2gobee

欧盟法院“自动化信用评估”案:数据主体权利的界限

作者:

2gobee

,发布于

,修改于

  2025 年 2 月 27 日,欧盟法院就 Dun & Brad­street Aus­tria 案(案件号 C‑203/22)作出裁决 1,明确了数据主体有权从数据控制者处获得易懂、足够让其有效行使权利(尤其是质疑权)的解释信息,在解释信息涉及第三方数据或商业秘密的情形下应提交有权机关权衡确定数据主体访问权的范围。

  在本案中,欧盟法院对 GDPR 第 15 条2(数据主体的访问权)第 1 款 h 项、第 22 条3(个人化之自动决策,包括用户画像)以及《商业秘密保护指令》第2条第1点做出了阐释。

案件背景

  在奥地利,CK 欲与电信运营商签订月费 10 欧元的移动电话合同。运营商基于 Dun & Brad­street Aus­tria 公司(D & B)进行的自动化信用评估,拒绝与 CK 签订合同。

  CK 将此事提交奥地利数据保护局,该局命令 D & B 提供关于自动化决策底层逻辑的有用信息;D & B 以商业机密为由向奥地利联邦行政法院提出异议,拒绝提供更多信息,法院最终裁定 D & B 违反了 GDPR 第 15 条第 1 款 h 项,因其既未提供关于基于个人数据的自动化决策底层逻辑的有用信息,也未充分说明无法提供的原因。

  然而,维也纳市政府拒绝执行该裁定,维也纳行政法院在审理 CK 提出的异议并确定 D & B 的具体义务时遇到困难,因此依据《欧盟运作条约》第 267 条请求欧盟法院就 GDPR 和《商业秘密保护指令》做出阐释。

系争问题

GDPR 第 15 条第 1 款(h)项下“有用”信息的定义

GDPR 第 15 条第 1 款(h)项:資料主體有權向控管者確認其個人資料是否正被處理,於此情形者,資料主體應有權接近使用其個人資料及下列資訊:

(h) 存在第 22 條第 1 項及第 4 項所定自動決策(包括建檔)者,至少在該等情況,為資料主體之處理所涉及的邏輯性有意義資訊,以及 重要性與預設結果。

  • 信息必须满足哪些实质性要求才能被视为“有用”?
  • 在涉及用户画像的情况下,数据控制者是否必须提供除“底层逻辑”之外的关键信息,以便使自动决策的结果可理解?这些信息是否包括:
    • 处理的个人数据;
    • 理解用户画像算法必需的部分算法内容;
    • 处理信息与最终评估之间的关联?
  • 在涉及用户画像的情况下,是否即便存在商业机密,数据主体也仍有权获取与其相关的以下具体处理信息,以便行使 GDPR 第 22 条第 3 款赋予的权利?
    • 个人数据的处理方式;
    • 用户画像所用的输入数据、参数、变量及其对评估结果的影响;
    • 参数或变量的来源;
    • 个人为何获得特定评估结果的解释

GDPR 第 15 条第 1 款(h)项与第 22 条第 3 款之间的关系

  是否应理解为,数据主体只有在能有效、充分行使第 22 条第 3 款所保障的权利(即表达意见、质疑自动决策)时,才能认为其依据第 15 条第 1 款(h)项获得的信息是“有用”的?

数据控制者所提供信息准确性的验证与第三方数据保护的冲突

  • 提供的信息是否必须详细到足以验证其准确性,并确保自动决策基于真实信息?
  • 如果验证准确性需要访问受 GDPR 保护的第三方数据,是否可以通过仅向权威机构或法院披露相关数据来解决冲突?
  • 在这种情况下,数据主体仍应享有哪些权利?是否必须向其提供匿名化或假名化的第三方数据?

数据访问权与商业秘密保护之间的冲突

  • 当所提供的信息同时符合商业秘密的条件时,该如何处理?
  • 是否可以仅向权威机构或法院提供相关信息,以便由其独立评估信息的真实性,同时确保商业秘密的保护?
  • 在涉及用户画像的情况下,若因商业秘密保护而限制访问,数据主体仍应获得哪些信息,以充分保障其 GDPR 第 22 条第 3 款赋予的权利?

GDPR 第 15 条第 4 款对数据访问权的限制范围

GDPR 第 15 条第 4 款:
(第 3 款 控管者應提供所在處理之個人資料副本乙份。資料主體所要求之 任何更多副本,控管者得依行政成本收取合理費用。如資料主體係以 電子方式提出請求,除資料主體有不同要求外,該資訊之提供亦應以 電子方式為之。)
第 3 款所定取得副本之權利不應影響其他人之權利及自由。

  • 第 15 条第 4 款是否以某种方式限制了第 15 条第 1 款(h)项下的数据访问权?
  • 若是,应如何界定此限制的具体适用范围?

奥地利《数据保护法》(DSG)与 GDPR 的兼容性

  • DSG 第 4 条第 6 款规定:“如果访问权会损害数据控制者或第三方的商业机密,则数据主体原则上无权获得第 15 条规定的访问权。” 
  • 这一规定是否符合 GDPR 第 15 条第 1 款和第 22 条第 3 款的要求?如果符合,需要满足哪些条件?

欧盟法院的回答

关于“有用逻辑信息”的解释

  欧盟法院裁定,GDPR 第 15 条第 1 款第 h 项中的“有用逻辑信息”应被理解为当事人有权获得对自动决策程序和原则的具体解释。这种解释必须:

  • 使当事人能够理解哪些个人数据以何种方式被用于自动决策
  • 以简明、透明、易懂且便于获取的方式提供
  • 足够详细,使当事人能够有效行使 GDPR 赋予的权利

  欧盟法院特别指出,仅仅提供复杂的数学公式(如算法)或详细描述自动决策的所有步骤都不满足这一要求,因为这些方式不够简明易懂。

  对于像本案这样的用户画像,法院建议可以告知当事人“如果其个人数据的某些变量发生变化,结果会如何不同”,这可能是一种足够透明和可理解的做法。

关于与商业秘密的平衡

  如果数据控制者认为需要提供的信息包含受保护的第三方数据或商业秘密,应将这些所谓受保护的信息提交给监管机构或有管辖权的法院,由监管机构或法院权衡相关权利和利益,以确定当事人访问权的范围。

  GDPR 反对从原则上排除数据主体获取信息权利的国内法规定,即使这些信息可能损害数据处理者或第三方的商业秘密。

参考文献

  1. https://curia.europa.eu/jcms/jcms/p1_4811090/fr/
  1. Cour de jus­tice, février 2025, no C‑203/22, CK contre Magis­trat der Stadt Wien, [consul­té le 1 mars 2025]. https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:62022CJ0203 ↩︎
  2. https://gdpr-text.com/zh/read/article-15/ ↩︎
  3. https://gdpr-text.com/zh/read/article-22/ ↩︎

评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

更多文章