Vendor De-Identification Case｜CJEU C-413/23 P 笔记

CJEU C-413/23 P 这起案件很值得记住，因为它回答了一个在供应商、外包、审计和咨询场景中反复出现的问题：同一份经过假名化处理的数据，在不同主体手里，法律性质会不会变化？

这份判决给出的答案是肯定的。法院并没有简单地说“假名化数据就是匿名数据”，也没有反过来说“假名化数据无论交到谁手里都一定还是个人数据”。它真正强调的是，个人数据的判断具有主体相对性。

Open Table of contents

一句话结论

同一份数据，对不同主体，可能具有不同的法律性质。判断接收方手里的数据是否仍属个人数据，要看其是否有合理可能重新识别数据主体；判断控制者是否履行了信息告知义务，则要回到收集时点，并从控制者视角出发。

在 Banco Popular 相关程序中，Single Resolution Board（SRB）收集了股东和债权人的意见，并将部分评论以假名化（pseudonymised）形式传给 Deloitte。部分数据主体随后投诉，认为 SRB 在收集数据时没有告知其这些数据会被传给 Deloitte。

EDPS 认为 Deloitte 仍然是个人数据接收方，因此 SRB 违反了 Regulation (EU) 2018/1725 下的信息告知义务。案件进入司法程序后，CJEU 在上诉阶段撤销了普通法院此前的判决，并将案件发回重审。

法院认为，普通法院此前把问题分析得太复杂了。既然相关评论表达的是作者本人的意见和立场，那么这些内容天然与作者有关，不需要再额外要求证明其内容、目的或效果与作者之间存在更强的联系。

这是本案最值得反复记的一点。CJEU 明确指出，假名化数据并不当然、也不必然对所有主体都构成个人数据。对于某个接收方而言，如果其没有合理可行的再识别路径，那么在该主体手中，数据主体就可能已经是“不可识别”的。

换句话说，问题不是抽象地问“世界上有没有人可以识别回来”，而是具体地问“这个主体是否有合理可能识别回来”。

法院同时强调，信息告知义务是控制者与数据主体之间的前端透明度义务。判断控制者是否履行该义务，不能只看第三方接收者最终拿到的数据是否仍可识别，而应当看控制者在收集数据的那个时间点、从控制者自己的视角来看，所处理的数据是否属于个人数据。

同一组数据，在掌握补充识别信息的人手里，可能仍是个人数据；在没有合理条件取得这些信息的人手里，则可能不再构成个人数据。

判断第三方手中的数据是否仍属 personal data，不能只做理论推演，而要综合考察以下因素：

核心不是“绝对不可能识别”，而是“是否存在合理可能性”。

即使接收方手中的数据可能已经不再构成个人数据，也不意味着控制者在前端的告知义务会自动消失。两者是相关但不同的问题，不能混为一谈。

如果控制者保留 re-identification key，而供应商、外包团队或咨询顾问只接触到经过强假名化处理、且没有合理再识别路径的数据，那么这些数据在接收方手中可能已经不再构成个人数据。

但这并不意味着控制者可以因此回避 GDPR 或 Regulation (EU) 2018/1725 下的前端透明度义务。控制者在收集阶段该告知的内容，仍然要告知。

这起案件没有把“假名化”直接等同于“匿名化”。它提醒我们，在评估去标识化效果时，不应只盯着标签，而要落到具体主体、具体权限和具体再识别路径上。

如果要把这起案件浓缩成一句适合培训或审计时使用的话，可以这样记：

看接收方时，问“他能不能合理识别回来”；看告知义务时，问“控制者在收集时拿到的是不是个人数据”。

下面三种理解都不准确：

更准确的理解是：

声明：本文总结表述由 AI 辅助生成，并经人工审核整理。