迈克尔·施瓦茨先生向德国波鸿市政府申请护照,但拒绝后者提取其指纹。在波鸿市政府拒绝其护照申请之后,迈克尔·施瓦茨先生向德国盖尔森基兴行政法院(以下简称盖尔森基兴法院)提起诉讼,请求盖尔森基兴法院判令波鸿市政府在不提取其指纹的情况下向其签发护照。
诉讼中,迈克尔·施瓦茨先生对《欧盟理事会关于欧盟成员国签发的护照和旅行文件中的安全功能和生物识别标准的2252/2004条例》(以下简称《2252/2004条例》,该条例规定了提取护照申请人的指纹的义务)的有效性提出质疑。迈克尔·施瓦茨先生认为,该条例缺乏正当法律基础,并且因程序瑕疵而无效。依迈克尔·施瓦茨先生之见,该《条例》第1条第2款有关护照和旅行文件应包含一个高度安全的存储介质,该介质应含有人脸图像。同时,欧盟成员国亦应在该介质中包含两枚指纹,该等指纹以可共用格式平面提取等规定侵犯了《宪章》第7条规定的个人数据保护权。鉴于本案涉及《2252/2004条例》的有效性问题,盖尔森基兴法院遂决定中止本案诉讼,并请求欧洲法院对以下问题作出先予裁决,即《2252/2004条例》第1条第2款的规定是否有效?
2013年10月17日,欧洲法院就本案作出判决。在判决中,欧洲法院认为,盖尔森基兴法院的问题实质上是询问《2252/2004条例》第1条第2款的规定是否无效。理由主要有三:一是该条例的法律基础不当;二是该条例的制定程序有瑕疵;三是该条例第1条第2款侵犯了依据该款规定签发的护照的持有人的某些基本权利。在认定上述第一和第二个理由均不成立后,欧洲法院对第三个理由进行了分析并认为,欧洲法院必须审查,《2252/2004条例》有关提取护照申请人指纹并将其存储于护照之中的规定,是否构成对私人生活获得尊重的权利以及个人数据保护权之威胁。如是,则欧洲法院还需确定该威胁是否具备正当理由。
1.关于上述威胁是否存在的问题,欧洲法院认为,《宪章》第7条规定,每个人均享有其私人生活获得尊重的权利。《宪章》第8条第1款规定,每个人均享有个人数据保护权。从这些规定可以看出,作为一个基本原则,第三方对个人数据的任何处理均可能构成对上述权利的威胁。考虑到:①私人生活获得尊重的权利在个人数据处理方面涉及与已识别或可识别的个人相关的任何信息,而指纹因其客观地含有个人的独特信息,且能够被准确识别,故构成个人数据。②根据《95/46指令》第2条(b)项的规定,个人数据处理系指第三方在该数据上进行的相关操作,例如收集、记录、存储、查阅或使用等。而适用《2252/2004条例》第1条第2款的规定意味着欧盟成员国机关将提取相关个人的指纹,并且将这些指纹保存于该个人护照的存储介质中。上述操作符合《95/46指令》有关个人数据处理的定义,应视为对个人数据的处理。
据此,应认定《2252/2004条例》规制的欧盟成员国机关对指纹的提取和存储构成对私人生活获得尊重的权利以及个人数据保护权之威胁。
2.关于上述威胁是否具备正当性的问题,欧洲法院认为,根据《宪章》第8条第2款的规定,除非基于相关个人的同意或法律规定的其他合法理由,否则,个人数据不能被处理。关于在提取申请护照的相关个人的指纹之前,须取得该个人同意这一前提,欧洲法院认为,作为一般原则,欧盟公民需持有护照以便到非欧盟成员国进行旅游等活动,并且,依照《2252/2004条例》第1条第2款的规定,该护照必须包含指纹信息。因此,希望进行前述旅游等活动的欧盟公民并没有反对对其指纹进行处理的自由。在此情形下,申请护照的相关个人不能视为已同意对其指纹进行处理。
关于该指纹的处理是否因法律规定的其他合法理由而成为正当的问题,欧洲法院认为,《宪章》第7、8条所确认的权利并非绝对权利,而是必须根据其在社会中的功能予以考量。事实上,《宪章》第52条第1款允许对这些权利的行使施加限制,只要这些限制是法律规定的、尊重了这些权利的本质、遵守了比例原则,并且确实符合欧盟所认可的总体利益目标或保护他人权利和自由的需要。
在本案中,(1)因签发护照时提取和存储指纹而导致的相关限制必须被认定为《宪章》第52条第1款规定的“法律规定的限制”,因为提取和存储指纹系《2252/2004条例》第1条第2款明确规定的。
(2)关于作为该限制依据的欧盟认可的总体利益目标,根据《2252/2004条例》第1条第2款的规定,同时结合该条例第2条和第3条的规定,可以认定,《2252/2004条例》第1条第2款的目标有二:一是防止护照造假;二是防止对护照的欺诈性使用,即防止护照为其真实持有者之外的人使用。据此,《2252/2004条例》第1条第2款旨在通过实现上述目标,来防止相关人员非法进入欧盟。在此情形下,应认定《2252/2004条例》第1条第2款意图实现欧盟认可的总体利益目标。
(3)在案证据并未显示,而且本案当事人亦未主张本案所涉的、施加于《宪章》第7、8条所确认的权利之上的限制,未对这些权利的本质予以尊重。
(4)欧洲法院必须确定,施加于《宪章》第7、8条所确认的权利之上的限制是否与《2252/2004条例》所欲实现的目标,或者更广泛地说,与防止相关人员非法进入欧盟的目标成比例。由此,欧洲法院必须确定,该条例所采取的措施对于实现这些目标是否恰当,并且未超越实现这些目标所需的范围。
关于《2252/2004条例》第1条第2款对于实现防止护照造假的目标是否恰当的问题,欧洲法院认为,该款规定的将指纹存储于高度安全的存储介质之中需要采用复杂的技术。该存储由此可能减少护照造假的风险,并方便欧盟主管部门检查这些护照的真实性。
欧洲法院注意到,迈克尔·施瓦茨先生主张,使用指纹确定身份的方法对于实现防止护照欺诈性使用这一目标并非恰当,理由是该方法在实践中存在错误,因为一套指纹的两份数据副本不可能完全相同,且使用该方法的系统并非完全准确,这可能导致一定比率的、未经许可的人员被错误地接受,而已经获得许可的人员则被错误地拒绝。对此,欧洲法院认为,案涉方法并非完全可靠这一事实并非决定性因素。尽管该方法未能防止所有未经许可的人被接受,但其明显削减了此类接受的可能性,而这已经足够。虽然使用指纹作为确定身份的方法确实在例外的情况下将导致已经获得许可的人被错误地拒绝,但事实仍然是,即使护照持有人的指纹与护照中存储的数据不匹配,这也不意味着相关个人将自动在进入欧盟时被拒绝入境。此类不匹配仅仅会吸引主管机关对该个人的注意,并将导致对该个人更为细致的检查以最终确定其身份。综上,欧洲法院认为,《2252/2004条例》第1条第2款规定的指纹提取和存储对于实现该条例所欲实现的目标,或者更广泛地说,对于防止相关人员非法进入欧盟的目标是恰当的。
关于《2252/2004条例》第1条第2款规定的指纹提取和存储是否为实现前述目标所需的问题,欧洲法院认为,欧盟立法机关在评估该指纹提取和存储是否必要时,应审查是否可能采取以下措施:一方面,该措施将更少地干预《宪章》第7、8条确认的权利;另一方面,该措施仍将有效地促成案涉欧盟法律所欲实现的目标。就防止欺诈性使用护照这一目标而言,首先应考虑提取指纹这一措施所带来的风险是否并未超越为实现该目标所需的范围。对此,欧洲法院注意到,该措施仅涉及提取两个手指的指纹,而这些指纹通常可被他人看见。较之提取人脸图像,该措施也不会对相关个人造成更高的身体或精神不适。虽然这些指纹将在人脸图像外再行提取,但是,两个意在识别相关个人的操作的组合不能想当然地视为将带来更大的风险。据此,根据在案材料,欧洲法院无法认定,指纹和人脸图像被同时提取将导致对《宪章》第7、8条确认的权利的更大干预。
此外,本案当事人提出的关于提取指纹的唯一替代措施是红外扫描。然而,在案材料并未显示红外扫描对《宪章》第7、8条确认的权利的干预更少。就这两个措施的效果而言,红外确认技术不如指纹确认技术先进。同时,目前红外确认程序的成本明显高于指纹比对程序,并因此更不适合日常使用。在此情形下,欧洲法院无法确定是否存在这样的措施,该措施既能够充分有效地协助实现防止欺诈性使用护照这一目标,同时,较之使用指纹这一措施,该措施对《宪章》第7、8条确认的权利的威胁更小。
另外,欲令《2252/2004条例》第1条第2款的规定成为正当,对任何依据该款规定提取的指纹的处理不能超越为实现防止欺诈性使用护照所需的范围。欧盟立法机关由此必须确保特定保证的存在,以确保这些数据的处理将被有效保护,防止被不当使用或滥用。就此,《2252/2004条例》第4条第3款明确规定,指纹信息只能被用于核实护照的真实性以及护照持有者的身份。同时,该条例确保了对相关数据风险(包括指纹数据被非授权人读取的风险)的防范,因为该条例第1条第2款明确规定,指纹数据应保存在个人护照包含的高度安全的存储介质之中。
本案中,盖尔森基兴法院因以下风险,即一旦指纹数据依照《2252/2004条例》第1条第2款的规定被提取,该数据将被集中存储并用于该条例规定的目的之外的其他目的,而无法确定《2252/2004条例》第1条第2款的规定是否适当。对此,欧洲法院认为,指纹在识别个人方面确实起着独特作用。因此,将在特定地点提取的指纹与存储在数据库中的指纹进行比对的识别技术将使得确定相关个人是否在该特定地点成为可能,这在刑事调查或意图对个人进行监控的情况下均如此。但需要指出的是,《2252/2004条例》第1条第2款并未规定在护照之外存储指纹数据,而该护照仅属于持有者自己。该条例亦未就存储这些指纹数据的其他形式或方法作出规定。因此,该条例不能被解释为就集中存储已收集的指纹数据,或将这些数据用于防止非法进入欧盟之外的目的提供了法律依据。在此情形下,盖尔森基兴法院有关指纹数据集中存储可能带来相关风险的观点并不能影响该条例的有效性。若该问题确实产生,则其应在针对相关法律(该法律就集中存储指纹数据作出了规定)而提起的诉讼中予以审查。
欧洲法院认为,《2252/2004条例》第1款第2项规定的指纹数据处理并未超越为实现以下目标,即防止对护照的欺诈性使用所需的范围。据此,可以认定,《2252/2004条例》所导致的干预已因该干预的目标即防止对护照的欺诈性使用而成为正当。在此情形下,欧洲法院已无必要就该条例对于其他目标,即防止护照造假进行必要审查。
综上,欧洲法院认为,对于盖尔森基兴法院提出的问题的答复是,对该问题的审查并未发现任何能够影响《2252/2004条例》有效性的情形。易言之,《2252/2004条例》有效。
第一,本案明确了指纹构成欧盟法律规定的个人数据。指纹在性质上属于生物识别数据。生物识别数据可以被界定为生物特性、生理特征、生活特征或重复行为(repeatable actions),这些特征和(或)行为对个人而言是独一无二的。生物识别数据的典型表现是指纹、视网膜图像、面部结构和声音,以及手型、静脉图像或者某些根深蒂固的技能或其他行为特征(手写签名、按键、行走或说话的特别方式等)。生物识别数据的特征,是其既可以视为特定个人的信息的内容(拥有相关指纹),也可以视为在信息和个人之间建立联系的因素(此物品被拥有相关指纹的个人触碰过,这些指纹与某人对应,所以此物品已被某人触碰过)。鉴于此,这些数据可以起到“识别要素”的作用。事实上,由于其与个人之间的独特联系,生物识别数据可以被用于识别个人。 因此,包括指纹在内的生物识别数据因符合《95/46指令》和《一般数据保护条例》就个人数据所作的定义,即“与已识别或可识别的自然人相关的任何信息”,故原则上属于欧盟法律规定的个人数据。考虑到生物识别数据的重要性和敏感性,《一般数据保护条例》专门就生物识别数据的含义进行了界定,即生物识别数据是通过对自然人的物理、生物或行为特征进行特定的技术处理而获得的个人数据,此类数据构成了识别该自然人的独特标识,例如人脸图像或指纹识别数据。
司法实践中,欧盟相关法院亦认定,指纹是欧盟法规定的个人数据。例如欧洲人权法院即认为,指纹构成欧洲理事会1981年发布的《关于在个人数据自动化处理方面保护个人的公约》中规定的个人数据,因为指纹与已识别或可识别的个人相关。此外,指纹包含了相关个人的信息,从而允许个人在诸多情况下被准确识别。而在本案中,欧洲法院认定,指纹构成《95/46指令》规定的个人数据,因为指纹客观地含有有关个人的独特信息,这些信息使得这些个人能够被准确识别。此外,欧盟成员国提取相关个人的指纹,并将这些指纹保存于相关个人护照的存储介质之中构成《95/46指令》规定的个人数据处理。
第二,本案明确了提取护照申请人的指纹不违反欧盟法律。生物技术的快速发展及其在近年的扩大适用,使得从数据保护角度对其进行仔细审查成为必要。对生物识别技术的广泛和不受控制的使用,引发了对保护个人基本权利和自由的关注。生物识别数据具有特别的性质,因为其与个人的行为和生理特征相关,并且允许对这些个人进行特定识别。 鉴此,2016年发布的《一般数据保护条例》专门就包括指纹数据在内的生物识别数据的处理作出了规定,即原则上禁止为识别特定自然人的目的而对生物识别数据进行的处理,但数据处理是依据欧盟或者欧盟成员国法律为实现重大公共利益所必需的则不在此限。不过,前述欧盟或者欧盟成员国的法律应与其所欲实现的目标成比例,即应尊重数据保护权的本质,并应规定恰当、具体的措施,以保障数据主体的基本权利和利益。
本案中,欧洲法院即秉持前述原则,对《2252/2004条例》有关生物识别数据处理的规定,即提取护照申请人的指纹并将其存储于护照之中进行了审查,并认定该规定有效,理由是:尽管《2252/2004条例》规定的欧盟成员国机关对护照申请人指纹的提取和存储构成对私人生活获得尊重的权利以及个人数据保护权的威胁,但鉴于:①该指纹提取和存储系《2252/2004条例》这一欧盟法律规定的;②该指纹提取和存储为实现欧盟确认的总体利益目标,即通过防止护照造假和对护照的欺诈性使用所需;③在案证据无法证明,且本案当事人亦未主张,该指纹提取和存储未对私人生活获得尊重的权利和个人数据保护权之本质予以尊重;④该指纹提取和存储与实现防止护照造假以及相关人员非法进入欧盟等目标成比例。因为该指纹提取和存储对于实现防止护照造假和相关人员非法进入欧盟的目标是恰当的,并且该指纹提取和存储并未超越为实现上述目标所需的范围。据此,欧洲法院认定,《2252/2004条例》有关提取护照申请人的指纹并将其存储于护照之中的规定有效。在此情形下,欧盟成员国机关提取并存储护照申请人的指纹不违反欧盟法律。