作为一项具有里程碑意义的裁决,欧洲最高法院欧洲法院通过对欧盟的“被遗忘权”设置领土限制,使Google赢得了明显胜利。法院的介入 Google诉国家信息自由委员会(CNIL) 阐明,搜索引擎运营商有义务通过“取消引用”指向其个人数据的链接来满足个人的删除要求((从搜索结果中删除包含该个人数据的网页的链接)仅在GDPR下才需要取消引用其欧盟域上的结果(例如。, 法国的google.fr和意大利的google.it),以及 在其全球所有域中。

但是,在同一判决中,法院还指出,GDPR适用于Google在全球所有域中的数据处理(由于这种处理包含“单个处理行为”)。因此,欧盟成员国的监管机构和法院可以自由地将ECJ在欧盟范围内的取消引用要求视为“地板”,并且可以更进一步,要求搜索引擎在其全球所有域中实施被遗忘的权利,包括欧盟以外的国家。

背景–被遗忘的权利

被遗忘的权利-在 GDPR第17条-授予个人权利不被无故拖延地删除其个人数据,例如,出于收集或处理其目的不再需要这些数据。但是,权利不是无限的。如果认为为了行使言论自由,遵守法律义务,公共利益(例如公共卫生,科学研究或历史研究)或确立或抗辩法律主张而需要进行该处理,则适用例外。

欧盟数据保护指令95/46 / EC第12(b)条 (“指令”)授予了类似的权利(尽管略窄)。该指令要求成员国在处理个人数据不符合指令规定的情况下,保证个人有权获得更正,删除或阻止其个人数据。尽管GDPR取代了该指令,但法院审查了该指令和GDPR所提出的问题,因为该案起源于该指令仍然有效时。

案子

2014年,欧洲法院裁定 Google西班牙 SL,Google Inc.诉AtociaEspañoladeProtecciónde Datos 个人有权要求Google从Google搜索结果中删除指向包含其个人数据的网页的链接,即使在此类网页上发布此类信息也是合法的。这是 权利的显着扩展,因为即使授予了正确的信息,它也授予了权利。欧洲法院认为,由于搜索引擎可以更轻松地查找信息,因此搜索引擎运营商应对此负责(,是与搜索引擎结果相关的数据控制器)。因此,搜索引擎运营商应对其显示的内容负全部责任,并且个人权利要求在个人数据相对于个人而言不适当,不相关或过多时,从搜索结果中删除包含其个人数据的第三方网站的链接。处理目的。

Google通过使用地理位置数据将用户路由到其搜索引擎的相应国家版本,并且仅在其欧盟域中取消引用了相关搜索结果,对此做出了回应。法国数据保护机构CNIL随后对Google处以10万欧元的罚款,理由是Google应该取消引用搜索结果 其所有领域 全球范围。 Google向欧洲法院上诉。

法院的推理

法院与Google合作,认为该指令和GDPR都旨在确保整个欧盟范围内对个人数据的高度保护,并且“在所有版本的搜索引擎上取消引用都可以满足该目标,完整”,根据欧盟法律,目前没有义务这样做。取而代之的是,法院裁定,搜索引擎运营商仅需在其所有欧盟成员国域名上进行取消引用,而与产生删除请求的成员国无关。

法院在判决中强调,从指令或GDPR的案文中都看不出欧盟立法机构打算将被遗忘的权利伸延到域外。个人的数据保护权利不是绝对的,必须与其他基本权利相平衡,包括言论和信息自由。法院指出,欧盟立法机关仅对欧盟进行了这种平衡测试,其结果“在世界范围内可能会有很大不同。”因此,被遗忘的权利不一定在欧盟之外得到承认,并且根据欧盟法律,目前没有义务让搜索引擎在全球范围内取消对其搜索结果的引用。

但是,法院指出,尽管欧盟法律没有 要求 全局取消引用,同样不会 禁止 它。由于要由成员国来平衡个人权利与言论和信息自由(基于 GDPR第85条),则成员国的监管机构或法院可能会对全球取消引用产生不同的结论。

GDPR的域外适用性

尽管它似乎仅限于搜索引擎和被遗忘的权利,但法院的判决实际上要广泛得多。法院已经在2014年做出判决 Google西班牙 情况是,美国的Google搜索受GDPR约束,因为其活动与Google欧盟销售办事处的活动密不可分。在这种情况下,法院认为欧盟机构“打算在该搜索引擎提供的成员国广告空间中进行促销和销售,以使搜索引擎提供的服务有利可图。”出售广告空间使搜索引擎具有经济效益,而搜索引擎提供了执行广告活动的平台。结果,法院裁定Google在美国和欧盟的活动“密不可分”,因此GDPR直接适用于美国的Google。随后的问题是GDPR是否适用于在欧盟范围内处理的个人数据未解决任何域名,或针对Google在美国的所有处理活动(包括非欧盟域上的处理活动)。

欧洲法院似乎在回答这个问题 最新决定。欧洲法院裁定,尽管Google运营其搜索引擎的国家版本不同,但“整个搜索引擎仍必须被视为 进行个人数据处理的单个动作”,因为各个国家/地区版本之间都存在网关。换句话说,由于Google搜索引擎的国家版本被视为单个处理行为的一部分,因此GDPR不仅适用于欧盟版本,还适用于整个搜索引擎范围内的数据处理。这明确了法院的裁定,即欧盟国家监管机构和法院可能会进行自己的平衡测试,并且如果发现处理过程之间有着千丝万缕的联系,则有可能需要在欧盟以外进行引用。

该决定也可以在搜索引擎上下文之外应用。任何经营一项单一服务(从而构成处理个人数据的单一行为)并在欧盟设有机构的公司都可能面临GDPR将“污染”其所有全球数据处理业务的风险。但是,监管机构是否将执法重点放在全球个人数据处理上还有待观察。正如欧洲数据保护委员会(草案)所承认的那样 指导,GDPR的地域性原则(根据 第3(1)条)的应用范围不能太宽泛,因此,即使是到欧盟数据处理的远程链接也足以使该处理进入GDPR的范围。至少,监管机构极不可能将GDPR的这种域外实施作为优先事项。