个人信息查阅权的行使:
欧盟法院判决“RW诉奥地利邮政公司案”
2023-07-28 09:32:33 | 来源:人民法院报 | 作者:张燕
 

  《欧盟通用数据保护条例》(以下简称《条例》)第15条规定了数据主体的查阅权。根据该条第1款的规定,数据主体应当有权从数据控制者处确认与其相关的个人数据是否正在被处理,并在确认其个人数据正在被处理的情况下,有权要求查阅与其相关的个人数据,并获知处理目的、个人数据的类型、已经被披露或者将被披露的个人数据的接收方或者接收方类型等信息。不过,该《条例》第15条第1款(c)项虽明确要求数据控制者向数据主体提供数据接收方的具体信息或类型信息,但这两类信息是否有先后之分,该条规定则未予明确。2023年1月12日,欧盟法院在“RW诉奥地利邮政公司案”的判决中,对此问题作出了回答。

  基本案情

  2019年1月,RW(化名)依《条例》第15条规定向奥地利邮政公司提交请求,要求查阅此前和正在被奥地利邮政公司存储的与其相关的个人数据,并要求奥地利邮政公司在其个人数据已被披露给第三方的情况下,向其提供数据接收方的具体身份信息。

  奥地利邮政公司在收到RW的请求之后答复称,其在法律允许的范围内,在出版电话簿等活动中使用了RW的个人数据,并将这些数据提供给其贸易伙伴用于市场营销。同时,奥地利邮政公司还在答复中提及了一个载明更多相关信息的网站,但奥地利邮政公司并未向RW披露其个人数据接收方的具体身份。

  RW向奥地利相关法院提起诉讼,请求判令奥地利邮政公司提供其个人数据接收方的身份信息。

  因奥地利邮政公司在诉讼过程中告知RW,其个人数据已被用于市场营销并被发送给奥地利邮政公司的相关客户,包括广告商、IT公司、慈善机构等,本案一审和二审法院遂以《条例》第15条赋予了数据控制者选择权,数据控制者由此有权仅向数据主体告知数据接收方的类型信息为由,驳回了RW的诉讼请求。

  RW对判决不服,向奥地利最高法院提起上诉。因本案涉及《条例》的解释问题,奥地利最高法院遂决定中止本案诉讼,并请求欧盟法院就以下问题作出先予裁决,即根据《条例》第15条第1款(c)项的规定,在数据主体的个人数据已经或者将被披露给数据接收方的情况下,数据控制者是否负有向数据主体提供这些接收方的具体身份信息的义务?

  欧盟法院的判决

  2023年1月12日,欧盟法院就本案作出判决。在判决中,欧盟法院首先指出,根据该院的判例,在解释欧盟法律的相关规定时,不仅应考虑该规定所使用的词句,而且还应考虑该规定的上下文以及载有该规定的欧盟法律的目的。此外,在欧盟法律的相关规定可以进行多种解释的情况下,应当优先采用能够确保维系该规定效力的解释。

  首先,关于《条例》第15条第1款(c)项的词句。该项规定,数据主体有权从数据控制者处确认与其相关的个人数据是否正在被处理,并在确认正在被处理的情况下,要求查阅与其相关的个人数据,并获知个人数据的接收方或者接收方类型等信息。因该项规定连续使用了“接收方”和“接收方类型”这两个用语,据此无法确定“接收方”和“接收方类型”的优先顺序,在此情形下,应认定,根据《条例》第15条第1款(c)项的词句,无法确定数据主体在其个人数据已经或者将被披露给相关接收方之际,是否有权要求数据控制者告知该接收方的具体身份。

  其次,关于《条例》第15条第1款(c)项的上下文。

  一是《条例》序言部分第63条规定,数据主体应有权了解并获知其个人数据的接收方。该条规定并未将数据主体的权利限于了解并获知其个人数据接收方的类型。

  二是为了保护数据主体享有的查阅权,对数据主体的个人数据所进行的处理活动必须遵守《条例》第5条规定的原则,包括透明度原则。该原则要求数据主体拥有与其个人数据的处理相关的信息,并且该信息应易于获得且便于理解。

  三是与《条例》第13条、第14条规定的数据控制者有义务向数据主体提供数据接收方的具体信息或类型信息不同,《条例》第15条规定了数据主体的查阅权,数据主体由此享有获取数据接收方的具体信息或者类型信息的选择权。

  四是欧盟法院此前已经判决,查阅权的行使必须使得数据主体不仅能够核实与其有关的个人数据是否准确,而且是否以合法的方式进行处理,特别是这些数据是否被披露给已经获得授权的接收方。同时,欧盟法院还认定,查阅权对于数据主体基于实际情况行使《条例》赋予的更正权、删除权、限制处理权、拒绝权,以及在遭受损害的情况下,提起诉讼的权利可谓必要。鉴于此,为了确保上述权利的有效性,在数据主体的个人数据业已被披露的情况下,数据主体必须享有知晓数据接收方的具体身份的权利。

  五是对《条例》第15条第1款(c)项的上述解释可以从《条例》第19条的规定获得佐证。该条规定,数据控制者原则上应将其对个人数据进行的任何更正、删除或限制处理告知已接受个人数据披露的接收方。如果数据主体请求,数据控制者应将上述数据接收方告知数据主体。可见,在数据控制者有义务将数据主体行使更正权、删除权和限制处理权等情形告知数据接收方的情况下,数据主体有获知数据接收方的具体信息的权利。

  综上,根据《条例》第15条第1款(c)项的上下文,可以认定该项规定旨在确保对个人数据处理的透明度,并使得数据主体能够行使更正权、删除权、限制处理权、拒绝权以及在遭受损害的情况下提起诉讼的权利。据此,依照该规定的查阅权而提供给数据主体的信息,必须尽可能准确。并且,该查阅权应使得数据主体能够在以下两个信息中进行选择,或者从数据控制者处获取数据接收方的具体信息,或者仅仅要求数据控制者提供数据接收方的类型信息。

  再次,关于《条例》的目的。《条例》目的是对欧盟境内的自然人进行高水平的保护。由此可知,数据主体有权从数据控制者处获取其个人数据接收方的具体信息。

  同时,欧盟法院注意到,个人数据保护权并非绝对权利,该权利必须根据其在社会中的功能予以考量,并且应依照比例原则与其他基本权利进行平衡。鉴于此,在数据控制者不可能识别数据接收方的身份,特别是数据接收方尚不为人所知的情况下,数据主体享有查阅权的范围可以限于数据接收方的类型信息。

  另外,根据《条例》的规定,数据控制者可以在数据主体提出的查阅请求明显缺乏依据或超出合理范围的情况下,对该请求予以拒绝,但应说明拒绝的理由。

  综上,欧盟法院对于奥地利最高法院提出问题的答复是,根据《条例》第15条第1款(c)项的规定,在数据主体的个人数据已经或者将被披露给数据接收方的情况下,数据控制者负有向数据主体提供数据接收方的具体身份信息的义务,除非识别数据接收方的身份是不可能的,或者数据主体的查阅请求明显缺乏依据或超出合理范围。在前述情形下,数据控制者可以仅向数据主体提供数据接收方的类型信息。

  (作者系法律工作者)

责任编辑:张婧