EDPS vs SRB：欧盟法院重新界定假名化数据的“个人数据”属性

今天和大家分享的是公号君的EDPS诉SRB上诉案（C‑413/23 P）的一点解读

导语

2025年9月4日，欧盟法院第一法庭在EDPS诉SRB上诉案（C‑413/23 P）中判决撤销欧盟普通法院于2023年作出的裁决，并将案件发回普通法院，就此前未审理的第二项诉讼理由继续审理。该案以适用于欧盟机构的数据保护框架（2018/1725号条例）为背景，但法院明确此保护框架应与GDPR同一解释。

总的来说，这一判决提供了一个重要而细致的框架：假名化数据是否属于“个人数据”，应采取接收方视角，并取决于具体情境与主体；控制者在收集时点的透明度义务不因后续假名化或接收方的不可识别而减轻；而意见、评论等主观信息天然“有关”其作者，通常构成个人数据。

一、案件概况与程序走向

SRB在对西班牙大众银行处置后的补偿程序中，组织了“登记—咨询”两阶段的陈述意见流程。SRB将咨询阶段收集的评论在以唯一代码标识、与身份数据分离的条件下，传送给其外部评估方Deloitte，用于对估值意见的技术审查。多名参与者投诉称，SRB未在当时的隐私声明中告知Deloitte为可能的接收方。EDPS据此作出决定，认定SRB违反了2018/1725号条例第15条的信息告知义务。SRB诉至普通法院并获支持。EDPS随后上诉后，此次CJEU就上述做出了判决。欧盟法院撤销普通法院判决，就“这些信息是否为个人数据”作出重要澄清，并将涉及“良好行政”之第二项主张发回普通法院审理。

二、核心法律争点

第一，“个人数据”的“有关（relates to）”要素：参与者提交的评论是否天然与其作者“有关”。

第二，“可识别性（identifiability）”如何判断：在假名化场景下，数据对不同主体是否仍属个人数据。

第三，透明度义务的评估视角与时间点：控制者是否可以以“对接收方而言并非个人数据”为由，免除收集时的接收方告知。

三、裁判要旨与适用规则

（一）意见/评论天然“有关”其作者

法院重申，“个人数据”涵盖任何信息，包括主观意见与评价，只要与自然人有关。对于本案中的评论，作为个人思想的表达，它们必然与作者紧密相连，不需再额外检验目的或效果，即满足“relates to”要素（判决第54–60段）。这一点与Nowak案的思路一致：批注与意见既与被评估者有关，也与作者本身有关。

（二）可识别性与假名化：主体与情境依赖

首先，假名化并不等同于匿名。条例第3(6)条将假名化界定为风险降低的技术/组织措施，其本身并非“个人数据”的定义要件。是否构成个人数据，仍取决于数据主体对特定主体而言是否“可识别”（第71–75段）。

对控制者而言，假名化后的数据通常仍是个人数据。原因是控制者保留“附加信息/密钥”，能够将评论与具体个人重新关联，因此对控制者而言，假名化后的评论仍具可识别性（第76段）。

对接收方而言，假名化数据可能不是个人数据。如果有效的技术与组织措施确实阻断了接收方在“合理可能”的条件下进行再识别（考虑成本、时间、技术发展等客观因素），则对该接收方而言，数据主体“不再可识别”，因此其手中的数据可能不属于个人数据（第77、79–82、86–87段）。

但“再个案化”的警示仍在。若将这些数据提供给具备合理可识别手段的第三者，或接收方获得可与其他信息交叉匹配的能力，数据将重新落入“个人数据”的范畴（第84–85段）。因此，这一判断具有持续性与动态性。

（三）透明度义务的评估视角与时间点：控制者、收集时

就收集时的告知义务（2018/1725号条例第15(1)(d)条，GDPR第13条对应），法院给出明确三点：

第一，评估视角在控制者。判断“是否需告知接收方”，应当站在控制者的角度（第111段）。

第二，评估时间点在收集时。控制者在取得数据的当时即应履行告知，不取决于未来是否、以及以何种形态（包括假名化）对外分享（第102–109段）。

第三，不因接收方“可能不可识别”而免责。即便对接收方而言数据可能并非个人数据，控制者的收集时告知义务依然存在（第112–115段）。本案中，SRB未在隐私声明中载明Deloitte为可能接收方，构成违反。

四、规范意涵与与既有判例的协调

法院在多个近年判例的脉络中安放本案规则：一方面维持“个人数据”内涵的广泛性（OC v Commission、IAB Europe等），另一方面在Breyer、Gesamtverband等案件关于“可识别性”的技术与现实可能性分析基础上，引入“主体—情境”敏感的判断。重要的是，法院再次强调2018/1725与GDPR的同解原则，确认本案规则对私营部门具有普遍指引意义。

五、此判决下的合规注意事项

（一）对控制者而言

透明度要求前移落实至收集时。隐私声明需在收集时充分披露潜在接收方或接收方类别，并覆盖流程各阶段（如本案的登记与咨询两个阶段）、具体用途、保留期限、权利救济、是否为法定/合同必填及不填的后果。

假名化不等于可少告知。即使后续分享的是假名化数据、且接收方或许无法识别，控制者也不得以此为由省略接收方披露。

动态“可识别性”评估。对每一位潜在接收方进行“合理可能识别”评估（成本、时间、技术、外部数据可得性），并形成记录。情形变化（新数据源、技术升级、组织变动）时应复评。

技术与组织措施落地。严格分离附加信息，控制访问权限，采用密钥管理、访问日志与审计机制，确保接收方无法实际获得再识别手段。

合同治理与再转移控制。与接收方签署明确的再识别禁止、目的限制、保密与再转移条件条款，并要求接收方下游同等约束，避免因后续流转触发“重新成为个人数据”的风险。

角色认定谨慎。顾问/评估方（即Deloitte）在具体项目中可能被界定为“接收方”而非“受托处理者”，角色不同影响告知与责任配置。应在事实与合同安排上自洽。

（二）对接收方而言

即便主张对自身而言数据不构成个人数据，也应配备充分的技术与组织措施证明无法在合理条件下再识别，并接受审计。

警惕数据拼接。任何引入外部数据或增强分析能力的行为，都可能改变“可识别性”判断，使持有数据落回GDPR适用范围。

透明与问责。与控制者约定清晰的用途、保留、安全要求；对研究发表、成果共享、下游合作要进行再识别风险预先评估。

六、初步的讨论

本案的重要性在于它拒绝了“假名化数据一概属于个人数据”的绝对化表述（即采取了接收方视角），同时并未给控制者的合规义务“松绑”。规则的真正落点是主体与情境的敏感：对控制者而言，假名化数据通常仍属个人数据，收集时的透明度与合法性基础不可缺位；对接收方而言，在切实、可验证地排除“合理可能”再识别的条件下，数据可能不构成个人数据，但这一状态并不牢固，随技术、数据与组织情境的变化而变化。对于希望在合法合规框架下开展数据共享与协作的机构而言，本判决既提供了边界，也提出了更高的精细化治理要求。

有必要再突出一下控制者与接收方的“视角差异”。根据CJEU在C‑413/23 P案中的阐释，判断数据是否为“个人数据”，关键取决于特定主体能否在“合理可能被使用的手段”下识别到数据主体（参见判决第71–77、79–82、86–87段；并与Breyer、OC v Commission、IAB Europe、Gesamtverband等判例一脉相承）。这一点在数据流转中尤为突出：同一份数据，对掌握“附加信息/密钥”的控制者而言，几乎总是个人数据；但对不掌握附加信息、且受有效技术与组织措施约束的接收方来说，数据有可能处于该接收方视角下的“非个人数据”状态。该结论与判决强调的“主体依赖”和“情境依赖”高度吻合：并非抽象地讨论数据本身，而是在特定主体的能力、权限、可获得资源与约束下，做“能否识别”的实质判断。

但接收方应高度关注“非个人数据”状态的成立条件与脆弱性。首先是成立条件。接收方要主张其手中的数据不构成个人数据，必须满足两类约束：一是“不能取得或解除”控制者保留的附加信息（例如密钥、映射表、注册资料）；二是在自身可及的外部资源与工具范围内，无法通过合理手段（成本、时间、技术）把样本与特定自然人关联起来。CJEU强调，这些措施必须“实际到位”，足以阻断可识别性，而非停留在形式安排（参见第77段）。其次是脆弱性。此“非个人数据”的状态对接收方而言并不稳固。只要情境改变（例如接收方新获得辅助数据集、引入更强的分析工具、改变访问与输出策略，或数据进一步转移给第三方），便可能落回个人数据范畴（参见第84–85段）。这意味着“非个人数据”的判断应视为暂时性、条件性结论，需要持续校验。

进一步，在AI场景中，技术演进的“倒灌效应”与“合理可能性”阈值的动态上移值得高度关注。欧盟法强调在判断可识别性时，应考虑“处理时可用的技术与技术发展”（2018/1725号条例序言第16段；C‑413/23 P第79–82段）。这意味着“合理可能使用之手段”的边界并非静止，而是随技术供给、成本与时间变化而调整。生成式AI、图谱推理、向量检索、跨模态匹配等能力的快速普及，会把过去被视为“不切实际”的再识别技术，推向“合理可能”的区间。

典型“倒灌”路径包括：（1）工具层的普及化。原本仅在科研或安全领域出现的高阶去匿名化与链接分析能力，被整合进通用平台或开源工具，显著降低门槛与成本，改变“合理可能”的判断。（2）数据层的外溢积累。开放数据集、抓取语料、泄露样本、商业数据集等不断累积，丰富了可被接收方接触的“拼图”，使拼接识别成为可预期选项。（3）算力与基础设施商品化。云端GPU/TPU及向量数据库的托管服务，缩短了从“技术存在”到“可商用、可支付”的距离，降低时间与成本要素。（4）模型能力外推。大模型的跨域联想与模式捕捉提升，配合检索增强与工具使用能力，可能在低提示成本下重建或逼近身份线索。

对“非个人数据”判断的冲击存在以下方面：（1）时间敏感性。今天在评测方视角下难以再识别的数据，可能在短期内因工具与数据生态变化而进入“合理可能”区间，从而丧失“非个人数据”的地位。（2）复合风险。单一维度看似安全的数据，在多源链接与模型辅助下变得易于“单一化”或“可归属”，这要求从“整体攻击面”出发评估，而非逐项割裂评估。（3）监管与举证。随着能力门槛下移，要求控制者与接收方证明“不可识别”的负担加重，需要更详尽的技术—组织证据链与操作性控制。

为此，需要将“可识别性评估”纳入周期性技术监测的实现路径。一是设立能力与数据监控清单。对外部可获得的再识别工具、库与平台建立监控机制；对本单位新增数据源、分析能力、合作方变化建立变更台账。为每类数据维护“威胁模型卡”与“可识别性评估卡”，定期更新。二是设定复评阈值与触发器。包括但不限于：引入新算法/模型、升级到具有链接分析能力的工具、获取含身份线索的新数据集、成本—时间—准确性阈值被突破、发现模型输出含高置信度个人属性或近原样片段。三是技术缓释与策略切换。针对监测结果，动态调整数据最小化策略、提高脱敏强度（例如增大差分隐私噪声预算、降低粒度、扩大k‑匿名群组）、改用合成数据或安全查询接口（仅返回聚合统计）。

C‑413/23 P判决将“可识别性”评估牢牢锚定在主体与情境之中：同一份数据，对控制者与接收方可能得出不同的法律定性；但控制者在收集时的透明度义务不因接收方“暂时不可识别”而减轻。随着生成式AI与链接分析能力的迅速演进，“合理可能”的边界持续外扩，“非个人数据”的判断更需要周期性、证据化与可审计的技术监测与复评机制。对于希望在可用性与合规之间取得平衡的机构而言，关键不在于一次性“把数据变成非个人”，而在于建立可持续运转的识别风险治理体系，使每一次训练与评测都在最新的技术现实与法律标准下被重新验证并被稳健约束。