首页> 图书频道> 政法> 法学

判决

2026年01月16日
版权
判决

2019年12月11日,欧洲法院就本案作出判决。针对布加勒斯特法院提出的上述4个问题,欧洲法院认为,这些问题实质上是询问《95/46指令》第6条第1款(c)项、第7条(f)项以及《宪章》第7、8条是否应解释为禁止欧盟成员国的以下规定,该规定授权在未获数据主体同意的情况下,为实现确保个人和财产的安全和保护这一合法目的,在住宅小区的公共位置安装视频监控系统,例如本案所涉的视频监控系统。

欧洲法院认为,首先,在安装的视频监控系统能够使得个人数据,例如令自然人能够被识别的图像被记录和存储的情况下,该视频监控系统应认定为《95/46指令》第3条第1款规定的“个人数据的自动处理”。所有个人数据处理必须遵守《95/46指令》第6条规定的有关数据质量的原则。其次,还需遵守该《指令》第7条载明的使数据处理合法化的标准之一。该《指令》第7条规定了个人数据处理可视为合法的穷尽式的、限制性的清单。欧盟成员国不能在该条规定中增加有关个人数据处理合法化的新原则,也不能在相关额外要求的效果是修改该条规定的六个合法情形的范围的情况下,提出该额外要求。因此,个人数据处理如欲被认定为合法,需属于该条规定的六个情形的范围之内。

就本案而言,布加勒斯特法院提出的问题主要与《95/46指令》第7条(f)项有关[第7条(f)项规定,个人数据仅在以下情况下可以被处理:……(f)数据处理为实现控制者或第三方或接受数据披露的一方所追求的合法利益所必需,但根据第1条第1款需要保护的数据主体的基本权利和自由的利益优先于上述合法利益的除外]。该项规定已被转化为罗马尼亚《677/2001号法律》第5条第2款(e)项,且在《52/2012号决定》中亦被提及。《95/46指令》第7条(f)项规定了数据处理合法的三个条件:一是数据控制者、第三方或接受数据披露的一方所追求的合法利益;二是为实现该合法利益而处理个人数据的需求;三是需要保护的数据主体的基本权利和自由并不优先于该合法利益。《95/46指令》第7条(f)项并未要求获得数据主体的同意,该同意仅系《95/46指令》第7条(a)项规定的数据处理的条件。

本案中,数据控制者在安装案涉视频监控系统时所追求的目标,即保护M5A楼业主的财产、健康和生活,可以被认定为《95/46指令》第7条(a)项规定的合法利益,《95/46指令》第7条(f)项规定的第一个条件由此已获满足。

欧洲法院注意到,布加勒斯特法院无法确定第7条(f)项规定的第一个条件是否应理解为,首先,案涉控制者所追求的合法利益必须被证明;其次,该合法利益必须在数据处理时存在并有效。对此,欧洲法院认为,如同罗马尼亚、捷克、爱尔兰、奥地利、葡萄牙政府以及欧盟委员会所指出的,负责处理相关数据的控制者或者接受数据披露的第三方,必须追求能够令其数据处理成为正当的合法利益,这些利益必须在数据处理之日是现存和有效的,而不能是假定的。但是,相关财产和个人的安全在审查本案的全部情况之前已陷入危险之中并非必然被要求。就本案而言,上述“存在现存和有效利益”的条件已获满足,因为布加勒斯特法院认定,尽管此前在M5A楼的入口安装了对讲(磁卡)安全系统,但是,在案涉视频监控系统安装之前,盗窃和破坏公物的行为仍时有发生。

关于《95/46指令》第7条(f)项规定的第二个条件,即为实现合法利益而处理个人数据的需求,首先,欧洲法院强调,有关个人数据保护的减损和限制必须仅在充分必要的情况下适用。

接下来,欧洲法院指出,上述第二个条件要求布加勒斯特法院确定,涉案视频监控系统所追求的合法利益(该利益本质上由确保财产和个人的安全以及预防犯罪组成)不能通过其他方式合理地、有效地实现,这些方式对数据主体的基本权利和自由,特别是《宪章》第7、8条保障的私人生活获得尊重的权利以及个人数据保护权的限制更少。此外,如同欧盟委员会所指出的,该条件必须结合《95/46指令》第6条第1款(c)项规定的“数据最小化”原则予以审查。根据该原则,个人数据就其被收集和(或)进一步处理的目的而言必须是充分的、相关的和非过量的。(https://www.daowen.com)

欧洲法院注意到,从在案材料可以看出,有关案涉数据处理的比例要求似乎已在本案中被考虑。因为原先采取的替代措施,包括安装于M5A楼入口的对讲(磁卡)安全系统已经被证明是不充分的。此外,案涉视频监控设备的监控区域仅限于大楼的公共区域以及通往该区域的道路。但是,鉴于视频监控设备进行数据处理的“比例”,需根据安装和操作该设备的特定方法予以评估,该方法应限制其对数据主体权利和自由的影响,同时确保案涉视频监控系统的有效性,故如同欧盟委员会所主张的,《95/46指令》第7条(f)项规定的前述第二个条件意味着,数据控制者必须就视频监控系统在晚上或日常工作时间之外运行是否即已足够等因素进行审查,并屏蔽或遮挡在无需监控的区域所采集的图像。

关于《95/46指令》第7条(f)项规定的第三个条件,欧洲法院认为,该条件与以下情形,即存在数据主体的基本权利和自由,并且该权利和自由可能优先于控制者、第三方或者接受数据披露的一方所追求的合法利益相关。有关该条件的考量需基于特定案件的具体情况,并对案件所涉的相互对立的权利和利益予以平衡。在此过程中,需斟酌《宪章》第7、8条规定的数据主体权利的重要性。

对此,欧洲法院指出,首先,欧洲法院已经认定,《95/46指令》第7条(f)项禁止欧盟成员国在特定案件中,在不允许对案件所涉的相互对立的权利和利益予以平衡的情况下,绝对地或一般性地排除处理某类个人数据的可能。因此,欧盟成员国不能在不允许因单个案件的特定情况而产生的不同结果的情况下,就某类个人数据决定性地规定对相互对立的权利和利益予以平衡。

其次,从欧洲法院的判例可以看出,为进行上述平衡,相关数据处理导致的侵犯数据主体基本权利的严重性将因相关数据是否可能从公共来源获取而有所不同这一因素而予以考虑。不同于处理来自公共来源的数据,处理来自非公共来源的数据意味着与相关数据主体的私人生活有关的信息此后将为数据控制者、第三方或接受数据披露的一方(视具体情形而定)所知悉。这种对于《宪章》第7、8条规定的数据主体权利的更为严重的侵犯应予考虑,并应与控制者、第三方或接受数据披露的一方所追求的合法利益进行平衡。因此,与侵犯数据主体的权利和自由的严重性有关的标准,系《95/46指令》第7条(f)项所要求的个案斟酌或平衡的必要组成部分。就此而言,以下因素包括案涉个人数据的性质特别是这些数据的潜在敏感性质,以及案涉个人数据处理的性质和特定方法特别是能够访问这些数据的人的数量以及访问这些数据的方法均应予以考量。同时,若根据案件的具体情况,数据主体不能合理预期对其个人数据的进一步处理,则该数据主体有关其个人数据不会被处理的合理预期亦与上述平衡相关。

再次,上述因素必须与案涉视频监控系统所追求的合法利益的重要性进行平衡,因为该监控系统旨在确保M5A楼所有业主的财产、健康和生活获得保护。

综上,欧洲法院判决如下。

《95/46指令》第6条第1款(c)项、第7条(f)项以及《宪章》第7、8条应解释为,这些规定未禁止欧盟成员国法律中的以下规定,这些规定授权在未获数据主体同意的情况下,为实现确保个人和财产的安全和保护这一合法目的,在住宅小区的公共位置安装视频监控系统,例如本案所涉的视频监控系统,但前提是通过视频监控系统进行的个人数据处理满足了《95/46指令》第7条(f)项规定的条件。对此,应由布加勒斯特法院予以认定。