2023年12月14日,欧盟法院就首例涉及个人信息安全的案件——“VB诉保加利亚国家税务署案”作出判决。
在判决中,欧盟法院首次对欧盟《通用数据保护条例》(以下简称《条例》)第32条,特别是该条有关数据控制者应采取适当的技术措施和组织措施,以确保数据安全水平与风险相当的规定进行了诠释。
基本案情
本案被告保加利亚国家税务署隶属于保加利亚财政部,该署负责税款和强制性社会保障缴款的征收。2019年7月15日,该署的IT系统遭到黑客入侵,并导致超过600万人的个人数据被非法访问和披露,本案原告VB即为受该黑客事件影响的个人之一。
VB认为,保加利亚国家税务署违反了《条例》有关个人数据安全的规定,且该署的违法行为导致他担心其个人数据未来可能会被滥用或其自身可能会被勒索、攻击甚至绑架,并因此导致他遭受了“非物质损害”,遂依据《条例》和保加利亚法律的相关规定,向索菲亚行政法院提起诉讼,请求该院判令保加利亚国家税务署向其支付1000列弗的赔偿。
索菲亚行政法院在审理本案之后,于2020年11月27日作出判决,驳回了VB的诉讼请求,主要理由有三点:一是对保加利亚国家税务署数据库的未经授权的访问,是由第三方即黑客的攻击行为所导致;二是VB未能证明保加利亚国家税务署未采取安全措施;三是VB未遭受任何“非物质损害”,因此不享有要求损害赔偿的权利。
VB对索菲亚行政法院的判决不服,向保加利亚最高行政法院提起上诉。因本案涉及《条例》的解释问题,保加利亚最高行政法院遂决定中止本案诉讼,并请求欧盟法院就以下问题作出先予裁决:
一是根据《条例》第24条和第32条的规定,第三方未经授权披露或访问相关个人数据的事实,是否足以认定数据控制者采取的技术措施和组织措施是不适当的?
二是根据《条例》第32条的规定,数据控制者采取的技术措施和组织措施的适当性,是否应由欧盟成员国法院结合案件的实际情况予以评估,特别是在考量与个人数据处理相关的风险的基础上予以评估?
三是根据《条例》确立的问责制原则,在依照《条例》第82条提起的损害赔偿诉讼中,数据控制者是否负有证明其所采取的安全措施系适当措施的举证责任?
四是根据《条例》第32条的规定,在评估数据控制者采取的安全措施的适当性时,专家报告是否构成必需的和充分的证据?
五是根据《条例》第82条第3款的规定,数据控制者是否仅因数据主体遭受的损害系由第三方未经授权披露或访问数据主体的个人数据所导致,即可免予承担向数据主体赔偿损失的责任?
六是根据《条例》第82条第1款的规定,在违反《条例》的相关行为可能导致第三方滥用数据主体的个人数据的情况下,数据主体对该滥用的担忧,是否可以构成《条例》第82条规定的“非物质损害”?
欧盟法院的判决
2023年12月14日,欧盟法院就本案作出判决。在判决中,欧盟法院发表了如下意见。
关于保加利亚最高行政法院提出的第一个问题,欧盟法院认为,根据《条例》第24条和第32条的规定,仅凭第三方未经授权披露或访问相关个人数据的事实,不能认定数据控制者采取的技术措施和组织措施是不适当的。因为这两条规定仅仅要求数据控制者采取技术措施和组织措施,以便在可能的情况下避免个人数据安全事件。此类措施的适当性应根据案件的具体情况,并通过斟酌数据控制者在执行这些措施时,是否考虑了这两条规定载明的相关标准,以及与案涉个人数据处理相关的个人数据保护需求及风险等因素来进行评估。据此不能将这两条的规定理解为第三方未经授权披露或访问相关个人数据的事实,足以认定数据控制者采取的技术措施和组织措施是不适当的。
关于保加利亚最高行政法院提出的第二个问题,欧盟法院认为,根据《条例》第32条的规定,数据控制者采取的技术措施和组织措施的适当性,应当由欧盟成员国法院在考量个人数据处理的相关风险以及斟酌上述措施的性质、内容和执行与此类风险是否相当的基础上,结合案件的实际情况予以评估。在审查数据控制者依照《条例》第32条采取的技术措施和组织措施的恰当性时,欧盟成员国法院不应将其审查限于数据控制者打算如何履行其相关义务,而应基于规定的相关标准、案件的具体情况以及在案证据,审查数据控制者采取的技术措施和组织措施的实质内容。此类审查应在考量个人数据处理蕴含的风险的基础上,结合案件的具体情况,对数据处理者采取的技术措施和组织措施的性质和内容、这些措施的执行方式以及这些措施对数据控制者应保障的安全水平的实际影响进行分析。
关于保加利亚最高行政法院提出的第三个问题,欧盟法院认为,根据《条例》确立的问责制原则,在依照《条例》第82条提起的损害赔偿诉讼中,数据控制者负有证明其所采取的安全措施系适当措施的举证责任。这是因为,根据《条例》第5条第2款、第24条第1款、第32条第1款的规定,数据控制者负有证明相关个人数据系以能够确保这些数据的安全的方式予以处理的举证责任。在《条例》不存在相反规定的情况下,上述举证责任规则应适用于依照《条例》第82条提起的损害赔偿诉讼。
关于保加利亚最高行政法院提出的第四个问题,欧盟法院认为,根据《条例》第32条的规定,在评估数据控制者采取的安全措施的适当性时,专家报告并不必然构成必需的和充分的证据。因为对数据主体依据《条例》享有的权利,特别是寻求有效司法救济权利的保护,要求欧盟成员国法院对数据控制者采取的安全措施的适当性进行客观评估,而不能基于专家报告排他地或自动地推定,数据控制者采取的安全措施是适当的。
关于保加利亚最高行政法院提出的第五个问题,欧盟法院认为,根据该条款的规定,数据控制者不能仅因数据主体遭受的损害系由第三方未经授权披露或访问数据主体的个人数据所导致,即免予承担向数据主体赔偿损失的责任。只有在数据控制者证明,其对导致上述损害的相关事件不承担任何责任的情况下,数据控制者方可免于承担赔偿责任。因为根据该条款的规定,数据控制者可以主张免责的情形,应严格限于数据控制者能够证明数据主体遭受的损害不可归责于数据控制者的情形。具体到本案中,在案涉个人数据安全事件系由黑客这一第三方所导致的情况下,原则上,数据主体遭受的损害不可归责于数据控制者,但该个人数据安全事件系因数据控制者未遵守《条例》规定的义务,特别是《条例》规定的数据安全义务而导致的除外。
关于保加利亚最高行政法院提出的第六个问题,欧盟法院认为,根据《条例》第82条第1款的规定,在违反《条例》的相关行为可能导致第三方滥用数据主体的个人数据的情况下,数据主体对该滥用的担忧,可以构成《条例》第82条规定的“非物质损害”,因为该条款并未将此类担忧排除于该款规定的“非物质损害”之外。但是,数据主体必须证明此类担忧构成“非物质损害”。同时,负责审理相关案件的欧盟成员国法院必须确认,根据案件的具体情况,此类担忧对数据主体而言是具备充分依据的。
(作者系法律工作者)