欧盟法院对过度请求认定标准及监管权限的司法界定——以FR诉奥地利数据保护局案为视角

原标题：欧盟法院对过度请求认定标准及监管权限的司法界定——以FR诉奥地利数据保护局案为视角

□靳楠

欧盟《通用数据保护条例》（以下简称《条例》）第57条第4款规定，对于数据主体提出的无根据或明显过分的请求，尤其是重复性请求，监管机构可基于行政成本收取合理费用，或拒绝予以回应。欧盟法院在2025年1月对FR诉奥地利数据保护局案所作的判决中，对过度请求的认定标准以及监管机构的处理权限进行了解释。

基本案情

2020年2月，奥地利公民FR根据《条例》第77条第1款，以一家公司作为数据控制者未在一个月内回应其个人数据访问请求为由，向奥地利数据保护局提出申诉，指控该公司侵犯了《条例》第15条赋予其的权利。

2020年4月，奥地利数据保护局以过度请求为由拒绝处理。主要理由为FR在近20个月内向其提交了77份针对不同数据控制者的类似申诉，并且频繁通过电话补充新事实并提出额外请求。

FR就该决定向奥地利联邦行政法院提起诉讼。

奥地利联邦行政法院经审理，支持FR的诉讼请求，并撤销奥地利数据保护局的决定。主要理由为《条例》第57条第4款中的“过度”一词不仅指反复和频繁地提出请求，还意味着这些请求明显是恶意或滥用的。而奥地利数据保护局拒绝处理FR申诉的理由并未表明FR有任何滥用行为。

奥地利数据保护局对奥地利联邦行政法院的判决不服，向奥地利最高行政法院提起上诉。

因该案涉及《条例》第57条第4款的解释问题，奥地利最高行政法院决定中止诉讼程序，并提请欧盟法院就下述问题作出先予裁决。其一，对《条例》第57条第4款中规定的过度请求的解释认定，是否仅依据数据主体的申诉数量，无论内容或对象是否存在差异，抑或除了频繁重复申诉外，还需证明数据主体存在滥用意图。其二，当监管机构认定收到过度请求时，是否有权自由选择基于行政成本收取合理费用或拒绝处理相关请求。

欧盟法院的判决

2025年1月9日，欧盟法院就该案作出判决。

针对第一个问题，欧盟法院指出，过度请求的概念在《条例》中没有定义，应结合文义解释、体系解释予以明确。基于文义解释，《条例》第57条第4款的措辞表明，请求可因具有重复性而被视为过度。但是，仅靠文义解释无法确定仅凭申诉的重复性是否足以构成过度请求。

欧盟法院通过体系解释，将《条例》第57条第4款置于整体规范框架中考察。其一，《条例》第12条确立数据控制者必须为数据主体行使数据访问权提供便利的义务。其二，欧盟法院结合《条例》序言第63段“合理频率行使权利”的立法精神，指出数据主体多次申诉可能是对数据控制者持续侵权的合理反应，故单纯设定申诉数量门槛将损害该条例所保障的数据主体权利。其三，第57条第4款作为第57条第3款监管机构履职免费原则的例外，其适用范围必须受到严格限制。该例外情形仅能在存在权利滥用时成立，申诉数量本身并不构成认定权利滥用的充分标准。其四，根据欧盟判例法，欧盟法律中存在一项普遍法律原则，即不得为滥用权利或欺诈之目的而援引欧盟法律。

欧盟法院认为，当监管机构援引《条例》第57条第4款时，必须基于个案具体情形，证明相关数据主体存在滥用意图，仅凭申诉数量不足以认定该意图。若数据主体在客观上并非为保护其依据《条例》所享有的权利之必需而提出申诉，则可认定存在滥用意图。

欧盟法院进一步指出，依据《条例》第52条第4款，成员国有责任为监管机构提供处理所有申诉的适当资源，必要时应根据数据主体行使其申诉权的情况增加资源。这明确了监管机构不可转移的责任边界：不得以大量申诉占用资源，损害对其他人申诉的处理为由拒绝履职。欧盟法院同时强调，《条例》第77条第1款确立的申诉机制，为监管机构发现侵权行为以及保障个人信息提供了有效支撑。

此外，欧盟法院认为，一个或多个数据控制者未能响应或拒绝处理数据主体为保护其权利而提出的访问请求，是引发申诉的直接动因。在此背景下，孤立考量申诉数量可能导致对数据主体依《条例》所享有权利的任意侵犯。因此，认定构成第57条第4款所指的过度请求，须以证明申诉者存在滥用意图为条件。

由此，收到大量申诉的监管机构有责任基于个案具体情况，证明申诉数量源于数据主体寻求获得《条例》权利保护之外的其他目的，而非行使其权利。当案件情况表明，申诉意在通过滥用方式占用监管机构的资源，干扰其正常运作时，若数据主体提出大量客观上并非旨在保护权利的申诉，则可能表明其请求具有过度性。例如，数据主体向监管机构提交大量涉及众多无关数据控制者的申诉，若综合其滥诉行为及申诉内容等因素，证明其意图通过超负荷申诉来阻碍监管机构的正常运作，该行为即构成权利滥用。

综上，欧盟法院对该问题的答复是：《条例》第57条第4款应解释为，仅凭特定时期内的申诉数量不足以将其认定为该款所指的过度请求，监管机构援引该款时，须以证明申诉人存在滥用意图为前提。

针对第二个问题，欧盟法院认为，首先，《条例》第57条第4款以并列连词“或”列举应对过度请求规定的两项选项，即基于管理成本收取合理费用或拒绝处理请求。该措辞本身未设定优先顺序，监管机构在认定请求过度后有权自由选择任一措施。

其次，结合《条例》序言第59段关于“应制定机制以便利数据主体行使本条例赋予的权利”的规定，只要申诉权的有效行使得到保障，选择任一选项均属可行。

再次，《条例》序言第129段规定，监管机构须公正评估申诉是否明显无根据或过度，并确保所选措施的适当性、必要性和相称性，避免给数据主体造成不必要的成本与过度不便。鉴于申诉权对个人数据保护的核心作用及其在监管任务中的重要性，监管机构有义务尽一切努力处理申诉，并在决策时考量所有相关情势，确保所选措施满足上述三性要求。

最后，监管机构在考量相关情况后，若认为确有必要终止妨碍其正常运作的不当行为，可依据因申诉激增产生的额外行政成本收取合理费用。

综上，欧盟法院对该问题的答复是：《条例》第57条第4款应解释为，面对过度请求时，监管机构可通过附理由的决定，在收取基于行政成本的合理费用与拒绝处理请求之间自由选择。在此过程中，应当综合考虑所有相关因素，确保所选措施符合适当性、必要性及相称性要求。

【本文系2023年度河南省哲学社会科学规划年度青年项目《检察民事公益诉讼诉前程序研究》（项目编号：2023CFX028）的阶段性成果】

（作者单位：中南财经政法大学法学院）（靳楠）

（人民法院报）