作者 | 徐璟航
浙江省高级人民法院
欧盟首例确认数据跨境致非物质损害可赔案
近年来,因数据跨境流动违法行为引发的非物质损害诉讼显著增多,焦点集中于诉讼主体适格性、赔偿范围界定与量化、因果关系认定等。2025年1月8日,欧盟普通法院就TB诉欧盟委员会案作出判决,首次在判例中确认:自然人因数据跨境违法行为所致的精神或权利侵害类非物质损害具备可赔偿性,无需证明实际经济损失。该判决明晰了《通用数据保护条例》(GDPR)第82条第1款所指“损害”的外延,为全球司法机关应对数据跨境诉讼、强化数据主体权利保障提供了重要参考。
基本案情
2021至2022年间,德国公民TB多次通过Facebook账户登录欧盟委员会运营的“欧洲未来会议”网站,参与GoGreen等活动。登录过程中,其姓名、IP地址等个人数据经Facebook及Amazon CloudFront分发网络,被传输至美国Meta公司及亚马逊服务器。
因美国当时未获欧盟GDPR第45条项下的“充分性决定”,TB于2021年11月9日向欧盟委员会提交信息申请,询问数据处理及跨境传输情况;委员会于12月3日书面回应称,数据由卢森堡AWS欧洲公司处理,未向欧盟以外第三方传输。TB不予认可,于2022年4月1日再次申请,要求提供Meta等第三方数据处理者完整副本及技术传输链路说明。委员会以“重复请求”为由于6月30日拒绝进一步答复。
2022年6月9日,TB向欧盟普通法院提起诉讼,请求:一、撤销非法跨境数据传输行为;二、确认其信息获取权受侵害;三、判令赔偿1200欧元非物质损害(其中800欧元针对信息权受损,400欧元针对数据不当传输)。
裁判要点
法院依据《2018/1725条例》第65条及《欧盟运作条约》第340条第2款关于非合同责任的三要件——严重违法、实际且确定的损害、直接因果关系——展开认定:
一、欧盟委员会构成责任主体
委员会设置“使用Facebook登录”链接,实质性触发向美国Facebook实体的数据传输,创设了个人数据出境条件,但未履行GDPR及《2018/1725条例》所要求的“充分性认定”或“适当保障措施”义务,属对数据跨境规则的实质性违反,应承担主要责任。
二、信息获取权延误不构成可赔损害
委员会对2022年4月申请的答复超期,违反《2018/1725条例》第14条时限义务,但该延误未造成实际且确定的非物质损害:TB已于2021年12月获得部分答复,客观上缓解了影响;且其未能举证证明该延误导致具体身心干扰或权益减损,故不符合非合同责任中“实际且确定”的损害要件。
三、“不确定性风险”足以成立非物质损害
在Schrems II案后美国缺乏充分性认定的背景下,委员会未对Facebook登录链路实施有效管控,任由TB的IP地址等数据非法传输至美国,致其丧失GDPR所保障的“可执行权利”与“有效救济”,陷入持续性个人信息失控状态。参照UI诉奥地利邮政公司等先例,此类“真实、可证明的身心干扰”即构成GDPR第82条所指损害,无需达到“严重性”门槛。
综上,法院判令欧盟委员会向TB赔偿400欧元,对应2022年3月30日登录时因违法数据传输所致的非物质损害。
启示思考
本案为GDPR施行以来,欧盟法院首次系统阐释非物质损害可赔性标准,对统一司法尺度具有里程碑意义:
一、非物质损害认定不应设置严苛程度门槛
是否构成损害,关键在于是否存在“真实且可证明的身心干扰”,而非主观感受的强度或量化结果。应综合考量侵权行为性质、数据敏感度、个体特征及潜在风险。数据主体若能证明控制权持续性丧失,即可确立“不确定性风险”与损害间的因果关系。
二、违法行为本身≠可赔损害
GDPR第82条明确将“违法行为”“损害结果”“因果关系”列为并列要件。仅存在违法,不足以触发赔偿责任;必须有证据证实违法行为导致实际、确定的损害后果。
三、赔偿以补偿为原则,过错仅用于归责判断
过错程度影响责任成立与否,但不直接决定赔偿数额。GDPR第82条第1款确立的是过错责任基础,第3款强调免责需证明“无归责性”(如不可抗力)。赔偿功能限于补偿,不得异化为惩罚或威慑。
来源:人民法院报第08版
编辑:Sharon
