德国法院如何支持Meta拿用户数据训练AI？判决书详解

科隆高等地区法院认为Meta拿用户数据训练AI，既没有违反DMA中用户数据合并的限制性规定，也具备GDPR中合法利益的合法性基础。

裁判文书在这里：https://nrwe.justiz.nrw.de/olgs/koeln/j2025/15_UKl_2_25_Urteil_20250523.html，以下是梳理的要点。

论证非常详细，也很有创造性，堪称司法赋能科技发展的典范。

一、DMA合法性论证

1、适用前提

1.1 守门人地位

判决书明确指出：“被申请方无疑属于DMA第5条第2款、第1条第1项意义下的守门人，Facebook和Instagram均为其核心平台服务。”

法院认为，Meta作为守门人，其Facebook和Instagram平台均属于DMA规制范围内的核心平台服务，因此理论上受到DMA第5条第2款的约束。

1.2 DMA 第5条第2款（b）项禁止的具体内容

DMA第5条第2款b项禁止将核心平台服务的个人数据与其他核心平台服务或第三方服务的个人数据合并，这确立了对所有合并行为的禁令。

法院指出，该条款的立法目的在于防止守门人通过跨平台数据合并获得不当竞争优势，特别是在用户画像和个性化服务方面的优势。

2、“合并”概念的界定与解释

2.1 “合并”定义的空白

法院指出了DMA在“合并”概念定义上的立法空白：“DMA（以及GDPR）未对合并一词作出法律定义。合议庭认为，将两个核心平台服务的部分去标识化和分解数据输入AI的非结构化训练数据集，并不构成对同一用户个人数据的有针对性关联。”

这一法律空白为法院的解释提供了空间，法院需要通过法律解释方法来确定"合并"的具体含义。

2.2 法院的缩限解释

法院采用了限制性解释方法，强调“合并”必须具备特定要素：“必须存在针对同一人的有针对性数据关联，方可构成合并。仅将部分去标识化和分解的数据输入AI训练集，并不能在法律意义上视为合并。”

法院进一步解释道：“DMA第5条并不是一个泛化条款，而是对禁止行为进行了穷尽列举，因此只有在针对同一用户的个人数据进行有针对性关联时，才算作DMA意义上的合并。"

2.3 英文版本对比分析

法院还通过对比DMA英文版本来支持其解释：“英文版本中使用combining一词，在此含义下，仅将两个核心平台服务的个人数据汇总到数据集中，以及针对同一人数据的有针对性组合都可能被涵盖。”

2.4 欧盟委员会的决定支持

法院援引了欧盟委员会的相关决定来支持其解释：“欧盟委员会2025年4月23日的决定（C(2025) 2091）明确强调，DMA所指的合并是指同一用户的个人数据跨平台的有针对性连接。”

虽然该决定因保密原因未完全公开，但法院认为其支持了关于"合并"需要针对同一用户进行有针对性关联的理解。

2.5 立法背景

法院分析了DMA的立法背景和目的：“相关理由说明并未将AI训练纳入数据合并限制的具体目标。也未见立法者在制定DMA第5条第2款时，考虑到AI训练相关的数据处理问题。”

这表明DMA的立法者在制定该条款时，主要针对的是传统的跨平台用户画像和个性化合并，而非AI训练等新兴技术应用。

3、Meta的实际操作与DMA禁止行为的区别

3.1 Meta数据处理的技术特征

法院详细分析了Meta的实际数据处理方式：“Meta将Facebook和Instagram平台的部分去标识化、分解数据输入到AI训练数据集中，并未针对同一用户做有针对性的个人数据匹配或关联。”

法院强调，Meta的做法是将去标识化后的数据以非结构化方式汇集，而不是进行针对特定用户的跨平台关联。

3.2 与传统合并行为的区别

法院区分了Meta的AI训练与传统的数据合并行为：“这种处理为非结构化、非定向的AI训练用途，区别于DMA立法目的所针对的个性化合并和用户画像。”

法院强调了两种数据使用场景的本质区别：“这表明只有在与用户画像关联的情况下才能假定数据合并，而不是在如本案这样的非指向性且甚至去标识化的统一数据仓库中的情况。”

法院认为，传统的数据合并是为了构建个人用户画像，而AI训练是为了生成通用的语言模型参数，两者在目的和方式上存在本质区别。

4、立法目的及保护机制分析

4.1 DMA立法目的的解读

法院深入分析了DMA第5条第2款的保护目的：“DMA的立法背景主要针对的是跨平台个性化和用户画像，而非AI训练等非定向、非个性化的数据汇总。”

法院认为，该条款的核心目的是防止守门人利用跨平台数据优势进行不当竞争，特别是在广告定向和用户画像方面。

4.2 用户同意机制的逻辑

法院通过分析DMA的用户同意机制来支持其解释：“DMA允许在获得终端用户明确同意的情况下进行数据合并。该条款规定，如果终端用户给出了具体选择并同意，则合并是合法的。这表明该条款是针对同一用户的有针对性数据关联而设计的。”

这种同意机制的设计逻辑支持了法院关于合并必须针对同一用户的理解。

5、学界观点及反驳

法院承认存在不同学术观点：“合议庭注意到部分德国学界认为，为提升AI训练而连接平台服务数据集应视为合并。”法院认真考虑了这些观点，但最终选择了更为限制性的解释。

法院提出了反驳理由：“但合议庭认为，仅将部分去标识化和分解的数据输入AI训练集，并不能在法律意义上视为合并。仅凭保护目的的适用并不意味着该案例也被该规范所涵盖。”

法院强调，不能仅凭保护目的的广泛性就扩大解释法条的适用范围，必须严格按照法条的具体规定进行解释。

法院还提及了欧盟法院在Facebook反垄断案中的相关判决：“从法律历史来看，DMA第5条第2款第1项a）和b）特别是欧洲法院在Facebook案中的决定（2023年7月4日C-252/21号判决），涉及跨平台通过数据合并进行个性化。”这一判例为理解DMA条款的适用范围提供了重要参考。

6、结论

法院最终认定：“Meta将Facebook和Instagram数据统一用于AI训练，并未违反DMA第5条第2款的合并禁令。”

法院的判决基于以下核心逻辑：“没有针对同一用户的个人数据进行有针对性关联或合并；数据处理为非结构化、非定向的AI训练用途，区别于DMA立法目的所针对的个性化合并和用户画像；欧盟委员会和学界的解释均支持上述理解。”

前述论证不仅为Meta的AI训练扫清了DMA方面的法律障碍，也为整个行业在AI训练数据使用方面提供了重要的司法指导。法院通过严格的法律解释方法，在保护竞争秩序与促进技术创新之间找到了平衡点，体现了欧盟在数字时代治理中的务实态度。

二、GDPR合法性论证

1、合法利益的适用基础

1.1 法律依据的确立

法院明确指出，Meta的数据处理行为应当依据GDPR第6条第1款(f)项进行审查。判决书原文表述：“但根据简要审查，拟进行的数据处理是合法的，因为没有其他法律依据适用，因此应依据GDPR第6条第1款f项进行审查。”

“目前，AI训练用用户数据并无特别的法律依据，GDPR第6条第1款f项可作为合法依据，相关文献和判例亦支持此点。”

法院进一步引用欧盟法院的判例确立了三步测试法：“欧洲法院的判例指出：首先，数据控制者或第三方必须有合法利益；其次，个人数据处理必须对实现该利益是必要的；第三，数据主体的利益不得优先于该利益。”

1.2 EDPB意见支持

法院特别援引了欧盟数据保护委员会（EDPB）2024年12月17日的关键意见：“EDPB2024年12月17日的意见认为，GDPR第6条第1款f项可作为AI训练的合法依据。EDPB已将第6条第1款第1句f项GDPR作为使用包含个人数据的数据集训练AI模型的合适基础，并认为相应利益是合理的。”

2、Meta追求的合法利益的明确性与真实性

2.1 具体的AI训练目标

法院详细审查了Meta提出的AI训练目标，认定其利益明确且真实。判决书记载：“被申请方明确说明其AI旨在提供对话助手，实时回答聊天、协助组织和规划假期，包括文本生成，并需适应地区实际。被申请方描述了希望利用生成式AI提供对话助手，实时回答聊天，帮助组织和规划假期，包括文本生成。为此，AI需适应地区实际。”

2.2 利益的真实性与非推测性

法院强调，合法利益必须符合特定标准：“利益必须足够明确、准确表述、真实存在且非纯粹推测性的。由于Meta拟立即开始训练，该合法利益真实存在，非推测性假设。”

2.3 经济利益的合法性

法院确认经济利益可作为合法利益：“除了法律和理想利益，经济利益也被视为合法利益（欧盟法院2024年10月4日C-621/22号判决）。”

3、数据处理必要性的技术论证

3.1 AI训练的数据需求特性

法院认可了AI训练对大规模数据的技术需求：“AI训练需要大量数据，且没有更温和但同样有效的替代方式。训练大型生成AI模型需要huge amounts of text, images, videos and other data（大量文本、图像、视频和其他数据），这在AI条例第105号理由中得到明确承认。”

3.2 替代方案的不可行性

Meta通过宣誓书证明了替代方案的局限性，法院认可了这一论证：“Meta已审查可用替代方案，均无法同等有效地实现目标。匿名化或合成数据、仅用飞轮数据等替代方案难以达到同等训练效果。关于每一数据点的必要性，合议庭认为AI训练需大规模数据，单个数据点影响甚微，逐一审查不具可行性。”

Meta强调其AI需适配欧洲本地语境，而训练具有地域代表性的模型必须使用本地用户数据。法院认为这一主张具有技术合理性，尤其考虑到德语等小语种数据的稀缺性

法院进一步解释：“训练AI需要使用大量数据来生成模式和概率参数。在此情况下，单个数据在疑问情况下几乎没有任何可测量的影响。”

3.3 数据最小化原则的平衡

法院认为Meta已采取合理的数据最小化措施：“Meta已采取去标识化措施，最大限度减少个人数据处理。被申请方通过去标识化处理训练数据，删除姓名、邮箱地址、电话号码、用户ID等直接识别信息。”

4、用户权利保护措施的充分性

4.1 技术保护措施

法院详细审查了Meta的技术保护措施：“Meta采取技术、物理和组织措施防止未经授权访问训练数据。”

“被申请方通过宣誓书可信地声称对记录进行去标识化处理（删除全名、电子邮件地址、电话号码、国家身份识别号码、用户ID、信用卡/借记卡号码、银行账号/银行代码、车辆识别标记、IP地址和邮政地址），并以非结构化形式编译并进行token化。”

4.2 用户控制权的保障

法院强调Meta为用户提供了有效的权利行使途径：“用户可通过设置撤回公开状态或提出反对，阻止数据被用于AI训练。反对权行使途径清晰、技术上可行。被申请方毫无争议地论证了Facebook有机会通过设置中的单一安排撤回所有贡献——甚至事后——Instagram有机会从整个账户中撤回公开状态。这将防止数据进入训练记录。”

法院特别认可了反对权的有效性：“合议庭在行使反对权方面没有认识到任何相关的技术障碍。被申请方提供了各种反对的可能性，并通过提交的宣誓书可信地表明它们在技术上也有效——除了通常的错误率。”

4.3 透明度要求的满足

法院认为Meta充分履行了透明度义务：“通过应用内通知、邮件推送等多渠道告知数据用途，确保用户理解哪些数据被使用及如何行使权利。被申请方通过大量信息披露履行透明义务。即使未进行数据保护影响评估，这并不影响数据处理的合法性。”

5、敏感数据处理的合规性论证

5.1 GDPR第9条第2款(e)项例外的适用

法院对敏感数据的处理提供了创新性解释：“对于用户本人在公开账户中主动发布的数据，可适用第9条第2款e项例外——即数据主体明确公开其个人数据。例外条款只能对用户在其社交媒体服务的公开用户账户中发布或传达的关于自己的数据予以确认。通过在用户账户中相应的公开设置数据，普通用户必须知道这些数据可以被每个人阅读，甚至可以被搜索引擎找到。”

5.2 第三方数据的特殊处理

对于第三方数据，法院提出了“被动合规”原则：“对于第三方数据，则不能适用该例外，只有数据主体本人可决定放弃保护。但合议庭认为，针对第三方数据，只有在其本人提出删除请求时，才会触发第9条第1款的处理禁令。合议庭假设，在特定情况下，这种禁令需要通过相关第三方要求从发布的文章或训练数据集中删除其数据的请求来激活。”

5.3 AI系统的风险评估

法院采信了Meta关于AI系统风险的技术论证：“AI系统本质上是概率参数集合而非数据档案（data archive，德文原文为Datenarchiv，指的是一种以个人为中心、结构化、可直接检索和复原个人信息的数据集合），个人数据被重现的风险较低。AI系统不等同于数据档案，而是通常仅由概率计算参数组成。”

6、利益平衡测试

6.1 合理预期的分层认定

法院区分了不同时间段数据的合理预期：“对于2024年6月26日后公开的数据，用户有合理预期其数据可能被用于AI训练。对于此前的数据，用户合理预期较低，但仍可通过撤回公开或反对权保护自身权益。合议庭只能确定从2024年6月26日起在相关服务中放置的数据，用户数据用于AI训练目的的可预期性。”

6.2 公开数据的特殊地位

法院强调公开数据的特殊性质：“通过限制对存储在用户账户中的公开数据的处理，仅涉及此前对所有人公开可用且也可以通过搜索引擎找到的个人数据。由于现有的数据公开性，通常不会因为披露数据而担心除了使用自己个人数据的自决权之外的新的不利后果，例如社会或职业后果。”

6.3 社会价值的考量

法院特别强调了AI发展的社会价值：“Meta的利益在推动AI技术发展和创新方面具有重要社会价值。在AI法案中，欧洲立法者明确表达了在全球范围内承担安全、可信和道德合理AI发展领导角色的目标，并创建AI的单一法律框架。”

七、监管机构支持

法院还注意到监管机构的务实态度：“DPC随后并未禁止相关数据处理，而是要求被申请方于2025年10月报告其所采取措施的有效性和适当性等情况。汉堡数据保护专员等也持同样观点。”

“合议庭认为自己与负责的DPC的法律意见一致，该意见由汉堡数据保护和信息自由专员描述，鉴于所采取的缓解措施，尚未禁止预期的数据处理，而是首先只想观察其密切后果。”

综合上述详细论证，科隆高等地区法院从法律依据、技术必要性、用户权利保护、敏感数据处理、利益平衡等多个维度，系统论证了Meta基于合法利益使用用户公开数据训练AI的合法性。法院的判决不仅基于严格的法律分析，还充分考虑了AI技术发展的现实需求和欧盟的数字创新战略，体现了在数据保护与技术创新之间寻求平衡的司法智慧。