CJEU:商业秘密保护并不能自动凌驾于GDPR的披露义务之上

来源:中国保护知识产权网        2025-04-24 15:55:45

欧盟最高法院的一项新裁决称,试图根据数据保护法限制本应披露信息的企业(因认为这些信息构成其商业秘密)可能会被强制向法院或监管机构披露这些秘密,以便对是否应披露的问题进行仲裁。

欧洲法院(CJEU)的裁决涉及《欧盟通用数据保护条例》(GDPR)中关于自动化决策的规则与欧盟商业秘密法之间的相互关系。

该裁决的结果表明,使用人工智能系统进行对人产生影响的自动化决策的企业,可能需要向法院或监管机构公开其系统的底层算法,以决定是否需向提出信息请求的个人披露这些算法——根据GDPR,个人有权要求了解决策背后的逻辑。

GDPR第15条赋予数据主体访问控制者所持有其个人数据的权利,同时规定若数据主体受到完全自动化决策的影响,控制者需提供“关于所涉逻辑的有意义信息,以及此类处理对其产生的重要意义和预期后果”。

奥地利一家法院请求CJEU澄清在此背景下“关于所涉逻辑的有意义信息”的具体含义,以协助其解决一名奥地利消费者与维也纳市议会之间的纠纷。该争议涉及一项自动化信用评估,该评估因消费者看似缺乏财务信用度而拒绝为其提供移动通信合同。

奥地利数据保护局支持该消费者要求了解决策逻辑的诉求,随后她赢得了一项法院裁决,赋予其强制执行对信用评估机构的信息知情权。然而,维也纳市议会表示,信用评估机构已履行披露义务——这一立场目前正被消费者上诉至维也纳行政法院。

维也纳行政法院请求CJEU就如何解释GDPR第15条与自动化决策相关的信息权利作出裁决,以协助其解决眼前的纠纷。

品诚梅森律师事务所的数据保护法专家马尔科姆.道登(Malcolm Dowden)表示,CJEU首先解决了“关于所涉逻辑的有意义信息”在自动化决策(包括用户画像)场景下的构成问题。

在此背景下,法院指出,仅提供复杂数学公式(如算法)或对自动化决策所有步骤的详细描述均无法满足该要求,因为这些方式均无法构成足够简明且可理解的解释。道登表示,“法院提到‘仅沟通……算法’,是为了强调控制者不能仅向数据主体提供对大多数人而言完全无法理解的数学公式和编码指令。控制者有义务以数据主体能够理解且能据此判断影响其决策如何形成的形式提供信息。因此,控制者必须考虑提供哪些简化或额外的解释性信息以实现该目标。”

实践中,控制者必须评估直接提供算法副本或详细描述自动化决策的所有步骤是否足以使数据主体理解该过程。如若不能,则控制者必须补充信息以使答复具备可理解性。

在解决了这个一般性问题后,CJEU转向了可能要求或允许扣留特定信息的特殊情形(作为对一般立场的例外)。例如,若解释决策过程所需信息涉及数据主体以外其他个体的个人数据(例如展示算法如何生成与其他个体有关的决策),则相关信息可被扣留。另一例是信息披露可能涉及商业秘密泄露的情形。

CJEU的总检察长在此案前期已就该问题发表过不具约束力的意见。总检察长审查了关于涉及数据主体以外的其他个体有关的个人数据问题判例法,并得出结论:若控制者认为应扣留与这些其他个体相关的信息,则必须向法院或监管机构披露该信息,以便后者权衡后决定控制者的判断是否正确。根据总检察长的观点,若法院或监管机构认同控制者的评估,则可授权或指示扣留信息以保护第三方权利。若法院或监管机构认为披露第三方个人数据确有必要,则可授权或指示控制者进行披露——从而使控制者免于承担来自第三方的索赔。

道登表示:“总检察长认为,涉及第三方个人数据权利的判例法可被‘完全移植’到争议焦点不涉及第三方权利而是商业秘密的情形中,总检察长因此主张,若控制者认为某些信息可作为商业秘密被扣留,仍须向法院或监管机构披露该信息,以便后者经权衡后决定是授权扣留还是要求披露。CJEU的法官们采纳了相同立场。”

品诚梅森律师事务所人工智能、数据与知识产权法律专家尼尔斯.劳尔(Nils Rauer)补充道:“需要特别考虑的是,GDPR第15(1)(h)条的目的并非仅仅允许瞥见人工智能系统的‘引擎舱’——该条款旨在核验数据的正确性及数据处理的合法性。”

此外,必须结合GDPR第22(3)条的上下文理解该条款。第22(3)条要求对数据主体的权利、自由与正当利益实施适当保障。必须确保数据主体能实际表达其观点并对决策提出异议。因此,需要透明的并非算法本身,而是GDPR第15(1)(h)条明确指出的“所涉及的逻辑”。

基于这一理念,CJEU明确要求对“与以自动化方式使用个人数据以达成特定结果相关的所有程序及原则”实现透明度。这里的“程序与原则”不应被理解为指向技术算法。在此背景下,劳尔援引了法院对GDPR第12(1)条的引用。

他表示:“法官们强调,为确保数据主体能充分理解控制者提供的信息,GDPR第12(1)条要求控制者采取适当措施,尤其要以简洁、透明、可理解且易于获取的形式,使用平实清晰的语言向数据主体提供这些数据和信息。因此,这既不涉及获取算法本身,也不要求对通常高度复杂的决策流程每一步骤进行解释。”(编译自www.pinsentmasons.com)

翻译:吴娴 校对:王丹