判决
2019年10月1日,欧洲法院就本案作出判决。在判决中,欧洲法院首先指出,根据《一般数据保护条例》第94条第1款的规定,《95/46指令》已于2018年5月25日废止,并被《一般数据保护条例》所取代。尽管德国联邦最高法院就本案进行最后一次庭审的时间,以及该院提出本案先予裁决申请的时间均早于2018年5月25日,但根据本案的相关情况以及《一般数据保护条例》第94条第2款有关《欧盟电子隐私指令》中提及的《95/46指令》视同《一般数据保护条例》的规定,可以认定,在本案中,《欧盟电子隐私指令》在《95/46指令》以及《一般数据保护条例》项下均可适用。在此情形下,德国联邦最高法院提出的问题将同时依据《95/46指令》和《一般数据保护条例》予以答复。
接下来,欧洲法院对德国联邦最高法院提出的问题进行了分析。
1.关于德国联邦最高法院提出的问题1(1)和(3),欧洲法院认为,德国联邦最高法院实质上是询问《欧盟电子隐私指令》第2条(f)项、第5条第3款、《95/46指令》第2条(h)项,以及《一般数据保护条例》第6条第1款(a)项是否应解释为,若以浏览记录形式在互联网用户终端设备中存储信息或访问已存储在该设备中的信息系通过带预选勾的复选框获得许可,而互联网用户需取消该预选勾以拒绝同意,则《欧盟电子隐私指令》第2条(f)项、5条第3款、《95/46指令》第2条(h)项以及《一般数据保护条例》第6条第1款(a)项规定的有效同意是否已成立?
对此,欧洲法院注意到,根据德国联邦最高法院提交的先予裁决申请,案涉浏览记录(该浏览记录被设置于参与行星49公司组织的促销博彩的互联网用户的终端设备之中)含有一个分配给相关用户(该用户必须在该促销博彩的登记表中输入其姓名和地址)的登记数据的代码。在相关个人使用互联网的情况下,通过将该代码与相关登记数据相连接即可建立该个人与浏览记录存储的登记数据的联系。因此,通过浏览记录收集该登记数据系一种个人数据处理。对此,行星49公司已经予以确认。因为在其提交给欧洲法院的书面意见中,行星49公司陈述,前述第二复选框所提及的同意旨在授权对相关个人数据而非匿名数据进行收集和处理。
欧洲法院还注意到,根据《欧盟电子隐私指令》第5条第3款的规定,欧盟成员国应确保在用户终端设备中存储信息,或者访问已存储在该等设备中的信息的前提是相关用户已作出同意,且已依照《95/46指令》的规定向该用户提供了有关数据处理目的的清晰和全面的信息。考虑到:①对欧盟法律予以统一适用的需求以及平等原则均要求欧盟法律的词句和范围通常应在整个欧盟予以自主、统一的解释;②根据欧洲法院的判例,欧盟法律不仅应当按照该法律所使用的词句和追求的目标,而且还应当结合该法律的上下文和整体予以解释;③欧盟法律的立法历史亦可提供与该法律解释有关的信息。因此,《欧盟电子隐私指令》第5条第3款应基于上述法律解释原则,并结合本案事实予以解释。
首先,就《欧盟电子隐私指令》第5条第3款所使用的词句而言,尽管该款规定明确要求,对于在相关用户的终端设备中存储信息或者访问已存储在该设备中的信息,相关用户必须已经作出同意。但是,对于相关用户的同意应以何种方式作出,该款规定则未予明确。该款规定中“作出同意”这一用语由此宜进行文义解释,即相关用户应采取行动以作出同意。此点亦可从《欧盟电子隐私指令》“序言”部分第17条有关“就本指令而言,用户的同意可以通过任何恰当的方式作出,以使用户得以自由作出具体的和知情的意思表示,包括通过在访问网站时勾选选项框的方式”之规定清楚地看出。
其次,就《欧盟电子隐私指令》第5条第3款的上下文而言,该指令第2条(f)项规定,用户的“同意”对应《95/46指令》中载明的数据主体的同意。同时,该《指令》“序言”部分第17条规定,就本指令而言,用户的同意应与《95/46指令》中界定和进一步明确的数据主体的同意具有相同含义。而《95/46指令》将数据主体的同意界定为数据主体自愿作出的、具体和知情的意思表示,借助该表示,数据主体表明其同意处理与其有关的个人数据。该定义所提出的“表示”这一要求明确指向了数据主体的积极行为而非消极行为。而以带预选勾的复选框方式作出的同意则无法显示互联网用户的积极行为。上述解释可由《95/46指令》第7条获得佐证,该条穷尽式地列明了个人数据处理可视为合法的情形。其中第7条(a)项规定,在数据主体明确作出同意的情况下,该同意可以使相关个人数据处理合法。而只有数据主体以作出同意为目的的积极行为方符合该项规定的要求。实践中,对于互联网用户是否因未取消带预选勾的复选框中的预选勾,故对处理其个人数据作出同意的问题,难以客观判断;对于该同意是否在知情的情况下作出也难以客观判断。而相关网站的用户在继续其在该网站的相关行为之前,未阅读与带预选勾的复选框相伴的信息,甚至未注意到该复选框也并非不可能。
再次,就《欧盟电子隐私指令》第5条第3款规定的立法进程而言,起先,《欧盟电子隐私指令》第5条第3款规定,互联网用户在收到依照《95/46指令》的规定向其提供的有关数据处理目的等清晰和全面的信息之后,“有权拒绝”存储浏览记录。之后,欧盟《2009/136指令》对该规定进行了实质性修改,将“有权拒绝”改为“作出同意”。上述修改之后,用户的同意已不能推定,而应系用户积极行为的结果。
综上,结合《95/46指令》第2条(h)项的规定,若在相关用户的终端设备中存储信息或者访问已存储在该等设备中的信息系通过服务提供商预先勾选复选框的方式获得许可,而互联网用户需取消预选勾以拒绝同意,则《欧盟电子隐私指令》第5条第3款以及第2条(f)项所规定的同意并未有效成立。
另外,根据《95/46指令》第2条(h)项的规定,数据主体的意思表示必须是明确的,即其必须与数据的处理明确相关,而且不能从数据主体出于其他目的而作出的意思表示中推定。在本案中,与行星49公司的主张相反,互联网用户选择相关按钮以参与该公司组织的促销博彩并不足以令该公司断定相关用户就浏览记录的存储作出了有效同意。
上述解释亦适用于《一般数据保护条例》的相关规定。《一般数据保护条例》第4条第(11)项有关“数据主体的同意”的定义较《95/46指令》第2条(h)项更为严格,因为该项规定将“数据主体的同意”界定为,数据主体自愿作出的具体、知情、明确的意思表示。其通过声明或明确肯定的行为作出的这种意思表示,表明其同意对其相关个人数据进行处理。由此可见,数据主体积极的同意已明确规定于《一般数据保护条例》之中。对此,《一般数据保护条例》“序言”部分第32条有关数据主体的同意可以包括访问互联网时勾选选项框,但沉默、预选框或不作为均不构成同意的规定足以佐证。
综上,若在相关用户的终端设备中存储信息或者访问已存储在该设备中的信息系通过带预选勾的复选框获得许可,而互联网用户需取消该预选勾以拒绝同意,则《欧盟电子隐私指令》第2条(f)项、第5条第3款所规定的同意并未有效成立。(https://www.daowen.com)
据此,欧洲法院认为,对于德国联邦最高法院提出的问题1(1)和(3)的答复是,若以浏览记录形式在互联网用户终端设备中存储信息或访问已存储在该设备中的信息系通过带预选勾的复选框获得许可,而互联网用户需取消该预选勾以拒绝其同意,则《欧盟电子隐私指令》第2条(f)项、5条第3款、《95/46指令》第2条(h)项以及《一般数据保护条例》第4条、第6条第1款(a)项规定的同意并未有效成立。
2.关于德国联邦最高法院提出的问题1(2),欧洲法院认为,德国联邦最高法院实质上是询问,《欧盟电子隐私指令》第2条(f)项、第5条第3款、《95/46指令》第2条(h)项以及《一般数据保护条例》第6条第1款(a)项的规定,因被存储或访问的信息是否《95/46指令》和《一般数据保护条例》规定的个人数据,而在解释方面有所差别。
对此,欧洲法院认为,根据德国联邦最高法院提交的先予裁决申请,本案所涉的对浏览记录的存储构成对个人数据的处理。在此情形下,首先,《欧盟电子隐私指令》第5条第3款仅规定了“存储信息”和“访问已存储……的信息”,该款规定并未对该类信息的特征予以描述,或者明确该类信息必须是个人数据。
其次,该款规定旨在保护用户的私人领域免遭干预,无论该干预是否涉及个人数据。对此,《欧盟电子隐私指令》“序言”部分第24条可资佐证。根据该条规定,在电子通信网络用户的终端设备中存储的信息是该用户根据《保护人权和基本自由的欧洲公约》有权要求保护的私人领域的一部分。该保护适用于存储在该等终端设备中的任何信息,无论该信息是否个人数据。并且,该保护旨在保护用户免遭隐藏的标识符和其他类似装置在其不知情的情况下进入其终端设备的风险。
据此,欧洲法院认为,对于德国联邦最高法院提出的问题1(2)的答复是,《欧盟电子隐私指令》第2条(f)项、第5条第3款、《95/46指令》第2条(h)项以及《一般数据保护条例》第6条第1款(a)项不应因被存储或访问的信息是否《95/46指令》和《一般数据保护条例》规定的个人数据而在解释方面有所差别。
3.关于德国联邦最高法院提出的问题2,欧洲法院认为,德国联邦最高法院实质上是询问《欧盟电子隐私指令》第5条第3款是否应解释为,服务提供商必须向互联网用户提供的信息,包括浏览记录的运作期间以及第三方是否能够访问浏览记录等。
对此,欧洲法院认为,如前所述,《欧盟电子隐私指令》第5条第3款要求在相关用户已作出同意,并且已依照《95/46指令》的规定,向该用户提供有关数据处理目的的清晰和全面的信息的前提下,方得在该用户的终端设备中存储信息或访问已存储的信息。“清晰和全面的信息”意味着互联网用户能够易于确定其作出同意的后果,并确保其同意是在充分知情的情况下作出的。相关信息必须是清晰易懂且充分详尽的,以使互联网用户能够理解所使用的浏览记录的运作。基于案涉浏览记录意图收集信息以用于相关广告(该广告与促销博彩组织者的合作伙伴的产品有关)。因此,该浏览记录的运作期间以及第三方是否能够获取该浏览记录构成了依照《欧盟电子隐私指令》第5条第3款的规定,必须向用户提供清晰和全面信息的一部分。
需明确的是,《95/46指令》第10条(《欧盟电子隐私指令》第5条第3款以及《一般数据保护条例》第13条对该条规定均有提及)列明了数据控制者应向数据主体(与其有关的数据被收集)提供的信息,这些信息除了数据控制者的身份、数据处理的目的之外,还包括任何进一步的信息,例如,数据接收方或接收方的种类等,只要考虑了相关数据被处理的具体情况,该进一步的信息为保证与数据主体有关的数据获得公平处理所必需。尽管数据处理的期间未包括在前述信息之中,但从《95/46指令》第10条有关“数据控制者至少应当向数据主体(与其有关的数据被收集)提供以下信息”的规定中可以清楚地看出,该条规定所列举的信息并非穷尽式的。而在如同本案这样的情形中,有关浏览记录运作期间的信息应视为满足了《95/46指令》第10条有关公平数据处理的要求,因为一个长期甚至无限的期间意味着大量互联网用户的浏览行为信息,以及这些用户访问本次促销博彩组织者的广告合作伙伴的网站的频率信息被收集。
上述解释可在《一般数据保护条例》第13条第2款(a)项的规定中获得佐证,该条规定明确,数据控制者在获取个人数据时,出于证实处理过程的公正和透明的需要,应向数据主体提供个人数据的存储时限,或在无法提供具体存储时限的情况下,提供确定该存储时限的标准。
至于第三方能否访问浏览记录这一信息,该信息已包括在《95/46指令》第10条(c)项以及《一般数据保护条例》第13条第1款(e)项规定的信息之内,因为这些规定明确提及了数据的接收方或接收方的种类。
综上,欧洲法院认为,对于德国联邦最高法院提出的问题2的答复是,相关服务提供商必须向互联网用户提供的信息,包括浏览记录的运作期间以及第三方是否能够访问浏览记录等信息。