自欧盟第一部规制个人数据保护的法律,即《欧洲议会和欧盟理事会关于在个人数据处理方面保护自然人以及关于此类个人数据自由流动的95/46指令》(以下简称《95/46指令》)于1995年颁布实施以来,欧洲法院积极履行了其在个人数据保护领域所承担的职责,包括审查欧盟成员国是否履行该国在欧盟数据保护法项下的义务,以及对欧盟法予以解释以确保其在全部欧盟成员国获得有效和统一适用等,并审理了相当数量的个人数据保护案件。据不完全统计,自2003年迄今,欧洲法院已审理了将近100起个人数据保护案件,这些案件具备如下特点。
一是案件涉及的法律问题复杂多样。仅就本书介评的25起典型案例而言,这些案例不仅界定了个人数据、个人数据处理、数据控制者、家庭豁免、为新闻目的而处理个人数据等欧盟数据法上的重要法律概念,而且还解决了欧盟成员国是否可以要求雇主向负责监督劳动条件的国家机关提供工作时间记录、欧盟成员国机关提取并储存护照申请人的指纹是否违反欧盟法律、欧盟公权力机关之间传输个人数据是否应告知相关个人、美国—欧盟安全港和隐私盾机制是否有效、在住宅小区公共区域安装视频监控设备应符合哪些条件、私人侦探为调查违反职业道德规范行为而收集的个人数据是否可免于告知相关个人、知识产权受保护的权利与个人数据保护权应如何平衡、数据主体对网站信息是否享有被遗忘权、数据主体就含有敏感个人数据的网页的链接提出的解除引用请求应如何处理、搜索引擎运营商解除引用的地域范围为何等重要问题,同时还就欧盟与第三国订立有关传输和处理旅客姓名记录数据的协议、欧盟警察机关为打击刑事犯罪而获取个人数据以及利用cookie技术收集数据等事项明确了应予遵循的若干原则。
二是涉互联网案件日渐增多。欧洲法院审理的第一起涉互联网的个人数据保护案件,是其于2003年判决的“瑞典政府诉林德奎斯特女士案”。之后,伴随着互联网的蓬勃发展,欧洲法院审理的涉互联网案件日渐增多。据不完全统计,自2003—2020年,欧洲法院已审理涉及互联网的个人数据保护案件10余起,其中包括“谷歌西班牙公司、谷歌公司诉西班牙数据管理局和马里奥·科里哈·冈萨雷斯案”“德国石勒苏益格—荷尔斯泰因独立数据保护中心诉石勒苏益格—荷尔斯泰因州经济学院及第三人脸书爱尔兰公司案”“时尚身份公司诉德国消费者协会和第三人脸书爱尔兰公司案”“德国联邦消费者组织及协会联盟—德国消费者组织联合会诉行星49公司案”等影响巨大的知名案件。这些案件不仅涉及谷歌、脸书等互联网巨头,而且涵盖搜索引擎、社交网络、社交插件、粉丝主页等当下流行的互联网产品以及cookie等当下常用的互联网技术。通过这些案件的审理,欧洲法院为互联网行业定规立矩,初步扎牢了互联网环境下个人数据保护的“篱笆”,为互联网行业的健康发展奠定了坚实的基础。
三是适用的法律日趋丰富。起初,欧洲法院审理个人数据保护案件主要适用《95/46指令》。伴随着《欧盟基本权利宪章》(以下简称《宪章》)、《欧洲议会和欧盟理事会关于个人数据处理以及保护电子通信行业隐私的2002/58指令》(以下简称《欧盟电子隐私指令》)等先后于2000和2002年颁行,欧洲法院开始越来越多地在案件审理中适用《宪章》,并使用《欧盟电子隐私指令》审理涉及电子通信数据的案件。2016年4月27日,欧洲议会及欧盟理事会制定了用于取代《95/46指令》的《一般数据保护条例》。该条例已于2018年5月25日起实施,《95/46指令》则于同日被废止。之后,欧洲法院开始使用《一般数据保护条例》审理相关案件。而对于仍需适用《95/46指令》审理的案件,欧洲法院则开始结合《一般数据保护条例》的相关规定对案件进行审理,以确保其裁判在任何情况下均对请求其作出先予裁决的欧盟成员国法院有所裨益。