一名德国律师在律师推荐平台 anwalt.de 上开了个个人主页,平台和律所共同处理访问者的个人数据,但页面上没有主动展示双方关于数据处理责任的安排。这算不算违反 GDPR?
2026年4月,德国杜塞尔多夫州高等法院将一个与此相关的初步裁决请求提交至欧洲法院(CJEU),案号为 C-287/26。这已经是德国法院第二次就共同控制者透明度义务向 CJEU 发问,但这一回的切入点更加精细——不是关于要不要提供安排的内容,而是这个安排到底应该在什么时候、以什么方式"提供"给用户。
原告是德国催收与债权管理联邦协会(BFIF e. V.),其成员包括催收机构、催收律所等催收部门。被告 RR 是一名律师,在第三方运营的律师推荐平台 anwalt.de 上开设了个人页面,用于宣传其催收法律服务。在该律师的主页上,页面包含律师照片、联系方式、客户评价以及"关于我"标签页中的职业简介。
原告起诉称,该页面上既没有 GDPR 第13条所要求的信息,也没有 GDPR 第26(2)条第2句所要求的共同控制者安排的核心内容。原告请求法院判令被告在未向数据主体提供共同控制者安排实质内容的情况下,不得在催收服务,违者处以最高250,000欧元的罚款或最长六个月的监禁。
GDPR第26条是关于个人信息共同控制者的规定,要求共同控制者须约定数据处理的安排和责任,特别是在用户告知透明度,以及数据主体权利方面的权责。第26(2)条进一步要求共同控制者的安排需要明确“对于数据主体的各自角色与关系”,并将安排的实质内容向用户披露。
这类似于我国个人信息保护法第二十条规定的“(个人信息共同处理者)应当约定各自的权利和义务”,但也同样没有明确是否以及如何告知用户。这导致当下,大部分数据处理者在隐私政策中只采取“我们及关联公司……”类似的模糊表达,以试图实现“看起来告知了共同处理者”,以及“根据实际需要在对内对外分派责任承担者”。
被告的抗辩认为,GDPR 第26条并未要求该共同控制者信息必须主动展示在网站上——被告认为,在数据主体提出具体请求后,在事后提供即可。
在案件中,德国北莱茵-威斯特法伦州数据保护与信息自由专员(LDI NRW)向法庭提交了陈述,描述了 anwalt.de 与入驻律所之间的数据处理架构:(1)anwalt.de 在平台运营、用户账户、技术提供、使用统计分析和评分排名等方面是单独控制者;(2)对于直接与律所资料相关的特定处理操作——特别是即时消息功能、反馈请求、评价和法律服务订单——anwalt.de 与该律所构成第26条意义上的共同控制者。(3)最后,一旦用户消息到达律师,处理进入委托前阶段或客户处理阶段,律师即为单独控制者。(4)服务完成后,用户对律师的评价和统计分析则始终由 anwalt.de 单独控制。
这种分阶段模型(stage-specific)的控制者判断,直接源自 CJEU 的判例法——法院在 Wirtschaftsakademie(C-210/16)、Fashion ID(C-40/17)和最新的 Russmedia(C-492/23,2025年12月2日)中反复强调,共同控制者的认定是"每个处理阶段特定的"(specific to each stage)。
在中国的数字平台框架下,出于平台竞争或B端主体体验考虑,大部分的入驻型平台,包括电子商务平台、社交媒体平台、内容平台中,均由平台为B端或开发者端配套提供基础的隐私管理交互方案。
但是,数字平台和入驻的B端主体之间到底该以何种权责面向最终用户,从来未有区分阶段进行评估的先例,原因在于一方面平台希望掌控数据,另一方面B端的数据控制能力仍然较弱,因此这个领域仍然是一张典型的规则白纸。
德国案件争议焦点在于对 GDPR 第26(2)条第2句的解释。该句规定,共同控制者安排的"实质内容应向数据主体提供"(the essence of the arrangement shall be made available to the data subject)。但是,问题在于GDPR 并未具体说明“安排的实质”这一概念应涵盖哪些内容。
原《第 29 条工作组关于 2016/679 号条例透明度要求的指南》对此条的解释是:“数据主体必须完全清楚,在打算行使 GDPR 下的一项或多项权利时,可以向哪个数据控制者提出请求。”EDPB 还控制者指南中的建议是,“实质内容”至少应涵盖GDPR第 13 条和第 14 条所述信息中应已可供数据主体获取的全部要素,并且对于这些要素中的每一项,安排应指明哪个共同控制者负责确保遵守这些要素。此外,实质内容还必须指明指定的联系方式。”
但笔者认为,GDPR第13-14条中的内容本身就已经在隐私政策中向用户进行了告知,数据控制者无须另行实施告知。因此,由"安排的核心内容"并非 GDPR 第 13 条和第 14 条所述信息的实质性组成部分,而仅属于"组织性信息",即限用于明确哪个联合控制者负责履行 GDPR 第 13 条和第 14 条规定的信息提供义务。该联系方式可以是数据保护官(DPO)、欧盟境内的代表(针对未在欧盟设立的联合控制者),或任何其他可获取信息的联系信息。
以上意见,也在LDI NRW的监管意见中进行了确认。只不过,最终CJEU如何判断,当前仍是未知数。
问题还在于——"提供"发生在什么时候?以什么方式?
事实上,GDPR第26(2)条第2句中,确实缺少第13条中"在获取个人数据时"(at the time when personal data are obtained)这一时间限定词——这被认为是反对主动提供义务的文义论据。
监管机构的分歧更为关键。 EDPB 07/2020号指南第181段明确表示:与 GDPR 第30(4)条(处理活动记录"按需提供")和第40(11)条(行为准则登记册"以适当方式公开")不同,第26条既未要求"按需提供",也未要求"以适当方式公开",因此共同控制者可以自行决定最有效的方式——例如与第13条或第14条的信息一并提供、在隐私政策中提供、或在数据主体向数据保护官提出请求时提供。
LDI NRW作为数据监管机构,在此基础上进一步分析认为,第26(2)条第2句并未创设主动提供的具有约束力的义务。LDI NRW 将该法律评估发送给其他德国监管机构征求意见。四家监管机构回应,其中三家同意 LDI NRW 的观点。但有一家提出了相反意见:正因为第26(2)条第2句没有像其他条款(如第30(4)条)那样规定"按需提供",所以恰恰说明立法者意图让该条款创设一项无条件的(具有约束力的)义务,主动向数据主体提供安排的核心内容。
声明:本文来自麻策的备忘录,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
