欧洲法院裁决移动应用程序中的个人数据处理行为
2024 年 1 月 12 日

欧洲法院(CJEU),就移动应用程序(Mobile Apps)中“处理”概念进行了裁决。

2024年1月10日

Ganado Advocates

最受关注的:2023年4月马耳他撰稿人

公共卫生目标与个人数据保护权利的融合在最近一起重要案件中受到审查,该案件于2023年10月5日由欧洲法院(CJEU)裁决。

在这个案件中,CJEU对于移动应用程序中的个人数据处理行为是否构成“处理”进行了界定。根据欧洲联盟的《一般数据保护条例》(GDPR)第4条第2款的规定,处理是指对个人数据进行操作或执行任何操作的行为。在裁决中,CJEU强调了个人数据处理的广泛范围,并指出即使是移动应用程序的简单操作也属于处理范畴。

裁决还进一步解释了GDPR第2条第2款中的相关概念,包括“个人数据”和“数据主体”。个人数据是指与个人有关的任何信息,而数据主体是指这些个人数据的所有者。这些定义对于确定个人数据处理行为的范围非常重要。

CJEU的裁决对于移动应用程序运营商和开发者具有重要意义。根据GDPR,个人数据处理行为需要遵守一系列法律义务,包括数据主体的知情权、同意权和访问权。因此,移动应用程序运营商和开发者需要清楚了解他们的应用程序涉及的个人数据处理行为,并采取相应的措施来确保合规性。

此外,CJEU还明确指出,如果移动应用程序的开发者委托第三方进行个人数据处理,那么开发者仍然将对这些处理活动负有责任,并需要与第三方签订合同来确保合规性。

这一裁决对于移动应用程序领域的数据保护具有指导意义,并提醒相关各方注意其在个人数据处理方面的法律义务。移动应用程序运营商和开发者应该积极采取措施来保护用户的个人数据,并遵守适用的数据保护法律和规定。

请注意,本文仅为一般信息,不构成法律建议。在处理与个人数据相关的问题时,建议咨询专业法律顾问以获取具体的法律建议。 欧洲法院(ECJ)根据RK和捷克共和国卫生部(Ministry of Health, Czech Republic)的初步裁决请求进行了调查。该法院在C-659/22案中深入研究了《通用数据保护条例》下有关个人数据“处理”的复杂性。

法律背景 #

《通用数据保护条例》(GDPR)是保护个人数据处理方面个人基本权利的基石。根据GDPR,个人数据是指与已知或可识别的自然人有关的任何信息,包括姓名、身份证号码、位置数据、在线标识符或与个人的身体、生理、遗传、心理、经济、文化或社会身份有关的因素。

数据保护法规管制手动或自动方式下的个人数据“处理”。个人数据的处理涉及广泛的操作范围。 数据保护是指针对个人数据进行的一系列活动。这些活动包括收集、记录、组织、构建、存储、适应、更改、检索、查询、使用、披露、传输、传播、提供或销毁个人数据。

《通用数据保护条例》(GDPR)第1条重申了保护个人数据的重要性。此外,欧洲联盟基本权利宪章第8(1)条和《欧洲联盟功能条约》第16(1)条强调了每个人都有权保护其个人数据。

案例背景

为了遏制COVID-19病毒的传播,《欧盟数字COVID证书条例》(EUDCC)(EU)2021/953(现已不再有效)被实施。该条例为处理发放证书和验证确认证书真实性所需的个人数据建立了法律依据。 根据GDPR的要求,为了方便在疫情期间的人员流动,该条例明确要求成员国发放包含条形码的COVID-19证书,其中包含与持有人身份相关的信息。然而,在2021/953号条例下的证书中处理个人数据仅限于验证和确认持有人的疫苗接种情况、检测结果或康复情况。因此,根据GDPR的数据最小化原则,个人数据必须限制在严格必要的目的上,并且不能由当局保留。

提出初步裁决请求的案件源于捷克卫生部采取的一项措施。该措施旨在规范进入某些室内和室外场所,以及参加大规模组织的活动。该措施是为了减轻病毒的传播。它要求运营商进行COVID-19证书检查。 使用捷克部委的移动应用程序“čTečka”验证欧盟数字COVID证书的可靠性和有效性,该应用程序通过包含QR码的证书进行验证。如果个人未能通过此类检查证明符合要求,操作员将禁止该人员进入场所或活动。

一名被标识为RK的个人对此措施提出了质疑,并提起了诉讼,促使捷克共和国最高行政法院向欧洲法院寻求初步裁决。核心问题围绕使用“čTečka”应用程序验证欧盟数字COVID证书是否构成根据GDPR第4(2)条的自动处理个人数据,因为证书中包含的一些信息将被视为GDPR第4(1)条所定义的个人数据。

提请裁决的法院解释称,“čTečka”是用于验证欧盟数字COVID证书的工具。 决策

引起的问题是个人数据的“处理”概念是否必须 根据《2021/953号法规》,验证COVID-19疫苗、检测和康复证明书的有效性,使用国家移动应用程序进行验证。法院在裁决中确认,在验证欧盟数字COVID证书过程中访问的某些信息符合《GDPR》第4(1)条关于“个人数据”的规定,并且考虑到“处理”概念所赋予的广泛含义,法院得出结论,通过“čTečka”应用程序进行欧盟数字COVID证书的验证过程确实符合《GDPR》第4(2)条对“处理”的规定。

影响 #

尽管COVID-19可能不再是当前讨论的焦点,但这一里程碑式的裁决确立了通过设备扫描证书的过程——使进行检查的人能够在自动化过程(扫描)结束时查看个人数据,并且随后使用这些数据来评估被验证个人的情况——被视为“处理”。 根据适用的国家卫生要求,使用人工智能进行健康检查是符合GDPR(《通用数据保护条例》)中“处理”概念的。法院进一步裁定该评估结果也是自动化的。当检查符合健康要求时,设备上会显示一个绿色勾号,而如果不符合要求,则会显示一个红色勾号。法院认为,这个涉及自动化手段的过程被视为GDPR中的“处理”,因此属于数据保护法的范畴。

法院的判决解决了长期的争论,确认在屏幕上生成信息也可以被视为数据处理,即使这些数据没有被存储或分享到其他地方。

本文首次发表于2023年12月27日的《The Malta Independent》。

本文旨在提供有关该主题的一般指导。有关您具体情况的专业建议应该寻求专家的意见。

热门文章 欧盟关于隐私的文章

欧洲联盟于2023年11月27日通过了《欧盟数据法案》,这是一项新的法规,提供了有关数据访问、切换云服务提供商和在欧盟范围内的互操作性要求的统一规则。

在当今数字化时代,数据是新的货币。欧洲联盟认识到了这一点,并引入了《欧洲数据法案》,这是一套新的规则,将彻底改变数据生成、使用和共享的方式。