个人数据保护的欧盟实践-科技频道-金鱼财经网

对《资料系统》及《数据处理责任人》概念的广义诠释，彰显了欧盟法对个人数据保护的高度重视。当欧盟《数据保护通用规章》被运用于司法实践中，基于该规章对以前欧盟相关指令内容的巩固及更新，个人数据保护的程度一定会进一步得到加强

申 军/法国执业律师

7月10日，应芬兰最高行政法院的请求，就芬兰耶和华见证人教会成员挨家挨户布道而收集个人数据之事宜，由15名法官组成的欧盟法院大审判庭作出了编号为C-25/17的先行裁决，对有关个人数据保护的95/46/EC欧盟指令的一些条文作出了诠释。

由于此案针对的是数年前发生在芬兰的诉讼事宜，该裁决适用的法律依然是95/46/EC欧盟指令，以及由此指令转化的芬兰国内法，而非自今年5月25日直接施行于欧盟全境的《数据保护通用规章》。

本案的当事人分别是芬兰数据保护委员会和芬兰耶和华见证人教会。早在2013年9月，应芬兰数据保护监管局的要求，芬兰数据保护委员会就颁发禁令，禁止芬兰耶和华见证人教会通过其成员逐门逐户传教，收集或处理私人性质的数据资料，除非由相关欧盟指令转化成的，芬兰在1999年生效的第523号个人数据保护的相关法律得到遵守。

而且，该委员会严令该教会，6个月之内不准收集个人性质的资料，除非相关法定条件被满足。此委员会作出决定的依据是，该教会成员的相关资料收集行为，构成了上述芬兰国内法规定的个人数据之处理。而教会及其成员，均构成了数据处理责任人。

荷兰耶和华见证人教会就此向芬兰赫尔辛基行政法院提告，反对芬兰数据保护委员会的上述决定。而后赫尔辛基行政法院作出了撤销上述决定的判决。芬兰数据保护监管局不满判决，随后向芬兰最高行政法院就此判决提出异议。

就此情况，芬兰最高行政法院向欧盟法院请求对欧盟指令的相关问题予以解释，以期知晓耶和华见证人教会是否须受御于有关个人数据保护的欧盟法，因为该教会成员在逐家逐户传教时，可能会做笔记，以转录他们和受访人的面谈内容，特别是后者的宗教观点。

欧盟法院的大审判庭分别就相关问题作出了先行裁决。其一：95/46/EC欧盟指令规定，一些专属于国家或国家权力机关的活动，即与个人活动领域相无关的，属于其适用的例外范围。另外，若进行的活动纯属私人或家庭性质的个人行为，该指令也不适用。

在本案中，耶和华见证人教会成员的相关行为，是完全由个人施行的宗教活动，而非国家权威机构的活动，另外，该布道活动针对的是其教会团体成员之外不确定的其他人，所以亦不是私人或家庭生活的相关活动。据此，一个宗教团体的成员对个人性质数据的收集，并不符合相关欧盟指令的豁免规定。

其二：95/46/EC欧盟指令适用于全部或部分的以自动化方式行之的个人数据之处理，或者处理方式虽非自动化，但相关数据被保存或意图保存在一个资料系统中。

在本案中，即便该教会人员手工处理私人性质的数据资料，而非以自动化的方式为之，但相关受访人资料，包括姓名、地址，以及其他信息等，被教会成员用备忘录形式收集，并按照地域分类对相关资料予以保存，以便它们易于被找到及日后所用。

因此上述欧盟指令对此类数据处理同样适用。而欧盟指令中所指的《资料系统》应该被广义理解，特别是针对一切被结构化的个人数据资料，比如虽是人手处理，但给予归档的文件资料，其无须包括资料卡片或特别清单等。

其三：95/46/EC欧盟指令规定，数据处理责任人，是指单独决定或与他人共同决定个人资料处理的目标和手段的自然人或法人。所以，数据处理责任人可以是多个自然人或法人，并不必然是一人。

此外，欧盟指令并未规定：决定个人数据处理的目标和手段必须借助于书面指导或指示；反之，如果一个自然人或法人，出于自身目的，对个人数据处理施行影响，并因此参与决定数据处理的目标和手段，则其可被认为是欧盟指令中所指的数据处理责任人。同时，对同样数据的处理而导致的连带责任，并不预设说每个数据处理责任人都可以获取相关数据。

而在本案中，该教会成员逐门逐户地布道活动，是为了传播其宗教团体的信仰，因而构成了该团体的主要活动形式。在此框架内，数据被收集为备忘录，以备今后使用，或后续造访。基于其布道成员提供的资料，该教会持有一份名单，上面注明了哪些不希望再次被造访的已受访人。因此，一个宗教团体，鉴于其组织、协同及鼓励其成员逐门逐户布道，也被视为数据处理责任人，而无须给予其成员书面形式的指导或指令。

需要指出的是，欧盟法院在诠释芬兰最高行政法院求解的问题时，采纳的判例依据中包括了该法院在今年6月5日作出的一项裁决，即德国石勒苏益格-荷尔斯泰因经济学院与其所在地区的数据保护独立监管机构之间的诉讼。当时欧盟法院同样以大审判庭的方式，对此案件进行了先行裁决，裁定该经济学院作为其粉丝在社交媒体上设立专门页面的管理人，同该媒体平台一样，亦为相关数据处理责任人。

欧盟法院的上述先行裁决，尤其是对《资料系统》及《数据处理责任人》概念的广义诠释，彰显了欧盟法对个人数据保护的高度重视。而未来一旦欧盟《数据保护通用规章》被直接运用于司法实践中，基于该规章对以前欧盟相关指令内容的巩固及更新，个人数据保护的程度一定会进一步得到加强。

这同时也对今后所涉利益相关人提出了更高的合规要求。随着越来越多的中国企业走向国际，今后如何使其相关数据的处理合乎欧盟的法律法规，着实是他们必须要面临的新挑战。

责任编辑：王硕