案例事实
2025 年 2 月 27 日,欧盟法院(Court of Justice of the European Union, CJEU)在案件 C-203/22 中对 Dun & Bradstreet 奥地利公司(以下简称 D&B)作出裁决,认为其违反了 GDPR 第 15 条第 1 款 (h) 项的规定。该案件涉及一名奥地利移动电话用户 CK ,她因信用评估不足而被拒绝签订合同。D&B 未能提供关于自动化决策过程的“有意义信息”,因此被判定侵犯了 CK 的数据访问权。
CK 是一名奥地利移动电话用户,她因信用评分不足而被拒绝签订每月 10 欧元(约合人民币 76 元)的合同。该信用评估由 D&B 通过自动化方式进行。CK 要求 D&B 提供关于其个人数据处理的详细信息,但 D&B 以商业秘密为由拒绝提供。奥地利数据保护局支持 CK 的请求,并要求 D&B 提供相关信息。尽管如此,D&B 未能遵守这一要求,导致 CK 向维也纳行政法院提起诉讼。后欧盟法院裁定,数据控制者必须以一种使数据主体能够理解其个人数据如何被使用的方式描述所采用的程序和原则。仅仅提供算法是不够的,信息必须是简明且易于理解的。此外,若信息涉及第三方的受保护数据或商业秘密,控制者必须将这些信息提供给主管监管机构或法院,由其平衡相关权利和利益。
判决依据
本案的法律依据是 GDPR第15条和第22条,特别涉及数据主体的访问权以及自动化决策的限制。欧盟法院的裁决遵循以下法律逻辑:
GDPR 赋予数据主体获取个人数据及自动化决策相关信息的权利
根据《GDPR》第15条第1款(h)项,数据主体有权获得关于自动化决策过程的“有意义信息”,包括所采用的逻辑、此类处理的预期后果等。此外,根据第22条第1款,数据主体原则上有权不受仅基于自动化处理的决定影响,除非符合特定例外情况(第22条第2款)。即使存在例外,数据控制者仍需采取适当措施,如提供人工干预的机会(第22条第3款)。
在本案中,D&B 依据自动化评分系统对 CK 进行了信用评估,直接影响了其合同订立的权利。然而,D&B 在收到 CK 的信息请求后,以商业秘密为由拒绝提供关于评分逻辑及决策机制的详细信息。这一行为构成对 GDPR 第15条第1款(h)项的违反,因其未能提供“有意义信息”,从而妨碍了数据主体对自身数据处理的理解和质疑权利。同时,D&B 亦未能证明其决策过程符合第22条规定的例外情形,亦未提供足够的补救措施,如人工干预或申诉渠道。
鉴于 GDPR 明确赋予数据主体对自动化决策过程的知情权,而 D&B 未能满足该义务,欧盟法院裁定 D&B 违反 GDPR 第15条及第22条的相关规定。法院进一步确认,即便信息涉及商业秘密,数据控制者仍有义务提供足够的信息,使数据主体能够理解个人数据的使用方式,必要时可由监管机构或法院进行利益平衡。因此,D&B 应承担相应法律责任,并向 CK 提供合规的信息披露。
争议焦点
一、“有意义信息”
在 CK 与 D&B 公司有关自动决策的纠纷中,争议点之一为 D&B 公司是否需要依据 GDPR 的相关要求提供“有意义的信息”?什么信息才属于“有意义信息”?
“有意义信息”这一概念在 GDPR 第 15条(1)(h)中提出,此条要求数据控制者在存在自动决策的情况下,向数据主体提供关于“涉及逻辑的有意义信息,以及此类处理对数据主体的重要性和预期后果”。
GDPR 第 15 条规定了关于保障数据主体访问权的内容,其目的是使数据主体能够确保与其相关的个人数据是正确的,并且以合法的方式处理。在本案涉及 GDPR 第 15 条(1)(h)的基础上,数据访问权则意味着必须使数据主体能够行使 GDPR 第 22 条赋予其的权利,特别是在案件涉及自动处理和自动决策时。因此解释“有意义的信息”这一概念需要与 GDPR 第 22 条所追求的目的相结合进行分析。需要注意的是,根据 GDPR 序言 58 中的透明原则(第 12 条(1)也有明确规定),发送给任何数据主体的任何信息都必须简洁、易于访问和易于理解,并以清晰明了的语言表达。
因此,“有意义信息”可以解释如下:自动决策中“关于所涉逻辑的有意义信息”必须使数据主体能够行使 GDPR (特别是该法规第 22 条)所保证的权利。数据主体能够获得简明扼要、易于访问和易于理解的信息,并以清晰明了的语言阐述用于该决策的方法和标准。其次,该信息必须足够完整和上下文化,以使该人能够验证其准确性,以及可以说明所使用的方法和标准与自动决策得出的结果之间存在客观可验证的一致性和因果关系。
二、是否与“商业秘密保护”相冲突?
欧盟 GDPR 为保护数据主体的访问权,要求数据控制者在涉及自动决策时告知数据主体包括“有意义信息”在内的相关信息,此种要求是否会与“商业秘密保护”相冲突?
按照第一部分对于“有意义信息”的解释,GDPR 第 15(1)(h) 条并不必须解释为向数据主体披露信息的义务,该种信息(例如自动决策中使用的算法)由于其技术性质而非常复杂,没有特定技术专长的人(包括一般数据主体在内)无法理解,因此理论上不会与商业秘密保护相冲突。
此外,GDPR 的序言 63 指出,任何数据主体访问所收集的有关他或她的个人数据的权利,“不应对他人的权利或自由产生不利影响,包括商业秘密或知识产权,尤其是保护软件的版权。然而,这些考虑的结果不应是拒绝向数据主体提供所有信息”。且在此案中,CJEU 裁定,商业秘密不能成为拒绝提供信息的普遍理由。公司必须在数据主体的知情权和公司的经济利益之间进行平衡。
GDPR 指南 P14 也提及,“机器学习的增长和复杂性可能会使人们难以理解自动化决策过程或画像是如何工作的。数据控制者应找到简单的方法来告知数据主体决策背后的理由或做出决策所依赖的标准,而无需必然总是尝试对所使用的算法进行复杂解释或披露完整算法,但提供的信息应对数据主体具有意义。”
以下为 GDPR 指南中提供的示例:
e.g. 数据控制者使用信用评分来评估和拒绝个人的贷款申请。该评分可能由信用参考机构提供,或者根据数据控制者持有的信息直接计算得出。无论评分来源如何(并且在个人数据未从数据主体处获得的情况下,根据第 14 条第 2 款(f)项,必须向数据主体提供有关来源的信息),如果数据控制者依赖于该评分,必须能够向数据主体解释评分及其背后的理由。此类信息提供了决策中主要考虑特征的详细信息、信息来源及其相关性。这可能包括:
- 数据主体在申请表中提供的信息;
- 以往账户行为的信息,包括任何欠款;
- 官方公开记录信息,如欺诈记录信息和破产记录。
数据控制者还需要向数据主体提供信息,告知他们所使用的信用评分方法会定期进行测试,以确保其公平、有效且无偏见。此外还需要提供联系方式,以便数据主体根据第 22 条第 3 款的规定请求重新考虑任何被拒绝的决定。
总而言之,数据控制者不需要向数据主体提供他或她无法理解的技术性质的信息,例如所用算法的细节。 但数据控制者控制者必须履行义务,向数据主体提供关于导致相关自动决策的过程与得出某些结果的原因。“有意义信息”尤其注重应描述使用的方法和考虑的标准及其权重,使得数据主体能够理解自动决策中使用了哪些信息,如何加权这些信息等。
参考资料
1.案件新闻稿
2.案件判决
3.GDPR 原文
