歐盟法院擴大敏感數據定義 引發企業法律擔憂 - 《華爾街日報》

作者：凱瑟琳·斯塔普2022年8月10日 上午5:30（東部時間）|WSJ專業版歐洲法院位於盧森堡。圖片來源：吉爾特·範登·温加特/美聯社歐洲最高法院裁定，企業必須對先前未被視為敏感的數據實施特殊保護措施，公司將面臨更大壓力。

根據歐盟《通用數據保護條例》，有關健康、宗教信仰、政治觀點和性取向的信息被視為敏感信息。除非採取特殊保護措施，否則企業通常不得處理此類信息。

歐洲法院於8月1日裁定，立陶宛公職人員因配偶姓名被公開而暴露了敏感數據，這可能暗示其性取向。專家表示，該判決的影響將延伸至其他類型的潛在敏感信息。

法院指出，任何可能用於推斷個人敏感信息的數據同樣屬於敏感數據。法律專家表示，這包括非結構化數據——即未在數據庫中系統整理、因而更難檢索分析的數據——例如醫院監控畫面顯示某人曾在此就診。特殊飛機餐記錄可能透露宗教信仰。

華盛頓智庫"未來隱私論壇"全球隱私事務副總裁加布裏埃拉·贊菲爾-福圖納博士表示，該判決"帶來了諸多實際操作複雜性，企業很難判斷所持數據是否敏感"。

隱私專家表示，許多擁有大型數據集的公司可能並未意識到自己掌握着與敏感信息間接相關的細節。挪威數據保護監管機構國際部門負責人托比亞斯·尤丁指出，識別這些數據的位置並判斷其是否可能泄露個人隱私信息將是一項艱鉅任務。

“當你的數據集龐大到連你自己都不清楚其中內容時，實際上就無法真正合規，“尤丁先生表示。

《通用數據保護條例》規定，企業僅在少數情況下可以處理敏感數據，例如當個人明確同意將其用於特定目的時。

監管機構一直在努力解決如何界定敏感數據的問題。挪威監管機構去年對同性戀交友應用Grindr LLC處以6500萬克朗（約合670萬美元）罰款，理由是使用該應用會暴露用户性取向，因此其用户數據屬於敏感信息。

Grindr回應稱並未強制用户共享此類數據，並於今年二月提起上訴。尤丁先生表示其辦公室正在審查該公司上訴提交的材料。而西班牙監管機構在一月份得出不同結論，認定Grindr用於廣告目的的數據不屬於敏感信息。

荷蘭諮詢公司Privacy Management Partners的執行合夥人杰倫·特斯特格指出，某公司在健康類網站使用cookie收集數據時，可能會處理反映訪問者健康狀況的信息——cookie常用於在線定向廣告的用户追蹤。特斯特格強調，對於文檔或會議記錄等非結構化數據集，企業要判斷其中是否包含敏感信息將面臨更大挑戰。

荷蘭數字基礎設施協會（代表雲服務提供商和數據中心等數字基礎設施企業的組織）的常務董事米希爾·斯特爾特曼表示，對於小公司來説，識別並剔除如此多的敏感信息需要耗費大量工作。“任何數據都可能存在風險，因為某人在某個時間點可能以某種方式從中獲取信息，“他説。

尤丁先生表示，該裁決對那些商業模式依賴於海量數據的企業是又一次打擊，即使它們主要不是通過敏感數據盈利。“整個生態系統過去一直以儘可能多地收集數據為核心。現在我們看到，如果你擁有大量數據，它就會變成巨大的負擔，“他説。

聯繫記者 凱瑟琳·斯特普，郵箱：[email protected]

本文發表於2022年8月11日的印刷版，標題為《歐盟法院擴大個人信息保護範圍》。