编者按
关于个人信息的去标识化及匿名化,本公众号发表过以下文章:
今天和大家分享的是欧盟法院(CJEU)在T-557/20, SRB v EDPS.中对GDPR中的匿名化数据的一次裁决。公号君对此案例做出初步分析,供大家参考。
在2023年4月26日,欧盟法院(CJEU)的普通法院针对个人数据匿名化发出了一项裁决。本文讨论了SRB诉EDPS一案(案件编号T-557/20)中的决定[1],其中普通法院在数据共享的背景下对匿名化和假名化个人数据给出了认定。
1、案情
2018年8月,单一决议委员会(SRB),即欧盟银行联盟内的中央决议机构,发布了关于在“申诉”(the right to be heard)过程中处理个人数据的隐私声明。委员会认为,该过程应允许股东和债权人在线提交评论,以确定他们是否有资格获得财务补偿。SRB调查了申诉过程中收到的相关评论,并要求第三方(德勤)作为独立评估者来评估部分相关评论(见T-557/20判决中的第7-8、10、13段)。在2019年6月,SRB将其中的某些评论传递给了该第三方进行评估。
2020年6月,欧洲数据保护监察员(EDPS)收到了五项投诉,声称向第三方传输评论,违反了SRB发布的隐私条款。在投诉之后,EDPS在2020年6月发出了首个决定,肯定了投诉人的主张。尤其是,EDPS确认SRB在隐私声明中没有告知投诉人关于数据(即评论)传输的情况,从而违反了GDPR第13(1)条。
随后,SRB提出,传递给第三方的评论并不构成GDPR第3(1)条中定义的个人数据,因此对EDPS的决定提出复审。据SRB称,评论附带了一个字母数字代码,以确定相应的声明是否已得到妥善处理。但是,只有SRB,而不是接收方,可以访问包含连接字母数字代码和相应个人身份的相关信息的数据库。基于这一新信息,EDPS修订了其原始决定,但仍然并不支持SRB的观点。
2、争议焦点:共享的数据是假名数据还是匿名数据?
与SRB认为数据已经构成匿名化的观点相反,EDPS在修订后的决定中认为,共享的数据仅仅是经过了假名处理。
根据EDPS的说法,数据是假名化的,因为传输给第三方的评论,还附带了一个字母数字代码,使得可以连接评论和个人身份。即使第三方不能访问SRB的信息数据库,在传输时假名化的数据仍然保持假名状态(第32、80段)。EDPS进一步认为,评论涉及特定的人,因为它们反映了投诉人的个人观点,“由于其效果”是关乎投诉人和他们在财务赔偿方面的利益,它们也是构成的个人数据(第61-62段)。
另一方面,SRB认为,将字母数字代码传输给第三方并没有使数据成为假名数据。数据应被视为匿名,因为共享的代码既不能重新识别个体,也不太可能通过第三方重新识别,因为他们没有任何合法手段访问与字母数字代码结合起来进行重新识别的识别数据库(第76-78段)。
3、普通法院的判决
普通法院确认,个人观点和意见确实可能构成个人数据(第73段,参考Nowak C-434/16案)。但这并非理所当然,必须调查“内容、目的或效果”以确定是否存在与特定个人的链接,而EDPS忽略了这一点(第73-74段)。因此,争议的问题是,根据GDPR第3(1)条,传输给第三方的数据是否与一个“可识别”的自然人有关(第64、75、84段)。要确定一个人是否可识别,应考虑控制者或任何其他人可能合理使用的所有手段来识别有争议的人(参见GDPR前言第26点;还有:判决的第85-87段)。
法院参照Breyer裁决(C-582/14)得出结论,即“并不要求所有信息都能使数据主体被识别的信息,都在一个人掌握之中”(判决第90段,参照Breyer判决的第43段)。此外,还需评估将数据与其他信息结合的可能性是否可能合理用于识别个体。如果法律禁止重新识别,或者在时间、成本和人力方面实际上不可能重新识别,这一点必须被否定(判决第92-93段,参考Breyer判决的第45-46段)。
考虑到欧洲法院在Breyer案中的决定,普通法院得出结论,为了确定传输给第三方的信息是否构成个人数据,需要站在第三方的立场上来判断传输的信息是否与一个“可识别的人”有关(第97段)。为此,普通法院发现EDPS未进行此评估,以检查第三方是否有合法手段访问额外的信息以重新识别数据主体(第105段)。
从该判决的逻辑出发,在数据共享场景中,当考虑被传输的数据是否与可识别的个体相关时,查看接收者的立场是至关重要的。从该判决来看,当数据接收者接收到假名化的数据,且无法访问或不掌握允许假名映射到个人的密钥的情况下,这将足以使数据被视为匿名并且不受GDPR的管辖。但是,还要考虑接收者是否可以通过其他手段(例如,将数据与接收者可用的其他数据结合)来识别个人。普通法院证实了先前的案例法——即使理论上可能识别,数据不是“个人数据”,如果识别个人所需的步骤是“被法律禁止或实际上不可能”,或者涉及“在时间、成本和人力方面的不成比例的努力,以致识别的风险在实际上似乎微不足道”。
在决定评估接收者可用的手段至关重要时,普通法院对企业采取了务实的方法。这个判决的反对者提出,法院这样的逻辑,有可能破坏GDPR的安全性和数据违规要求的目的。毕竟,如果黑客或黑产能够重新识别个体,在数据违规事件中,数据主体将不会因为预期的接收者无法重新识别而感到安慰。
值得注意的是,此案例考虑了从一个数据控制者转移到另一个数据控制者。这是否意味着从控制者转移到其处理者的数据转移也能遵循同样的逻辑,目前尚不明确。
即使假名化不能使数据超出GDPR的范围(因为仍然可以使用法律手段重新识别数据主体),假名化仍然可以起到重要作用。GDPR设想假名化是一个有价值的安全措施。例如,GDPR明确提到假名化是支持使用个人数据的研发的重要安全措施。当然,要使假名化有效,必须单独存储假名密钥。
4、后续进展
2023年7月5日,欧洲数据保护监察员(EDPS)对普通法院所作的判决提出了上诉[2],要求撤销整个判决。
EDPS的上诉旨在挑战普通法院对关键数据保护法规和原则的解释,考虑到此案的特定情境。上诉的结果将对欧盟机构的数据保护做法产生影响。
此次上诉基于两点理由:
EDPS辩称普通法院错误地解释了GDPR的第3(1)和3(6)条。它声称法院错误地要求EDPS从接收者的角度评估相关信息是否符合个人数据的定义,而忽视了假名化的概念。
EDPS声称,普通法院误解了GDPR的第4(2)和26(1)条,未考虑到责任原则。它认为一般法院错误地裁定EDPS应认定SRB有效地匿名化了被处理的个人数据,而没有考虑责任原则(accountability principle)。
[1] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62020TJ0557
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已超过400人。关于DPO社群和沙龙更多的情况如下:
DPO线下沙龙的实录见:
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
网络空间的国际法适用问题系列文章:
《网络数据安全管理条例(征求意见稿)》系列文章:
《数据安全法》的相关文章包括:
赴美上市的网络、数据安全方面的两国监管乃至冲突方:
个性化广告或行为定向广告(behavioral targeting advertising)系列的文章:
内容安全方面的文章如下:
关于健康医疗数据方面的文章有:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
数字贸易专题系列:
关于中国数据出境安全管理制度的文章
美国方面的个人信息保护立法的文章:
关于印度的数据保护和数据治理政策和技术文件的文章有:
关于数据的安全、个人信息保护、不正当竞争等方面的重大案例:
围绕供应链安全,本公众号曾发表文章:
围绕着出口管制,本公众号曾发表文章:
本公号发表过的关于数据执法跨境调取的相关文章:
通过技术增强对个人信息的保护的文章包括:
关于保护网络和信息系统安全的相关文章包括:
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
地缘政治与跨国科技公司运营之间的互动影响:
关于个人信息安全影响评估的文章如下:
关于我国《个人信息保护法》相关文章包括:
关于业务场景中数据跨境流动的文章如下:
[盟-美国数据隐私框架”充分性决定草案(全文中译本)](http://mp.weixin.qq.com/s?__biz=MzIxODM0NDU4MQ==&mid=2247497575&idx=1&sn=d171ad4002ce54b744cc9c9a84c3457d&chksm=97e94a8da09ec39bb4fd005d1276aa87bc2a09eb59efd16c3eab5acfc59797404e89329df8de&scene=21#wechat_redirect)
关于数据要素治理的文章有:
人脸识别系列文章:
针对审计在数据安全、个人信息保护、A安全的作用与落地实操,本公众号发布过的文章:
针对已公开数据的个人信息保护研究,本公号发表过以下文章
关于中国的网络安全审查制度,本公号发表过的文章:
关于域外在数据、电信、外国投资方面所建立的国家安全相关的审查机制,本公号发布过以下文章:
美国司法部狙击中国内幕(Inside DOJ's nationwide effort to take on China)
人工智能安全和可信赖方面的文章:
关于我国人工智能算法监管的文章:
关于LLMs(大型语言模型)的风险和监管,本公号发布过以下文章:
关于AI与标准化工作,本公号发表的文章:
关于欧盟的人工智能监管方面的立法、政策和实践方面的文章:
关于欧盟技术主权相关举措的翻译和分析:
针对美国的人工智能监管政策发展,本公众号发表过如下文章:
关于我国数据跨境流动监管体制变革的系列文章: