使该救济条件的任何具体规定。同时,《95/46指令》第24条规定,欧盟成员国应采取“适当措施”以确保该指令的规定获得充分执行,但该条并未对该措施予以界定。而根据欧洲法院的判例,允许消费者保护协会针对违反个人数据保护法的责任人提起诉讼的规定,可以构成该条规定的有助于实现该指令目标的适当措施。
其次,欧盟成员国在其法律中,就消费者保护协会针对违反个人数据保护法的责任人提起诉讼的可能性作出规定这一事实,并未破坏监管机构在履行《95/46指令》第28条赋予其职能时所具备的独立性,因为这种可能性既不影响监管机构作出决定的自由,也不影响其行动自由。
再次,根据《一般数据保护条例》(该条例废止并取代了《95/46指令》)第80条第2款的规定,欧盟成员国可以规定,如果消费者保护协会等认为数据主体依据该条例享有的权利因数据处理而受到侵犯的,其有权独立地针对违反个人数据保护法律的责任人提起诉讼。该规定表明,欧洲法院有关《95/46指令》并未禁止欧盟成员国制定法律,允许消费者保护协会针对违反个人数据保护法的相关责任人提起诉讼或进行相应抗辩的解释反映了欧盟立法机关的意愿。
第二,本案进一步解释了“共同控制者”的含义。在2018年6月5日判决的“德国石勒苏益格—荷尔斯泰因州独立数据保护中心诉石勒苏益格—荷尔斯泰因州经济学院、第三人脸书爱尔兰公司案”中,欧洲法院基于《95/46指令》第2条(d)项规定的“控制者”的定义,即“单独或与他人共同决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他实体”,而对“共同控制者”的含义进行了初步界定,即共同控制者系多个参与个人数据处理的实体,其中每一实体均受制于应适用的数据保护规定。共同控制者原则上应就个人数据处理承担共同责任。但是,该共同责任的存在并不必然意味着参与个人数据处理的各实体承担均等的责任。相反,各实体可能在不同阶段以及不同程度上参与个人数据的处理,因此,每一实体的责任程度应根据案件的相关情况予以评估。
之后,欧洲法院又在其他案件的判决中,对“共同控制者”的含义进行了补充,即出于其自身目的而对个人数据处理施加影响的实体,或者参与决定该处理目的和方式的实体,可以与其他实体一起成为共同控制者。此外,若干实体对同一个人数据处理承担共同责任,并不要求他们都可以访问有关个人数据。
本案中,欧洲法院对“共同控制者”的含义进行了进一步解释,即相关实体只有在与其他人共同决定涉及个人数据处理的相关操作的目的和方式时,才是个人数据处理的共同控制者。而对居于个人数据处理链条之前或之后的操作,若该实体未决定其目的或方式,则该实体不能被视为个人数据处理的共同控制者。
具体到本案,鉴于时尚身份公司在其网站上嵌入了脸书的“赞”社交插件,该插件导致其网站访问者的浏览器向脸书爱尔兰公司请求该访问者的相关内容,并为此将该访问者的个人数据传输给脸书爱尔兰公司。据此可知,对于收集其网站访问者的个人数据并通过传输而披露该数据的操作,时尚身份公司能够与脸书爱尔兰公司共同决定这些操作的目的和方式,并因此构成这些操作的共同控制者。而对于上述传输之后的个人数据处理操作则因时尚身份公司不可能决定其目的和方式,故时尚身份公司并非这些后续操作的共同控制者。
第三,本案明确了共同控制者均应通过相应的个人数据处理操作追求合法利益,以使这些操作对这些控制者而言均为正当。根据《95/46指令》以及《一般数据保护条例》的规定,在数据处理为实现控制者、第三方或者接受数据披露的一方所追求的合法利益所必需的情形下,数据处理方为合法,但数据主体所享有的需要保护其个人数据的利益、基本权利和自由优先于上述合法利益的情形除外,尤其在数据主体为儿童的情形下。本案中,欧洲法院明确,在数据处理为实现共同控制者所追求的合法利益所必需的情形下,共同控制者应通过与其相应的个人数据处理操作追求合法利益,以使这些操作对这些控制者而言均为正当。其理由正如本案总法律顾问博贝克(Bobek)在其就本案出具的法律意见中所指出的,共同控制者的地位意味着这些控制者共享个人数据处理的目标,每一控制者由此必须证实合法利益的存在。[2]至于此处的控制者合法利益,根据欧盟第29条数据保护工作组在《关于95/46指令第7条项下的数据控制者合法利益的概念的06/2014观点》[3]中的诠释,某个利益可视为合法利益,只要相关控制者以符合数据保护法律和其他法律的方式追求该利益。换言之,合法利益必须是法律可接受的。依欧盟第29条数据保护工作组之见,《95/46指令》第7条(f)项的规定的“合法利益”必须:①是合法的,即符合应适用的欧盟和欧盟成员国法律;②充分地、明确地予以说明,以便能够针对数据主体的利益和基本权利进行相关平衡测试,即是足够明确的;③代表了真实和现存的利益,即并非推测性的。该合法利益有可能产生于以下情形。
(1)行使言论自由权或信息自由权,包括在媒体和艺术中行使这些权利。
(2)传统的直销以及其他形式的销售或广告。
(3)主动提供的非商业信息,包括政治竞选或慈善筹款信息。
(4)对法律请求的强制执行,包括通过庭外程序进行的债务清收。(https://www.daowen.com)
(5)防止欺诈、滥用服务或洗钱。
(7)举报机制。
(8)物理安全、信息技术以及网络安全。
(10)为了研究目的(包括市场研究)而进行的个人数据处理。
第四,本案明确了共同控制者根据《95/46指令》所承担的义务,例如获得数据主体同意的义务以及告知义务,仅限于该控制者实际上决定了其目的和方式的一个或一系列个人数据处理操作。基于欧洲法院在本案中已经认定,共同控制者的责任仅限于该控制者实际上决定了其目的和方式的一个或一系列个人数据处理操作。与此相应,共同控制者根据《95/46指令》乃至《一般数据保护条例》所承担的义务,例如获得数据主体同意的义务以及告知义务也仅限于该控制者实际上决定了其目的和方式的一个或一系列个人数据处理操作。具体到本案,尽管时尚身份公司可以与脸书爱尔兰公司一起成为共同控制者,但时尚身份公司获取数据主体同意的义务以及告知义务仅限于该公司实际上决定了其目的和方式的以下两个数据处理操作,即收集该公司网站访问者的个人数据以及通过传输而披露该数据。对于发生在前述操作之前或之后的其他阶段的个人数据处理,时尚身份公司不承担获取数据主体同意的义务以及告知义务。此外,考虑到本案的实际情况,即相关访问者访问时尚身份公司的网站就触发对该访问者个人数据的处理,欧洲法院特别强调,应由时尚身份公司而非脸书爱尔兰公司来获得相关访问者的同意,因为如果由后期介入的脸书爱尔兰公司来获得相关访问者的同意,将与有效并及时地保护访问者的权利不符。
【注释】
[1]http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&page Index=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=2013814.
[2]Opinion of Advocate General Bobek,delivered on 19 December 2018.
[3]Article 29 Data Protection Working Party,Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC[EB/OL].[2020-08-28].https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf.