欧盟法院Deloitte判决:数据伪匿名化与告知义务的关键澄清

本文深度解析欧盟法院2025年9月4日对Deloitte案的里程碑式判决,厘清了个人数据、伪匿名化与告知义务之间的关系,探讨了数据在传输过程中“相对属性”的新概念,并指出了判决中仍需进一步明确的实操细节,对于企业在GDPR与相关法规下的合规实践具有重要指导意义。

欧盟法院Deloitte判决:数据伪匿名化与告知义务的关键澄清

2025年9月4日,欧盟法院(CJEU)在C-413/23 P号案件中作出裁决,对个人数据、伪匿名化以及数据控制者的告知义务之间的关系提供了重要澄清。该判决因其深入探讨了数据流通中的一个核心方面——即数据同时具有伪匿名化(严格意义上)和匿名化(相对意义上)的双重属性——而引发了广泛评论。

案件背景与欧洲数据保护监督官(EDPS)的介入

本案涉及西班牙大众银行(Banco Popular Español)的清算程序。单一清算委员会(SRB)收集了股东和债权人的意见,将其伪匿名化后传输给德勤(Deloitte),但未告知相关数据主体。欧洲数据保护监督官(EDPS)认为这违反了《欧盟第1725/2018号条例》(即适用于欧盟机构的《通用数据保护条例》(GDPR)对应版本)第15条关于告知义务的规定。欧盟普通法院部分支持了SRB的上诉,认为由于德勤无法重新识别数据主体,从德勤的角度看,这些数据不属于个人数据。

欧盟法院的裁决要点

最终,欧盟法院纠正了上述解读,明确了以下几点:

  1. 个人数据的定性:数据主体的评论和意见始终构成个人数据,因为它们是个人身份的直接表达。无需逐案核查内容、目的或后果;意见本身足以将其定性为个人数据。这是一个重要的法律澄清,加强了个人保护,防止数据控制者以“意见不具有相关性或可识别性”为由规避GDPR或《第1725/2018号条例》规定的义务。
  2. 数据性质的相对性:伪匿名化数据的个人性质是相对的。对于数据控制者(SRB)而言,数据始终是个人数据;而对于数据接收方(德勤),其性质取决于接收方是否具有重新识别数据主体的实际可能性。因此,数据的性质并非绝对,而是取决于处理者的具体能力和资源。这是在保持数据保护的同时,迈向数据流通更大灵活性的一步。
  3. 告知义务的评估时点:告知义务的评估应从数据控制者收集数据时进行。SRB本应在初始隐私通知中将德勤列为数据接收方。这一规定强化了透明原则和数据主体对其数据处理的可预测性权利。

正如一些评论者所指出的,这样的判决扩展了个人数据流通的可能性,为同一份个人数据赋予了混合属性,即我们可以称之为“伪匿名化数据”(此类别/隐喻此处用于解释目的,但未被两项欧洲隐私法规所预见)。

欧盟法院判决中待澄清的方面

然而,欧盟法院判决中概述的内容——应结合欧洲数据保护委员会(EDPB)的《关于伪匿名化的第01/2025号指南》一起阅读——似乎尚不足以解决组织在处理数据时的所有疑问。以下是一些值得澄清的方面:

  • 隐私通知中数据接收方的指明问题;
  • 从接收方角度看,数据是否应被定性为个人数据;
  • 接收方的义务;
  • 欧盟法院指出的流程;
  • 数据接收方的问题。
1. 隐私通知中数据接收方的指明

即使在接收方是数据处理者的情况下(本案可能如此),也会出现数据接收方在隐私通知中指明的问题。但欧盟法院未提供指导的是:如果接收方的处理目的不同(如果目的相同,则属于控制者-处理者关系,除非后者另有附加目的,这些目的也应提及),并且存储期限不同,这些也应在通知中说明。

2. 从接收方角度对数据的定性

从接收方角度看,数据是否被定性为个人数据,取决于实际识别数据主体的可能性。如果采取的技术和组织措施确实阻止了重新识别,那么从接收方的角度看,数据可能不再具有个人性质。这导致了一种“相对性”的伪匿名化概念,它不同于匿名化,且根据数据处理环境的不同产生不同的效果。

需要澄清的关键点是:在提供数据时,数据控制者是否必须要求接收方(即使其不是数据处理者)做出有法律约束力的承诺,将这些数据视为匿名数据处理,并避免在未来处理技术进展和/或获取其他数据库使其能够重新识别数据主体时这样做?但是,如果要求或隐含了此义务,接收方是否必须遵守隐私规定(处理记录、数据保护影响评估(DPIA)、隐私通知)?这似乎是问题的核心。判决创造了一个“灰色地带”。如果数据对接收方而言不是个人数据,从技术上讲,GDPR不适用于接收方。然而,让这种情况缺乏合同框架或技术保障是危险的。提出“有法律约束力的承诺”对于防止滥用和维护系统信任至关重要。

3. 接收方的义务

需要思考的问题是:是否应规定接收方有义务避免将伪匿名化数据进一步传输给第三方?如果接收方不能(且不应)重新识别数据,是否仍需遵守处理记录或DPIA等义务?是否需要签署正式承诺不尝试重新识别? 一个值得反思的点是:处理链可能会无限延长,从而成倍增加意外或恶意重新识别的风险,使得“相对性”逻辑失效。

4. 欧盟法院指出的流程

如果数据控制者不是为了声明的存储期限到期或法律规定,而是为了将数据提供给第三方(从而保留名义上的原始数据库)而进行匿名化(而非伪匿名化),是否应遵循欧盟法院为伪匿名化数据指出的相同流程?显然,这里指的是严格意义上的匿名化,而非简单的加密或应用总是生成相同输出的“简单”算法。

关于这一点,可以从今年9月17日参议院最终批准的人工智能法案草案中初步找到答案。该草案第9条第3款规定:“在根据(欧盟)2016/679号条例(GDPR)第13条向数据主体提供信息后,始终允许出于匿名化、伪匿名化或数据合成目的处理个人数据,包括属于同一条例第9条第1款所述特殊类别的个人数据。” 这扩大了在尊重数据主体保障措施的前提下从个人数据中获取附加价值的可能性。

此外,尽管可能不是最佳形式——匿名化、伪匿名化和(终于在法律文本中出现的)合成数据本身不应构成一个目的——但可以推断,“通过匿名化进行的数据传输”也应在隐私通知中提及。(如果原始数据库被真正匿名化,则应免除遵守GDPR的义务。)

5. 数据接收方的问题

最后一点需要注意的是,无论数据接收方如何分类,都应在最初的隐私通知中指明。GDPR和《欧盟第1725/2018号条例》都规定需指明“个人数据的任何接收方或接收方类别”。因此,在类似情况下,不一定需要明确指明德勤,也可以通过指明“咨询公司”等类别来提供更大的数据处理灵活性,同时确保每个数据主体(根据GDPR第15条和《欧盟第1725/2018号条例》第16条规定的访问权)有权了解其数据实际传输给的具体主体/类别。这是现有法规妥善管理的一个平衡点,德勤案的判决并未与之矛盾。

如何避免操作不确定性

德勤案判决是大数据时代数据保护权演进的重要一步。它引入了动态且情境化的个人数据概念,更好地适应了复杂多样的信息流的复杂性。然而,判决也带来了需要进一步明确的问题,以避免产生操作上的不确定性。

升级EDPB指南

一种可能性在于升级前述EDPB指南,和/或由(欧洲)立法者进行干预,为向第三方传输伪匿名化数据定义一个标准合同框架。该框架应包括:

  • 接收方不得尝试重新识别的义务;
  • 未经授权禁止向第三方进一步传输;
  • 发生数据泄露或获得新的重新识别能力时通知数据控制者的义务;
  • 将接收方定性为“授权第三方”,并规定有限但明确的义务,即使数据对其而言不属于个人数据。

总之,德勤案判决并非终点,而是迈向数据保护权新阶段的一步,旨在协调个人保护与数字经济社会中数据安全、负责任流通的需求。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次