专业解读

一、引言

在我国，根据《网络安全标准实践指南——敏感个人信息识别指南》，敏感的个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。在欧盟，揭示种族或民族血统、政治观点、宗教或哲学信仰的个人数据、工会会员资格、基因数据、仅用于识别人类的生物特征数据、健康相关数据以及有关个人性生活或性取向的数据均属于个人敏感数据。

我国《个人信息保护法》规定，个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。数据主体可以直接向法院提起诉讼。在欧盟，《通用数据保护条例》（“GDPR”）规定了在数据主体认为自身数据权益被侵犯时可以通过数据保护机构的行政制裁、国家法院的刑事处罚、数据主体对数据保护机构提起诉讼等方式进行救济。

然而，随着经济社会的不断发展，个人敏感数据的认定方式也在不断更新，“侵犯个人数据合法权益的公司”的“竞争公司”是否拥有诉讼主体资格这个问题，在欧盟出现了进一步的讨论。

二、案件事实

Lindenapotheke与DR是两家德国药房。Lindenapotheke通过亚马逊销售仅限实体药店销售的药品，在网上订购药品时，客户必须输入姓名送货地址和个性化产品所需的详细信息等。DR声称，Lindenapotheke在亚马逊上销售仅在药店可以销售的药品是不公平的，其没有遵守个人数据保护法规定的获得客户明确同意的要求。DR指控Lindenapotheke的行为构成了不公平的商业行为，因此向德国地区法院提起诉讼，要求Lindenapotheke停止该行为。

在地区法院以及上诉法院的审理过程中，DR提出，Lindenapotheke的营销行为的不公平体现在未获得客户对其健康数据处理的有效同意。GDPR第9条第1款规定了禁止处理某些特殊类别的个人数据（也称为敏感数据），包括健康数据。第9条第2款则列出了这一禁止的例外情形，其中包括明确同意（GDPR第9条第2款第(a)项）。法院认定Lindenapotheke确实在处理健康数据，且无法依赖明确同意作为例外，这构成了一种不公平商业行为。

三、案件主要争议点

1.基于该侵权行为，竞争对手是否拥有诉讼主体资格？

根据GDPR第八章相关规定，针对数据侵权行为的救济措施包括但不限于数据保护机构的行政制裁、国家法院的刑事处罚、对数据保护机构提起诉讼等等，但这些救济措施实施的主体需要为数据主体。由于DR不具备数据主体资格，其基于不公平商业行为提起的诉讼，需要依赖于DR是否可以在国家的不公平商业行为程序中找到可以依赖的条款。

欧盟法院认为，竞争对手提起诉讼不会削弱GDPR期待达到的目标，因此，为了证明DR拥有诉讼主体资格，提出了三个论据：

a.GDPR并未明确排除竞争对手提起诉讼的可能性；

b.GDPR表明，作为数据保护受益者的数据主体可获得救济，而未提及竞争对手的相关条款；

c.根据C-319/20 Meta Platforms Ireland (“Meta案”)已裁定GDPR侵权也可能影响第三方，并确认这类侵权“可能同时引发对消费者保护或不公平商业行为规则的违反”，并且“可能是评估是否存在市场支配地位滥用行为的重要线索”。法院强调了数据保护、数字经济和竞争之间的内在联系。

因此，可以判断，欧盟法院认为，竞争对手具有诉讼主体资格。

2.药品订单是否都包含了健康数据（个人敏感数据）？

根据GDPR第4条中对个人数据和个人健康数据的定义，法院认为健康数据应被理解为所有能够让人“得出某一已识别或可识别的个人健康状况结论”的个人数据。所有健康数据都受GDPR第9条第1款中限定禁止条款的约束。当Lindenapotheke处理订单时，其显然在处理个人数据。因此，法院需要评估订购药品是否能够得出某个人的健康状况结论，以及这些结论是否与某一已识别或可识别的人相关。

法院援引了C-184/20 OT v Vyriausioji tarnybinės etikos komisija(“OT案”)来证明，数据构成敏感数据的条件是“通过一种涉及汇总或推断的智力操作，它能够揭示数据主体的健康状况信息”。因此，对于Lindenapotheke来说，当“订单需要建立药品、其治疗适应症或用途与某一已识别或可识别的自然人之间的联系”时，订单数据即被视为健康数据。法院认为在下订单时，“药品是为顾客准备的某种可能性”就足以使该数据被认定为健康数据。

另外，法院援引了C-252/21 Bundeskartellamt(“Bundeskartellamt案”)，表明即便这些药品并非为客户本身而是为第三方订购，通过推断地址或家庭成员来识别个人的可能性已足以使其构成健康数据，从而适用限定禁止条款。

四、思考

1.欧盟司法程序可能的更新

尽管在该案件中，法院对竞争者提起诉讼的身份予以确认的决定符合先前的判例，但是该行为可能会造成GDPR执行程序变得复杂化。GDPR的执行包括行政方式、司法程序以及成员国法律规定的刑事处罚，Lindenapotheke案的裁决有可能引发行政执法与司法执法之间的干扰风险。尽管GDPR预见了数据保护机构之间的合作，但法院在裁定GDPR侵权案件时只能通过冗长的程序向欧盟法院寻求一致性解释。因此，在达到欧盟法院之前，多个成员国法院和平行合作的数据保护机构可能对相同的数据处理活动作出不同的裁决，数据主体寻求司法程序救济非常复杂且耗时过长。目前大多数数据主体更倾向于通过投诉的方式采取行政执法。

与数据主体不同，竞争者无法向数据保护机构提出投诉，只能在不正当商业行为的背景下向成员国法院提起诉讼。我们可能会在Lindenapotheke案后看到欧盟设计新的司法程序的想法。

2.敏感个人数据的定义

要确定是否为敏感个人数据，需要达到“某种程度的确定性”，因为如果仅凭存在关联即可满足条件，敏感数据的概念将被过度扩展，因此，需要进一步的确定建立关联的细节。

五、对于企业的建议

1.注意竞争对手可以拥有诉讼主体资格

中国企业在进入欧盟市场时，必须注意GDPR侵权行为可能引发的不仅仅是消费者的诉讼，还可能涉及竞争对手的法律行动。特别是在数据涉及敏感信息时，竞争者可能会利用先前的判例以及GDPR来挑战不公平的市场行为。企业应确保在处理客户数据时符合GDPR要求，以避免因数据保护不当而面临诉讼。

2.收集个人信息的种类

对于中国企业而言，如果其在欧盟市场销售药品或医疗相关产品，应特别注意药品订单中可能包含健康数据的情况。即便这些订单本身并未明确涉及健康状况，企业仍需审慎处理所有能够推测客户健康状况的信息，确保在数据处理时满足GDPR对个人敏感数据的严格要求。企业应建立完善的敏感数据识别体系，明确哪些数据属于敏感数据，尤其是健康数据、宗教信仰等敏感类别的数据。对于涉及健康信息的数据，如医疗产品的订单信息，企业应采取更严格的保护措施，特别是对药品销售、健康监测类产品的订单数据，企业需要关注数据是否可能间接揭示消费者的健康状况。

3.避免数据的过度收集

数据处理的过度推测可能导致不必要的合规风险。中国企业应遵循“数据最小化”的原则，只收集和处理实现业务目的所必需的最少数据，并确保所收集的数据不会超出必要范围。

4.加强跨境数据传输合规性

中国企业若计划在欧盟市场销售产品或提供服务，需要关注跨境数据传输的合规性。GDPR对数据传输至非欧盟国家有严格要求，企业应考虑采取相关合规机制，以确保数据传输符合GDPR的要求。

作者简介

张婷
北京办公室 高级合伙人

业务领域：境内外争议解决、海外上市、国际并购与国际工程、境内外并购与资本市场、公司治理、外商在华投资家族办公室业务和国际融资等商事法律业务

邮箱：zhangting@dtlawyers.com.cn

郭毅佳
北京办公室 实习律师

业务领域：境外上市、跨境投融资并购、数据出境业务、公司治理

邮箱：guoyijia@dtlawyers.com.cn