英国高院判决揭示数据主体知情权新边界,企业须揭示个人数据接收者身份?

来源:出海互联网法律观察

文章摘要
引言 鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向

引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01、背景
2024 年 6 月 7 日,高等法院在 Harrison v Cameron & Another 一案的判决中认为,根据英国《一般数据保护条例》(UK GDPR)的规定,数据主体有权获知其个人数据接收者的具体身份,而不仅仅是接收者的类别。
原告与被告所有的 Alasdair Cameron 有限公司(ACL)签订合同,由其负责原告房产的景观美化工作。由于工程出现争议,原告终止了合同。后来,原告和被告通了电话,原告在电话中进行了威胁。被告随后将这些电话录音与家人、朋友和 ACL 的雇员分享。原告认为,这些录音的传播对其业务造成了经济损失。
原告向被告和 ACL 提出主体访问请求 (SAR),要求提供收到录音的个人的身份信息。然而,被告拒绝了 SAR,理由是这些录音是纯粹在个人和家庭背景下进行的,因此不属于UK GDPR 的范围,而且被告不被视为个人身份的数据控制者。此外,被告还辩称,披露接受者的身份会涉及到披露其他未经同意的个人信息。
02、法庭裁决
法院裁定,根据UK GDPR 第15(1)(c)条,数据主体有权获知其个人数据接收者的具体身份,而不仅仅是接收者的类别。
然而,法院强调,如果披露其他个人的个人信息可能会使这些个人受到骚扰或敌对的法律行动,那么数据控制者可以在回应 SAR 时拒绝提供此类个人数据。对此,法院裁定,数据主体访问其个人数据的权利必须与可能受此类披露影响的其他个人的权利和自由相平衡。
此外法院还澄清,自然人(如公司董事)不会因其职位而自动成为数据控制者。相反,法院认为,如果处理是以公司的名义进行的,公司作为法律实体一般被视为控制者。
03、结果
法院驳回了对被告的诉讼请求,理由是被告不是个人身份的数据控制者,因为他记录和共享通话的行为是作为 ACL 董事职责的一部分而实施的。此外,法院支持 ACL 基于 "他人权利" 豁免而不透露接受者身份的决定。
04、企业应该怎么做?
该判决的一个关键部分是对UK GDPR 第15(1)(c)条的解释。该条规定应向数据主体提供有关已向或将要向其披露个人数据的“接收者或接收者类别”的信息,但并未说明所披露信息的颗粒度,实践中有观点认为控制者可以决定是提供有关特定接收者的信息还是仅提供其类别的信息,但该判决澄清了原则上请求者有权被告知其个人数据接收者的身份,而不仅仅是接收者的类别。
此次判决对企业处理数据主体访问请求提供了明确指引,强调了数据主体有权获知其个人数据接收者的具体身份,企业在处理数据主体请求时,应严格遵循UK GDPR的规定,确保合规操作。

技术驱动法律,专业成就未来