電子期刊
22 二月 2024 資料控制者在《個人資料(私隱)條例》下受電腦攻擊時的責任

歐洲聯盟法院 2023 12 14 日的判決

案例編號C-340/21

 

據媒體報導,保加利亞一個國家機關遭到網路攻擊,600 多萬保加利亞公民和外國公民受到影響,此後,對該國家機關提起了多起損害賠償訴訟。

在其中一起案件中,歐盟法院被要求根據《通用數據保護條例》就未經授權訪問個人數據的情況下數據控制者的責任做出裁決。

在 2023 年 12 月 14 日對 C-340/21 號案件的判決中,法院就提交作初步裁決的問題裁定如下:

  • 在未經授權披露或獲取個人資料的情況下,法官不能僅從這一事實推斷控制者採取的保護措施不充分。 法官必須具體審查這些措施是否充分;
  • 控制者有責任證明所採用的保護措施是適當的;
  • 如果 「第三方」(如網路犯罪分子)未經授權披露或訪問個人數據,控制者必須對遭受此類損害的人員進行賠償,除非他能證明損害完全不歸咎於他;並且
  • 在違反GDPR後,個人對其個人數據可能被第三方濫用的恐懼本身就可能構成 「非物質損害」。

 

在此判決之前,法院於 2023 年 5 月 4 日對 C-300/21 號案件做出裁決,裁定必須對《一般數據保護條例》做出如下解釋:

  • 僅違反本條例的規定並不足以賦予獲得賠償的權利;
  • 反對以數據主體遭受的損害達到一定嚴重程度為條件對非物質損害進行賠償的國家規 則或做法;以及
  • 為確定損害賠償權項下的應得賠償額,國內法院應適用各成員國有關金錢賠償範圍的國內規則,但須尊重聯盟法律的等同性和有效性原則。

作者: Paulo Lacão

上一项 浏览 下一项
Please note, your browser is out of date.
 For a good browsing experience we recommend using the latest version of Chrome, Firefox, Safari, Opera or Internet Explorer.