欧盟《通用数据保护条例》(英语简称GDPR)是严格的个人隐私保护立法,自去年五月强制实施以来,在欧洲若干国家已先后出现监管机构据此开出大额罚单的执法行动以及个人基于该立法通过法院维权的审判案例。上月中旬,荷兰阿姆斯特丹地方法院基于该欧盟立法作出了一项新判决,对于了解指纹类个人隐私信息的采集和使用规则很有参考意义,本文将向大家介绍一下这起案件的要点。
雇主要求采集指纹,“刺头”雇员诉至法院
荷兰一家连锁鞋店近期对所有门店的收银电脑系统进行升级,新系统不再使用密码登录,而是采用指纹识别登录技术,因此需要采集店员指纹。对于这项新举措,几乎所有店员都没说什么,但唯有一名“刺头”雇员不服,认为新系统采集和使用雇员指纹系侵犯店员个人隐私,违反了欧盟《通用数据保护条例》,因此不予配合。双方协商不成,于是共同将争议提交阿姆斯特丹地方法院,请法院主持公道,并且约定一审终审,双方均不上诉(根据荷兰民事诉讼法,诉讼各方可自愿约定放弃上诉,这样的话一审即为终审)。
争议焦点:是否“必须”使用指纹识别
欧盟《通用数据保护条例》的基本宗旨是保护个人隐私,而这部立法的一个核心概念就是“个人数据”(英语为personal data)。简单来说,个人数据是指可用以直接或间接识别自然人的各种信息,比如姓名、住址和照片等。而个人数据中有些数据因性质特殊而被视为格外敏感,例如种族、宗教信仰以及指纹等生物识别信息。这类敏感个人信息在隐私保护法领域一般被称为“特殊个人数据”。
包括指纹在内的特殊个人数据受到比一般个人数据更严格的保护,欧盟《通用数据保护条例》原则上禁止对这类信息进行处理(“处理”是隐私保护法领域的专业术语,指对个人数据进行收集、使用、存储和传送等行为)。对于禁止处理特殊个人数据的基本原则,欧盟《通用数据保护条例》和《荷兰通用数据保护条例实施法》仅规定了少数几种例外情形,其中一项例外是,为身份验证或安全保障而必须使用特殊个人数据的,不在禁止之列。本案双方关键的争议焦点就是,这家荷兰连锁鞋店是否真的必须通过在收银电脑系统中使用指纹识别技术来达到身份验证或安全保障的目的。
连锁鞋店主要举出了两项理由来论证使用指纹识别的合法性。首先,鞋店认为从安全保障的角度考虑,使用指纹识别是必须的。这是因为收银电脑系统不但储存了敏感的财务数据,而且还存有员工和顾客的个人数据。此前使用的密码登录方式不够安全,这一方面是因为黑客可能通过盗用或伪造密码远程侵入收银系统,另一方面也是因为员工在店内输入密码时,密码可能被他人偷窥而泄漏。
连锁鞋店的第二项主要理由是,该企业近期发生了多起店员盗窃收银现金案,而作案者使用的正是其他店员的登录密码。指纹识别技术可以有效防止盗用他人密码,将有助于防止此类案件再次发生。
反对指纹识别的雇员则认为,身份识别和安全保障的目的可以通过其它方式来实现。例如将刷卡登录和密码相结合的双验证方式,既可以识别身份并保护系统安全,又不会对员工隐私带来象指纹识别那么大的影响。
法院判决:杀鸡莫用牛刀
法院判定雇员胜诉,判决说理用了不少法言法语,但简而言之,法院的核心观点就是“杀鸡莫用牛刀”。用指纹识别这样的“牛刀”当然可以“杀鸡”(即达到身份识别和安全保障的目的),但反对使用指纹识别的雇员在本案中指出,同样的目的可以通过刷卡登录与密码相结合等方式来实现,而连锁鞋店对雇员的这一论点没有给出充分有力的反驳。法院特别指出,连锁鞋店没有出示文件或其它材料,充分说明其对指纹识别之外的替代方案进行了细致的考察和权衡并基于这种利害分析而最终选择使用指纹识别而不是其它方案。据此,法院认为连锁鞋店并非“必须”使用指纹识别,故判定雇员胜诉。
启示:事先充分权衡利弊,以免事后遭受质疑和损失
这则案例告诉我们,欧盟《通用数据保护条例》绝非纸老虎,而且也不是只有谷歌这样的大企业才会被“盯上”而遭遇到隐私保护方面的“麻烦”。这则案例也告诉我们,企业在处理员工生物识别信息等特殊个人数据时需格外谨慎,事先宜作好充分分析研究,认真评估利弊和可能的替代方案。处理员工的这类特殊个人数据的关键问题其实并不仅是收集和使用这些数据能否达到身份验证或安全保障目的,而更重要的是要有充分理由说明,为什么只有通过处理特殊个人数据,而不是通过其它方式,才能达到预期目的。打算收集和使用员工特殊个人数据的企业对此有说理和举证的责任,如果说理和证据不充分,那就可能会象这家荷兰连锁鞋店一样,花了大量资金来更新系统,结果投资却因受到被收集人的质疑和法院的判决而打了水漂。
作者:郭景(荷兰华人律师、法学博士)
注:
1. 判决出处为Rechtbank Amsterdam 12 augustus 2019, ECLI:NL:RBAMS:2019:6005,可在荷兰法院官网www.rechtspraak.nl下载。
2. 本文于2019年9月4日在中欧商事合作协会(CECCA)微信公众号首发。