作者 | 徐璟航

浙江省高级人民法院

近年来，因数据跨境流动中违法行为引发的非物质损害诉讼呈显著上升趋势，其争议焦点集中于诉讼主体的适格性、赔偿范围的界定与量化以及因果关系的认定等。2025年1月8日，欧盟普通法院作出的TB诉欧盟委员会案判决，系该院首次在判例中确认自然人因数据跨境流动违法行为所导致的非物质损害具备可赔偿性，该损害范畴涵盖精神或权利侵害且无需证明实际经济损失。由此明晰了非物质损害范围，为欧盟《通用数据保护条例》第82条第1款中损害范围的界定提供了实践路径。判决中确立的赔偿范围等标准，也为全球司法机关应对数据跨境流动诉讼、强化数据主体权利保障提供了有益参考。

基本案情

2021年至2022年间，德国公民TB多次访问欧盟委员会运营的欧洲未来会议网站，并通过Facebook账户完成GoGreen等活动的注册与登录。访问期间，TB注意到使用Facebook登录的行为导致其个人数据被传输至美国Meta公司，并经由该网站部署的Amazon CloudFront内容分发网络进一步跨境传输至位于美国的亚马逊网络服务器。

鉴于美国当时尚未获得欧盟依据《通用数据保护条例》第45条所作出的充分性决定，TB于2021年11月9日向欧盟委员会提交信息申请，询问其个人数据的处理情况以及可能向第三国传输的情况。同年12月3日，欧盟委员会书面回应称，相关数据由位于卢森堡的AWS欧洲公司处理，未发生向欧盟以外接收方传输的情况。TB对上述回复不予认可，并于2022年4月1日再次提出申请，要求欧盟委员会提供包括Meta公司在内的第三方数据处理者的完整数据副本、数据传输链路的详细技术说明等内容。欧盟委员会于2022年6月30日以“重复性请求”为由复函，主张2022年4月的申请实质重复2021年11月之内容，且先前答复已满足“合理期限内”的法定要求，未进一步提供详细信息。

2022年6月9日，TB向欧盟普通法院提起诉讼，提出三项诉讼请求：一是撤销欧盟委员会将其个人数据传输至缺乏充分保护的第三国的行为；二是认定欧盟委员会侵害了其信息获取请求权；三是责令欧盟委员会向其支付1200欧元的非物质损害赔偿，其中800欧元是对其获取信息权利受到侵害的赔偿，400欧元是对其个人数据受到不当传输的赔偿。

裁判要点

根据欧洲议会和欧盟理事会《关于在欧盟机构、机关、办公室和办事处处理个人数据方面对自然人的保护以及这些数据的自由流动，并废除（EC）第45/2001号条例和（EC）第1247/2002号决定的条例》（以下简称《2018/1725条例》）第65条的规定，因违反该条例而遭受物质或非物质损害的个人有权获得赔偿，但须同时符合《欧盟运作条约》第340条第2款规定的非合同责任条件，即严重违反欧盟法律、实际且确定的损害，以及违约行为与损害结果之间存在直接因果关系，裁判围绕上述三个要素展开了司法认定。

第一，欧盟委员会作为数据控制者是造成非物质损害的责任主体。欧盟委员会通过设置“使用Facebook登录”的超链接，实质性触发了向美国Facebook实体的跨境数据传输行为，直接导致TB的姓名、IP地址等个人数据向第三方传输，若欧盟委员会作为数据控制者未及时切断其与第三方平台的数据流关联，即构成了《2018/1725条例》第46条项下的个人数据传输行为，责任主体明确指向欧盟委员会。由于欧盟委员会“使用Facebook登录”的行为创设了数据主体个人数据被跨境传输至第三方的条件，但其未遵守《2018/1725条例》等规则所设定的“充分性传输”和“适当保障措施约束”等要求，因此该违法行为已构成对欧盟数据跨境保护法律规则的实质性损害，欧盟委员会作为数据控制者应承担主要责任。

第二，TB的信息获取权受损不属于实际且确定的非物质损害情形。根据《欧盟运作条约》，数据主体受到非物质损害必须是实际存在且确定的损害，假设性或不确定的非物质损害不足以获得赔偿，而非合同责任项下的因果关系认定则要求数据控制者的违法行为是造成损害结果的直接且决定性原因。根据《2018/1725条例》第14条第3款和第4款的规定，数据控制者回复信息申请的时限为一个月，如果其决定不对申请采取行动，则应在一个月内告知申请者不采取行动的原因，以及向欧洲数据保护监督员投诉和寻求司法救济的可能性。该案中，欧盟委员会对2022年4月1日的信息申请处理因答复期限超时而违反了前述义务，但该时限延误并未对TB造成实际且确定的非物质损害，加之数据主体在2021年11月9日和2022年4月1日提出的申请基本相同，其在2021年12月已收到了对其信息申请的部分答复，这在客观上减轻了信息获取延误的影响。据此，由于TB未能提供证据证明信息延误导致了直接的损害结果，因此不属于欧盟非合同责任中的实际且确定的非物质损害情形。

第三，因数据跨境造成的个人数据安全风险状态与非物质损害结果存在因果关系。由于在Schrems II案后，美国尚未获得欧盟《通用数据保护条例》有关数据跨境的充分性决定，因此根据《2018/1725条例》第47条和48条的强制性要求，数据控制者需要承担更多的法定保障义务。但在2022年3月30日TB使用Face⁃book登录时，其IP地址被非法传输至在美国注册的公司，欧盟委员会未对传输过程实施有效管控，其提供的登录链接完全受制于Facebook的通用服务条款，导致TB无法获得《2018/1725条例》所规定的“可执行性权利”与“有效法律救济”，当欧盟委员会将处理权让渡于第三方且未嵌入自主监管机制时，即构成对TB在个人信息处理和个人数据安全领域的“不确定性”风险，其与非物质损害结果之间的因果关系成立。根据UI诉奥地利邮政公司等案例，非物质损害的成立无需满足严重性阈值要求，只要数据主体因不当数据处理而陷入“持续性不安状态”，且该状态具有“实际且确定”的特征，即构成《通用数据保护条例》第82条所指的损害情形。

综上，欧盟普通法院基于公平原则，判定欧盟委员会向TB支付400欧元，作为TB因2022年3月30日登录欧盟网站时遭受违法行为而产生的非物质损害赔偿。

启示思考

在《通用数据保护条例》生效之前，欧盟各成员国法院在数据主体权利受到侵害情形下的损害赔偿范围及量化标准问题上长期存在分歧。其根源在于司法实践中的物质损害赔偿通常具备客观的计算标准，而非物质损害赔偿则通常需要基于主观评估，因此，何种不利影响可构成数据保护权项下的法律损害，以及如何合理确定赔偿数额以实现充分补偿等问题成为欧盟数据保护司法实践中的关键难点。该案所确立的裁判规则为上述争议提供了具有实效性的裁判路径。

一是在数据权利诉讼中对非物质损害的程度认定应避免设定严重性阈值。司法实践在确定个人数据信息的非物质损害程度时不能简单适用统一量化标准，而应综合考量侵权行为的性质、所涉数据的敏感度、数据主体的个体特征及潜在衍生风险，以实现数据保护权与司法救济权的实质平衡。若过度严苛化损害标准，将导致轻微或难以量化的损害情形被排除于司法救济之外，违背《通用数据保护条例》第5条合法、公平、透明原则的立法本意。该案表明，非物质损害的构成要件应为“真实且可证明的身心干扰”，损害程度无需量化，但须通过客观证据予以验证，同时还应考虑所涉数据的性质及其在数据主体生活中的重要性。若数据主体能证明数据控制者的违法行为导致其对个人信息的控制权持续性丧失，可以认定该“不确定性”风险与非物质损害之间的因果关系成立。

二是数据处理违法行为本身并不必然构成可赔偿的非物质损害结果。在欧盟有关非合同责任的法律框架下，损害赔偿责任通常以违法侵权行为或对受保护权利的不法侵害为前提，因此在认定非物质损害责任时，必须对侵权行为与损害结果这两个独立要件进行严格区分，即违法行为是责任前提，损害结果是赔偿基础。此外，《通用数据保护条例》第82条将违法行为、损害结果及因果关系并列为责任成立的要件，进一步表明在司法实践中不能简单将违法行为等同于可获赔偿的损害。欧盟既有判例亦对此予以明确，例如AS公司诉欧洲共同体理事会案指出，若就欧盟机构的侵权或违法行为主张损害赔偿，还需满足“对保护个人的上位法律规则的严重违反”的条件。

三是非物质损害赔偿以过错的可归责性判定为原则，以补偿性数额为限度。《通用数据保护条例》第82条第1款确立了以过错为基础的责任制度，即在确定数据控制者或处理者是否应承担赔偿责任时须考察其是否存在过错，但在计算损害赔偿的具体数额时，过错的严重程度一般不影响对非物质损害的认定与衡量。因此过错仅用于验证违法行为的可归责性，而在赔偿计算阶段则须剥离过错程度的影响，避免将“故意违法”等主观因素异化为损害扩大的理由。但也存在例外情形，根据《通用数据保护条例》第82条第3款的规定，数据控制者或处理者如能证明其对于损害的发生无需负责（例如因不可抗力所致），则应免除赔偿责任。根据损害赔偿中的比例责任原则，《通用数据保护条例》第82条规定的赔偿请求权具备的是补偿性而非惩罚性功能，因此根据该条款判处的赔偿金应严格限于损害补偿范围，而不应扩展至惩罚性或威慑性金额。

来源：人民法院报第08版

编辑：Sharon