■张 燕
受益所有人信息是指有关以下自然人的身份及其对法人的控制程度的信息:一是享有法人最终收益的自然人;二是通过所有者权益之外的其他方式,对法人行使最终有效控制的自然人。①See FATF,Guidance on Beneficial Ownership of Legal Persons,FATF Web(March 2023),https://www.fatfgafi.org/en/publications/Fatfrecommendations/Guidance-Beneficial-Ownership-Legal-Persons.html.受益所有人信息对于防止法人被洗钱和恐怖融资活动滥用,追踪隐藏于法人之后的从事洗钱和恐怖融资活动的犯罪分子具有重要意义。考虑到提高受益所有人信息的透明度,允许监管机构、金融机构乃至社会公众查询受益所有人信息,一方面使得政府机关和其他机构更易于调查并防止非法金融活动;另一方面通过创建来自民间和公众的额外的监督和审查层级,能够更为有效地调查和遏制犯罪活动。②See Open Ownership,Data Protection and Privacy in Beneficial Ownership Disclosure,Open Ownership Web(May 2019),https://openownershiporgprod-1b54.kxcdn.com/media/documents/oo-data-protection-and-privacy_Print.pdf.因此,自2015年起,包括英国和欧盟在内的一些国家和地区开始制定相关法律,允许监管机构、金融机构乃至社会公众查询市场主体的受益所有人信息。但是,鉴于受益所有人信息在性质上属于应受个人信息保护法保护的个人信息。因此,此类查询在将受益所有人信息的透明度提升至更高水平的同时,也导致了提高透明度和保护个人信息之间的冲突,这在允许社会公众查询受益所有人信息方面表现得尤为明显。如何遵循相关法律原则,有效解决上述冲突,从而既能够实现提高受益所有人信息透明度上承载的反洗钱和反恐怖融资等社会公共利益,又能够保护受益所有人的个人信息权益,实现二者之间的平衡,已经成为各国在制定查询受益所有人信息的相关法律规定时,需要面对和解决的问题。
欧盟有关查询受益所有人信息的法律规定集中体现了上述问题。2015年,欧盟制定《关于防止将金融系统用于洗钱或恐怖融资的2015/849号指令》(以下简称2015版《欧盟反洗钱指令》)。该指令第30条第5款在规定主管机关、金融情报中心以及金融机构等义务机构有权查询受益所有人信息的同时,也明确允许能够证明合法利益的个人或组织查询受益所有人信息。①See Directive(EU)2015/849 of The European Parliament and of the Council of 20 May 2015 on the Prevention of the Use of the Financial System for the Purposes of Money Laundering or Terrorist Financing,Amending Regulation(EU)No 648/2012 of the European Parliament and of the Council,and Repealing Directive 2005/60/EC of the European Parliament and of the Council and Commission Directive2006/70/EC,Article30(5),EUR-Lex web(June5,2015),https://eurlex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32015L0849.2018年,欧盟对2015版《欧盟反洗钱指令》进行了修订(修订后的指令以下简称现行《欧盟反洗钱指令》),扩大了有权查询受益所有人信息的个人或组织的范围,明确规定社会公众的任何成员均可查询受益所有人信息,主要理由一是该指令的目标,是防止使用欧盟的金融体系进行洗钱和恐怖融资,而除非欧盟的经济和金融环境对通过非透明结构为其资金寻求庇护的犯罪分子是不利的,否则上述目标将难以实现。就此而言,提高欧盟经济和金融环境的总体透明度能够起到强有力的震慑作用。二是社会公众对受益所有人信息的查询,能够让公民和社会,包括媒体和民间社会组织对此类信息进行更多的监督,并且有利于维系对商业交易和金融体系完整性的信任。三是此类查询不仅有助于打击将公司及其他法律实体和法律安排用于洗钱和恐怖融资的行为,而且能够为监管机构和金融机构及时有效地获取受益所有人信息,以及针对洗钱和相关上游犯罪行为及恐怖融资的调查提供助力。②See Directive(EU)2018/843 of the European Parliament and of the Council of 30 May 2018 Amending Directive(EU)2015/849 on the Prevention of the Use of the Financial System for the Purposes of Money Laundering or Terrorist Financing,and Amending Directives 2009/138/EC and 2013/36/EU,Recitals 4 and 30,EUR-Lex web(June 19,2018),https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018L0843.
尽管欧盟在现行《欧盟反洗钱指令》中声称,“在任何情况下,就公司和其他法律实体以及信托和类似的法律安排而言,应当特别在防止洗钱和恐怖融资上承载的社会公共利益以及数据主体的基本权利之间寻求公正的平衡”。①See Directive(EU)2018/843 of the European Parliament and of the Council of 30 May 2018 Amending Directive(EU)2015/849 on the Prevention of the Use of the Financial System for the Purposes of Money Laundering or Terrorist Financing,and Amending Directives 2009/138/EC and 2013/36/EU,Recital 34,EUR-Lex web(June 19,2018),https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018L0843.但是这种自证式的声明,并未从根本上解决现行《欧盟反洗钱指令》是否确实遵循了相关法律原则,在提高受益所有权信息的透明度和保护受益所有人的个人信息之间实现了平衡,故而合法有效的问题。在其2022年审理的“WM及索维姆公司诉卢森堡商业登记处案”②See WM,Sovim SA v.Luxembourg Business Registers,C37/20 and C601/20,EU:C:2022:912.中,欧盟法院对此问题进行了审查并作出了回答。
本案系欧盟法院合并审理的两个案件,两案的被告均为卢森堡商业登记处,该处负责管理在卢森堡设立的实体的受益所有人登记簿;两案的原告则分别为WM和索维姆公司,其中WM系一家卢森堡房地产公司——YO公司的受益所有人。YO公司和索维姆公司均向卢森堡商业登记处提交申请,请求该处将对受益所有人登记簿中载明的WM和索维姆公司受益所有人信息的查询,限于国家机关、信用机构、金融机构、执行官及公证人。卢森堡商业登记处经审查,分别于2019年11月及2020年2月作出决定,驳回了YO公司和索维姆公司的申请。WM和索维姆公司对卢森堡商业登记处的决定不服,均向卢森堡地区法院提起诉讼。
因本案涉及现行《欧盟反洗钱指令》的解释,卢森堡地区法院遂决定中止本案诉讼,并请求欧盟法院就相关问题作出先予裁决,其中一个主要问题是,现行《欧盟反洗钱指令》第30条第5款“欧盟成员国应确保社会公众的任何成员在任何情况下均可查询有关受益所有人的信息”的规定是否有效?③See WM,Sovim SA v.Luxembourg Business Registers,C37/20 and C601/20,EU:C:2022:912,paragraphs 20-33.
2022年11月22日,欧盟法院对本案作出判决。在判决中,欧盟法院首先认定,现行《欧盟反洗钱指令》第30条第5款规定的社会公众对受益所有人信息的查询,严重干预了受益所有人依据《欧盟基本权利宪章》(以下简称《宪章》)第7条和第8条享有的隐私权以及个人数据保护权。④See WM,Sovim SA v.Luxembourg Business Registers,C37/20 and C601/20,EU:C:2022:912,paragraphs 35-44.
接下来,欧盟法院认为,根据《宪章》第52条第1款的规定,对《宪章》确认的权利和自由的行使的限制必须由法律规定,尊重了这些权利和自由的实质,遵守比例原则,并且确实符合欧盟所认可的总体利益目标或保护他人权利和自由的需要。同时,根据《宪章》第8条第2款的规定,个人数据必须出于特定目的并基于相关个人的同意或法律规定的其他合法理由而予以处理。①See WM,Sovim SA v.Luxembourg Business Registers,C37/20 and C601/20,EU:C:2022:912,paragraph 46.
具体到本案中,第一,关于系争干预的合法性问题。由于社会公众对受益所有人信息的查询所导致的、对受益所有人享有的隐私权以及个人数据保护权的限制,系由现行《欧盟反洗钱指令》这一欧盟法律所规定。并且,现行《欧盟反洗钱指令》第30条第1款和第5款在规定社会公众有权查询受益所有人信息的同时,也明确规定这些信息必须是充分的、准确的和最新的,并且列明了必须允许社会公众查询的若干信息。同时,现行《欧盟反洗钱指令》还在第30条第9款中明确,欧盟成员国可以规定此类查询的豁免以及豁免的条件。在此情形下,应认定《宪章》第52条第1款规定的合法性原则已获遵守。②See WM,Sovim SA v.Luxembourg Business Registers,C37/20 and C601/20,EU:C:2022:912,paragraphs 47-49.
第二,关于系争干预是否尊重了隐私权和个人数据保护权的实质的问题。尽管现行《欧盟反洗钱指令》第30条第5款并未就社会公众有权查询的受益所有人信息列出一个穷尽所有信息的清单,并且,该款规定还允许欧盟成员国提供额外的受益所有人信息供社会公众查询。但是,根据现行《欧盟反洗钱指令》第30条第1款的规定,只有关于受益所有人和受益所有权的“充分”的信息,方可获取、掌握并提供给社会公众。该款规定已将与现行《欧盟反洗钱指令》的目的并非充分相关的信息排除在外。而向社会公众提供与受益所有人和受益所有权充分相关的信息,并不会损害受益所有人享有的隐私权以及个人数据保护权的实质。
同时,现行《欧盟反洗钱指令》第41条第1款明确规定,该指令项下的个人数据处理应受《欧盟通用数据保护条例》(GDPR)的规制。据此,可以认定,现行《欧盟反洗钱指令》项下受益所有人信息的收集、存储和提供,必须符合GDPR的相关要求。
综上所述,欧盟法院认定,因社会公众查询受益所有人信息所导致的对隐私权以及个人数据保护权的干预,不会损害受益所有人享有的这些权利的实质。③See WM,Sovim SA v.Luxembourg Business Registers,C37/20 and C601/20,EU:C:2022:912,paragraphs 50-54.
第三,关于系争干预是否符合欧盟所认可的总体利益目标的问题。由现行《欧盟反洗钱指令》的相关规定可见,该指令允许社会公众查询受益所有人信息的目的,是通过提高透明度,创设一个更难进行洗钱和恐怖融资的环境,从而防止洗钱和恐怖融资行为。该目的应视为构成欧盟所认可的,能够让系争干预成为正当的总体利益目标。④See WM,Sovim SA v.Luxembourg Business Registers,C37/20 and C601/20,EU:C:2022:912,paragraphs 55-59.
第四,关于系争干预是否符合比例原则的问题。根据欧盟法院的判例,在判断系争干预是否符合比例原则时,应当考量以下三个因素:一是社会公众对受益所有人信息的查询对于实现总体利益目标而言是否恰当;二是因此类查询导致的系争干预是否限于充分必要的范围,即该总体利益目标是否无法通过效果相同,但对受益所有人享有的权利干预更小的方式合理实现;三是系争干预与该总体利益目标是否不成比例,这特别要求对该总体利益目标的重要性和系争干预的严重性进行平衡。
关于第一个因素,欧盟法院认为,社会公众对受益所有人信息的查询,对于实现总体利益目标而言是恰当的,因为此类查询的公共性质以及因此类查询所导致的透明度的提升,有助于创设一个更难进行洗钱和恐怖融资的环境。
关于第二个因素,欧盟法院认为,一方面,尽管欧盟理事会和欧盟委员会在庭审中主张,欧盟立法机关于2018年将2015年版《欧盟反洗钱指令》第30条第5款原先的规定即“欧盟成员国应确保可以证明合法权益的任何个人或组织在任何情况下均可查询有关受益所有人的信息”,修改为“欧盟成员国应确保社会公众的任何成员在任何情况下均可查询有关受益所有人的信息”的主要理由,是缺乏有关“合法权益”的统一定义,但这并非欧盟立法机关规定社会公众可以查询受益所有人信息的正当理由。
另一方面,欧洲议会、欧盟理事会和欧盟委员会引以为据的现行《欧盟反洗钱指令》序言部分第30条的规定,不足以证明系争干预是充分必要的。因为该条规定虽声称社会公众查询受益所有人信息,能够让公民和社会加强对这些信息的监督,但该条规定援以为例的媒体、民间社会组织、可能与受益所有人控制的公司或其他法律实体达成交易的人以及金融机构和监管机构,却均对查询受益所有人信息拥有合法权益。同时,该条有关社会公众查询受益所有人信息有助于打击对公司和其他法律实体的滥用,并将有助于刑事调查的规定,也无法证实此类查询对于防止洗钱和恐怖融资而言是充分必要的。在此情形下,应认定系争干预并未限于充分必要的范围。
关于第三个因素,欧盟法院认为,首先,根据现行《欧盟反洗钱指令》第30条第5款有关社会公众的任何成员应当“至少”被允许查询受益所有人的姓名、出生年月、居住国和国籍及其持有的受益所有权的性质和范围等信息的规定,以及欧盟成员国可以提供能够识别受益所有人的额外信息(该信息“至少”包括受益所有人的出生日期或联系方式)以供查询的规定,可以认定,该款规定允许向社会公众提供未被充分界定但却可以识别相关个人的数据,而这违反了比例原则有关导致相关干预的法律必须制定清晰和准确的规则,以规范有关措施的范围和适用,并采取最低限度的保障措施,以便数据主体拥有充分的保障,可以有效地保护其个人数据免遭滥用的风险之要求。
其次,关于系争干预的严重性与防止洗钱和恐怖融资这一总体利益目标的重要性之间的平衡。尽管防止洗钱和恐怖融资这一目标的重要性,能够使得对受益所有人享有的权利的严重干预成为正当,但考虑到,一方面,打击洗钱和恐怖融资是应当由公权力机关以及信贷机构或金融机构等承担反洗钱和反恐怖融资义务的主体优先处理的事项;另一方面,较之现行《欧盟反洗钱指令》第30条第5款修订前的规定,修订后的规定构成对受益所有人享有的权利更为严重的干预,此类干预无法为相关修订所带来的在打击洗钱和恐怖融资等方面的益处所抵消。鉴于此,系争干预并非建立在对总体利益目标以及受益所有人享有的权利进行适当平衡的基础之上。在此情形下,应认定系争干预与现行《欧盟反洗钱指令》的总体利益目标不成比例。①See WM,Sovim SA v.Luxembourg Business Registers,C37/20 and C601/20,EU:C:2022:912,paragraphs 66-86.
综上所述,欧盟法院认为,对于卢森堡地区法院提出的问题的答复是,现行《欧盟反洗钱指令》第30条第5款“欧盟成员国应确保社会公众的任何成员在任何情况下均可查询受益所有人信息”的规定无效。②See WM,Sovim SA v.Luxembourg Business Registers,C37/20 and C601/20,EU:C:2022:912,paragraph 88.
由欧盟法院就本案所作的判决可见,欧盟法院认定现行《欧盟反洗钱指令》第30条第5款规定无效的理由,主要是提高受益所有人信息的透明度,允许社会公众的任何成员在任何情况下均可查询受益所有人信息,严重干预了受益所有人享有的隐私权以及个人数据保护权,并因此导致了此类查询所欲实现的提高受益所有人信息的透明度,防止洗钱和恐怖融资等社会公共利益和受益所有人享有的隐私权以及个人数据保护权之间的冲突。而现行《欧盟反洗钱指令》第30条第5款并未遵循相关法律原则解决该冲突,并在上述权益之间实现平衡。揆诸欧盟法院在本案中阐述的判决理由,同时结合欧盟法院的相关判例,可以看出,在查询受益所有人的信息方面,欧盟法院已通过本案确立了以下基本原则。
查询受益所有人信息应当遵循平衡协调原则,在提高受益所有人信息的透明度和保护个人信息之间实现公正的平衡。个人数据保护权经常会与欧盟法律保护的其他权利冲突,③See European Union Agency for Fundamental Rights,Handbook on European Data Protection Law(2018 edition),p.52,European Union Agency for Fundamental Rights Web(May 25,2018),https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_en.pdf.隐私权亦然。由于隐私权和个人数据保护权并非绝对权利,因此,在这些权利与其他权利冲突的情况下,应将这些权利与其他权利进行平衡协调,④See European Union Agency for Fundamental Rights,Handbook on European Data Protection Law(2018 edition),p.53,European Union Agency for Fundamental Rights Web(May 25,2018),https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_en.pdf.此即所谓平衡协调原则。根据欧盟法院的判例,平衡协调原则一是要求对案涉权利和利益进行详尽的个案分析和平衡,任何权利或利益均不得自动凌驾于其他权利或利益之上;①See European Union Agency for Fundamental Rights,Handbook on European Data Protection Law(2018 edition),p.65,European Union Agency for Fundamental Rights Web(May 25,2018),https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_en.pdf.二是此类平衡应当是公正的平衡,参照欧盟法院就“邦尼尔视听公司等诉完美通信瑞典公司案”所作的判决,②See Bonnier AudioAB et al.v.Perfect Communication Sweden AB,C-461/10,EU:C:2012:219,paragraphs 56 and 59.公正的平衡在法律上要求对创设案涉权利和利益的相关法律进行协调一致的解释,并要求该解释不会与案涉权利和利益或欧盟法律的基本原则,例如比例原则相冲突;在实践中则要求基于每一案件的事实,并在适当考虑比例原则要求的情况下,对案件涉及的相互冲突的权利和利益予以权衡。
具体到查询受益所有人信息的情形,基于提高受益所有人信息的透明度,允许监管机构、金融机构乃至社会公众查询受益所有人信息,将导致其上承载的反洗钱和反恐怖融资等社会公共利益与受益所有人享有的隐私权和个人数据保护权发生冲突。对此,应遵循平衡协调原则,在提高受益所有人信息的透明度和保护个人信息之间实现公正的平衡。
在进行上述平衡时,应从合法性、尊重隐私权和个人数据保护权的实质、总体利益目标以及比例原则等因素着手,对提高受益所有人信息透明度的相关措施进行考量,同时还应考量该措施是否遵守了个人数据保护的基本原则。《宪章》第52条第1款规定,对《宪章》确认的权利和自由的行使的限制必须由法律规定,尊重了这些权利和自由的实质,遵守比例原则,并且确实符合欧盟所认可的总体利益目标或保护他人权利和自由的需要。据此,在对提高受益所有人信息的透明度和保护隐私与个人信息之间进行平衡时,首先应当从合法性、尊重隐私权和个人数据保护权的实质、总体利益目标以及比例原则等因素着手,对提高受益所有人信息的透明度,允许监管机构、金融机构以及社会公众查询受益所有人信息的相关措施进行考量。
具体而言,其一,关于合法性。合法性要求规定了提高受益所有人信息透明度,允许监管机构、金融机构以及社会公众查询受益所有人信息的相关措施的法律必须是可充分查阅和可预见的,并且足够准确从而能够让相关个人知晓其义务并规制其行为。该法律必须清楚地界定主管机关行使权力的范围和方式,以防止相关个人遭受任意干预。③See European Union Agency for Fundamental Rights,Handbook on European Data Protection Law(2018 edition),p.43,European Union Agency for Fundamental Rights Web(May 25,2018),https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_en.pdf.
其二,关于尊重隐私权和个人数据保护权的实质。尊重隐私权和个人数据保护权的实质,是指提高受益所有人信息的透明度,允许监管机构、金融机构以及社会公众查询受益所有人信息的相关措施如果是宽泛的和侵扰性的,以致隐私权和个人数据保护权丧失了基本内容,则该措施即缺乏正当依据。而如果隐私权和个人数据保护权的实质遭到损害,那么就应当认定提高受益所有人信息的透明度,允许监管机构、金融机构以及社会公众查询受益所有人信息的相关措施是非法的。①See European Union Agency for Fundamental Rights,Handbook on European Data Protection Law(2018 edition),p.44,European Union Agency for Fundamental Rights Web(May 25,2018),https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_en.pdf.
其三,关于总体利益目标。总体利益目标通常涵盖国家安全、国防、公共安全、刑事犯罪的预防、调查、侦查、起诉或者刑事处罚的执行、欧盟或其成员国重要经济和金融利益的保护、公共健康等。②参见GDPR第23条第1款。就提高受益所有人信息透明度,允许监管机构、金融机构以及社会公众查询受益所有人信息的相关措施而言,该措施的总体利益目标,是通过提高透明度,创设一个更难进行洗钱和恐怖融资的环境,从而防止洗钱和恐怖融资行为。
其四,关于比例原则。比例原则是欧盟法的基本原则。该原则通过要求有关部门在其使用的方式和意图实现的目标之间进行平衡,从而对这些部门的权力予以限制。就限制隐私权和个人数据保护权的任何措施而言,遵守比例原则可谓至关重要。③See European Data Protection Supervisor,Necessity&Proportionality,EDPSWeb,https://edps.europa.eu/dataprotection/our-work/subjects/necessity-proportionality_en.比例原则有广义和狭义之分,广义的比例原则包括必要原则和狭义上的比例原则即适当原则。④See European DataProtection Supervisor,EDPSGuidelines on Assessing the Proportionality of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data,p.9,EDPS Web(December 19,2019),https://edps.europa.eu/sites/default/files/publication/19-12-19_edps_proportionality_guidelines2_en.pdf.本案中,欧盟法院适用的是广义的比例原则。
具体来说,首先,必要原则是任何涉及个人数据处理的措施,包括本案所涉的提高受益所有人信息透明度的相关措施均需遵守的原则。⑤See European DataProtection Supervisor,Assessing the Necessity of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data,p.2,EDPS Web(April 11,2017),https://edps.europa.eu/sites/default/files/publication/17-06-01_necessity_toolkit_final_en.pdf.原则上,若基于公共利益目标需要采取相关措施,则该措施可能是必要的。但是,根据欧盟法院的诠释,必要原则要求所采取的措施较之能够实现相同目标的其他可供选择的措施,所造成的影响更小。⑥See European Union Agency for Fundamental Rights,Handbook on European Data Protection Law(2018 edition),p.46,European Union Agency for Fundamental Rights Web(May 25,2018),https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_en.pdf.同时,对于限制隐私权和个人数据保护权的措施,例如提高受益所有人信息透明度,允许监管机构、金融机构以及社会公众查询受益所有人信息的相关措施而言,欧盟法院适用的是“充分必要”的审查标准,即此类措施只有在充分必要的情况下方可适用。①See European Data Protection Supervisor,Assessing the Necessity of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data,p.7,EDPSWeb(April 11,2017),https://edps.europa.eu/sites/default/files/publication/17-06-01_necessity_toolkit_final_en.pdf.
其次,狭义上的比例原则要求因限制相关权利而获取的利益超过其所导致的不利益,即对相关权利的限制措施必须具备正当理由,而伴随该措施的保障措施则可以佐证该措施的正当性。②See EuropeanData Protection Supervisor,Necessity&Proportionality,EDPSWeb,https://edps.europa.eu/dataprotection/our-work/subjects/necessity-proportionality_en.
根据欧盟法院在“G.D.诉爱尔兰警察总监等案”③See G.D.v.Commissioner of An Garda Síochána et al.,C140/20,EU:C:2022:258,paragraph 93.以及“波兰政府诉欧洲议会和欧盟理事会案”④See Republic of Poland v.European Parliament,Council of the European Union,C401/19,EU:C:2022:297,paragraph 65.中的诠释,就提高受益所有人信息的透明度,允许监管机构、金融机构以及社会公众查询受益所有人信息的相关措施而言,一方面,比例原则要求该措施欲实现的防止洗钱和恐怖融资的目标,只有在与受到该措施影响的隐私权和个人数据保护权进行恰当平衡和协调,从而确保该措施所导致的不利益与该目标合比例的情况下,方可予以追寻。鉴于此,对于该措施是否具备正当理由这一问题,应当通过考量该措施所导致的干预的严重性,以及审查该严重性与该措施所欲实现的目标的重要性是否合比例,来予以评估。
另一方面,比例原则还要求导致相关干预的法律即现行《欧盟反洗钱指令》必须制定清晰和准确的规则,以规范提高受益所有人信息的透明度,允许监管机构、金融机构以及社会公众查询受益所有人信息的相关措施的范围和适用,并采取最低限度的保障措施,以便数据主体拥有充分的保障,可以有效地保护其个人数据免遭滥用的风险。该法律必须特别指出,在何种情况和条件下可以采取相关措施,从而确保将相关干预限制在充分必要的范围之内。在个人数据可为公众即数量不限的个人获取,且敏感个人数据可能被披露的情况下,对此类保障措施的需求将更为迫切。
最后,在对提高受益所有人信息的透明度和保护隐私与个人信息之间进行平衡时,还应依照平衡协调原则有关此类平衡应当是公正的平衡之要求,对提高受益所有人信息透明度,允许监管机构、金融机构以及社会公众查询受益所有人信息的相关措施所依据的现行《欧盟反洗钱指令》作出与《宪章》和GDPR协调一致的解释,并据此对该措施是否符合《宪章》和GDPR的相关要求,特别是是否符合GDPR第5条规定的个人数据处理的基本原则以及第6条规定的合法性基础进行考量。
本案中,由于现行《欧盟反洗钱指令》有关社会公众在任何情况下均可查询受益所有人信息的规定,一是未将其所导致的对受益所有人享有的隐私权和个人数据保护权的干预,限于充分必要的范围;二是其所导致的干预并非建立在对总体利益目标以及受益所有人享有的权利进行恰当平衡的基础之上,并因此与现行《欧盟反洗钱指令》的总体利益目标不成比例。故欧盟法院最终认定,现行《欧盟反洗钱指令》的上述规定违反了比例原则,未能在提高受益所有人信息的透明度以及保护隐私和个人信息之间实现公正的平衡,并因此无效。
第一,在查询受益所有人信息方面,我国也应遵循平衡协调原则,在提高受益所有人信息透明度和保护个人信息之间实现公正的平衡。
第二,在进行上述平衡时,首先,应当考虑提高受益所有人信息透明度,允许查询受益所有人信息的相关措施的合法性,即该措施原则上宜由我国《反洗钱法》作出规定;并且,该措施还应明确受益所有人信息的范围、查询主体、可供查询的信息、例外情形等。
其次,应考虑适用比例原则,对提高受益所有人信息透明度,允许查询受益所有人信息的相关措施的必要性和比例性进行考量。在审查相关措施的必要性时,可以考虑借鉴欧盟数据保护监管局发布的“必要性评估工具箱”,①See European Data Protection Supervisor,Assessing the Necessity of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data,pp.9-19,EDPSWeb(April 11,2017),https://edps.europa.eu/sites/default/files/publication/17-06-01_necessity_toolkit_final_en.pdf.采用以下四个步骤进行审查:一是对相关措施及其目的进行详尽的描述;二是识别相关措施是否限制了受益所有人的个人信息权益和其他权利或权益;三是界定相关措施的目标;四是选择有效并且对个人信息权益影响最小的措施。就此而言,考虑到查询受益所有人信息通常将限制受益所有人享有的个人信息权益,同时考虑到此类查询所欲实现的防止洗钱和恐怖融资的目标,原则上仅与负有反洗钱和反恐怖融资相关职责的监管机构与负有反洗钱和反恐怖融资义务的金融机构相关,而与社会公众无涉。因为打击洗钱和恐怖融资是监管机构以及承担反洗钱和反恐怖融资义务的金融机构优先处理的事项,而非社会公众的职责。“在任何情况下,私人主体或实体不应正式或非正式、直接或间接地被赋予执行反洗钱和反恐怖融资的职责。”②See European Data Protection Supervisor,EDPS Opinion on a Commission Proposal Amending Directive(EU)2015/849 and Directive 2009/101/EC,p.14,EDPSWeb(February 2,2017),https://edps.europa.eu/sites/edp/files/publication/17-02-02_opinion_aml_en.pdf.据此,可以选择将查询受益所有人信息的主体限于监管机构和金融机构,而将社会公众排除在外。因为这是目前既能够有效实现防止洗钱和恐怖融资目标,又对受益所有人享有的个人信息权益的影响最小,从而符合必要性标准的措施。
再次,还可以考虑借鉴欧盟数据保护监管局发布的相关指南,①See European Data Protection Supervisor,EDPSGuidelines on Assessing the Proportionality of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data,pp.14-33,EDPSWeb(December 19,2019),https://edps.europa.eu/sites/default/files/publication/19-12-19_edps_proportionality_guidelines2_en.pdf.在相关措施通过必要性审查之后,采取以下步骤对该措施的比例性进行审查:一是评估相关措施的目标的重要性,以及该措施是否和在何种程度上能够实现该目标,即该措施的有效性和效率;二是基于该措施对个人信息权益的实际影响,评估该措施干预个人信息权益的范围、程度和强度,包括该措施将影响多少人,何种类型的个人信息将被处理,时间多长,该措施是否允许对相关个人的私人生活得出准确的结论等;三是对该措施的重要性、有效性和效率以及该措施对个人信息权益的干预,即对该措施的利弊进行公正的平衡;四是对有关该措施比例性的结论进行分析。如果结论是该措施不具有比例性,则确定并采用能够使得该措施具有比例性的保障措施。就此而言,若允许监管机构和金融机构查询受益所有人信息的相关措施已通过必要性审查,则该措施还应依照比例性标准予以规范,即该措施应制定清晰和准确的规则,以规范该措施的范围和适用,特别是宜就监管机构和金融机构在何种情况与条件下,可以查询受益所有人信息作出明确的规定,并规定最低限度的保障措施,以便受益所有人拥有充分的保障,可以有效地防范其个人信息遭到滥用的风险。
最后,应对该措施是否符合个人信息保护法的相关规定进行考量,包括该措施是否遵守了合法、正当、必要和诚信原则、目的明确和最小化处理原则、公开、透明原则、个人信息质量原则,是否具备处理个人信息的合法性基础,是否保障了受益所有人享有的各项权利等。