作者:马里奥·沙伊·阿瓜多·冈萨雷斯 | 个人数据保护与人工智能
企业中普遍存在一种看法:当客户、员工、供应商或任何其他数据主体的数据进入其系统时,企业便开始承担个人数据保护义务。
然而,这种看法是错误的,西班牙最高法院的一项判决也证实了这一点。
该裁决虽非基于墨西哥法律,但其推理逻辑对于任何在墨西哥运营且须遵守《个人持有数据保护联邦法》(LFPDPPP)义务的企业而言,均具有重要参考价值。 这是因为这两个法律体系有着相同的根本逻辑:合规并非针对所获取的个人数据本身,而是针对因请求获取数据而产生的义务。
发生了什么?
西班牙最高法院(TSE)于2026年3月对一起上诉案件作出了裁决(STS 1590/2026),该案的起因乍看之下似乎只是一件小事:某监狱要求一名工作人员提供医疗诊断证明及其医生开具的治疗方案,以证明其缺勤三天的合理性。
该工作人员以隐私权为由拒绝了这一要求,监狱方面也从未收到该信息。结果如何?监狱方面扣除了他三天的工资。
鉴于此情况,该官员向西班牙数据保护局(AEPD)提出了投诉,该局随即启动了调查程序,最终因违反数据最小化原则,对监狱机构总秘书处处以警告处分。国家高等法院撤销了该处分,理由是若未实际接收个人数据,则不构成数据处理。 西班牙数据保护局随后提起上诉,最高行政法院支持了其主张。
核心法律问题是什么?
最高选举法院裁决的这一问题具有重要的技术意义:
即使个人数据从未到达数据控制者手中(因为数据主体拒绝提供),是否仍构成个人数据处理?
国家法院确认并非如此。其理由是,《通用数据保护条例》(GDPR)将数据处理定义为针对个人数据进行的任何操作,其中首先提到了“收集”。如果没有数据收集,就没有数据处理,因此也不构成违规。
欧洲数据保护委员会(TSE)认为这一论点理由不足,因此予以驳回。欧洲数据保护委员会首先承认,《通用数据保护条例》(GDPR)第4条第2款中对“处理”的定义是刻意制定的宽泛定义。 欧洲立法者使用了“任何处理活动”这一表述,并附有一份非穷尽性的示例清单。这种宽泛性并非偶然,它体现了赋予该概念广泛适用范围以有效保护个人基本权利的意图。不仅如此,除了考虑定义的宽泛性外,最高法院还参考了《通用数据保护条例》的两条条款。
一方面,《通用数据保护条例》(GDPR)第5条规定了数据处理的基本原则,例如合法性、目的性、最小化、准确性、时限限制和安全性。这些原则并非针对已接收的数据才生效;而是从设计任何旨在收集和处理个人数据的活动之时起,就必须履行的义务。
另一方面,《通用数据保护条例》(GDPR)第25条对“设计和默认隐私”作出了规定,具体而言,是指“在确定处理手段时以及在处理过程中”采取的保护措施。也就是说,是在获取第一条数据之前。
因此,最高选举法院得出的结论是:个人数据的请求本身已构成一项旨在获取个人数据的活动。该活动本身即属于个人数据处理,因此必须遵守《通用数据保护条例》(GDPR)的所有原则,包括数据最小化原则。
为什么该监狱违反了《通用数据保护条例》?
在确立该法理后,最高选举法院将数据最小化原则应用于具体事实。
该员工已提交了证明其缺勤的医疗证明。这些文件达到了其目的:即管控旷工行为。 额外要求提供病症诊断及治疗方案,对实现这一目的并无必要。相反,最高选举法院指出,即使在因暂时丧失工作能力而休病假的情况下,雇主也不会收到病症诊断书,医疗机构也不会向工作单位通报任何信息,正是因为这些信息对于管理员工的缺勤而言并非必要。
该请求既无必要,又失当,且涉及健康数据——《通用数据保护条例》(GDPR)将此类数据归类为受特别保护的数据。即使相关数据尚未被提供,该处罚仍属正当。
这在墨西哥也适用吗?
《2025年个人数据保护法》(LFPDPPP 2025)在术语和结构逻辑上均与《通用数据保护条例》(GDPR)一致。该法第2条第XIX款将“处理”定义为“与获取、使用、记录、组织、保存……相关的任何操作或一系列操作”,并将“获取”置于首位,与GDPR中的“收集”处于同等地位。 这种一致性反映出,这两个体系都将数据处理视为一个始于寻求访问数据之时、而非数据已由控制者掌握之时的过程。
《个人数据保护法》(LFPDPPP)第5条将相称性原则确立为数据处理的指导原则之一,第12条对此予以重申:数据处理“应是针对隐私声明中所述目的而言,必要、适当且相关的处理”。 该标准在功能上等同于《通用数据保护条例》(GDPR)第5条第1款c项中的最小化原则,而违反该原则正是本案西班牙判决的核心所在。
第13条通过明确数据控制者的责任,进一步强化了这一解读,规定数据控制者必须采取必要措施,确保隐私声明“在任何时候”都得到遵守。而第16条则要求在收集数据之时,隐私声明必须已可供查阅,这意味着数据控制者必须在收到任何请求之前,就已明确将收集哪些数据、收集目的以及需要何种形式的同意。
最高法院第1590/2026号判决在欧洲语境下通过判例法确立的原则,墨西哥《个人数据保护法》(LFPDPPP)已在法律条文中明确规定。 区别在于,在墨西哥,这种逻辑很少像最高选举法院(TSE)在此项裁决中所阐述的那样清晰:无论数据主体是否提供该信息,要求获取过量数据的责任方已构成对相称性原则的违反。
结论是什么?
最高法院第1590/2026号判决并未创设新的义务。该判决明确了现行法规框架中已规定的义务何时开始生效,正如我们预期的那样,这一时间点比大多数企业预期的要早。
正是这种基于法律严谨性构建的机制,才真正区分了那些主动合规的企业与那些仅在问题出现后才做出反应的企业。
