买球手机客户端(中国大陆)-官方网站入口

资讯洞察

欧盟法院对在线平台数据控制者责任的司法界定以X诉Russmedia公司案为例

2026-07-17
浏览次数:
返回列表

  原标题:欧盟法院对在线平台数据控制者责任的司法界定以X诉Russmedia公司案为例

欧盟法院对在线平台数据控制者责任的司法界定以X诉Russmedia公司案为例(图1)

  欧盟《通用数据保护条例》(以下简称《条例》)确立了个人数据处理的严格责任体系,其中数据控制者认定与数据保护义务履行是该制度的核心。欧盟法院在2025年12月对X诉Russmedia公司一案所作的判决中,就在线平台在何种条件下构成数据控制者,能否援引《电子商务指令》(以下简称《指令》)的中介免责条款进行责任豁免,以及是否应承担事前审查义务及安全保障义务等问题作出了重要解释。

  罗马尼亚公民X系该案中的数据主体,Russmedia公司系罗马尼亚境内在线平台,该平台为用户提供免费或付费的广告发布服务。2018年8月,匿名第三方在该平台发布了一则虚假的性服务广告,广告未经X同意使用了其个人照片、手机号码等个人信息,并将其描述为提供性服务的主体。X联系平台后,平台在1个小时内删除了买球官方网站该广告,但该广告已被完整复制并转载至其他多个网站。

  X以该广告违反个人数据保护规定,侵害其肖像权、名誉权、隐私权为由,向罗马尼亚克卢日-纳波卡初审法院提起诉讼,要求Russmedia公司承担损害赔偿责任。初审法院支持了X的诉讼请求,判令Russme⁃dia公司向其支付7000欧元精神损害赔偿。

  Russmedia公司对该判决提起上诉,罗马尼亚克卢日专门法院二审判决支持上诉,驳回了X的诉讼请求。二审法院认为,平台仅为广告提供托管服务,未主动参与广告内容制作,符合《指令》第14条规定的免责情形。此外,关于个人数据处理,二审法院指出,平台既不负有核查所传输信息的义务,也不负有主动搜寻具有非法外观的活动或信息的义务,Russmedia公司在收到X的请求后及时删除广告,已履行法定义务,无需承担赔偿责任。X不服二审判决,向罗马尼亚克卢日上诉法院提起上诉。

  因该案涉及欧盟《指令》与《条例》多项核心条款的解释以及在线平台是否是数据控制者及其责任的界定问题,罗马尼亚克卢日上诉法院决定中止诉讼,并提请欧盟法院就下列问题作出先予裁决。其一,此类提供存储和信息托管服务的在线平台,通过用户协议保留对平台内广告内容的复制、修改、翻译、转让、删除等权利的,能否适用《指令》的中介责任豁免条款;其二,此类在线平台是否负有在广告发布前核实广告发布者与广告中个人数据主体身份一致性的义务;其三,此类在线平台是否负有事前审核平台广告内容、排除可能非法或侵害他人隐私的广告的义务;其四,此类在线平台是否负有防止平台广告被非法复制、传播的安全保障义务。

  在线平台能否适用中介责任豁免条款,关键在于其是否构成数据控制者。欧盟法院首先明确,根据《条例》第4条第7款的规定,数据控制者是指单独或与他人共同决定个人数据处理目的与方式的主体,因此数据控制者并非必然指向单一主体,可能涵盖多个参与处理行为的主体,且多个主体对同一处理行为承担共同责任并不要求每一主体均能访问相关的个人数据,也不意味着多个主体需承担同等责任。任何为自身目的对个人数据处理施加影响、参与决定数据处理目的与方式的主体,均应被认定为数据控制者。

  针对该案中平台的行为,欧盟法院指出,案涉广告中的个人数据发布者即匿名第三方无疑是数据控制者,其直接决定了数据处理目的与内容,但Russmedia公司同样构成《条例》中的共同数据控制者,理由如下:一方面,Russmedia公司出于自身目的,对数据处理目的施加了影响。平台通过用户协议保留了对平台内广告内容广泛的复制、修改、翻译、转让、删除等权利,其并非仅为用户提供技术服务,而是为自身商业目的处理、利用相关数据。这一认定并不因其未参与决定匿名用户所追求的虚假、有害目的而受到质疑,且正是由于平台允许用户匿名发布广告才出现了此类事件。另一方面,Russmedia公司参与决定了数据处理方式。平台设定了广告发布的参数、展示形式、存续期限、内容分类等核心规则,对个人数据的传播方式与范围具有决定性影响。欧盟法院强调,即使平台未参与广告具体内容的制作,也不能排除其数据控制者身份。

  欧盟法院指出,数据处理的责任认定,应优先适用《条例》规则,《指令》规定的中介责任豁免规则不得减损《条例》为数据主体设定的保护规则,也不得免除平台基于《条例》应承担的数据控制者责任。因此,作为数据控制者的在线平台无法适用中介责任豁免条款。

  欧盟法院对平台是否负有事前身份核验及内容审查义务进行了合并审查。欧盟法院指出,《条例》第5条第2款及第24条规定了数据控制者的问责原则与合规义务,第25条进一步明确了数据控制者必须采取适当技术与组织措施,确保一般情况下个人数据未经授权不得向不特定自然人开放。当处理的个人数据属于敏感数据时,根据《条例》第9条的规定,数据公开必须获得数据主体的明确同意。此外,数据控制者必须确保所处理个人数据的准确性。为了有效落实上述规定,欧盟法院在判决中明确了在线平台的三项事前义务。

  第一,事前识别敏感个人数据的义务。在线平台作为数据的共同控制者,明知或应知用户可能在广告中发布敏感个人数据,有义务在数据处理以及确定处理方式即服务设计之时,甚至在涉及敏感数据的广告发布之前,实施适当的技术和组织措施识别此类广告。因此,平台有义务在广告发布前识别出包含敏感个人数据的广告,而非仅在收到侵权通知后采取事后措施。

  第二,事前核验广告发布者身份的义务。平台必须在广告发布前收集并核验广告发布者的身份信息,进而核实广告发布者是否为广告中敏感个人数据的权利主体。数据主体在平台发布包含其敏感数据的广告,方能构成《条例》第9条意义上的明确同意;当该广告由第三方发布时,则缺乏此类同意,除非该第三方能证明数据主体已明确同意发布该广告。

  第三,非法广告的事前拒绝发布义务。若平台经核验发现,广告发布者并非广告中敏感个人数据的主体,除非广告发布者能够证明数据主体已明确同意在该平台发布相关数据,或满足《条例》第9条第2款第b项至第j项规定的其他例外之一,否则平台必须拒绝发布此类广告。

  欧盟法院指出,《条例》第32条要求数据控制者需根据技术现状、实施成本、处理性质及风险程度等,采取适当技术与组织措施,防止个人数据的意外或非法损毁、丢失、篡改、未经授权披露或被访问等风险。敏感个人数据在线发布后,存在数据主体丧失数据控制权的风险,进而可能导致数据主体的数据删除权等权利在实质上落空。因此,平台作为数据控制者,有义务采取一切现有技术措施,防止已发布的包含敏感个人数据的广告被非法复制和传播。欧盟法院还指出,不能仅因广告被非法转载,就直接推定平台未履行安全保障义务,平台有权证明其已采取了与风险等级相匹配的技术措施。至于Russmedia公司是否履行了该义务,需由国内法院予以认定。

  综上,欧盟法院对前述问题的答复为:在线平台作为数据控制者,有义务在广告发布前采取适当技术与组织措施,识别含有敏感个人数据的广告,核实拟发布广告的用户是否为该敏感个人数据指向的主体,如无法证明数据主体明确同意或存在法定例外情形,应拒绝发布广告;在线平台还应采取适当技术与组织措施,防止已发布的敏感个人数据被非法复制和传播;平台如果违反上述义务,不得援引《指令》的中介责任豁免条款进行责任豁免。

  欧盟法院对在线平台数据控制者身份的实质认定及事前义务的明确,折射出平台责任制度从形式避风港转向实质治理的趋势,为各国法院处理同类纠纷积累了经验。

  首先,平台责任认定应突破“技术中立”的形式外观,遵循实质影响标准。平台不得仅以“技术中立”或“被动托管”为由否认其数据控制者地位。欧盟法院以平台通过用户协议保留对广告内容的广泛处置权、参与决定数据处理目的与方式为由,认定其构成共同数据控制者,突破了传统中介责任豁免的形式标准。司法机关应重点考察平台对数据处理各环节的实际控制力,避免因形式判断架空数据主体救济权利。

  其次,平台的事前义务并非普遍监控义务,而是基于风险场景针对监管义务的比例性强化。该案为平台确立了敏感个人数据发布前的识别、核验与拒绝发布义务,旨在将数据保护理念嵌入服务设计,而非苛求平台主动进行全面审查。这种义务设定遵循了比例原则,即数据处理行为风险越高,事前防范义务越严。敏感个人数据一旦公开,损害难逆。因此,平台在技术可行、成本合理的范围内应承担身份核验、内容审查等义务。

  再次,判断安全保障义务是否履行到位,应兼顾技术能力与举证责任的合理分配。平台不得仅以事后删除作为免责抗辩,须证明其已根据技术现状与风险等级采取了适当防护措施。欧盟法院也未将损害结果直接等同于义务违反,而为平台保留了举证空间。这种制度安排在强化主体责任的同时,避免将预防义务异化为结果责任,体现出过错归责与风险共担的制度理性。

搜索