专业解读

在当今数字化时代，数据隐私和安全问题备受关注。为了保护个人隐私，许多组织采取了数据匿名化处理的措施。数据的匿名化处理是一种重要的技术手段，通过将个人身份信息从数据集中删除或加密，以确保个人在数据分析和共享过程中的隐私得到保护。在本文中，我们将通过欧盟第C-479/22号案件，探讨数据匿名化处理在实践中遇到的挑战。

· 基本案情

OC为希腊籍人士，是纳米技术、储能和生物医学应用领域的大学研究员。其通过向欧盟法院上诉寻求撤销普通法院于 2022 年 5 月 4 日对关于 OC 诉欧盟反欺诈办公室（OLAF ）作出的判决（T-384/20）。因OLAF在2020年 5 月 5 日报道了题为“OLAF调查揭露希腊研究经费欺诈”事件，OC声称其非法处理她的个人数据并传播有关她的虚假信息。

事件的起因为，2007年OC向欧洲研究理事会提交了一份研究提案（以下简称“项目”）。之后该理事会被欧盟研究理事会执行局 (ERCEA) 取代，成为OC所在大学的负责机构。

OC的项目是在其父亲指导下的其所在大学的一个实验室中进行的。自该项目成立以来，大学向 ERCEA 申报费用共计 1,116,189.21 欧元，其中人员费用 255,219.37 欧元，以及差旅费 15,020.54 欧元，ERCEA均已支付。

在项目结束后，经过财务审计，ERCEA认为某些人员费用（总计 245,525.43 欧元）不符合补贴资格，并决定向大学要求偿还该金额。由于ERCEA 也向OLAF通报了其审计结果，OLAF 在 2019 年 11 月 11 日的最终调查报告中提出了多项结论，一方面，OLAF建议ERCEA采取适当措施，向大学追回被认为不当的款项；另一方面，OLAF向国家司法当局转交了上述报告，并建议他们对OC、OC的父亲和该大学的一些工作人员提起欺诈和伪造文件的诉讼。

2020 年 5 月 5 日，OLAF在其网站上发布了这篇有争议的新闻稿，内容如下：

“保护ERCEA的预算分配对于OLAF非常重要。OLAF调查人员发现了一起复杂的欺诈事件，涉及一名希腊科学家及其国际研究人员团队。该案涉及ERCEA向希腊一所大学提供约 110 万欧元的补贴。这些资金旨在资助一位有前途的年轻科学家负责的一个研究项目，该科学家的父亲曾在该大学工作。该项目包括由希腊科学家领导的由来自世界各地的 40 多名研究人员组成的团队。
[……]
调查于去年 11 月结束，建议 ERCEA 追回约 19 万欧元（即110 万欧元补贴中应支付给国际研究人员的部分），另一方面建议国家当局对涉案人员启动司法程序。”

随后，一名调查记者通过OLAF发布的新闻稿以及自己获取的相关信息，获知了OC的身份。

OC于 2020 年 6月 16 日向当地普通法院依据 《欧盟运行条约》（TFEU） 第 268 条提起诉讼，要求命令OLAF赔偿据称因有争议的媒体传播而对其造成的非物质损失。最终，OC在普通法院败诉，OC上诉后普通法院驳回了OC针对OLAF提出的所有上诉理由，并完全驳回了其提起的诉讼。

· 争议焦点

“新闻稿”是否可以被视为“个人数据”。

· 普通法院判决理由

普通法院认为，当数据是匿名化时，人们必须考虑是否该数据的接收者可以合理且合法地获得重新识别其身份所需的附加信息，以此来推断是否将该数据视为个人数据。普通法院对“个人数据”的定义采取相对态度，削弱了数据保护，缩小了个人数据概念的范围。

· 欧盟法院提出的观点

首先，欧盟法院必须确定普通法院在认定包含与研究人员潜在欺诈行为相关的信息的新闻稿是否属于个人数据的方法上是否严谨，其次，作出其是否会支持普通法院关于个人数据概念定义的相对方法的推理。

在这一点上，欧盟法院采取了比普通法院更加“保护”的立场。欧盟法院认为，为了识别相关人员的身份，必须将附加信息与相关数据结合起来，这是“间接识别”个人信息的方式。附加信息的来源可以是除相关数据控制者之外的个人或来源这一事实绝不能排除个人的可识别性质。法院认为，无论谁持有重新识别数据主体所需的附加信息，只要此类信息存在，该类数据就必须被视为个人数据。

这与普通法院的判决存在巨大差异，法院认为必须对重新识别数据的可能性进行评估，要从数据接收者的角度进行，而不是以抽象和绝对的方式进行。

在本案中，欧盟法院认为，尽管调查记者拥有“普通读者”所不具备的个人特定知识，但数据仍然必须被视为个人数据。

欧盟法院最终裁定撤销普通法院 2022 年 5 月 4 日关于 OC 诉OLAF (T-384/20, EU:T:2022:273) 的判决。

· 相关法律法规

欧盟第883/2013号条例第 9 条第(1)款规定“程序保障”：

在调查中，OLAF应寻求支持和反对有关人员的证据。调查应按照无罪推定原则和本条规定的程序保障原则客观、公正地进行。”

欧盟第883/2013号条例第 10 条规定“保密和数据保护”：

1. 外部调查过程中传递或者获取的信息，无论采取何种形式，均受有关规定保护。
2. 在内部调查过程中传送或获得的信息，无论以何种形式，均应遵守专业保密规定，并应受到适用于联盟机构的规则所提供的保护。
……
5.OLAF应确保向公众提供的任何信息都是中立和公正的，其披露必须尊重调查的保密性。

欧盟第883/2013号条例第 11(1) 条规定“调查报告和调查后应采取的行动”：

1. OLAF完成调查后，应在总干事的授权下起草一份报告。该报告应说明调查的法律依据、遵循的程序步骤、所确定的事实及其在法律上的初步分类、所确定事实的估计财务影响、遵守第 9 条规定的程序保障和调查的结论。
2. 该报告应附有总干事关于是否应采取行动的建议。这些建议应酌情表明相关成员国的机构、办事处及主管当局采取的任何行政、财务和/或司法行动，并应特别说明预计追回的金额，以及对所确立的事实在法律上的初步分类。

GDPR 第 4 条“定义”：

“个人数据”是指与已识别或可识别的自然人（“数据主体”）有关的任何信息；可识别的自然人是指可以直接或间接识别的自然人，特别是通过参考诸如姓名、身份证号码、位置数据、在线标识符等标识符或特定于身体、生理、心理的一个或多个因素来识别的自然人。包括该自然人的遗传、心理、经济、文化或社会身份……

欧盟第2018/1725号条例第（9）16条规定：

数据保护原则应适用于有关已识别或可识别自然人的任何信息。经过匿名化的个人数据，可以通过使用附加信息识别出自然人，应被视为可识别自然人的信息。为了确定自然人是否可识别，应考虑所有合理可能使用的手段，例如控制者或其他人直接或间接识别自然人的方式。为了确定是否合理地可能使用识别自然人身份的手段，应考虑所有客观因素，例如识别的成本和所需的时间，并考虑到识别时的可用技术。因此，数据保护原则不应适用于与已识别或可识别的自然人无关的信息，或以数据主体不可识别或不再可识别的方式匿名提供的个人数据。因此，本条规定不涉及此类匿名信息的处理，包括出于统计或研究目的。

· 指导意义

个人数据的广泛定义：个人数据不仅限于直接识别的信息，还包括可能通过其他信息间接识别个人的数据。在处理个人数据时，应充分考虑到可能的间接识别方式，以确保数据保护的全面性和有效性。

数据处理谨慎性，认识到“匿名化处理”并不是万能的：即使数据经过匿名化处理，仍需谨慎对待，因为可能存在通过附加信息重新识别个人的风险。在处理个人数据时，应遵循严格的保密和安全措施，以防止数据泄露或滥用。

数据保护原则的重要性：欧盟法院强调了数据保护原则的重要性，尤其是在涉及个人数据的情况下。数据保护原则包括数据收集的最小化、目的限制、透明度、数据准确性、存储期限和数据安全等。

信息披露的中立性和公正性：在公开或披露数据时，必须确保信息的中立性和公正性，以避免对相关个人造成负面影响。披露的信息应当基于客观事实，并遵循保密原则，尊重调查的保密性。

· 结论

虽然根据我国《个人信息保护法》第四条第一款规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。但是，随着信息网络时代以及科技的不断发展，相信对于“匿名化”信息的处理以及认识方式也将会不断完善。

作者简介

张婷
道可特律师事务所高级合伙人、国际业务部主任

业务领域：境内外争议解决、海外上市、国际并购与国际工程、境内外并购与资本市场、公司治理、外商在华投资家族办公室业务和国际融资等商事法律业务

邮箱：zhangting@dtlawyers.com.cn

郭毅佳
道可特律师事务所实习律师

业务领域：境外上市、跨境投融资并购、数据出境业务、公司治理 

邮箱：guoyijia@dtlawyers.com.cn