本案最新进展至二审法院维持原判,原告ICANN仍在寻求进一步上诉。因在德国司法制度中,民事诉讼实行的是三审终审制度。所以,本案尚未终审。我们仅就目前现有的诉讼情况进行说明和分析。
双方当事人
原告:互联网名称与数字地址分配机构ICANN,是全球网络域名系统分配的非营利性国际组织。
被告:波恩EPAG Domainservices GmbH,是全球第二大域名注册商、纳斯达克上市公司Tucows在德国的子公司。
案情背景
早在2014年,EPAG与ICANN签订了《注册服务机构认证协议》(Registrar Accreditation \r\nAgreement,以下简称“RAA”),有权向用户提供域名申请注册服务。RAA约定, \r\nEPAG在用户注册域名时不但要收集注册人的联系信息,还要收集所谓的Admin-C和Tech-C,也就是管理员和技术员的个人数据。ICANN认为,在“WHOIS”服务下,出于保障互联网运作安全和稳定的目的,将会收集和存贮与首次登记相关的数据。
以当时的技术手段和法律环境来看,双方履行RAA是合理的。但是随着欧盟《通用数据保护条例》(以下称“GDPR”)于2018年5月25日生效实施,EPAG开始担忧履行RAA过程中的数据保护问题。出于合规考虑,EPAG认为数据的收集和处理应符合GDPR的要求,RAA中对数据收集的要求,尤其是对Admin-C和Tech-C两类信息的收集,不但违反了数据最小化原则,也缺乏合法的依据。作为数据控制者的EPAG如果继续收集此类信息,可能会违反GDPR并带来巨额罚款。
因此,EPAG向ICANN表明,合同的履行应当建立在合乎法律规范的要求之上,其新的域名注册系统将不再收集Admin-C和Tech-C。ICANN认为这是违约行为。在双方沟通难以达成一致后,引发了本案的诉讼争议。
一审案情概况
2018年5月25日,原告ICANN向德国波恩州法院申请禁令,要求法院强制EPAG履行RAA,继续收集Admin-C和Tech-C等数据,履行双方之间的合同义务。被告EPAG在28日提出了抗辩意见,认为其继续履行该义务将会导致违反GDPR的规定;双方的合同也规定了合同履行应当建立在遵循法律的前提之下。
一审的争议焦点在于,EPAG收集技术员和管理员的个人数据是否与GDPR的规定相符合,即收集此类信息是否存在合法性基础,是否符合数据收集的目的限制原则和最小化原则。
ICANN认为,“原告要求被告收集个人数据的行为符合GDPR要求。如根据GDPR第6条1(a),数据的收集获得了数据主体的同意;根据GDPR第6条1(b),原告认为数据处理的合法性在于其处理数据是履行合同的必要条件,同时,根据GDPR第6条1(f),数据处理是为实现控制者或者第三方所追求的合法利益所必需的。因此,原告要求收集数据的目的(消费者保护,网络犯罪调查,知识产权保护和执法)是合法的”。
德国波恩法院认为此理由不具有说服力。法庭认为,ICANN没有充分说明Admin-C和Tech-C是其营运的必要数据。因为,一方面仅域名所有人需要对该域名下网站的经营负责,其他主体并非当然责任人,并不需要在收集信息中明确区分Admin-C和Tech-C;另一方面,收集域名所有人信息足以满足ICANN保障的刑事、侵权和安全等一般利益,而且从以往注册行为来看,域名所有人信息、Admin-C和Tech-C可以填写同样的内容。这就说明Admin-C和Tech-C并非完成注册的必要信息。
因此法庭在30日裁定驳回了原告ICANN的申请。原告ICANN于6月13日提交了上诉书,此案上诉至二审法院。
二审案情概况
原告在上诉中除了坚持自己的观点(收集Admin-C和Tech-C的信息不违反GDPR原则,并且得到了用户的同意),还额外增加了一些新的观点,比如,若不收集这些数据,这些数据将无法获得。上诉法院在这次的判决中决定维持原判,并且对原告请求的驳回予以了充分论证,法院认为原告没有充足的理由。
首先,根据德国民事诉讼法第935条或940条的规定,“保护措施禁令”的申请理由是应当是:要么某项动议可能阻碍或实质妨碍当事人一方实现其权利;要么禁令是作为避免存在重大不利因素或者制止紧迫性暴力所必须采取的措施。而原告申请的禁令,则必须证明申请人迫切需要对方遵守该禁令,并且除此之外没有其他方法可以避免其行为导致不可恢复的重大损失。
其次,原告所提出的申请理由是不具有说服力的。第一,虽然目前原告无法获得原告意图收集的数据,但被告仍然可以在之后某一时间通过问询方式向域名所有人来收集此类信息; \r\n第二,即使因为被告修改系统导致无法获得Admin-C和Tech-C的信息(原告对此未主张技术变化的不可逆性),也没有产生对原告明显不利的紧急情况;第三,以往收集Admin-C和Tech-C的信息是基于自愿原则,注册人可以选择不提供这些信息,从这一角度而言,此类信息对于原告来说并不是绝对必要信息;第四,原告提出在缺失Admin-C和Tech-C的信息的情况下若发生如网络诈骗等滥用信息情形将无法及时建立联络的观点过于单薄,不足以支撑法院对其进行申请禁令的再次评估。
因此,二审法院在8月对原告ICANN的上诉再次予以驳回,维持原判。
对此案的浅薄看法:
这个案子的争议焦点在ICANN是否符合GDPR的目的限制原则和最小化原则,简单解释一下两个原则:
目的限制原则,是指数据的收集需要有特定、明确、合法的目的,后续对该数据的处理活动也不得违反/超出前述目的的范畴。
最小化原则又与目的限制原则相关,即数据的处理活动仅为实现上述的目的,且限于为实现该目的所需的最小限度内。
我们看这个案子中ICANN提出的观点,基本上没有围绕这两点来说:
ICANN认为其收集Admin-C和Tech-C的个人数据的目的是:消费者保护,网络犯罪调查,知识产权保护和执法。但是ICANN并未有效地证明处理Admin-C和Tech-C的信息的数据与此目的之间存在必然联系。即ICANN很难证明收集这两类数据并不能证明其具有明确、特定的目的,且收集该两类数据限于实现上述目的。
反过来,EPAG说明了:其修改了系统之后,可以通过不收集该两类信息也能注册域名;同时,法院查明一个细节,大多数企业填写的Admin-C和Tech-C的信息,与其填写的域名所有者信息是一样的。而这种情况并未被ICANN禁止,即反面证明了即使不填写这两类信息,ICANN也能完成域名注册的合同义务和上述其提出的数据处理目的。
换一个角度,我们不去评判这个案件的结果,仅从合规角度看这个案子,我们会发现,这个案件对于企业在合规步骤上提出了一个非常具有代表性的GDPR合规实践操作:企业作为数据控制者时,需要根据GDPR第30条的要求,做好数据处理的记录。这个记录是要书面记录(包括电子形式)的。这个记录要越精细越好,精细到每个数据类别都有相应的数据处理目的、数据处理活动描述、跨境传输与否、存储期限限制、技术安全措施等等。这个操作在企业内部很难推动,因为越大型的企业,在数据处理活动上就越难统计这种记录。但是这对于企业合规的角度,做得越细,就越容易明确:哪些是不符合最小化原则,哪些数据收集是没有处理目的的,哪些处理行为的合法性存疑,哪些数据存储已经超期等等,就越容易做合规,从而越容易避免上述的诉讼风险和其他执法监管的处罚风险。
假设ICANN很好地去做这个记录,可能其自己就会去很容易地审视这两个类别的数据的收集是否有必要性、合法性基础、是否在实现数据处理的目的的最小限度内。那么也可能不会发生这个诉讼,尤其是ICANN本身作为原告。
此外,对于受GDPR管辖的中国企业而言,对于数据保护还没有认识到上面的层面,很多企业对于数据保护的意识还有待于深入和加强。甚至于,大多数中国企业其实还没达到ICANN的合规程度,多数还在依靠“用户一次性同意隐私政策”来解决合法性基础这种办法,就认为自己已经完成了数据合规的,这个案件也将敲响警钟,在ICANN能够分述说明自己收集数据的合法性基础是“同意”、“为履行合同”、“合法的商业利益”,然而还是无法有效地证实处理活动的合规,这就说明了:简单的用户同意无法解决处理活动的合规,因为这只说明了处理活动的合法性基础。而且,尤其是需要企业注意的是,一次性同意隐私政策,其实是不符合GDPR关于“同意”是明确而特定的规定的,这本身就存在合规问题。而且同意带来的“副作用”又很多,比如撤回同意的操作、拒绝同意的操作、对同意的证明,同意带来的潜在的未来删除数据的义务等,不是说不同意就不能用企业的服务这么简单的。企业应当真正去审视自己的数据收集的合法性基础到底是“同意”,还是“为了履行合同必须收集信息”,还是“为了遵守法律的要求”,或者“为了保护数据主体的切身利益”、“为了公共利益或执行公共职务所必须”等等,不是只有“同意”一条路可以走,而且“同意”根本不是一条好走的路,反而是最崎岖最容易掉入深渊的路。
这个案子也说明,合规的程度不是一成不变的,今天的合规不代表明天也合规。比如此前ICANN在以前的时候收集Admin-C和Tech-C可能是合规的,因为当时的系统设计时可能真的需要填写管理员和技术员来随时保持联系;但是随着实践的发展,这两类数据的填写也慢慢地边成了无用之物,甚至于都填一个人(域名所有者)的信息,使之变得形式化,而在EPAG最新修改的系统中,已经不需要这两类数据,甚至于直接去掉了这两类数据。从这个角度而言,GDPR的合规是“与时俱进”的,要以发展的眼光看待GDPR的合规。
以上仅是我们就目前现有的文件材料进行的分析,由于还没有终审,所以尚不能给出一个定论,我们也会持续跟进案件的进展,以期能够得出更多对企业GDPR合规有益的分析。