欧盟法院扩大敏感数据定义 引发企业法律担忧 - 《华尔街日报》

作者：凯瑟琳·斯塔普2022年8月10日 上午5:30（东部时间）|WSJ专业版欧洲法院位于卢森堡。图片来源：吉尔特·范登·温加特/美联社欧洲最高法院裁定，企业必须对先前未被视为敏感的数据实施特殊保护措施，公司将面临更大压力。

根据欧盟《通用数据保护条例》，有关健康、宗教信仰、政治观点和性取向的信息被视为敏感信息。除非采取特殊保护措施，否则企业通常不得处理此类信息。

欧洲法院于8月1日裁定，立陶宛公职人员因配偶姓名被公开而暴露了敏感数据，这可能暗示其性取向。专家表示，该判决的影响将延伸至其他类型的潜在敏感信息。

法院指出，任何可能用于推断个人敏感信息的数据同样属于敏感数据。法律专家表示，这包括非结构化数据——即未在数据库中系统整理、因而更难检索分析的数据——例如医院监控画面显示某人曾在此就诊。特殊飞机餐记录可能透露宗教信仰。

华盛顿智库"未来隐私论坛"全球隐私事务副总裁加布里埃拉·赞菲尔-福图纳博士表示，该判决"带来了诸多实际操作复杂性，企业很难判断所持数据是否敏感"。

隐私专家表示，许多拥有大型数据集的公司可能并未意识到自己掌握着与敏感信息间接相关的细节。挪威数据保护监管机构国际部门负责人托比亚斯·尤丁指出，识别这些数据的位置并判断其是否可能泄露个人隐私信息将是一项艰巨任务。

“当你的数据集庞大到连你自己都不清楚其中内容时，实际上就无法真正合规，“尤丁先生表示。

《通用数据保护条例》规定，企业仅在少数情况下可以处理敏感数据，例如当个人明确同意将其用于特定目的时。

监管机构一直在努力解决如何界定敏感数据的问题。挪威监管机构去年对同性恋交友应用Grindr LLC处以6500万克朗（约合670万美元）罚款，理由是使用该应用会暴露用户性取向，因此其用户数据属于敏感信息。

Grindr回应称并未强制用户共享此类数据，并于今年二月提起上诉。尤丁先生表示其办公室正在审查该公司上诉提交的材料。而西班牙监管机构在一月份得出不同结论，认定Grindr用于广告目的的数据不属于敏感信息。

荷兰咨询公司Privacy Management Partners的执行合伙人杰伦·特斯特格指出，某公司在健康类网站使用cookie收集数据时，可能会处理反映访问者健康状况的信息——cookie常用于在线定向广告的用户追踪。特斯特格强调，对于文档或会议记录等非结构化数据集，企业要判断其中是否包含敏感信息将面临更大挑战。

荷兰数字基础设施协会（代表云服务提供商和数据中心等数字基础设施企业的组织）的常务董事米希尔·斯特尔特曼表示，对于小公司来说，识别并剔除如此多的敏感信息需要耗费大量工作。“任何数据都可能存在风险，因为某人在某个时间点可能以某种方式从中获取信息，“他说。

尤丁先生表示，该裁决对那些商业模式依赖于海量数据的企业是又一次打击，即使它们主要不是通过敏感数据盈利。“整个生态系统过去一直以尽可能多地收集数据为核心。现在我们看到，如果你拥有大量数据，它就会变成巨大的负担，“他说。

联系记者 凯瑟琳·斯特普，邮箱：[email protected]

本文发表于2022年8月11日的印刷版，标题为《欧盟法院扩大个人信息保护范围》。