​欧盟法院在T-557/20（SRB v EDPS.）中对匿名化数据的一次澄清尝试

在2023年4月26日，欧盟法院（CJEU）的普通法院针对个人数据匿名化发出了一项裁决。本文讨论了SRB诉EDPS一案（案件编号T-557/20）中的决定[1]，其中普通法院在数据共享的背景下对匿名化和假名化个人数据给出了认定。

1、案情

2018年8月，单一决议委员会（SRB），即欧盟银行联盟内的中央决议机构，发布了关于在“申诉”（the right to be heard）过程中处理个人数据的隐私声明。委员会认为，该过程应允许股东和债权人在线提交评论，以确定他们是否有资格获得财务补偿。SRB调查了申诉过程中收到的相关评论，并要求第三方（德勤）作为独立评估者来评估部分相关评论（见T-557/20判决中的第7-8、10、13段）。在2019年6月，SRB将其中的某些评论传递给了该第三方进行评估。

2020年6月，欧洲数据保护监察员（EDPS）收到了五项投诉，声称向第三方传输评论，违反了SRB发布的隐私条款。在投诉之后，EDPS在2020年6月发出了首个决定，肯定了投诉人的主张。尤其是，EDPS确认SRB在隐私声明中没有告知投诉人关于数据（即评论）传输的情况，从而违反了GDPR第15(1)条。

随后，SRB提出，传递给第三方的评论并不构成GDPR第3(1)条中定义的个人数据，因此对EDPS的决定提出复审。据SRB称，评论附带了一个字母数字代码，以确定相应的声明是否已得到妥善处理。但是，只有SRB，而不是接收方，可以访问包含连接字母数字代码和相应个人身份的相关信息的数据库。基于这一新信息，EDPS修订了其原始决定，但仍然并不支持SRB的观点。

2、争议焦点：共享的数据是假名数据还是匿名数据？

与SRB认为数据已经构成匿名化的观点相反，EDPS在修订后的决定中认为，共享的数据仅仅是经过了假名处理。

根据EDPS的说法，数据是假名化的，因为传输给第三方的评论，还附带了一个字母数字代码，使得可以连接评论和个人身份。即使第三方不能访问SRB的信息数据库，在传输时假名化的数据仍然保持假名状态（第32、80段）。EDPS进一步认为，评论涉及特定的人，因为它们反映了投诉人的个人观点，“由于其效果”是关乎投诉人和他们在财务赔偿方面的利益，它们也是构成的个人数据（第61-62段）。

另一方面，SRB认为，将字母数字代码传输给第三方并没有使数据成为假名数据。数据应被视为匿名，因为共享的代码既不能重新识别个体，也不太可能通过第三方重新识别，因为他们没有任何合法手段访问与字母数字代码结合起来进行重新识别的识别数据库（第76-78段）。

3、普通法院的判决

普通法院确认，个人观点和意见确实可能构成个人数据（第73段，参考Nowak C-434/16案）。但这并非理所当然，必须调查“内容、目的或效果”以确定是否存在与特定个人的链接，而EDPS忽略了这一点（第73-74段）。因此，争议的问题是，根据GDPR第3(1)条，传输给第三方的数据是否与一个“可识别”的自然人有关（第64、75、84段）。要确定一个人是否可识别，应考虑控制者或任何其他人可能合理使用的所有手段来识别有争议的人（参见GDPR前言第16点；还有：判决的第85-87段）。

法院参照Breyer裁决（C-582/14）得出结论，即“并不要求所有信息都能使数据主体被识别的信息，都在一个人掌握之中”（判决第90段，参照Breyer判决的第43段）。此外，还需评估将数据与其他信息结合的可能性是否可能合理用于识别个体。如果法律禁止重新识别，或者在时间、成本和人力方面实际上不可能重新识别，这一点必须被否定（判决第92-93段，参考Breyer判决的第45-46段）。

考虑到欧洲法院在Breyer案中的决定，普通法院得出结论，为了确定传输给第三方的信息是否构成个人数据，需要站在第三方的立场上来判断传输的信息是否与一个“可识别的人”有关（第97段）。为此，普通法院发现EDPS未进行此评估，以检查第三方是否有合法手段访问额外的信息以重新识别数据主体（第105段）。

从该判决的逻辑出发，在数据共享场景中，当考虑被传输的数据是否与可识别的个体相关时，查看接收者的立场是至关重要的。从该判决来看，当数据接收者接收到假名化的数据，且无法访问或不掌握允许假名映射到个人的密钥的情况下，这将足以使数据被视为匿名并且不受GDPR的管辖。但是，还要考虑接收者是否可以通过其他手段（例如，将数据与接收者可用的其他数据结合）来识别个人。普通法院证实了先前的案例法——即使理论上可能识别，数据不是“个人数据”，如果识别个人所需的步骤是“被法律禁止或实际上不可能”，或者涉及“在时间、成本和人力方面的不成比例的努力，以致识别的风险在实际上似乎微不足道”。

在决定评估接收者可用的手段至关重要时，普通法院对企业采取了务实的方法。这个判决的反对者提出，法院这样的逻辑，有可能破坏GDPR的安全性和数据违规要求的目的。毕竟，如果黑客或黑产能够重新识别个体，在数据违规事件中，数据主体将不会因为预期的接收者无法重新识别而感到安慰。

值得注意的是，此案例考虑了从一个数据控制者转移到另一个数据控制者。这是否意味着从控制者转移到其处理者的数据转移也能遵循同样的逻辑，目前尚不明确。

即使假名化不能使数据超出GDPR的范围（因为仍然可以使用法律手段重新识别数据主体），假名化仍然可以起到重要作用。GDPR设想假名化是一个有价值的安全措施。例如，GDPR明确提到假名化是支持使用个人数据的研发的重要安全措施。当然，要使假名化有效，必须单独存储假名密钥。

4、后续进展

2023年7月5日，欧洲数据保护监察员（EDPS）对普通法院所作的判决提出了上诉[2]，要求撤销整个判决。

EDPS的上诉旨在挑战普通法院对关键数据保护法规和原则的解释，考虑到此案的特定情境。上诉的结果将对欧盟机构的数据保护做法产生影响。

此次上诉基于两点理由：

EDPS辩称普通法院错误地解释了GDPR的第3(1)和3(6)条。它声称法院错误地要求EDPS从接收者的角度评估相关信息是否符合个人数据的定义，而忽视了假名化的概念。

EDPS声称，普通法院误解了GDPR的第4(2)和26(1)条，未考虑到责任原则。它认为一般法院错误地裁定EDPS应认定SRB有效地匿名化了被处理的个人数据，而没有考虑责任原则（accountability principle）。

[1] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62020TJ0557

[2] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.C_.2023.296.01.0024.02.ENG&toc=OJ%3AC%3A2023%3A296%3ATOC

15. 
    
36. 
    
50. 
    
67. 欧

针对审计在数据安全、个人信息保护、A安全的作用与落地实操，本公众号发布过的文章：

针对已公开数据的个人信息保护研究，本公号发表过以下文章

关于欧盟的人工智能监管方面的立法、政策和实践方面的文章：

关于欧盟技术主权相关举措的翻译和分析：

针对美国的人工智能监管政策发展，本公众号发表过如下文章：

关于我国数据跨境流动监管体制变革的系列文章：