2025年9月4日,欧盟法院(CJEU)在“欧洲数据保护监督局(EDPS)诉单一处置委员会(SRB)案”中作出终审判决:评估数据主体是否“可识别”,必须站在数据控制者的视角、并在数据收集的时点进行;控制者的透明度义务不因数据随后被假名化、且接收方无法重新识别而免除。判决推翻了普通法院此前“应从接收方视角判断”的逻辑,为企业的数据共享实践划出新红线。2025年10月9日,EDPB 宣布将于年底就“匿名化与假名化”议题召开专门的利益相关者会议,直接催化剂正是此案。
TL;DR
2017年,在西班牙 Banco Popular Español 处置案后,SRB 组织程序听取前股东和债权人意见。SRB 将包含作者个人观点的部分评论假名化(以字母数字代码替换直接身份信息),传输给其聘请的审计咨询公司德勤进行处置影响评估。多名股东和债权人向 EDPS 投诉,称 SRB 未在隐私声明中告知数据会被传给第三方。EDPS 认定德勤是投诉人个人数据的接收方,SRB 传输前未履行告知义务,违反 Regulation 2018/1725(GDPR 在欧盟机构的适用版本)。
SRB 不服,向普通法院起诉。2023年4月,普通法院部分支持 SRB 并撤销 EDPS 决定,核心逻辑是:判断数据是否为个人数据应站在接收方(德勤)视角,由于德勤没有额外信息重新识别个人,从其视角看这些数据不属于个人数据。EDPS 上诉至 CJEU。CJEU 判决新闻稿见 https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-09/cp250107en.pdf 。
CJEU 围绕“个人数据”定义与控制者透明度义务,指出普通法院三处错误:
关键区分在于假名化的相对性:这些数据对 SRB 可通过钥匙重新识别,对不持钥匙的德勤则理论上不可识别。CJEU 承认假名化措施若足够有效,可使数据在接收方视角下“不再可识别”,但强调这并不改变控制者在收集时点已负有的原始义务。
判决要求企业回到数据保护的本源:技术措施可以作为安全保障,但不能成为绕过核心法律义务的挡箭牌。企业须明确假名化数据的相对概念——对持有重识别信息的控制者,假名化数据始终是个人数据;不能简单地将假名化等同于匿名化,并据此规避透明度义务。这一区分在位置数据等场景中同样关键(见爱尔兰 DPC 就手机位置数据转卖启动调查)。
合规团队需做两件事:其一,评估数据在己方(控制者)手中是否为个人数据,只要能通过合理手段关联到特定个人,就须在处理前履行 GDPR 全部义务,尤其是向数据主体全面、清晰告知,这与撰写跨境传输文件时的透明度要求一致(见数据跨境企业隐私合规的重要一环)。其二,向第三方传输假名化数据时,须通过数据处理协议明确约束接收方不得尝试重新识别,并确保其没有合法或实际手段获取钥匙信息,同时约定严格的安全与保密责任。CJEU 近期在跨境场景对 GDPR 义务的从严解读,可对照欧盟法院确认 EU-US DPF 充分性决定有效。EDPB 相关会议信息见 https://www.edpb.europa.eu/news/news/2025/anonymisation-and-pseudonymisation-take-part-stakeholder-event_en 。