主要观点总结
欧盟委员会因在欧盟登录网页上设置“使用 Facebook 登录”超链接,导致公民个人数据(包括IP地址)被传输至美国企业Meta平台,被判向一名德国公民赔偿400欧元。此案涉及个人数据保护权和数据传输的问题,普通法院认定欧盟委员会违反了欧盟法律,并命令其支付赔偿。相关个人指出美国在个人数据保护方面的不足,并担忧数据可能被美国安全和情报部门获取。此案还涉及亚马逊CloudFront服务的路由机制及数据在传输过程中的保障措施。
关键观点总结
关键观点1: 欧盟委员会通过设置“使用 Facebook 登录”超链接,导致公民个人数据(IP地址)被传输至美国企业Meta平台。
普通法院认定此传输行为应归咎于欧盟委员会,并违反了欧盟法律。
关键观点2: 该传输行为导致德国公民遭受非物质损害,因其个人数据(尤其是IP地址)的处理情况处于不确定状态。
普通法院认定欧盟委员会的侵权行为与所遭受的损害之间存在足够直接的因果关系,并命令其支付400欧元赔偿。
关键观点3: 此案涉及亚马逊CloudFront服务的路由机制及数据在传输过程中的保障措施。
亚马逊网络服务公司需确保数据在静态和传输过程中都留在欧洲,但一次连接中的数据传输涉及到了位于美国的服务器。
正文
点评:因Facebook快捷登录而违规将公民IP地址传输给位于美国的Meta,欧盟委员会被判向1名德国公民赔偿400欧元。如果来个集体诉讼,那赔偿金额就很吓人了。
以下为新闻稿正文:
欧盟法院新闻稿第 1/25 号
普通法院在 Bindl 诉欧盟委员会案(T - 354/22)中的判决
普通法院判定欧盟委员会因向美国传输个人数据,需向“欧洲未来会议”网站的一名访问者支付赔偿金。
欧盟委员会在欧盟登录网页上设置了“使用 Facebook 登录”超链接,这一行为为相关个人的 IP 地址传输至美国企业 Meta 平台创造了条件。
一位居住在德国的公民投诉称,在 2021 年和 2022 年期间,他访问由欧盟委员会管理的“欧洲未来会议”网站(网址为 https://futureu.europa.eu)时,其个人数据保护权遭到了欧盟委员会的侵犯。具体情况是,他通过该网站使用欧盟委员会的欧盟登录认证服务注册“走向绿色”活动时,选择了使用自己的 Facebook 账户登录。
据该相关个人表示,在访问网站期间,他的个人数据,包括其 IP 地址以及浏览器和终端信息,被传输给了设在美国的接收方。
他声称,这些数据被传输给了美国企业亚马逊网络服务公司(Amazon Web Services),因为该公司是上述网站所使用的内容分发网络亚马逊 CloudFront 的运营商。此外,当他使用 Facebook 账户注册“走向绿色”活动时,其个人数据被传输给了美国企业 Meta 平台公司。
然而,该相关个人指出,美国在个人数据保护方面没有达到足够的水平。他坚称,这些数据传输行为使他的数据面临被美国安全和情报部门获取的风险,而欧盟委员会并未指明任何能够证明这些传输合理的适当保障措施。根据欧洲议会和理事会 2018 年 10 月 23 日关于欧盟机构、机关、办事处和机构处理个人数据及此类数据自由流动的第 2018/1725 号条例第五章的规定,数据传输需要有相应保障措施。
基于此,他要求就因这些传输行为而遭受的非物质损害获得 400 欧元的赔偿。
他还请求撤回其个人数据的传输行为,要求宣告欧盟委员会非法未就其信息请求确定立场,并命令欧盟委员会就其声称因信息获取权受到侵犯而遭受的非物质损害支付 800 欧元赔偿。
普通法院驳回了撤回申请,认定其不可受理,并且认为已无需对宣告不作为的请求进行裁决。普通法院还驳回了基于侵犯信息获取权的损害赔偿请求,认定不存在所声称的非物质损害。对于基于有争议的数据传输的损害赔偿请求,普通法院驳回了与通过亚马逊 CloudFront 进行的数据传输相关的这部分请求。
普通法院查明,在所涉的一次连接中,依据邻近原则,数据被传输到了位于德国慕尼黑的一台服务器,而非美国。根据欧盟委员会与管理亚马逊 CloudFront 的卢森堡企业亚马逊网络服务公司签订的合同,亚马逊网络服务公司需确保数据在静态和传输过程中都留在欧洲。亚马逊 CloudFront 服务基于一种路由机制,按照与特定用户终端的邻近原则,将“欧洲未来会议”网站用户的请求导向提供最低延迟的边缘服务器,以便以最佳条件向用户提供内容。这里所涉及的服务器属于一家德国企业,是亚马逊 CloudFront 边缘位置网络的一部分。
在另一次连接中,是该相关个人通过亚马逊 CloudFront 路由机制将连接重定向到了美国的服务器,由于一项技术调整,他看起来像是位于美国。
然而,关于此人注册“走向绿色”活动一事,普通法院认定,欧盟委员会通过在欧盟登录网页上显示的“使用 Facebook 登录”超链接,为其 IP 地址传输给 Facebook 创造了条件。该 IP 地址属于个人数据,通过此超链接被传输给了设在美国的企业 Meta 平台。这一传输行为应归咎于欧盟委员会。
在 2022 年 3 月 30 日进行该传输时,欧盟委员会尚未作出认定美国确保了对欧盟公民个人数据有足够保护水平的决定。此外,欧盟委员会既未证明也未声称存在适当的保障措施,特别是符合《关于在欧盟机构、机关、办公室和办事处处理个人数据方面对自然人的保护以及这些数据的自由流动,并废除(EC)第 45/2001 号条例和(EC)第1247/2002 号决定的条例》(第 2018/1725 号条例)第 48(2)和(3)条规定条件的数据保护标准合同条款。在欧盟登录网站上显示“使用 Facebook 登录”超链接完全受 Facebook 平台的一般条款和条件管辖。因此,欧盟委员会没有遵守欧盟法律为欧盟机构、机关、办事处或机构向第三国传输个人数据所设定的条件。普通法院认定,欧盟委员会严重违反了旨在赋予个人权利的法治规则。该相关个人遭受了非物质损害,因为其对自己个人数据(尤其是其 IP 地址)的处理情况处于不确定状态。而且,欧盟委员会的侵权行为与该相关个人所遭受的非物质损害之间存在足够直接的因果关系。
由于确立欧盟非合同责任的条件已满足,普通法院命令欧盟委员会向该相关个人支付所要求的 400 欧元。
注1:任何认为欧盟已产生非合同责任的人都可以提起损害赔偿诉讼。这种责任需满足三个累积条件:(1)严重违反旨在赋予个人权利的法治规则;(2)存在损害事实;(3)欧盟的非法行为与所遭受的损害之间存在因果关系。
注2:可在普通法院判决通知后的两个月零十天内,就法律问题向欧洲法院提起上诉。
此为仅供媒体使用的非官方文件,对普通法院无约束力。
判决全文及(视情况而定)摘要在宣判当日发布于 CURIA 网站。
1、网址:https://futureu.europa.eu
2、依据欧洲议会和理事会 2018 年 10 月 23 日关于欧盟机构、机关、办事处和机构处理个人数据及此类数据自由流动的第 2018/1725 号条例第五章的规定。
3、亚马逊 CloudFront 服务基于一种路由机制,根据与特定用户终端的邻近原则,将“欧洲未来会议”网站用户的请求导向提供最低延迟的边缘服务器,以便以最佳条件向用户提供内容。
4、所涉服务器属于一家德国企业,是亚马逊 CloudFront 边缘位置网络的一部分。
5、根据第 2018/1725 号条例第 48(2)和(3)条规定的条件通过。
