数据控制者应证明数据主体就处理其个人数据表示同意

 来源:人民法院报 发布时间:2021-10-29 17:09:08 点击数:
导读:编者按个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。个人信息保护是指国家为确保公民个人信息安全而采取的法律手段和具体办法。《中华人民共和国个人信息保护法》自2021年11月1日起

   编者按  个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。个人信息保护是指国家为确保公民个人信息安全而采取的法律手段和具体办法。《中华人民共和国个人信息保护法》自2021年11月1日起施行。本版特开辟专栏,介绍域外相关法律制度,敬请关注。

    2020年11月,欧洲法院就“奥朗日罗马尼亚公司诉罗马尼亚国家个人数据处理监管局案”作出判决。在判决中,欧洲法院基于《欧洲议会和欧盟理事会关于在个人数据处理方面保护自然人以及关于此类数据自由流动的95/46指令》(以下简称《95/46指令》),该指令已于2018年5月25日为《一般数据保护条例》取代)以及《一般数据保护条例》所作的定义,认定数据控制者应证明数据主体已通过积极行为,就处理其个人数据作出了同意,并且已事先获得了与该处理有关的所有信息,并据此进一步认定案涉移动通信服务合同中的告知同意条款不足以证明相关用户已同意移动通信服务提供商处理其个人数据。现将该判决介绍如下。

    基本案情

    奥朗日罗马尼亚公司(以下简称奥朗日公司)系罗马尼亚移动通信服务提供商。2018年3月1日至3月26日,奥朗日公司与相关个人签订书面合同,向这些个人提供移动通信服务。合同的相关条款约定:

    “用户声明:

    (i)在签订本合同之前,他/她已被告知其选择的费率计划、适用的费率、本合同的最短期限、解除本合同以及使用相关服务的条件,包括服务的涵盖区域等;

    (ii)奥朗日公司已向用户提供了所有必需的信息,以便他/她能够就签订以及明确接受本合同……作出有效的、明确的、自愿的以及具体的同意;

    (iii)他/她已被告知,并且已同意以下事项:

    ——基于身份识别的目的对包含个人数据的文件的复印件予以存储……”

    2018年3月28日,罗马尼亚国家个人数据处理监管局作出决定,对奥朗日公司处以罚款,主要理由是,系争合同将相关用户身份文件的复印件作为其附件,而奥朗日公司未能证明,这些用户已就该公司收集并存储前述复印件作出了有效同意。

    奥朗日公司对罗马尼亚个人数据处理监管局的决定不服,向罗马尼亚布加勒斯特地区法院(以下简称布加勒斯特法院)提起诉讼,请求撤销罗马尼亚个人数据处理监管局的决定。诉讼中,布加勒斯特法院查明以下事实:一是系争合同分为两类,第一类合同中载明的、出于识别身份的目的对包含个人数据的文件的复印件予以存储的条款所对应的选项框中业已打钩;第二类合同中载明的相同条款所对应的选项框中则未打钩。二是在相关用户拒绝就存储其身份文件的复印件作出同意的情况下,奥朗日公司并未拒绝与这些用户签订系争合同。三是奥朗日公司有关销售的内部程序规定,这些用户的拒绝应记载于特定的表格之中,且该表格应于系争合同订立之前由这些用户签署。

    因布加勒斯特法院对以下两个问题存在疑问,一是在前述情形下,相关用户是否可视为已就其身份文件的收集以及将该文件的复印件作为系争合同的附件作出了有效同意;二是若相关合同中载有基于识别身份的目的,而对包含个人数据的文件的复印件予以存储的条款,则签署该合同是否能够证明有效同意的存在,布加勒斯特地区法院遂决定中止本案诉讼,并请求欧洲法院就以下问题作出先予裁决,即相关意思表示须符合哪些条件,方可视为《95/46指令》规定的、数据主体具体的和知情的意思表示以及依照数据主体的意愿自愿作出的意思表示?

    欧洲法院的判决

    2020年11月,欧洲法院对本案作出判决。在判决中,欧洲法院首先分析了本案的法律适用问题并认定,本案应同时适用《95/46指令》以及《一般数据保护条例》。

    接下来,欧洲法院指出,布加勒斯特法院提出的问题,实质上是询问在提供移动通信服务的合同中载有相关条款,约定数据主体已被告知并且已同意基于身份识别的目的收集和存储其身份文件的复印件的情况下,根据《95/46指令》以及《一般数据保护条例》的相关规定,该合同是否能够证明相关数据主体已就上述收集和存储作出有效同意。

    对此,欧洲法院认为,首先,根据《95/46指令》和《一般数据保护条例》的规定,数据主体的同意可以使得相关个人数据处理合法化。

    其次,关于数据主体的同意所需遵循的要求。《95/46指令》要求数据主体作出意思表示以明确作出同意,因此,只有数据主体以作出同意为目的的积极行为,方与“数据主体的同意”相关。

    同样的要求亦存在于《一般数据保护条例》之中。该条例有关“数据主体的同意”的定义,较《95/46指令》更为严格,因为该条例将“数据主体的同意”界定为数据主体自愿作出的、具体的、知情的、明确的意思表示。其通过声明或明确肯定的行为作出的这种意思表示,表明其同意对其相关的个人数据进行处理。可见,数据主体积极的同意现已明确规定于《一般数据保护条例》之中。就此而言,尽管《一般数据保护条例》“序言”部分第32条规定,数据主体的同意可以通过访问互联网时勾选选项框等方式作出,但该条规定同时排除了沉默、预选框或不作为等构成同意的可能性,因为,如同欧洲法院此前所指出的,在这些情形下,对于互联网用户是否因未取消带预选钩的选项框中的预选钩,故而确实对处理其个人数据作出同意的问题,难以客观判断;对于该同意是否是在知情的情况下作出的问题,也难以客观判断。而相关网站的用户在继续其在该网站的相关行为之前,未阅读与带预选钩的选项框相伴的信息,甚至未注意到该选项框并非不可能,此其一。

    其二,根据《95/46指令》以及《一般数据保护条例》的相关规定,数据主体的意思表示必须是具体的,即其必须与数据的处理明确相关,而且不能从数据主体出于其他目的而作出的意思表示中推定。就此而言,《一般数据保护条例》规定,若数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,则要求数据主体作出同意的请求应以与其他事项显著区别的形式呈现。结合该条例“序言“部分第42条的规定,该书面声明必须以明白易懂且易于取得的形式展示,使用清晰平实的语言,这在该声明系由数据控制者预先起草的情况下尤其如此。

    其三,《95/46指令》以及《一般数据保护条例》还提出了数据主体的同意必须是“知情”的这一要求。该要求意味着,数据控制者应当以通俗易懂且易于取得的形式,使用清晰平实的语言,向数据主体提供与其个人数据的处理相关的所有信息,从而使得数据主体知晓被处理的个人数据的种类、数据控制者的身份、个人数据处理的期间和程序以及个人数据的处理目的等事项。上述信息须使得数据主体能够易于确定其作出的同意的后果,并确保其同意是在充分知情的情况下作出的。

    此外,从《95/46指令》以及《一般数据保护条例》的相关规定可以清楚地看出,为确保数据主体享有真正的选择自由,即便数据主体不同意处理其个人数据,相关合同的条款亦不得在订立合同的可能性方面误导数据主体。在缺乏此方面的相关信息的情况下,数据主体就其个人数据处理作出的同意不能视为自愿作出,或者进而言之,以知情的方式作出。

    其四,根据《95/46指令》以及《一般数据保护条例》的相关规定,数据控制者应确保个人数据处理的合法性,且其应对该合法性予以证明。就数据主体可能作出的同意而言,《95/46指令》规定,数据主体需明确作出同意,这意味着个人数据的控制者应承担举证责任,证明有效同意之存在。而《一般数据保护条例》则明确规定,在基于个人同意处理个人数据的情况下,数据控制者必须能够证明数据主体已同意处理其个人数据。

    具体到本案中,欧洲法院注意到,奥朗日公司在系争合同订立之时,这些合同中与相关用户身份文件的复印件存储所对应的选项框,系在这些用户自愿作出的同意的基础上打钩的。

    对此,欧洲法院认为,根据奥朗日公司的上述主张,可以认定布加勒斯特法院提交的先予裁决申请,实质上是希望澄清相关用户在本案中就其个人数据处理作出的同意,是否可以基于系争合同中的相关条款予以认定。结合本案事实,欧洲法院认为:

    首先,从布加勒斯特法院提交的先予裁决申请可以清楚地看出,尽管系争合同中载有相关条款,约定相关用户已被告知并且已同意基于身份识别目的收集和存储其身份文件的复印件,但是,奥朗日公司的销售代理在这些用户接受系争合同的全部条款(包括上述条款以及与个人数据保护无关的其他条款)并签署这些合同之前,业已在对应于该条款的选项框中打钩。鉴于相关用户自身似未在与该条款对应的选项框中打钩。于此场合,仅凭该选项框已被打钩这一事实,无法认定这些用户已作出了同意收集和存储其身份文件复印件的积极的意思表示。对此,应由布加勒斯特法院进行必要的调查。

    其次,鉴于系争合同的上述条款似未以明显区别于其他条款的形式呈现,因此,布加勒斯特法院应基于欧洲法院的前述意见,对相关用户签署系争合同是否可视为其已就收集和存储其个人数据作出了具体的同意予以考量。

    再次,鉴于系争合同的上述条款仅约定基于身份识别的目的存储相关用户身份文件的复印件,而未就此进行详细约定。因此,布加勒斯特法院应就提供给相关用户的信息是否符合《95/46指令》以及《一般数据保护条例》的相关规定予以认定。这些规定列明了数据控制者在收集数据主体的数据时,应向数据主体提供的信息,以确保对数据主体的个人数据的处理是公平的。

    第四,布加勒斯特法院还应认定,系争合同的上述条款是否因缺乏详细约定,故而在相关用户不同意处理其个人数据的情况下,在签订合同的可能性方面足以误导这些用户,并因此令这些用户经由签署合同所作出的同意,不符合同意必须是知情情况下的同意这一要求。

    第五,相关用户在本案中作出的同意是否符合同意必须是自愿作出的要求,不无疑问。因为,若相关用户不同意处理其个人数据,则奥朗日公司将在背离该公司订立合同的通常程序的情况下,要求这些用户书面声明其不同意收集或存储其身份文件的复印件。该额外要求有可能不当影响这些用户对该等收集和存储予以拒绝的自由。对此,应由布加勒斯特法院予以认定。

    最后,欧洲法院强调,如前所述,奥朗日公司作为数据控制者,应证明相关用户已通过积极行为,就处理其个人数据处理作出了同意。与此相应,该公司不能要求这些用户积极作出拒绝的意思表示。

    综上,欧洲法院认为,对于布加勒斯特法院提出的问题的答复是,根据《95/46指令》以及《一般数据保护条例》的相关规定,数据控制者应证明数据主体已通过积极行为,就处理其个人数据处理作出了同意,并且已事先获得了与该处理有关的所有信息。这些信息应采用通俗易懂且易于取得的形式,使用清晰平实的语言,使得数据主体易于理解其同意的后果,以便其完全知晓相关事实。若提供移动通信服务的合同虽载有相关条款,约定数据主体已被告知并且已同意基于身份识别的目的收集和存储其身份文件的复印件,但却存在下列情形之一的,则该合同不能证明相关数据主体已对上述收集和存储作出有效同意:

    ——与该条款相关的选项框系由数据控制者在该合同签订前打钩;

    ——该合同的条款足以在该数据主体不同意处理其个人数据的情况下,在订立合同的可能性方面误导数据主体;

    ——数据主体对上述收集和存储予以拒绝的自由受到数据控制者的不当影响,因为数据控制者要求,若数据主体拒绝作出同意,则其必须完成记载其拒绝情况的表格。



上一篇:同一公司的分公司之间可否相互起诉 下一篇:
相关文章
  • 没有找到相关文章!