欧盟《通用数据保护条例》(以下简称《条例》)第82条第1款规定,因违反本条例的行为而遭受物质或非物质损害的任何人均有权就所遭受的损害从数据控制者或数据处理者处获得赔偿。2024年6月20日,欧盟法院在“JU、SO诉可扩展资本公司案”的判决中,对《条例》第82条第1款规定的“非物质损害”进行了诠释,并明确了非物质损害的认定规则。
基本案情
本案被告可扩展资本公司(以下简称被告)系一家在德国设立的数字投资平台公司,本案原告JU和SO则系在被告运营的平台上开立账户的个人。为开立账户,JU和SO在该平台上输入了相关个人数据,包括姓名、出生日期、邮寄地址、电子邮箱及其电子身份证等。
2020年,JU和SO的个人数据以及存款相关数据被身份不明的第三方盗用。JU和SO认为,其个人数据被盗用已导致其遭受了非物质损害,遂向慕尼黑地方法院提起诉讼,请求该院判令被告赔偿其损失。被告陈述,截至起诉时,JU和SO的个人数据未被用于欺诈等不法活动。
因本案涉及《条例》第82条第1款规定的非物质损害的解释问题,慕尼黑地方法院遂决定中止本案诉讼,并请求欧盟法院就以下问题作出先予裁决:
一是第82条第1款规定的赔偿权,是只具有补偿功能,还是同时具有惩罚功能?
二是根据第82条第1款的规定,在确定该款规定的非物质损害赔偿时,是否应考虑数据控制者或数据处理者违反《条例》行为的严重程度及故意情况?
三是根据第82条第1款的规定,在确定非物质损害的赔偿数额时,对此类通常小于人身损害这一因素予以考虑是否恰当?
四是在非物质损害存在但不严重的情况下,欧盟成员国法院是否可以通过给予数据主体极小的象征性赔偿的方式,对其遭受的非物质损害予以赔偿?
五是根据第82条第1款以及序言部分第75条、第85条的规定,能够导致数据主体享有就非物质损害获得赔偿权利的“身份盗用”,指的是相关数据主体的身份必须确实被第三方盗用,还是第三方拥有能够识别数据主体的数据即可?
欧盟法院的判决
2024年6月20日,欧盟法院就本案作出判决。
关于第一个问题,欧盟法院认为,考虑到数据控制者或数据处理者根据第82条第1款的规定向相关个人支付的赔偿,应使得该个人就其遭受的损害完全受偿。据此,应认定第82条第1款规定的赔偿权只具有补偿功能。对此,欧盟法院注意到,第82条不同于《条例》第83条、第84条,第83条、第84条因分别对罚款和其他处罚作出了规定,因此具有惩罚性。第82条因对赔偿作出了规定,只具有补偿性,而不具有惩罚性。第82条赋予个人的赔偿权,增强了《条例》规定的个人数据保护规则的可操作性,并因此能够防止违反《条例》的行为再次发生。
关于第二个问题,欧盟法院认为,根据第82条第1款的规定,在确定该款规定的非物质损害赔偿时,无须对数据控制者或数据处理者违反《条例》的行为的严重程度以及故意情况予以考量。这是因为,第一,第82条规定的数据控制者或数据处理者的责任为过错推定责任,即除非数据控制者或数据处理者能够证明其不应对导致损害发生的事件承担责任,否则应推定数据控制者或数据处理者存在过错。第二,第82条并未要求在确定该条规定的非物质损害的赔偿金额时,对过错的严重程度予以考量。第三,第82条第1款规定的赔偿权的补偿功能,也不允许在确定该条规定的非物质损害的赔偿金额时,对数据控制者或数据处理者违反《条例》行为的故意情况予以考量。需要强调的是,该非物质损害的赔偿金额应通过能够使得相关个人就其遭受的损害完全受偿的方式来予以确定。
关于第三个问题,欧盟法院认为,在确定非物质损害的赔偿数额时,应当认为,就性质而言,此类损害的严重程度并不小于人身损害,理由在于:一方面,根据《条例》序言部分第146条的规定,第82条规定的“损害”这一概念应当根据欧盟法院的判例,以充分反映《条例》目标的方式作广义解释,并且,数据主体应当就其遭受的损害获得充分有效的赔偿。
另一方面,《条例》序言部分第75条、第85条虽规定了可以认定为人身损害、物质损害或非物质损害的各种情形,但并未对这些损害进行分级,也未规定非物质损害就性质而言在严重程度上小于人身损害。此情形下认定人身损害就性质而言较非物质损害更为严重,可能会导致数据主体应就其遭受的损害获得充分有效的赔偿这一原则失效。
关于第四个问题,欧盟法院认为,在非物质损害存在但不严重的情况下,欧盟成员国法院可以通过给予数据主体极小的赔偿,对数据主体遭受的损害予以赔偿,条件是该赔偿能够使得数据主体就其遭受的损害完全受偿。从第82条第1款的规定可知,仅凭存在违反《条例》的行为这一事实,并不足以认定数据主体享有就非物质损害获得赔偿的权利。该款规定的赔偿权必须同时满足3个条件:一是存在违反《条例》的行为;二是数据主体遭受了非物质损害;三是上述行为和损害之间存在因果关系。鉴此,数据主体不仅须证明存在违反《条例》的行为,而且还须证明该行为导致其遭受了非物质损害,并且该损害不能仅依据存在违反《条例》的行为这一事实进行推定。而在数据主体证明违反《条例》的行为给其造成非物质损害的情况下,确定相关赔偿的具体标准应由欧盟成员国的法律作出规定。尽管欧盟法院已经认定,第82条第1款并未要求数据主体主张的非物质损害必须达到最低标准,也未要求只有在数据主体遭受的非物质损害达到最低标准的情形下方可予以赔偿,但上述认定并未禁止欧盟成员国法院给予数据主体小额赔偿,条件是此类赔偿能够使得数据主体就其遭受的损害完全受偿。
关于第五个问题,欧盟法院认为,根据第82条第1款以及序言部分第75条、第85条的规定,能够导致数据主体就非物质损害享有赔偿权的身份盗用,指的是受到个人数据盗用影响的相关数据主体的身份必须确实被第三方盗用,而不是第三方拥有能够识别数据主体的数据。这是因为,一方面,身份盗用是可能给数据主体造成损害的个人数据处理活动的后果之一;同时,身份盗用是数据主体可能因个人数据泄露而遭受的损害之一。由上述规定可知,“身份盗用”这一概念蕴含着对其个人数据被盗用的相关个人的身份予以盗用的意图。
另一方面,从序言部分第75条和第85条的规定来看,对已被盗用的个人数据的查阅或控制,与身份盗用并不相同。换言之,个人数据盗用本身并不构成身份盗用。
(作者系法律工作者)