上海邦信阳中建中汇律师事务所国际业务团队
编者按:欧盟《通用数据保护条例》(英文简称“GDPR”,德文简称“DSGVO”)号称有史以来最严厉的数据保护法规,而且因其长臂管辖将会对欧盟境外的企业施加广泛的影响。因此,全世界的企业与组织都在关注该条例在生效后的实施情况,尤其是出现相关争议后,欧盟国家的法院如何理解并适用该条例。比大家预想的要快,在GDPR于2018年5月25日生效后5天,全球首例GDPR法院裁决就出炉了。该裁决由德国波恩州法院第10民事法庭以裁定的形式作出,裁定的原告是互联网名称与数字地址分配机构ICANN(以下简称“ICANN”),它是负责全球网络域名系统分配的非营利性国际组织;被告是波恩EPAG Domainservices GmbH(以下简称“EPAG”),它是全球第二大注册商、纳斯达克上市公司Tucows在德国的子公司。在此裁定中,法庭驳回了ICANN请求颁布临时禁令的申请。
第一部分:裁决述评
争议缘由
在2014年1月22日,ICANN与EPAG订立了最新的《注册商授权协议》(RAA)。根据该协议,EPAG负责分配特定的次级域名,但同时需收集注册和存贮域名所有人的数据以及技术联络和行政联络的数据。
在相当一段时间内,EPAG都是按照RAA协议做的。但是由于欧盟的《通用数据保护条例》的即将生效,EPAG担心如果它继续收集注册域名的技术联络和行政联络数据会违反GDPR,尤其是其中的第5条第1款第c)项,因此,EPAG决定在分配域名时不再收集技术联络和行政联络的数据。
EPAG此举自然引起了ICANN的不满,ICANN要求EPAG继续收集技术联络和行政联络的数据。双方在沟通未果后,ICANN在GDPR的生效当日向波恩州法院申请临时禁令,请求法院禁止EPAG在分配域名时放弃收集技术联络和行政联络的数据。法庭也于2018年5月29日通过裁定的方式,驳回了ICANN请求颁布临时禁令的申请。
EPAG的担心:巨额的罚款
EPAG担心如果其继续收集技术联络和行政联络的数据,会违反GDPR第5条第1款第c)项规定。在我们看来,EPAG的担忧很有现实紧迫性,因为依GDPR的第83条第5款第a)项的规定,如果数据控制者违反该条例的第5条,可能被处罚2000万欧元或全球4%的营收(以较高者为准)。
从目前的情况来看,EPAG很可能被认定为数据控制者。虽然EPAG是按照它与ICANN的合同来收集和存贮个人数据的,貌似符合数据处理者的定义,但是基于以下两点考虑,EPAG很可能被认定为数据控制者:
(1)它按照合同约定与ICANN分工协作进行数据处理:EPAG负责收集和存贮个人数据,ICANN负责公开个人数据,换言之,它与ICANN是共同的数据控制者( GDPR第26条第1款);
(2)EPAG负责收集的数据是存贮在自己的电子信息系统中的,并时时更新。
在EPAG很可能被认定为数据控制者的情况下,如果其收集技术联络和行政联络的数据又被认定为违反GDPR第5条第1款第c)项的话,那么EPAG很可能被处以2000万欧元或全球4%的营收(以较高者为准)的罚款。
波恩州法院对此案的管辖权
虽然ICANN和EPAG在RAA合同中约定了仲裁条款,依此条款,在临时权利保护方面,“仲裁法庭或在美国加州洛杉矶的某个法院(这并不意味着放弃仲裁条款)”有管辖权。但是,法庭认为,就此案件所涉及的临时权利保护问题,在仲裁庭所在地的法院是无法获取临时保护的,因此,法庭依一般规则认定自己有对申请临时禁令的管辖权。
本案的焦点问题
依据ICANN与EPAG订立的RAA合同,虽然EPAG有义务收集注册域名的技术联络和行政联络的数据,但依德国民法第242条规定的诚信原则,该合同义务只在与适用的法律和规定相一致的情况下才须遵守;换言之,就此案而言,只有当EPAG收集技术联络和行政联络的数据不违反GDPR时,其才有义务继续收集此类数据, ICANN才有正当理由向法庭申请颁布临时禁令,以禁止EPAG在分配域名时放弃收集此类数据。因此,本案的焦点问题是EPAG收集技术联络和行政联络的数据是否与GDPR的规定相符合,尤其是否与该条例的第5条第1款第c)项相符合。
体系解读GDPR第5条第1款第c)项
那么,GDPR第5条第1款第c)项到底说了什么?依该项规定,个人数据必须是“是适当的、显著的以及受限于为数据处理目的的必要范围内的”,即数据处理必须符合数据最小化原则,不能为了特定目的而收集冗余的数据。比如为确定一个区域的男女人口比例的目的,只需要收集该区域的自然人的性别数据,而不能再收集自然人的姓名、年龄等数据,否则就违备了数据最小化原则。
而要判断在实现特定目的时数据处理是否符合数据最小化原则,就需要依GDPR第5条第1款第b)项规定确定数据处理的目的;依该项规定,个人数据只被允许“为了确定的、清晰的和合法的目的而被收集”(目的约束原则)。
因此,从体系上讲,GDPR第5条第1款的b)项和c)项规定是相互关联的:当数据处理的目的被确定时,就可依此目的来判断数据处理是否符合数据最小化原则;相应地,当以数据最小化的原则来描述数据处理的目的时,此目的应当是确定的,不可随意选择或更改。因此,通常在法律适用中,在引用GDPR第5条第1款第c)项时,也应当一并引用该款第b)项。我们看到,法庭在裁定中也是一并引用GDPR第5条第1款的b)项和c)项,这符合通常理解的做法。
收集技术和行政联络数据有没有违反GDPR?
▋(一)法庭的态度
法庭在裁定中驳回了ICANN对临时禁令的申请,但对于实质性的法律判断,即EPAG收集域名注册的技术联络和行政联络是否会违反GDPR,法庭实际上是采取了回避的态度,它并没有回答此问题。法庭驳回ICANN申请的理由实际是,ICANN请求颁布临时禁令的申请不具有说服力,即ICANN在申请中的理由未达到可信的程度。法院采取如此迂回的方式,其目的很可能是避免由此形成不成熟的判例类型。
▋(二)法庭驳回申请的理由
ICANN在申请中认为,为实现其目的,收集注册域名的技术联络和行政联络的数据是绝对必要的,因此符合GDPR的第5条第1款第b)项和第c)项规定。而法庭则在裁定中认为,ICANN在申请中的论述没有达到有说服力的程度,并因此驳回了ICANN的申请。
以我们的总结来看,基于以下三个方面的考量,法庭认为ICANN的申请不具有说服力:
1. 网络域名的所有人很可能也是该网络的技术联络和行政联络人员,此时,收集域名所有人的数据与还收集技术联络和行政联络的数据相比,两者没有区别。
2. ICANN和EPAG都承认,网络域名所有人、技术联络类和行政联络类的数据都为实现同样的目的(即鉴别身份的目的)而被收集,而为实现此目的,收集和存贮网络域名所有人的数据就已足够;并且注册人过去只提供域名所有人的数据也不会导致域名注册失败。
3. ICANN认为收集这些数据是为了管理刑事、其他违法和安全问题的目的,但它自己也说收集技术联络的数据是为了解决(纯)技术问题的目的,而后者与安全问题的目的没有直接关系,即为实现安全目的不需要收集技术联络的数据。
基于此三点理由,法庭认为它无法理解收集技术联络和行政联络的数据是如何符合数据最小化原则和目的约束原则的。
此外,法庭还简要引用了数据处理的自愿原则(GDPR第6条第1款第a)项),即为一定目的的数据处理应当取得数据拥有者的事先同意。同时,法庭认为,在未来收集技术联络和行政联络的数据也应取得域名注册人的事先同意。
▋(三)Boss&Young对法庭态度的理解
在法庭的裁定中,虽然不能得出收集技术和行政联络数据违反GDPR的结论,但从法庭驳回ICANN的申请理由来看,法庭其实为ICANN的申请设定了十分高的证明负担;换言之,只要当ICANN在申请中通过非常完整、详尽和有说服力的说理,来论证收集技术联络和行政联络的数据符合GDPR的相关规定,法庭才有可能同意ICANN对临时禁令的申请。而如果法庭从一开始就倾向于赞成ICANN的观点的话,它在临时禁令程序中其实没有必要为ICANN设置如此高的证明负担。
大概ICANN也感受到了法庭的此种态度,因此,它在6月13日提交的申诉书中表示,如果法庭对GDPR的相关规定存在理解问题,法庭应当提交欧盟法院来解释GDPR的相关规定。
Boss&Young将持续关注案件进程
在法庭做出此裁定后,ICANN立即提出申诉,并于6月13日提交了申诉书。而最新的信息显示,波恩州法院在重新考虑它所做的裁定,但这并不意味着它认为它所做的裁定是错误的。原被告两方都是世界知名的企业和组织,此案的争议因此将会持续很长时间。关于此案的进展,Boss&Young将持续关注,并适时进行分析。
裁决对中国企业的启示
对中国企业来讲,该案显示了在GDPR合规和争议解决方面一些需要注意的信息:
1. 在GDPR的合规与争议解决中,不应只关注GDPR规定本身,要注意GDPR与其他基本法律,尤其是与民法、商法的相互关系;
2. GDPR是由欧盟颁布的,而欧盟国家是大陆法系国家,因此,在如何理解和适用GDPR的问题上,如何进行GDPR合规,都需深刻理解大陆法系国家的法律与法律适用的特点。在此案中,ICANN和EPAG的RAA合同规定不可谓不详尽,但法庭基于大陆法系的法律适用规则,依然以德国民法第242条来限制了EPAG的合同义务;换言之,RAA中的很多约定其实很可能是没有任何法律效果的。
同时,我们也看到,GDPR生效时间不长,在GDPR的理解与适用问题上,有较多不确定性,而欧盟国家的法院、国际大型企业或组织对此也会有较多争议。在此不确定的背景下,中国企业应当采取更谨慎、更小心的态度来对待GDPR的实施,必要时咨询熟悉欧洲大陆法系和英美法系、又深刻了解GDPR的专业法律机构。
Boss&Young国际业务团队决定在此将裁定全文译出,供读者更好地了解与研究此案,并在最后附上裁定的德语原文。
第二部分:裁定全文翻译
(以下译文由本所国际业务团队成员、德国柏林洪堡大学胡峰博士依德语裁定原文译出,翻译中的原告指ICANN,被告指EPAG,欧盟《通用数据保护条例》的德语简称为“DSGVO”,“[]”中的内容是译者为方便了解而添加的)
裁决要旨:
原告于2018年05月25日提出的颁布临时禁令的申请被驳回,并由原告承担费用。
案件争议价值确定为5万欧元。
裁决正文:
I. [案情与诉求部分]
原告要求颁布临时禁令,以禁止被告在由其分配的互联网域名中放弃(附加)收集技术和行政联络的数据。
原告是一个公益组织,为确保一个清晰的网络识别系统的稳定、安全运行,由它来协调分配单一网络名称与地址的分配。这其中特别包括网络域名系统的分配。在此职能中,原告与其他组织订立了关于顶级域名分配和 — 在此有争议的 — 在各顶级域名中的次级域名分配的合同。原告具体分配的各个顶级域名可见附件AS 1。
在“WHOIS”服务下,出于鉴别身份的目的,收集和存贮与首次登记相关的数据,并在一个可公共访问的门户网站上公开。
被告作为原告的所谓“授权注册商”,依其与原告订立的合同,有权在一个已通过独立合同分配的顶级域名之下向自愿注册人分配次级域名。
双方于2014年1月22日签订了合同 “注册商授权协议” (见附件AS 4,以下简称RAA ),在该合同的3.4项中 — 依据由原告提供的对原版英文合同的翻译 — 规定了如下内容:
“3.4.1 对每个通用顶级域名(gTLD)内的、并由注册商资助的已注册域名,注册商必须在自己的电子数据系统中即时收集和确定:
3.4.1.2 在3.3.1.1至3.3.1.8项下所列出的数据;”
相关项的内容是:
“3.3.1.1 已注册域名的名称
3.3.1.2 域名的主要名称服务器和辅助名称服务器的名称
3.3.1.3 注册商的身份(此数据可由注册商的互联网址来体现)
3.3.1.4 首次注册日期
3.3.1.5 注册的结束日期
3.3.1.6 注册人的名称与地址
3.3.1.7 已注册域名技术联络的名称、地址、电子邮箱、电话以及(如果有的话)传真号码
和
3.3.1.8 已注册域名的行政联络的名称、地址、电子邮箱、电话以及(如果有的话)传真号码”
在RAA的3.7.2项下,规定了注册商应当遵守适用的法律和国家的规定。
依据此RAA合同,作为注册商的被告向自愿注册的第三人(包括自然人与法人)分配网络域名。到目前为止,依据上述给出的合同约定,除了域名所有人的联系数据外,被告还收集(并存贮)了(部分为技术联络、部分为行政联络的)其他个人数据。现在,在即将生效的DSGVO的压力下,被告向原告声明,在以后的域名分配中,其只收集域名所有人的数据,并放弃收集技术和行政联络的数据。
原告认为,被告也有收集技术和行政联络数据的合同义务。这些数据为实现原告的目的是绝对必要的。这也并不违反即将生效的DSGVO。因为被告已声明它现在想改变以往的实务,所以[为申请临时禁令所须具备的]紧迫需要的条件已经齐备。
原告申请,
以临时禁令的方式,在限度为25万欧元的秩序金(Ordnungsgeld)的威慑下,要求被告禁止做以下事项:
作为ICANN的授权注册商,在涉及附件AS 1中的每个通用顶级域名时,当注册人想通过被告注册次级域名时,向注册人提供和/或注册次级域名,但同时并没有收集如下数据:
各个域名技术联络的名称、地址、电子邮箱、电话以及(如果有的话)传真号码;
和/或
各个域名行政联络的名称、地址、电子邮箱、电话以及(如果有的话)传真号码。
此临时禁令无须事先的口头协商程序,因特殊的紧迫性,可由法院主席代替程序法院颁布。
在被告提交的保护函的范围内,其申请驳回临时禁令的颁布。
被告认为,收集(和存贮)行政和技术联络的个人数据,违反了于2018年05月25日生效的DSGVO,尤其是违反了其中与第25条相关联的第5条第1款第c)项的规定,因此不再是法律所允许的;而且,在与原告订立的有争议的合同中,也规定了被告应当遵循适用的法律。
关于事情和争议情况的细节,已经提示了原告提交的申请函(连带附件)和被告提交的保护函。
II. [法庭裁判部分]
1.
波恩州法院对颁布临时禁令的申请有管辖权。虽然双方在争议的RAA合同的5.8项下约定了仲裁条款,依此仲裁条款:
“为支持仲裁程序和/或为保护双方在仲裁期间的权利,双方有权在仲裁法庭或在美国加州洛杉矶的某个法院(这并不意味着放弃仲裁条款)要求临时的权利保护。”
但是,在约定仲裁法庭所有地的国家法院,部分无效在临时的权利保护方面是完全没可能的,因此,在依照一般规则有管辖权的国家法院仍然有管辖权(vgl. OLG Köln GRUR-RR 2002, 309)。
2.
虽然允许原告提出颁布其希望的临时禁令的申请,但该申请已被驳回,因为该申请被证实为是无根据的(unbegründet)。[原告对]禁令的请求缺乏说服力(nicht glaubhaft gemacht)。
虽然原告能形式化地引用其与被告订立的合同,尤其是引用RAA合同中与3.3.1.7和3.3.1.8项内容相关联的3.4.1项内容,依此合同项,除了注册人的数据外,还应当收集(和存贮)技术联络和行政联络的其他数据,这也符合迄今为止的被告的实务。合同同样也包含了一个 — 普遍有效的 — 规定,即作为注册商的被告应当遵守适用的法律和规定。在此背景下,依德国民法第242条,只有在合同约定与适用的法律相一致的范围内,原告才能要求被告信守合约。
本法庭认为,以DSGVO的第5条第1款第b)和第c)项的规定来衡量,依此规定 — 无争议地至少会部分涉及到这些 — 个人数据仅被允许“为了确定的、清晰的和合法的目的而被收集”(b)项)和必须“是适当的、显著的以及受限于为数据处理目的的必要范围内的”(c)项),同时也考虑到DSGVO的第6条第1款,原告在前述意义上的(收集数据的)足够必要性是不可信的。
[原告认为]除了存贮域名所有人的个人数据(此数据无争议地像以前一样被收集和存贮)外,存贮其他个人数据对实现原告的目的来讲是绝对必要的(unabdingbar notwendig)。原告的此种观点缺乏说服力。虽然显尔易见的是,与仅仅知道域名的一般负责人的数据相比,[收集和存贮]更多的数据能更有效地鉴定域名背后的人的身份,能更有效地与这些人取得联系。但是,对相关网站内容负责的人是已经或将要注册域名的所有人,此人不一定与技术联络和行政联络类别的人员不同,换言之,此人可以集各种职能于自己一身。
由原告保障的一般利益,首先涉及(由原告管理的)刑事相关的或其它应当被惩罚的违法行为或安全问题。就此而言,本法庭认为,此[原告管理这些一般利益的]需要仅仅通过收集和存贮自愿注册的域名所有人的数据就可满足(同时就此而言,本法庭并不理解,与对技术联络和行政联络相比,对域名所有人,为什么就会是收集了更少的数据)。本法庭也不能认识到,在数据节省原则的背景下,为什么在此除了主要负责人的数据外,其他数据也是必要的。无论如何,在涉及技术联络的事项上,原告自己也讲关键是(纯)技术问题的解决,但这些问题与处于显著位置的安全问题相比,自然只能处于间接的关系中。
主要应当考虑的是,双方对此一致主张,至今每次在全部三个类别(即域名所有人自己、技术联络类、行政联络类)都可以使用同样的数据;这就是说,在自愿注册人适当输入时,只会收集和存贮一种数据,而不是三种数据,这在过去也绝不会导致域名注册因缺乏(域名所有人以外的)数据而必须停止。如果这在过去是可能的并且应当继续是可能的,这恰好是一个证据,用以证明(对实现原告的目的来讲)可能的在域名所有人数据之外的 — 与其不同的 — 数据至今也不是必须的。如果这些数据在真正意义上是必要的话,人们也不能够事先放弃它们;相反地,人们应该使[域名]注册依赖于[注册人]输入内容不同的数据,否则就不批准注册。在过去,自愿注册人事实上也可选择提供 — 不同于域名所有人联系数据的 — 技术和行政联络的联系数据(而且对被告来讲,这也不是注册的绝对必要前提),就此点而言,如果自愿注册人在未来事前同意收集和存贮相关个人数据,这将导致他能够自愿告知此事前同意(DSGVO的第6条第1款第a)项以及RAA协议的7.2.2项)— 对此,他在从前也已经不是被强制的了。
与此同时,这与被告是否正确地提供(未输入不同联系数据的)域名所有人的数量完全不相干。
原告以“WHOIS”系统与关于商标索引(Markenregister)的国际协定的相似性为理由,来支撑它的禁令请求。就此而言,本法庭不能同意。因为在原告适用的“WHOIS”服务方面,以国际协定为基础的商标索引的法律基础是缺乏的。在此,各种类的一般保护需求的根本可比较性(grundlegende Vergleichbarkeit)改变不了什么。
3.
依德国民事诉讼法第91条第1款来确定诉讼费用的裁判。
III. [案件争议价值]
争议价值限定为5万欧元。原告自己作为公益组织,对其所声称等级的经济损害,其在申请中并没有任何说明,这造成的结果是,本法庭在缺乏其他线索的情况下以确定的显著低的价值为前提。
第三部分:裁定原文
声明:本文来自邦信阳中建中汇,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
