奥地利最高院判决：用户享有全量全面个人数据访问权

12 月 18 日，奥地利最高法院裁定 Meta 的个性化广告模式非法，要求公司在用户请求后 14 天内向欧盟用户提供其个人数据的全面访问权。

这一决定树立了整个欧盟的法律先例。

该裁决要求 Meta 不仅披露原始数据，还要披露其来源、接收者和目的的详细信息。法院认定 Meta 违反了欧盟《通用数据保护条例》（GDPR），在未经“具体、知情、明确且自由提供”的个人广告同意的情况下，从第三方应用和网站收集用户数据并处理敏感信息。

该案由马克斯·施雷姆斯于 2014 年提起，最初持续了 11 年，三次进入奥地利最高法院，两次进入欧洲法院审理。施雷姆斯先生获得了 500 欧元的赔偿金。

需要 11 年，3 次最高法院和 2 次欧洲法院裁决。整个案件持续了 11 年。维也纳最初的地区民事法院（Landesgericht für Zivilrechtssachen）曾两次拒绝受理此案，甚至辩称施雷姆斯先生并非其私人 Facebook 账号的“消费者”。后来，它指出 GDPR 管辖权存在不确定性。奥地利最高法院对此案作出了三次裁决，其中包括两次将案件提交至欧盟法院。虽然费用的最终裁决尚未确定，但迄今为止，总诉讼费用已超过 20 万欧元——涉及约 500 欧元的经济索赔。

原告的一项核心诉求（诉讼请求第11点）是要求被告在14天内，以书面形式免费提供其处理的所有关于原告的个人数据，并说明处理目的、数据接收方以及数据来源。法院最终支持了这一诉求，并就数据访问权的范围和性质做出了详细的阐释。

根据法院认定的事实，原告曾于2019年依据GDPR第15条向被告提出信息访问请求。作为回应，被告仅将原告引导至其在线工具，而这些工具：

“仅提供了其处理的关于原告的部分数据，即被告认为与用户相关且有趣的数据。” ( “[…] only provides part of the data it processes about the plaintiff, namely only that which it considers relevant and interesting for the user.” [166])

法院认定，被告并未在诉讼过程中补全这一信息缺口，其提供的所谓信息来源清单仅是“示例性的”，远未达到GDPR要求的“精确、透明、易于理解和访问”的标准。因此，被告未能履行其在GDPR第15条下的信息披露义务。

奥地利最高法院确认了下级法院的判决，即原告的信息访问权是正当的。法院的判决强制要求被告：“有义务在14天内，以书面形式免费向原告提供其已处理的关于原告的所有个人数据的完整信息，说明每次处理的确切目的、可能的具体来源，以及在适用的情况下，数据的确切接收方，否则将采取强制措施。” (The defendant is obliged to provide the plaintiff, within 14 days, in writing and free of charge, with complete information about all of the plaintiff"s personal data processed by it, stating the exact purpose in each case, the exact origin where possible, and, where applicable, the exact recipients of the data, failing which enforcement measures will be taken. [151])

法院的判决理由深入探讨了GDPR第15条规定的数据访问权的范围和目的，关键论点如下：

“个人数据”的宽泛定义：法院重申了欧洲法院的判例，即“个人数据”一词必须被广义解释。它不仅包括控制者收集和存储的数据，还包括“因处理个人数据而产生的关于已识别或可识别个人的所有信息”。这意味着，即便是通过算法分析、聚合或推断出的关于用户的信息，只要与该用户相关，也属于必须披露的范畴。

访问权的完整性：法院明确指出，数据主体有权要求获得“所有个人数据”的信息。被告不能自行筛选其认为“相关”或“有趣”的数据进行提供。法院引用判例强调，即使数据控制者处理大量关于数据主体的信息，虽然可以要求数据主体指明其请求的具体范围，但这并不能成为拒绝提供完整信息的理由。数据主体完全有权要求访问所有存在的数据和元数据。

“数据主体始终有权要求获得所有个人数据及相关信息，前提是不存在GDPR中规定的排除理由。” (The data subject always has the right to request information about all personal data and related information, provided that there is no reason for exclusion as provided for in the GDPR. [161])

访问权的目的：法院强调，数据访问权的根本目的在于确保处理的透明度和合法性，并使用户能够有效行使其其他数据保护权利，例如更正权（第16条）、删除权（“被遗忘权”，第17条）、限制处理权（第18条）以及反对权（第21条）。如果用户无法获得其全部数据，这些后续权利的行使将受到严重阻碍。

对被告抗辩理由的驳斥：Meta辩称，提供所有数据会侵犯第三方（如其他用户）的权利，或者原告的请求是“过度的”。法院驳回了这些论点，指出被告并未具体说明提供哪些信息会如何侵犯他人权利。仅仅笼统地提及第三方权利是不够的。法院认定，被告未能证明原告的请求是“明显无根据或过度的”。

全部和全面的个人数据访问权本身是一件“可怕”的事情，更不要说GDPR下下访问权更是包括了副本权利在内。

当下，大部分的数字平台为用户提供的仍然是挑选型的个人数据副本，无法做到全量数据。特别是，当平台向用户提供全量数据时，用户往往也很难看得懂。如下表，即是我们向相关平台行权后的数据副本截体，简单形同拖库了。

好自为之吧。

以下为判决全文：https://noyb.eu/sites/default/files/2025-12/OGH_ruling_Meta_redacted_autotranslation.pdf

声明：本文来自麻策的备忘录，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。