今天的内容是GDPR正文第3条(P231-264)。
01、法条原文
Article 4 Definitions | 第四条定义 |
For the purposes of this Regulation: | 为本条例之目的: |
(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person; | (1)“个人数据”是指与已识别或可识别的自然人(数据主体)相关的任何数据;可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符等标识符,或通过特定的身体、心理、基因、精神状态、经济、文化、社会等方面个人属性能够被直接或间接识别的自然人; |
关联Recital:(26)(27)(30)(34)
02、评注大意
2.1 理论基础与政策支撑
个人数据的定义是非常重要的,取决于个人数据保护相关规则是否适用。通常非个人数据会称为匿名数据,将个人信息变为非个人信息的过程被称为匿名化。尽管GDPR不适用于非个人数据,但也有其他法律规制,如:
《非个人数据自由流动条例》(Regulation (EU) 2018/1807),限制各成员国立法限制非个人数据自由流动。
个人数据保护的基本目标是保护自然人隐私及相关利益,尤其是信息界。在欧洲,保护该等权利被视为基本权利与自由的一部分。因此,欧盟数据保护法倾向于扩大个人数据的定义范围,从而更好地实现高层次的数据保护。
2.2 立法背景
2.2.1 欧盟立法
DPD中对个人数据的定义与GDPR一致,在Recital 26中,阐明了定义中暗含的识别性标准:“要确定一个人是否可识别,应考虑控制者或任何其他人可能合理使用的所有手段来识别该人。”
2.2.2 国际文件
Convention 108将个人数据定义为任何与已识别或可识别个人关联的个人数据。Convention 108解释报告说明:“一个自然人是不可识别的,如果识别该自然人需要花费不合理的时间、精力和资源,比如:识别某数据主体时需要花费过度复杂、冗长、昂贵的操作。”
OECD解释备忘录进一步阐释个人数据定义为:“可以与可识别或已识别自然人相关的个人数据与匿名数据间准确的分界线是难以划清的,需要留给各个成员国制定法律明确。原则上,个人数据通过直接(证件号)或间接(地址)的联系传递与某个特定自然人相关的信息。”
2.2.3 各国立法
欧盟各成员国及其他有数据保护立法的国家,通常都将个人数据的定义保持与DPD、Convention 108一致。
然而,欧盟成员国实践中如何解释、运用这些定义确并非完全一致,也不是完全与欧盟规则一致。关于“数据”和“信息”的含义(一个关键问题是:它们是否涵盖了例如生物材料?)以及法律相关的识别(特别是,是否只考虑控制者的识别能力?),可能成为“数据主体”的人的类型(特别是,已故人士或法人——如公司实体——是否受到相关法律的保护?),以及“个体化”的要求(即“个人数据”是否必须能够与某个人而不是一组人关联,如果不是,这个集合可以有多大,数据才不再是“个人”的?)等方面,国家(在一定程度上也包括国际)存在差异。
2.2.4 判例
CJEU在许多案例中解释了“个人数据”的含义,这些案例法直接在下文中呈现。各国法院和ECtHR也解释了这个术语,有时他们的解释并没有严格遵循欧盟数据保护法下的定义。
2.3 分析
2.3.1 概念的主要构成要件
受WP29工作组相关成果启发,通常将个人信息的定义拆解成四个主要组成要件:(1)任何信息;(2)有关;(3)已识别或可识别;(4)自然人。
(1)任何信息
关于“任何信息”,CJEU在Nowak案中说明:欧盟立法者在个人数据中使用“任何信息”一词,反映其希望扩大个人数据的定义范围,并不限于较为敏感和私密的信息而是潜在包含所有类型的信息,不仅仅是客观的也有可能是主观的,比如一些与数据主体相关的观点和评估。
YS案中Sharpston检察长的观点也非常具有指导性:该信息的实际内容似乎无关紧要,只要它与已识别或可识别的自然人有关。它可以理解为与该人的私人生活有关的任何事实,可能在相关的情况下,也包括他的职业生活(这可能涉及到私人生活的更公开的方面)。它可能以书面形式提供,或者包含在声音或图像等其他介质中。
过去几年间,CJEU已经发现了大量的信息类型属于个人数据,如:手机号码、工作状况及爱好、收入及税收信息、护照细节、指纹、照片、录像、考试成绩单及成绩单上的教师评价、电子交通卡记录、某些情况下的IP地址。
(2)有关
关于“有关”这一要素,CJEU再次采取了较为宽泛的认定标准。在Nowak一案中,其说明这一要素的满足条件是,由于信息的内容、目的或效果,它与特定的人有关联。这给个人数据概念的少数边界打了一个巨大的洞,尽管“特定的人”这个词似乎排除了与一群人(例如,一个家庭)有关的数据是个人数据,无论这个群体的大小如何。
然而,在早期处理一份关于寻求庇护者的档案中的数据访问的案件中,法院裁定,这样的档案中的法律分析并不构成个人数据。法院不仅在处理涉及抽象解释法律的分析(即,不涉及特定事实情况)时采取了这种立场,而且在处理“关于已识别或可识别的人(或涉及此类人的事件)的事实的法律分类以及根据适用法律的背景进行评估”时也是如此。
所以,法院毫无疑问地认为,关于申请居留许可的申请人并包含在会议记录中的数据,例如申请人的姓名、出生日期、国籍、性别、种族、宗教和语言,都是关于该自然人的信息,该自然人在该会议记录中特别是通过他的名字被识别,并因此必须被视为“个人数据”。
然而,同一会议纪要中对法律分析是否属于个人信息,法院的判断则不同:这样的法律分析...最多,只要它不仅仅限于对法律的抽象解释,...就是关于有关当局对该法律在申请人情况下的评估和应用的信息,该情况是通过该当局可用的与他有关的个人数据等手段确定的。
这是一个罕见的例子,CJEU对“个人数据”的概念进行了限定解读。然而,考虑到欧洲法院在Nowak案中后续采取的开放立场,YS案的结果的当前状态有些不确定。
(3)已识别或可识别
关于可识别性这一第三项要素,采取了灵活的方法。这由GDPR第4(1)条和Recital 26的措辞表明,特别是对“单独列出”、“直接或间接”以及“由控制者或其他人”等的引用。因此,即使控制者不能在没有其他来源帮助的情况下将数据链接到特定的人,数据也可能是个人的:正如CJEU在Breyer案中所述,“并不要求所有能够识别数据主体的信息都在一个人手中”。然而,正如Recital 26前言所述,只有在识别过程中“可能被合理使用”的手段才会被考虑。根据CJEU的说法,如果法律禁止识别数据主体,或者由于需要在时间、成本和人力上付出不成比例的努力,使得实际上的识别风险显得微不足道,那么这个标准就不会被满足。
(4)自然人
关于第四个要素(“自然人”),这意味着关于公司、合伙企业和其他法人/法律实体的数据本身并未受到该条例的保护。然而,CJEU已经裁定,“只要法人的正式名称可以识别出一个或多个自然人”,根据宪章的第7条和第8条,法人可以主张与其相关的数据保护。考虑到GDPR是这些宪章条款所规定的全面保障措施的详细阐述,法人也可能从GDPR中获得此类保护,尽管这种保护并不针对法人本身,而是构成法人的自然人,并且主要可能出现在法人实际上是一人企业或具有透明“公司面纱”的小型家族企业的情况。
2.3.2 逝世的人
"个人数据"的定义在GDPR的第4(1)条中并未包括已故人士的数据。这一点在Recital 27中得到明确,该条也规定,尽管如此,成员国可以制定保护已故人士数据的规则。尽管绝大多数成员国将其各自的数据保护制度的应用范围限制在活着的人的数据上。但丹麦法律长期以来一直保护已故人士的数据,并在GDPR生效后继续这样做。因此,丹麦的2018年数据保护法规定,该法和一般数据保护条例应适用于已故人士的数据,适用期限为死者去世后的10年(第2(5)条)。意大利也最近引入了有限的数据保护权,以照顾已故人士的利益,允许在一些条件下,已故人士(数据主体)的遗产行使GDPR第15-22条中的权利。同时,关于已故人士的遗传数据,以及这些人的一些类型的健康数据,可能需要被视为"个人数据",因为它们提供了生物亲属的遗传或健康状况的指示。
2.3.3 生物识别信息
根据GDPR的规定,"个人数据"并不包括生物识别信息本身(例如,血液、唾液、头发或人体的化学成分)。这一点来自于Recital35,它区分了身体样本和从这些样本中得到的数据,以及GDPR第4条(13)和Recital34,它们都提到了"来自生物样本分析的数据"。一些监管机构以及WP29在处理生物识别数据时也做出了同样的区分。
2.3.4 基因、生物识别数据、健康数据及匿名化
“个人数据”的概念在“遗传数据”(第4条(13))、“生物识别数据”(第4条(14))和“健康数据”(第4条(15))的定义中得到了进一步的阐述,这些都被定义为“个人数据”的类别。“伪名化”(第4条(5))的定义也是相关的,它阐明了何时数据是匿名的,因此不属于个人数据。
2.3.5 个人数据及非个人数据组成的混合数据集
混合数据集由于物联网、人工智能和大数据分析等技术的发展,越来越常见,这些数据集包括个人数据和非个人数据。关于这些数据集,《非个人数据自由流动条例》规定:“在由个人数据和非个人数据组成的数据集的情况下,本条例适用于数据集的非个人数据部分。当数据集中的个人数据和非个人数据无法分割时,本条例不应影响《欧洲联盟条例(EU)2016/679》的适用。”
正如欧洲委员会所恰当指出的,这意味着:非个人数据自由流动条例适用于数据集的非个人数据部分;
GDPR的自由流动条款适用于数据集的个人数据部分;
如果非个人数据部分和个人数据部分“无法分割”,那么源自GDPR的数据保护权利和义务就完全适用于整个混合数据集,即使个人数据只占数据集的一小部分。
“不可分割地链接”这个术语在GDPR和非个人数据自由流动条例中都没有明确的定义。然而,根据欧洲委员会的说法,“它可以指的是一个数据集包含个人数据和非个人数据,而分离这两者要么是不可能的,要么被控制者认为是经济上不高效或者技术上不可行的情况”。
2.3.6 广义定义的成本
从前文中可以明确看出,“个人数据”这个术语的定义被有意地定义得宽泛且灵活。正如欧洲委员会在关于DPD的声明中所说:
“个人数据”的定义旨在覆盖所有直接或间接与已识别或可识别的人有关的信息……立法者选择的这种故意的方法具有灵活性,使其可以适用于各种影响基本权利的情况和发展,包括在采纳指令时未能预见的情况。
欧洲委员会接着指出,这种灵活性虽然带来了成本,但在预测性方面却存在问题:
这种广泛而灵活的方法的一个结果是,在实施指令时,有许多情况下并不总是清楚应该采取哪种方法,是否个人享有数据保护权利,以及数据控制者是否应遵守指令所规定的义务。
然而,可以说,还有另一个成本,即欧盟数据保护法——以及其他以同样广泛和灵活的“个人数据”概念运作的法律——的适用范围极大,可能超出了它在实际遵从和执行方面能够应对的范围。在“大数据分析”的时代,这个成本日益凸显,因为越来越多看似匿名的数据并非如此,同时,原本会落在数据保护法范围之外的越来越多的数据,原则上,都受到了它的约束。增加这些技术引发的发展的是欧洲法院(CJEU)对“个人数据”非常自由的解释——如上面详细说明的那样。因此,欧盟数据保护法越来越像是一种包罗万象的法律。
03、读后感
1、是否匿名化要考虑重识别的成本,这个观点非常好,希望《个人信息保护法》借鉴一下,不然匿名化就是空中楼阁;
2、监管机构的各种释义文件及CJEU的各种判例,对于相关信息是否属于个人数据确实有非常好的指引(当然也有矛盾之处),很多作业可以抄;
3、GDPR中对个人数据定义的四要件,对于《个人信息保护法》中个人信息的认定也非常值得参考。
