WhatsApp爱尔兰有限公司诉欧洲数据保护委员会案

法院判决（大法庭）

2026 年 2 月 10 日（ *1 ）

（上诉—自然人的个人数据处理保护—欧盟法规（EU）2016/679—第 63 条—一致性机制—第 65 条—欧洲数据保护局解决争端—具有约束力的决定—撤销诉讼—第 263 条 TFEU 第 1 款—可受挑战的法律—第 263 条 TFEU 第 4 款—提起诉讼的措施必须直接关系到申请人）

在案件 C-97/23 P 中，

根据欧洲法院法官会议第56条提出的上诉，于2023年2月17日提起，

WhatsApp 爱尔兰有限公司 ，成立于都柏林（爱尔兰），由 E. Egan McGrath 大律师、C. Geoghegan 大律师、D. McGrath 大律师、P. Sreenan 大律师、B. Johnston、C. Monaghan 和 P. Nolan 事务律师代表，H.-G. Kamann 律师、F. Louis 和 A. Vallery 律师。

上诉人，

本案其他当事人为：

欧洲数据保护委员会 ，由 C. Foglia、M. Gufflet、G. Le Grand 和 I. Vereecken 作为代理人，以及 G. Haumont、E. de Lophem、P. Vernet 律师和 G. Ryelandt 律师，

一审被告，

得到支持：

德意志联邦共和国 ，最初由 J. Möller 和 P.‑L. Krüger 代表，随后由 J. Möller 作为代理人代表，

作为上诉的介入者，

法院（大法庭），

由 K. Lenaerts 担任主席，T. von Danwitz（报告人）担任副主席，K. Jürimäe、C. Lycourgos、I. Jarukaitis、I. Ziemele、O. Spineanu-Matei 和 M. Condinanzi 担任分庭主席，S. Rodin、E. Regan、N. Piçarra、A. Kumin、N. Jääskinen、B. Smulders 和 N. Fenger 担任法官组成，

检察官：T. Ćapeta，

书记官：A. Lamote，行政官，

考虑到书面程序，并进一步考虑到2024年11月26日的听证会，

在听取了总法律顾问于2025年3月27日提出的意见后，

作出如下判决

判决

1

通过其上诉，WhatsApp 爱尔兰有限公司（“WhatsApp”）请求撤销欧洲法院普通法院 2022 年 12 月 7 日的判决，WhatsApp 爱尔兰诉欧洲数据保护委员会（T-709/21, EU:T:2022:783；“上诉的判决”），该法院以不具可受理性为由驳回了其请求撤销欧洲数据保护委员会（“EDPB”）2021 年 7 月 28 日作出的第 1/2021 号具有约束力的决定（“EDPB”）的决定（“该争议中的决定”），该决定涉及有关监管机构之间因数据保护委员会（DPC）（爱尔兰）（“爱尔兰监管机构”）制定的关于 WhatsApp 的初步决定而产生的争议（“争议中的决定”）。

法律背景

2

欧洲议会和理事会于 2016 年 4 月 27 日通过的关于保护自然人在个人数据处理方面的权利以及此类数据的自由流动，并废除指令 95/46/EC（通用数据保护条例）（OJ 2016 L 119, 第 1 页 ，以及勘误表 OJ 2018 L 127, 第 2 页 ）（“GDPR”）的第 10 条和第 143 条声明：

‘(10)

为了确保自然人的权利和自由得到一致和高水平的保护，并消除欧盟内个人数据流动的障碍，关于此类数据处理的自然人的权利和自由的保护水平应在所有成员国中保持一致。在整个联盟中应确保对保护自然人在个人数据处理方面的基本权利和自由规则的统一和同质化适用。……

…

(143)

任何自然人或法人都有权根据第 263 条 TFEU 的规定，向欧洲法院提起撤销[EDPB]决定的诉讼。作为此类决定的接收方，希望挑战这些决定的有关监管机构必须在收到通知后的两个月内提起诉讼，根据第 263 条 TFEU 的规定。当[EDPB]的决定直接关系到控制者、处理者或投诉人时，后者可以在[EDPB]网站公布后的两个月内，根据第 263 条 TFEU 的规定，对这些决定提起撤销诉讼。在不影响第 263 条 TFEU 规定的这项权利的情况下，每个自然人或法人应在主管国家法院面前就监管机构作出的对其产生法律效力的决定拥有一项有效的司法救济。此类决定尤其涉及监管机构行使调查、纠正和授权权力，或驳回或拒绝投诉。 然而，有效司法救济权并不包括监管机构采取的非具有法律约束力的措施，例如监管机构发布的意见或提供的建议。针对监管机构的诉讼应提交至监管机构设立的成员国的法院，并应根据该成员国的程序法进行审理。 这些法院应行使完全的管辖权，其管辖权应包括审查与案件相关的所有事实和法律问题。

当一个投诉被监管机构驳回或驳回时，投诉人可以在同一成员国法院提起诉讼。在涉及本法规适用司法救济的背景下，认为需要作出裁决问题的决定才能进行裁决的国内法院，在符合 TFEU 第 267 条规定的情形下，可以或必须请求欧洲法院对联盟法律的解释，包括本法规，作出初步裁决。此外，当一个监管机构实施[EDPB]决定的决策在法院受到质疑，且[EDPB]决定的效力成为问题时，该国内法院无权宣布[EDPB 的]决定无效，而必须根据欧洲法院对 TFEU 第 267 条的解释，将效力问题提交给欧洲法院，如果它认为该决定无效。 然而，国家法院不得应有机会提起撤销该决定的自然人或法人请求，转交关于[EDPB]作出的决定有效性的问题，特别是如果该决定直接且单独地涉及该决定，但未在《欧盟运行条约》第 263 条规定的期限内这样做。’

3

《通用数据保护条例》第 5 条，题为“与个人数据处理相关的原则”，在其第 1(a)款中规定，个人数据必须以合法、公平和透明的方式处理，与数据主体相关。该条例第 5(1)(c)款规定，这些数据必须充分、相关且仅限于处理目的所必需。

4

《通用数据保护条例》第6条，题为“处理的合法性”，规定了个人数据处理合法的条件。第6(1)款规定：

处理应当合法，仅当且仅当以下至少一种情况适用时：

(a)

数据主体已同意为其一个或多个特定目的处理其个人数据；

(b)

处理对于履行数据主体参与的合同或为了在订立合同前根据数据主体的请求采取步骤是必要的；

(c)

处理对于遵守控制者所承担的法律义务是必要的；

(d)

处理对于保护数据主体或其他自然人的重大利益是必要的；

(e)

处理对于执行由控制者履行的在公共利益或官方授权的职责是必要的；

(f)

处理对于控制者或第三方追求的合法利益是必要的，除非这些利益被数据主体的利益或基本权利和自由所覆盖，这些权利和自由需要保护个人数据，特别是在数据主体是儿童的情况下。

第一段第（f）点不适用于公共机构在执行其任务时进行的处理。

5

《通用数据保护条例》第12条包含有关透明信息、沟通以及行使数据主体权利的方式的规定。第12(1)条规定：

控制器应采取适当措施，以简明、透明、易懂且易于访问的形式，使用清晰易懂的语言，向数据主体提供第13条和第14条中提到的任何信息，以及第15条至第22条和第34条中关于处理的任何通信，特别是针对儿童的任何特定信息。信息应以书面形式提供，或以其他方式提供，包括在适当情况下以电子方式提供。当数据主体提出要求时，信息可以口头提供，但前提是必须以其他方式证明数据主体的身份。

6

《通用数据保护条例》第13条，题为“从数据主体收集个人数据时应提供的信息”，规定：

1. 当从数据主体收集与数据主体相关的个人数据时，控制器在获得个人数据时，应向数据主体提供以下全部信息：

(a)

控制者的身份和联系方式，以及适用情况下控制者的代表人的身份和联系方式；

(b)

适用情况下，数据保护官的联系方式；

(c)

处理个人数据的用途以及处理的合法依据；

(d)

如果处理基于第 6(1)条(f)款，则控制者或第三方所追求的合法利益；

(e)

接收个人数据的接收者或接收者类别，如有；

(f)

在适用情况下，控制者打算将个人数据转移至第三国或国际组织的事实，以及[欧洲]委员会是否作出充分性决定，或者在涉及第46条或第47条所指的转移情况下，或第49(1)条第二段所指的转移情况下，提及适当的或合适的保障措施，以及如何获取其副本或它们已被提供的方式。

2. 除第1段所指的信息外，控制者在获取个人数据时，还应当向数据主体提供为确保公平和透明处理所必需的以下进一步信息：

(a)

个人数据存储的期限，或者如果无法确定该期限，则用于确定该期限的标准；

(b)

有权向控制者请求访问、更正或删除个人数据或限制处理涉及的数据主体，或者反对处理，以及数据可携带权；

(c)

当处理基于第 6(1)条 a 款或第 9(2)条 a 款时，存在随时撤回同意的权利，且在同意撤回之前基于同意的处理的法律性不受影响；

(d)

向监管机构提出投诉的权利；

(e)

个人数据的提供是否为法定要求或合同要求，或者是否为订立合同所必需的要求，以及数据主体是否必须提供个人数据以及不提供此类数据的可能后果；

(f)

是否存在自动化决策，包括在《第22条》第1款和第4款中提到的画像，并且在至少这些情况下，涉及逻辑的详细信息，以及此类处理对数据主体的重要性和预期后果。

…’

7

GDPR 第 14 条涉及在个人数据未从数据主体处获得时提供的信息。

8

根据 GDPR 第 55(1)条，每个监管机构在其自身成员国领土上，负责执行 GDPR 规定的任务以及行使 GDPR 授予的权力。

9

该法规第56条，题为“主要监管机构的管辖权”，规定如下：

“1.在不影响第55条的前提下，控制者或处理者的主要机构或单一机构的监管机构应当根据第60条规定的程序，作为跨境处理的牵头监管机构。

2.根据第1段的规定，如果事项仅涉及其成员国内的机构或对成员国内的数据主体产生实质性影响，则每个监管机构都有权处理提交给它的投诉或本法规的潜在侵权行为。

3.在本条第2款所述的情况下，监管机构应当立即就此事通知牵头监管机构。在接到牵头监管机构通知后的三周内，牵头监管机构应当根据第60条规定的程序决定是否处理此案，并考虑监管机构通知的成员国中是否存在控制者或处理者的机构。”

4. 若主要监管机构决定处理案件，则应适用第60条规定的程序。通知主要监管机构的其他监管机构可向主要监管机构提交一项决定草案。主要监管机构在准备第60(3)条所述的决定草案时，应充分考虑到该草案。

5. 若主要监管机构决定不处理案件，则通知主要监管机构的其他监管机构应根据第61条和第62条处理该案件。

6. 主要监管机构应是该控制者或处理者进行跨境处理时的唯一对话方。

10

《通用数据保护条例》第 57 条，题为“任务”，在其第 1 段第(h)点规定，每个监管机构在其成员国境内有任务对《通用数据保护条例》的实施情况进行调查。

11

该机构的调查权力列于 GDPR 第 58 条标题为“权力”的第 1 段，该条第 2 段列出了该机构的纠正权力，包括该段第（b）、（d）和（i）项所指的权力，分别包括在处理活动违反 GDPR 规定时，对控制者或处理者进行谴责，在适当情况下，以指定的方式和在指定的期限内，命令控制者或处理者使处理活动符合 GDPR 的规定，以及根据 GDPR 第 83 条处以行政罚款。

12

GDPR 第 60 条标题为“主要监管机构与其他相关监管机构之间的合作”规定：

“1. 主要监管机构应根据本文的规定与其他相关监管机构合作，以努力达成共识。主要监管机构和相关监管机构应相互交换所有相关信息。”

2. 首席监管机构可以随时要求其他相关监管机构根据第61条提供相互协助，并可以根据第62条开展联合行动，特别是为了进行调查或监控在另一成员国设立的控制器或处理器的措施的执行情况。

3. 首席监管机构应立即将有关事项的信息 communicating to 其他相关监管机构。它应立即将草案决定提交给其他相关监管机构供其意见，并充分考虑其观点。

4. 如果在根据本条第3款进行咨询后的四周内，任何其他相关监管机构对草案决定表示相关且合理的反对意见，首席监管机构如果不同意相关且合理的反对意见或认为反对意见不相关或不合理，应将有关事项提交给第63条所述的一致性机制。

5. 若主要监管机构打算采纳相关且合理的异议，则应向其他有关监管机构提交修正案草案供其提出意见。该修正案草案应在两周内依照第4段所述的程序进行。

6. 若在第4段和第5段所述期间内，其他有关监管机构均未对主要监管机构提交的草案提出异议，则主要监管机构与其他有关监管机构应被视为同意该草案，并受其约束。

7. 主要监管机构应作出决定，并通知控制者或处理者的主要机构或单一机构（以适用者为准），同时通知其他有关监管机构和[欧洲数据保护委员会]该决定，包括相关事实和理由的摘要。受理投诉的监管机构应将决定告知投诉人。

8. 根据 第7段 的规定，如果投诉被驳回或不予受理，受理投诉的监管机构应当作出决定，并通知投诉人，同时应当告知控制者。

9. 如果主要监管机构和相关监管机构同意驳回或不予受理投诉的部分内容，并对投诉的其他部分采取行动，则应当针对该事项的每一部分分别作出决定。主要监管机构应当就与控制者相关的行动部分作出决定，并通知其位于其成员国领土内的主要机构或单一机构，同时应当告知投诉人；投诉人的监管机构应当就驳回或不予受理该投诉的部分作出决定，并通知该投诉人，同时应当告知控制者或处理者。

10. 在根据第7段和第9段收到主要监管机构的决定通知后，控制者或处理者应当采取必要措施，以确保在联盟内其所有机构进行的处理活动符合该决定。控制者或处理者应当将为符合该决定而采取的措施通知主要监管机构，该机构应当通知有关的其他监管机构。

11. 在例外情况下，若有关监管机构有理由认为有必要采取行动以保护数据主体的利益，则应适用第66条所述的紧急程序。

12. 主要监管机构和其他有关监管机构应当使用标准化的格式，以电子方式相互提供本条要求的资料。

13

根据 GDPR 第 63 条，题为“一致性机制”：

为了在整个联盟内促进本法规的统一适用，监管机构应相互合作，并在必要时与委员会合作，通过一致性机制……

14

《通用数据保护条例》第65条，题为“[欧洲数据保护监督机构]的争议解决”，规定：

1. 为了确保本法规在个案中的正确和统一适用，[欧洲数据保护监督机构]应在以下情况下作出具有约束力的决定：

（a）

在根据第60(4)条提交的案件，相关监管机构对主要监管机构拟定的决定提出了相关且合理的异议，而主要监管机构未遵循该异议或拒绝该异议为不相关或不合理。该具有约束力的决定应涉及相关且合理的异议所涉及的各项事项，特别是是否存在对本法规的侵权；

(b)

在有关监管机构对哪个机构对主要机构有管辖权存在争议的情况下；

(c)

在涉及第64(1)条所述案件时，若具备资质的监管机构未请求[欧洲数据保护委员会]的意见，或未遵循依据第64条发布的[欧洲数据保护委员会]意见，则相关监管机构或委员会可向[欧洲数据保护委员会]通报此事。

2. 第1段所述的决定应在[欧洲数据保护委员会]成员三分之二多数投票表决后一个月内作出。如因案件复杂性，该期限可再延长一个月。第1段所述的决定应说明理由，并致送主要监管机构和所有相关监管机构，并对它们具有约束力。

3. 若[欧洲数据保护委员会]在第2段所述期限内未能作出决定，则应在第2段所述第二个月期满后两周内，由[欧洲数据保护委员会]成员简单多数投票作出决定。若[欧洲数据保护委员会]成员意见不一，则该决定应由其主席投票作出。

4. 相关监管机构在第二段和第三段所述期间内，不得就提交给[EDPB]的第一段所述事项作出决定。

5. [EDPB]主席应在不合理延迟的情况下，将第一段所述的决定通知相关监管机构，并通知委员会。监管机构通知第六段所述的最终决定后，该决定应在合理时间内公布在[EDPB]的网站上。

6. 主管机构或，如适用，受理投诉的主管机构应根据本条第1款所述的决定，在不合理延迟的情况下，并在[欧洲数据保护委员会]通知其决定之日起最迟一个月内作出最终决定。主管机构或，如适用，受理投诉的主管机构应分别通知控制者或处理者以及数据主体其最终决定的日期，并通知[欧洲数据保护委员会]。有关主管机构的最终决定应根据第60(7)、(8)和(9)条的规定作出。最终决定应引用本条第1款所述的决定，并应明确说明根据本条第5款的规定，该决定将在[欧洲数据保护委员会]的网站上公布。最终决定应附上本条第1款所述的决定。

15

GDPR 第 68 条，题为“[EDPB]”，在其第 1 款中规定，EDPB 被设立为一个欧盟机构并具有法律人格。

16

GDPR 第 70 条，题为“[EDPB]的任务”，在其第 1 款第(a)点中规定，EDPB 应确保 GDPR 的统一适用。为此，EDPB 应自行主动或根据需要，在特定情况下，特别是监控和确保 GDPR 在 64 条和 65 条规定的案件中的正确适用，而不损害国家监管当局的任务。

17

GDPR 第 78 条，题为“对监管当局的有效司法救济权”，规定如下：

“1.在不损害任何其他行政或非司法救济权的情况下，任何自然人或法人都有权对监管当局对其作出的具有法律约束力的决定获得有效的司法救济。”

2. 在不影响任何其他行政或非司法救济的情况下，每位数据主体都有权获得有效司法救济，如果根据第55条和第56条有权处理的监管机构未处理投诉或未在三个月内通知数据主体根据第77条提出的投诉的进展或结果。

3. 对监管机构的诉讼应向监管机构设立的成员国的法院提起。

4. 如果对监管机构的决定提起诉讼，该决定先前经过了[欧洲数据保护委员会]在一致性机制中的意见或决定，监管机构应将该意见或决定提交给法院。

18

GDPR 第 83 条规定了施加行政罚款的一般条件。

争议背景及所涉决定

19

争议背景在上诉命令的第2至第12段中予以阐述，在本案诉讼程序中，可概括如下。

20

在《通用数据保护条例》生效后，爱尔兰监管机构收到了来自“WhatsApp”即时通讯服务用户和非用户的投诉，涉及 WhatsApp 对个人数据的处理。德国联邦数据保护与信息自由专员（BfDI）也请求爱尔兰监管机构协助 WhatsApp 遵守个人数据控制者在与 Facebook 集团其他实体共享此类数据时必须履行的透明度义务。

21

2018 年 12 月，爱尔兰监管机构启动了针对 WhatsApp 遵守《通用数据保护条例》第 12 至 14 条规定的透明度义务和信息提供义务的主动一般调查，同时不影响其就收到的个人投诉或请求采取的行动。爱尔兰监管机构根据《通用数据保护条例》第 56(1)条作为“主要监管机构”行事，因为 WhatsApp 作为“WhatsApp”欧洲消息服务的控制者在爱尔兰设有主要机构，并且其进行的处理具有跨境性质。

22

在 2019 年 9 月调查阶段完成后，调查员提交了最终报告，爱尔兰监管机构在 WhatsApp 提供意见的中间程序阶段之后，根据《通用数据保护条例》第 60(3)条，于 2020 年 12 月向案件中的其他所有监管机构提交了一份草案决定，以征求它们的意见。

23

2021 年 1 月，其余八个监管机构对那项草案决定的某些方面提出了异议。爱尔兰监管机构针对这些异议发布了一份综合答复，提出了妥协立场。尽管在那份答复之后，这八个监管机构中的一个撤回了其一个异议，但爱尔兰监管机构发现，对于其他被反对的方面并未达成共识。它决定拒绝所有收到的异议，并将此事提交给 EDPB，根据 GDPR 第 60(4)条和第 65(1)(a)条，由其解决有关监管机构之间就这些异议所涵盖的方面产生的争议。

24

2021 年 5 月，在发送了所有相关交换的文件后，爱尔兰监管机构收到了 WhatsApp 关于监管机构之间讨论事项的书面意见，并反过来将这些意见转发给 EDPB，以便其在争议解决程序中予以考虑，该争议解决程序由爱尔兰监管机构于 2021 年 6 月启动。

25

2021年7月28日，欧洲数据保护委员会根据《通用数据保护条例》第65(2)条作出了相关决定。

26

在爱尔兰监管机构收到相关决定并获得了 WhatsApp 关于该机构根据该决定最终打算对其施加的罚款的陈述后，该机构于 2021 年 8 月 20 日根据《通用数据保护条例》第 65(6)条作出了一项最终决定，致 WhatsApp（“最终决定”）。

27

在最终裁决中，爱尔兰监管机构认定 WhatsApp 侵犯了《通用数据保护条例》第 5(1)(a)条、第 12(1)条、第 13(1)(c)至(f)条、第 13(2)(a)、(c)和(e)条以及第 14 条所规定的透明原则和义务。另一方面，该机构表示 WhatsApp 已遵守《通用数据保护条例》第 13(1)(a)和(b)条以及第 13(2)(b)和(d)条规定的义务。根据《通用数据保护条例》第 58(2)(b)、(d)和(i)条采取的纠正措施，该机构对 WhatsApp 处以谴责，并要求其实施一系列旨在使其符合已侵犯的《通用数据保护条例》规定的措施，这些措施列于附件中，并在三个月内完成，并处以四笔与侵犯《通用数据保护条例》第 5(1)(a)条以及第 12 至 14 条相关的行政罚款，总计 2.25 亿欧元。

28

此外，在最终决定中，爱尔兰监管机构确定了相关方面，这些方面要求其在最终决定中审查其草案决定中提出的评估。就这些方面而言，它决定以阴影框的形式重复提出的问题中 EDPB 给出的理由，并简单地在每个情况下以结论段落得出适当的结论。

29

根据 GDPR 第 65(6)条，该决定被附在最终决定中。

30

在该决定中，EDPB 就相关合理且有根据的反对意见所涉及的议题采取了立场，即 GDPR 第 65(1)(a)条所述：

–

WhatsApp 是否未能遵守 GDPR 第 13(1)(d)条规定的提供信息义务，该条款涉及在从数据主体收集个人信息时向其提供某些信息。爱尔兰监管机构在其草案决定中并未认定存在这种未能遵守的情况。相反，EDPB 认为 WhatsApp 未能遵守该条款。

–

将“有损哈希程序”产生的材料归类为个人数据，这些数据涉及包含在 WhatsApp 用户设备通讯录中的非 WhatsApp 用户“联系方式”。爱尔兰监管机构在其草案决定中并未将此类材料归类为个人数据。相反，EDPB 认为它仍然构成个人数据。根据 EDPB 的观点，这一方面可能对 WhatsApp 可能违反 GDPR 第 5(1)(c)条和第 6(1)条以及 WhatsApp 违反 GDPR 第 14 条的程度产生影响，并影响基于这些理由对 WhatsApp 处以罚款的金额。

–

WhatsApp 是否侵犯了 GDPR 第 5(1)(a)条规定的透明原则，这是爱尔兰监管机构在其草案决定中未能确立的观点。相反，EDPB 认为 WhatsApp 侵犯了该原则。

–

WhatsApp 侵犯 GDPR 第 13(2)(e)条的规定，即当从数据主体收集个人信息时，应向数据主体提供某些信息，而爱尔兰监管机构认为自己无法对此进行考虑，因为调查员在调查过程中未就此问题表明立场，并且仅认为只能发出建议。相反，EDPB 认为调查涵盖了 GDPR 第 13 条的所有规定，并且必须确定该条款的侵权行为。

–

WhatsApp 是否侵犯了 GDPR 第 6(1)条关于个人数据处理合法条件的规定，而爱尔兰监管机构尚未对此作出裁决。EDPB 认为，由于程序上的原因，无法对此事项作出裁决或认定存在此类侵权行为；

–

将 WhatsApp 未能遵守 GDPR 第 14 条规定的提供信息义务的理由扩展至个人数据未从数据主体处获得时应提供的信息，这是由于与本段第二分项相关的分析结果。EDPB 确认了这种扩展对行为纠正措施和 WhatsApp 被处以的罚款的影响；

–

WhatsApp 是否侵犯了 GDPR 第 5(1)(c)条规定的收集仅限于与其处理目的相关且必要的数据的原则，而爱尔兰监管机构并未对此作出裁决。EDPB 认为，根据案卷内容，特别是考虑到对 WhatsApp 的调查范围，并未证明存在此类侵权行为；

—

爱尔兰监管机构规定的六个月期限，在此期限内，WhatsApp 通过纠正措施被要求将其处理活动与未能遵守的 GDPR 相关规定相一致。EDPB 将该期限缩短为三个月；

—

关于纠正措施，涉及向 WhatsApp 的非用户提供有关 WhatsApp 处理其个人数据的措施，欧洲数据保护委员会在其 draft decision（草案决定）中确认了爱尔兰监管机构在此方面的评估；

—

关于纠正措施，涉及 WhatsApp 未能遵守 GDPR 第 14 条规定的义务的额外理由的声明，欧洲数据保护委员会指出，该声明是确保 WhatsApp 采取适当纠正措施的必要条件；

—

根据 GDPR 第 83 条关于“行政处罚的一般条件”的规定，针对 WhatsApp 应被处以的罚款数额标准。EDPB 认为，爱尔兰监管机构误解了有关相关企业全球年营业额的标准；正确解释了“前财务年度”的概念；误解了如果在同一或关联的处理操作中违反了 GDPR 的几项规定，行政罚款总额不得超过最严重违规行为规定的金额的规则；并且正确解释了 GDPR 第 83(1)和(2)条中确定罚款的某些标准，即违规行为的故意或过失性质以及违规行为的严重程度，但误解了其他标准，例如考虑营业额以独立于其上限计算来量化罚款，以及更一般地，罚款需要有效、相称和威慑；

–

罚款的数额，欧洲数据保护委员会认为，鉴于爱尔兰监管机构对与罚款金额相关的某些标准的错误解释，以及 WhatsApp 未能履行其义务的必要认定，该机构预计的罚款金额总额在 3000 万和 5000 万欧元之间必须增加。

31

WhatsApp 向爱尔兰法院挑战了最终决定。

普通法院的诉讼和上诉的命令

32

通过于 2021 年 11 月 1 日向普通法院注册处提交的申请，WhatsApp 根据 TFEU 第 263 条提起诉讼，寻求撤销相关决定。

33

根据上诉命令，依据其程序规则的第129条，普通法院裁定该诉讼不具可受理性。

34

尽管在上诉命令的第 36、37 和 40 段中观察到，所涉决定构成欧盟机构的行为，旨在对第三方产生法律效力，并且 WhatsApp 受该决定个别影响，但普通法院在上诉命令的第 42 段仍然认为，该决定是程序中的准备性或中间性行为，该程序将通过国家监督机构的最终决定的通过而结束。普通法院在上诉命令的第 43 和 44 段认为，此类行为并非“可受挑战的行为”，除非它在程序终止决定方面产生独立的法律效力，在该背景下无法确保充分的司法保护。

35

在这方面，上诉法院在抗诉令第 45 段中认为，在本案中，WhatsApp 通过向国家法院对最终决定的救济措施，获得了针对所涉决定的有效的司法保护，该国家法院根据 TFEU 第 267 条，可以将问题提交至欧洲法院寻求初步裁决，以评估所涉决定的效力。上诉法院还在抗诉令第 46 段中陈述，所涉决定对 WhatsApp 没有独立于爱尔兰监管机构最终决定的法律效力。

36

此外，上诉法院在抗诉令第49段中认为，这种中间行为表达了当局的最终立场，该立场将在最终决定中结束所涉程序，但这并不意味着该行为本身使申请人的法律地位发生了明显变化。

37

此外，上诉法院在受上诉的命令第 50 段中指出，WhatsApp 并未受到所涉决定的直接影响。上诉法院在第 52 段该命令中指出，该决定不能在不采取进一步程序步骤的情况下，成为 WhatsApp 的义务来源或，如适用，其他个人的权利来源，因此它并未对 WhatsApp 的地位产生直接的法律效力。上诉法院还在该命令第 53 段中声明，尽管所涉决定对爱尔兰监管机构在与其相关方面具有约束力，但它仍然留给该机构在最终决定内容方面的相当程度的自由裁量权。

38

因此，在该命令的第 61 段和第 62 段中，上诉法院认为，WhatsApp 被认定为直接受到其已提起诉讼的针对措施影响的条件均未满足，因此该诉讼应予驳回。

39

最后，上诉法院在受上诉的命令的第 66 至 70 段中认为，其分析的结果与条约所建立的司法救济体系的逻辑一致。上诉法院还发现，接受 WhatsApp 对所涉决定的诉讼是可接受的，将导致在欧盟司法机构和法院之间进行平行司法程序的风险，而后者也被授权将问题提交欧洲法院作出关于该决定有效性的初步裁决。

当事人寻求的命令形式

40

通过其上诉，WhatsApp 声称法院应：

–

驳回上诉中的订单；

–

认定初次诉讼行为可予受理；

–

将案件移交普通法院作出判决；以及

–

命令欧洲数据保护监督机构支付上诉程序的诉讼费用。

41

欧洲数据保护监督机构，在寻求的命令形式上得到德意志联邦共和国的支持，主张法院应：

–

驳回上诉；

–

命令 WhatsApp 支付诉讼费用；并

–

或者，将案件发回普通法院作出判决。

上诉

最初诉讼提出时间不当的主张

当事人主张

42

EDPB 认为，一审诉讼提起的时间不当。在这方面，它主张，WhatsApp 在 EDPB 网站发布相关裁决之前就已经获得了该裁决的相关部分的知识，具体是在 2021 年 8 月 13 日。因此，无论该裁决在 EDPB 网站上发布的时间如何，这更不能等同于在《 欧洲联盟官方公报 》上发布，提起诉讼的期限从 2021 年 8 月 13 日开始，并在 2021 年 10 月 25 日到期。由于 WhatsApp 在 2021 年 11 月 1 日提起撤销诉讼，该诉讼已经过期。

43

WhatsApp 主张，EDPB 对其行为逾期提出的指控是错误的。如果申请人不是某项措施的收件人，则该措施发布的日期决定了诉讼时效的起算点。申请人获得该措施知识的日期是次要标准。该措施发布地点也不相关。在本案中，所涉决定的发布在任何情况下都是在 2021 年 9 月 2 日 EDPB 网站上进行的，并且诉讼是在 2021 年 11 月 1 日提起的，符合 TFEU 第 263 条第 6 款规定的时效期限。

法院判决结果

44

根据 TFEU 第 263 条第 6 款，该条款规定的诉讼应在措施发布之日起两个月内提起，或通知原告之日起，或，如果没有通知，则在原告知晓该措施的日期起，以先发生者为准。

45

从该条款的措辞，特别是“视情况而定”和“若无规定”这两个术语可以看出，提起诉讼的时效起算点是根据具体情况确定的，并且能够触发该时效的前两个标准在层级上优于第三个标准。因此，撤销诉讼的时效主要从措施的公布或通知申请人时开始计算。在该条款的框架中，这两个主要标准处于平等地位，因为这两个标准之间不存在从属关系。 相比之下，被挑战的措施对申请人知晓的日期作为提起诉讼期限起算点的标准，是从属于该措施的公布或通知标准的（参见相关判决，2024 年 9 月 26 日判决，WEPA Hygieneprodukte 等诉委员会，C‑795/21 P 和 C‑796/21 P，EU:C:2024:807，第 61 至 63 段以及所引用的判例）。

46

在本案中，各方均同意，所涉决定未通知 WhatsApp，根据 GDPR 第 65(5)条第一句，EDPB 仅需将此类决定通知相关监管机构。因此，必须确定是否存在该决定的“公布”，根据 TFEU 第 263 条第 6 段的规定。

47

在这方面，必须明确指出，“发布”的概念并不仅限于在《 欧盟官方公报 》上发表，反而必须广泛解释。它还包括，例如，根据次级立法规定在欧盟机构、机构、办公室或机构的网站上发布（参见为此目的的 2024 年 9 月 26 日判决，WEPA Hygieneprodukte 和 Others 诉委员会，C‑795/21 P 和 C‑796/21 P，EU:C:2024:807，第 70 段以及引用的判例）。

48

在本案中，由于所涉决定的发布规定在 GDPR 第 65(5)条第 3 句中，因此有必要考虑该决定在 EDPB 网站上发表的日期，即 2021 年 9 月 2 日。这种解释得到了 GDPR 第 143 段第 3 句的支持，该段明确表明，诉讼时效必须从 EDPB 在其网站上发布所涉决定之日起计算。

49

自 2021 年 11 月 1 日提起诉讼以来，未违反 TFEU 第 263 条第六段规定的期限。因此，有必要审查本案上诉的理由是否足以质疑上诉命令中普通法院的评估。

上诉的第一个理由，指控在解释和应用可受质疑行为的概念以及诉讼所针对的措施必须与申请人直接相关的条件方面存在法律错误。

上诉第一个理由的第一部分

– 当事人的论点

50

WhatsApp 声称，普通法院在认定所涉决定不可受挑战方面适用法律存在错误。

51

WhatsApp 尤其质疑普通法院在可上诉命令第 41 段中接受的标准的关联性，以确定一项行为是否可受挑战。它认为，普通法院错误地认为必须证明所涉决定产生法律效果，导致 WhatsApp 法律地位发生明显变化，并且直接关系到 WhatsApp。只需得出结论，该决定旨在对一方或多方第三方产生法律效果，即可认定其构成可受挑战的行为，因其具有最终性。无论如何，该决定不仅构成中间措施，而且表达了 EDPB 的最终立场。

52

根据 WhatsApp 的说法，普通法院在审理过程中错误地适用了关于中间行为法律效力的判例法，通过进行程序性测试，该测试规定只有当针对最终行为的诉讼不能确保充分的司法保护时，该行为才能受到挑战，并得出所涉决定没有法律效力的结论。

53

在此背景下，WhatsApp 指的是 1981 年 11 月 11 日的判决，IBM 诉委员会（60/81，EU:C:1981:264，第 10 和 11 段），从中可以明显看出，如果一个中间行为具有最终性质且独立于随后作出的最终决定，则该行为可以受到挑战。因此，有必要审查该行为的实质，并根据客观标准（如该行为的内容），考虑其采用时的背景以及作出该行为的机构的权力，评估其影响。WhatsApp 在这方面特别引用了 2022 年 7 月 12 日的判决，Nord Stream 2 诉议会和委员会（C‑348/20 P，EU:C:2022:548，第 63 段）。

54

特别是，只有在首先，从实质上讲，该行为具有临时性质，以至于其作者可以在最终决定的后续采纳阶段改变其立场，并且其次，该最终决定是由同一欧盟机构或机构作出的，该行为才不会受到质疑。因此，中间措施的 concept 不应用于由欧盟机构或机构作出并针对负责实施该决定的国家级当局的决策。

55

在本案中，根据 WhatsApp 的说法，普通法院仅限于审查在程序方面，WhatsApp 是否通过向国内法院寻求救济得到了有效的司法保护。因此，普通法院在抗诉令的第 48 段和第 49 段中错误地认为，WhatsApp 提出的该决定表达了其作者的最终立场这一论点与本案无关。通过这种方式，普通法院错误地认定该决定不具有法律效力，且其独立于最终决定，而没有评估该决定的实质内容和背景，或其独立法律效力的范围。

56

关于所涉决定的內容，各方均未爭議该决定旨在作为基于《通用数据保护条例》第 65 条通过的具有约束力的决定，对第三方产生法律效力，并且该决定代表了 EDPB 对提交给它的案件的最终立场。该立场导致 WhatsApp 的法律地位发生了显著变化，其中包括由于认定有损哈希数据构成个人数据，该认定对爱尔兰监管机构具有约束力。

57

关于所涉决定的背景，其源于《通用数据保护条例》第 65 条的文字表述，该决定构成一项具有约束力的决定。根据《通用数据保护条例》第 143 段，EDPB 通过的决策可能直接且个别地涉及控制者等，这意味着这些决策具有外部法律效力，超越其指向的国家监管当局。这一点既体现在 EDPB 决策具有约束力的理由上，其目的是确保《通用数据保护条例》的正确和一致适用，也体现在《通用数据保护条例》第 65(1)条所述的程序制度上。

58

关于所涉决定的独立法律效力，超越其针对对象产生的效力，WhatsApp 指出该决定对其产生此类效力，影响其处理有损哈希数据的方式，此类数据被 EDPB 归类为个人数据。所涉决定还对国家法院产生法律效力，国家法院无权修改或宣布其无效。

59

EDPB 对这一论点提出异议。其认为，原则上，撤销诉讼只能针对机构、机构、办公室或机构在行政程序结束后最终确定其立场而采取的措施提起。另一方面，旨在为最终决定做准备的中级行为不能被视为“可挑战的行为”，因为与由此准备、确认或执行的欧盟机构行为相比，此类行为并非旨在产生自主的具有约束力的法律效力。此外，根据 EDPB 的观点，如果与它所代表的准备步骤相关的最终决定提起的诉讼可以依赖该行为所附着的非法性，那么中级行为就不能成为诉讼的客体。

60

在本案中，根据该方观点，所涉决定是一个中间行为，是作为一个不可分割的决策程序的一部分，由爱尔兰监管机构进行，并最终以该机构作出的决定告终。在此背景下，尽管 EDPB 的评估具有约束力，但它们并未直接对 WhatsApp 具有可执行性，并且在与 WhatsApp 的关系上，它们不具有独立于最终决定的任何法律效力。因此，所涉决定包含 EDPB 就某些被选入最终决定中的方面所采取的最终立场这一事实，并不意味着所涉决定本身导致 WhatsApp 的法律地位发生了区别性的变化。所涉决定和最终决定是在一个由不同相互关联的、涉及同一主题的国家和欧洲层面的步骤组成的统一综合行政程序背景下作出的，而不是两个涉及不同事项的独立程序的结果。

61

在这方面，EDPB 表示，争议解决程序旨在确保国家当局执行 GDPR 的一致性。在本案中，所涉决定并未为 WhatsApp 创造任何新的法律义务。WhatsApp 的义务由 GDPR 本身规定，而非由所涉决定规定，并由爱尔兰监管机构执行，而非由 EDPB 执行。此外，这些义务在发现所涉侵权行为之前就已适用于 WhatsApp。

62

关于所涉裁决的所谓外部法律效力，EDPB 主张其解释仅具有对当事人之间的约束力，也就是说，在相关监管机构之间。除了它对 WhatsApp 没有任何直接法律效力之外，所涉裁决仅涉及 GDPR 的有限适用点，这些适用点应在最终裁决中予以纳入和发展。尽管 EDPB 采用的 GDPR 解释在后续涉及类似法律问题的案件中可能具有一定的权威性，然而，它们并不约束各国法院，在存在疑问的情况下，各国法院应当向欧洲法院申请初步裁决。

63

德意志联邦共和国，支持欧洲数据保护委员会所寻求的命令形式，提交意见认为，GDPR 规定的协调机制，包括争议解决程序，是纯粹内部的，旨在解决监管机构之间意见分歧时的争议。特别是，从 GDPR 第 65(2)条第 3 句可以看出，欧洲数据保护委员会在该背景下的措施仅对国家监管机构具有法律约束力。只有最终决定对相关控制者或处理者具有约束力。

– 法院的裁决

64

上诉第一理由的第一部分涉及的问题是，欧洲普通法院在上诉令第 41 至 49 段中，是否在法律上错误地认定所涉决定不符合第 263 TFEU 第 1 款的目的。

65

根据该条款，法院应审查，包括“审查欧盟机构、办公室或机构的行为的合法性，这些行为旨在对第三方产生法律效力”。

66

根据既有的判例，根据 TFEU 第 263 条规定的撤销诉讼适用于联盟的所有机构、机构、办事处和机构采取的措施，无论其性质或形式如何，只要其旨在产生具有约束力的法律效力（参见 2022 年 7 月 12 日的判决，Nord Stream 2 诉议会和理事会，C‑348/20 P，EU:C:2022:548，第 62 段以及引用的判例）。

67

为了确定一项行为是否产生此类效果，并且可以相应地成为根据 TFEU 第 263 条规定的撤销诉讼的标的，有必要审查该行为的实质，并根据客观标准评估这些效果，例如该行为的内容，同时根据需要考虑其通过时的背景以及通过该行为的机构、机构、办事处或机构的权力（参见 2022 年 7 月 12 日的判决，Nord Stream 2 诉议会和理事会，C‑348/20 P，EU:C:2022:548，第 63 段以及引用的判例）。

68

在这方面，正如总检察官在她的意见的第 79 点和第 121 点中所指出的，根据 TFEU 第 263 条第一款，产生法律效力的行为所涉及第三方不一定必须是申请人。任何与该行为的行为人不同的自然人或法人都是第三方。因此，为了确定该行为是否产生此类效果，没有必要确定这些效果是否能够影响申请人的法律地位，这种核实仅在审查 TFEU 第 263 条第 4 款规定的条件是否得到遵守的背景下才相关（根据该款规定，任何直接和单独受该行为影响的人均可提起撤销该行为的诉讼，当适用该后款规定时（参见有关此点的 2025 年 2 月 13 日判决，Swissgrid 诉委员会，C‑121/23 P, EU:C:2025:83, 第 46 段）。因此，是否可以挑战一项行为必须客观地根据其内容进行评估，而不是参考申请人。

69

因此，应当牢记，在多阶段制定的文件中，一项文件原则上只有在其最终确定了负责的欧盟机构、机构、办公室或机构的位置，排除了旨在准备该最终措施并对其产生独立法律效力的中间措施的情况下，才可能受到质疑。该欧盟机构、机构、办公室或机构表达的临时意见构成的文件即属于此类中间措施（参见相关判决：1981 年 11 月 11 日判决，IBM 诉委员会案，60/81，EU:C:1981:264，第 10 段；2022 年 9 月 22 日判决，IMG 诉委员会案，C‑619/20 P 和 C‑620/20 P，EU:C:2022:722，第 103 段；以及 2024 年 6 月 18 日判决，委员会诉 SRB 案，C‑551/22 P，EU:C:2024:520，第 92 段）。

70

根据判例法，如果认定该措施所附着的非法性可以用于支持针对其作为准备步骤的最终决定的诉讼，那么中间措施就不具备构成撤销诉讼标的物的能力。在这种情况下，针对终止程序的决定的诉讼将提供充分的司法保护（参见相关判决，如 1981 年 11 月 11 日的 IBM 诉委员会案，60/81，EU:C:1981:264，第 12 段，以及 2017 年 3 月 15 日的 Stichting Woonlinie 和他人诉委员会案，C‑414/15 P，EU:C:2017:215，第 46 段以及所引用的判例）。

71

在本案中，就相关法规的内容以及相关机构权限而言，从《通用数据保护条例》第 65(1)(a)条和第 65(2)条以及第 68(1)条的字面表述中可以明显看出，所涉决定是源自欧盟机构并对第三方具有约束力的行为。该行为对作为第三方的牵头监管机构和所有相关监管机构具有约束力，这些机构是接收该行为的对象。根据《通用数据保护条例》第 65(6)条，牵头监管机构必须基于 EDPB 的决定作出其最终决定。该最终决定也必须提及 EDPB 的决定，该决定必须随附于其上。

72

此外，关于所涉决定的制定背景，各方一致认为，该决定是在一个涉及多个程序阶段的背景下制定的，符合上述第 69 段所引用的判例法，即在其先于爱尔兰监管机构通过另一项行为之前。然而，该决定在判例法的意义上最终确定了负责的欧盟机构，即欧洲数据保护委员会（EDPB）的地位，并详尽处理了该机构需要解决的所有问题。需要注意的是，基于《通用数据保护条例》（GDPR）第 65(1)(a)条作出的此类决定，涵盖了监管机构提出的与合理理由相关的所有问题，符合《通用数据保护条例》（GDPR）第 60(4)条，特别是是否侵犯了《通用数据保护条例》（GDPR）。

73

由此可见，尽管该决定并非 GDPR 第 58 条、第 60 条和第 65 条规定的符合性审查程序的最终阶段，但根据上述第 69 段所引用的判例，该决定不能被归类为不可受质疑的中间措施，这与上诉令第 42 段中普通法院的认定相反。因此，上述第 70 段所引用的判例在本案中不具相关性。

74

在这种情况下，由于 EDPB 的决定对第三方具有约束力法律效力，因此国家监管机构最终决定的范围涵盖了一些不属于 EDPB 所提及的事项范围或其权限范围内的方面，这并不重要。

75

由于相同的原因，上诉令第42段中提到的，即与爱尔兰监管机构的最终决定不同，所涉决定不可对除其受送达人以外的实体执行的事实，对于将该决定归类为根据《欧盟运行条约》第263条第1款可受质疑的行为也是无关紧要的。这一涉及上诉人关于所涉决定的诉讼地位的事实，既不关系到所涉决定的实质，也不关系到根据客观标准其所具有的约束性法律效力。

76

由此可见，所涉裁决构成欧盟机构的行为，旨在对第三方产生法律效力，并表明该机构就其待决问题所持的最终立场，正如上诉令的第 36、37 和 49 段中，普通法院本身所发现的。因此，根据第 263 条 TFEU 第 1 段的规定以及上述第 66 至 69 段中引用的判例，该裁决构成可受质疑的行为，而无需在本阶段评估该裁决是否已对 WhatsApp 的法律地位产生了明确的改变。

77

在这方面，必须认定上诉令状第 38 段中，普通法院在法律上存在错误，首先，混淆了第 263 条 TFEU 第 1 段和第 4 段产生的不同要求，其次，在上诉令状第 42 段中，提出了一个不正确的测试标准，涉及所涉行为对 WhatsApp 缺乏直接可执行性，并将所涉决定归类为不产生独立法律效力的中间措施。

78

因此，上诉第一理由的第一部分必须得到支持。

第一理由的第二部分

– 当事人的论点

79

WhatsApp 提出通用法院在法律上存在错误，认为所涉决定与 WhatsApp 无直接关联，因此其诉讼不具可受理性。

80

首先，关于行为必须直接影响申请人法律地位的条件，WhatsApp 认为，通用法院在可上诉的命令第 52 段中错误地认定，所涉决定因不可对其执行且非 GDPR 第 58、60 和 65 条规定的程序的最终步骤，因此与 WhatsApp 无直接关联。

81

其次，关于行为必须不给负责实施其地址的机构留有自由裁量的条件，WhatsApp 认为，通用法院在可上诉的命令第 53 至 60 段中错误地认定，所涉决定使爱尔兰监管机构在最终决定的內容上有一定自由裁量权，同时接受所涉决定在与其相关方面对该监管机构具有约束力。

82

关于上诉命令的第 54 至 56 段，其中普通法院认为，所涉决定的內容与最终决定相比是片面的，WhatsApp 声称，应该根据所涉决定的实质内容来审查自由裁量权的缺失，而不是参考最终决定的附加内容。EDPB 据称仅分析了个人案件的某些方面，即监管机构提出的与理由相关的反对意见所涉及的事项。因此，所涉决定不能涵盖整个案件，也不能包含不属于 EDPB 所指事项范围或其职权的方面。

83

此外，上诉法院在审查中第 57 至 59 段的命令中，错误地认定爱尔兰监管机构在相关决定中行使了自由裁量权得出结论。首先，关于有损哈希数据的分类为个人数据，WhatsApp 提交，EDPB 的这种分类给 WhatsApp 在 GDPR 下带来了额外的义务，无论主要监管机构是否行使了实质性的自由裁量权，通过核实 WhatsApp 是否作为控制者或处理者，超越这种分类。其次，关于对 WhatsApp 处以罚款的增加，该决定没有留给爱尔兰监管机构的任何自由裁量权，后者被要求处以高于最初预期的罚款。该机构保留确定罚款确切金额的自由裁量权是无关紧要的，因为这项任务属于该机构的职权范围。

84

EDPB 对这一论点提出异议，并主张，对于非个人行为地址的自然人或法人，要受到欧盟行为直接影响，必须满足两个累积标准。首先，该行为必须对该人的法律状况产生直接影响；其次，它必须不给被委托实施该行为的地址留有任何自由裁量权，该实施行为纯粹是自动的，无需应用其他中间规则。

85

关于第一个标准，该方指出，行为的约束力必须与其对申请人自身情况的影响相关联。在本案中，所涉决定不能以允许其不经进一步程序步骤就成为义务来源的方式对 WhatsApp 产生强制执行力。该决定并非 GDPR 第 58 条、第 60 条和第 65 条规定的程序的最终步骤，并且至少未确定罚款的最终金额或为 WhatsApp 的活动定义一套新规则。因此，只有最终决定才直接关系到 WhatsApp，根据 GDPR 第 56(6)条，爱尔兰监管机构作为控制者，是该企业的唯一对话者。

86

关于第二个标准，EDPB 声称爱尔兰监管机构在最终决定中得出的结论具有真正的自由裁量权，该决定的范围比所涉决定更广，并且其中包含的结论并未要求 EDPB 表达意见，而后者所指的事项仅限于相关且有理由的反对意见所涉及的方面。无论如何，所涉决定与最终决定之间存在相互关联。不可能将后者决定中与 EDPB 指示相对应的部分分离，这证实了 EDPB 在多个方面给予爱尔兰监管机构一定自由裁量权的事实。

87

在这种情况下，国家法院将更有能力审查该最终决定，并在必要时，根据爱尔兰监管机构自行提出的指令以及 EDPB 的指令，向欧洲法院提交问题以寻求关于 GDPR 规定的初步裁决。

88

根据 EDPB 的说法，爱尔兰监管机构在涉及该决定所处理的问题方面也保留了相当大的自由裁量权，特别是与以下两个方面相关的问题：首先，从有损哈希数据的分类作为个人数据的法律后果中得出的后果；其次，确定对 WhatsApp 处以罚款的金额。就第一个方面而言，该机构保留了自由裁量权，并进行了独立评估，其中包括是否符合 GDPR 第 14 条。在这方面，声称 EDPB 进行了“全面”的评估是不正确的，后者的职责仅限于相关且合理的反对意见的内容，并未扩展到整个侵权程序。就第二个方面，即罚款的确定而言，虽然该决定包含了关于罚款的一般性指示，但它并未涉及这些指示的操作化，或涉及这些罚款的计算。

89

德意志联邦共和国认为，由于主要监管机构是 WhatsApp 的唯一对话者，因此所涉决定不能被认为与 WhatsApp 有直接关联。此类决定并非旨在独立实施，而应始终遵循该机构作出的最终决定。欧盟立法机构故意选择了对 GDPR 进行分散执行，而不是创建一个中央欧盟数据保护机构。

– 法院的认定

90

上诉第一理由的第二部分涉及的问题是，在上诉命令的第 50 至 60 段中，普通法院是否在法律上错误地认定，所涉决定在《欧盟运行条约》第 263 条第 4 款意义上的确与 WhatsApp 无直接关联，以及因此 WhatsApp 提起的行动是不予受理的。

91

根据该条款，任何自然人或法人，在符合 TFEU 第 263 条第一、二款规定的条件下，可以对指向其本人或与其有直接和个别关系的任何行为提起诉讼，也可以对与其有直接关系且不涉及实施措施的规定性行为提起诉讼。

92

因此，根据 TFEU 第 263 条第四款，自然人或法人对未指向其本人的行为提起诉讼的可受理性，除其他条件外，取决于该行为与其有直接和个别关系（2019 年 12 月 3 日判决，Iccrea Banca，C‑414/18，EU:C:2019:1036，第 64 段以及所引用的判例）。

93

在本案中，正如上诉命令第 40 段中普通法院所发现的，WhatsApp 受到所涉决定的单独影响，因为该决定涉及与该企业具体情况直接相关的某些方面。然而，在该命令的第 52 段和第 53 段中，普通法院认为所涉决定并未直接涉及 WhatsApp，理由是：首先，该决定不能以允许其不经进一步程序就成为 WhatsApp 的义务来源或，如适用，其他个人的权利来源的方式对 WhatsApp 强制执行；其次，尽管所涉决定对其所涉及方面对爱尔兰监管机构具有约束力，但它仍留给该机构在最终决定内容方面的某种自由裁量权。

94

必须牢记，根据既定判例，自然人或法人必须直接受其所争议的裁决所影响的条件要求满足两个累积条件，即被争议的措施首先直接影响该人的法律地位，其次，留给负责执行该措施的被请求人不留任何自由裁量权，该执行纯粹是自动的，完全源于欧盟规定，而无需适用其他中间规则（2024 年 10 月 4 日判决，委员会和理事会诉波利萨里奥阵线，C‑779/21 P 和 C‑799/21 P，EU:C:2024:835，第 87 段以及所引用的判例）。

95

在审查本案中这两个条件是否得到满足之前，必须指出，被挑战的行为不能直接针对申请人执行，以及该行为不是复合程序的最后阶段这两个事实，并不妨碍该行为对申请人具有直接关联性，前提是该行为的接收者没有自由裁量权（参见相关判决，例如 1992 年 6 月 4 日，Infortec 诉委员会案，C‑157/90，EU:C:1992:243，第 13 段和第 17 段；2019 年 12 月 3 日，Iccrea Banca 案，C‑414/18，EU:C:2019:1036，第 65 段和第 67 段；以及 2022 年 7 月 12 日，Nord Stream 2 诉议会和理事会案，C‑348/20 P，EU:C:2022:548，第 74 段）。

96

因此，正如上诉专员在她的意见的第 139 点和第 144 点中所指出的，普通法院在审查中第 52 段命令中认定，所涉决定不能直接关系到 WhatsApp，因为在 WhatsApp 对 WhatsApp 不可执行，并且不构成 GDPR 第 58、60 和 65 条规定的程序的最终阶段。

97

关于符合上述第 94 段所述之条件中的第一项条件，有必要通过审查该行为的内容，并根据客观标准（例如该行为的内容），评估其影响，来判断被挑战的行为是否是相关自然人或法人法律地位发生显著变化的来源，同时根据需要考虑该行为通过机构、机构、办公室或机构颁布的背景以及其权力（参见相关判决，如 1981 年 11 月 11 日的 IBM 诉委员会案，60/81，EU:C:1981:264，第 9 段，以及 2024 年 6 月 18 日的委员会诉 SRB 案，C‑551/22 P，EU:C:2024:520，第 65 段以及所引用的判例）。

98

在本案中，如上第 30 段所述，EDPB 在所涉决定中，除其他外，决定 WhatsApp 未能遵守 GDPR 第 13(1)(d)条规定的提供信息义务，并侵犯了该条款第 13(2)(e)条。因此，该决定改变了 WhatsApp 的法律地位，因为 WhatsApp 在 EDPB 的干预下，特别是需要改变其与 WhatsApp 提供的消息服务用户的合同关系。因此，根据上述第 94 段和第 95 段引用的判例，该决定与其对 WhatsApp 情况的影响之间存在直接联系。

99

与 EDPB 的主张相反，根据 GDPR 第 56(6)条，爱尔兰监管机构作为控制者的 WhatsApp 的唯一对话者这一事实，对该认定没有影响。该条款仅旨在组织控制者或处理者、主要监管机构和相关监管机构之间的关系，因此它不涉及针对 EDPB 决定的救济措施。

100

关于上述第 94 段所述条件中的第二个条件，为了评估一项行为是否赋予其接收方实施该行为的自由裁量权，有必要审查该行为的规定所产生的法律效力，正如诉讼中所述，对该根据第 263 条 TFEU 第 4 段第二项提起诉讼的权利主张人的情况产生的影响（判决日期为 2022 年 7 月 12 日，Nord Stream 2 诉议会和理事会，C‑348/20 P，EU:C:2022:548，第 98 段以及所引用的判例）。

101

如果确定诉讼中涉及的该行为的规定直接导致该人承担的义务的结果无法由负责随后实施该措施的主体改变，则必须考虑这种自由裁量权的存在（参见为此目的的判决日期为 2022 年 7 月 12 日，Nord Stream 2 诉议会和理事会，C‑348/20 P，EU:C:2022:548，第 114 段）。

102

在本案中，如第 71 段和第 72 段所述，必须牢记，所涉决定对主要监管机构和相关监管机构具有约束力。他们不能偏离欧洲数据保护委员会（EDPB）在该决定中采取并由上述第 30 段重申的立场。该决定确定了作为欧洲数据保护委员会（EDPB）所涉事项的法律问题，并无条件地约束这些机构，特别是在认定某些 GDPR 条款的侵权、将有损哈希数据归类为个人数据以及增加预期罚款金额的义务方面。这些机构不能在上述判决所引判例的意义范围内改变欧洲数据保护委员会（EDPB）就这些问题作出的评估结果。

103

在这方面，根据《通用数据保护条例》第 70(1)(a)条，欧洲数据保护委员会的任务是确保《通用数据保护条例》的统一适用，通过监控并确保，如第 10 段所述，在处理其个人数据的整个欧盟范围内，对于自然人的基本权利和自由保护规则的一致和同质适用，在《通用数据保护条例》第 65 条等规定的情况下，在不损害国家监管机构任务的前提下。

104

在这种情况下，最终决定的范围扩展到不属于转交欧洲数据保护委员会范围的事项，即不属于《通用数据保护条例》第 65(1)(a)条所述的相关和合理反对事项，或不属于该机构管辖范围的事项，例如，确定应施加于控制者或处理者的罚款的具体金额，其责任属于根据《通用数据保护条例》第 58(2)(i)条和第 83 条转交的监管机构。

105

此外，虽然确实存在所涉决定与最终决定之间的关联，但事实仍然是它们是独立的法律行为，并且所涉决定的范围界定明确，正如从本判决第 30 段列出的清单中显而易见的那样。在这种情况下，这种关联并非足以排除认定所涉决定直接涉及 WhatsApp 的可能性。

106

特别是，尽管根据 TFEU 第 263 条在欧盟司法机构提起取消诉讼，针对 EDPB 的约束性决定，并在国家法院根据 GDPR 第 78 条提起诉讼，针对国家监管机构基于该约束性决定作出的最终决定，确实导致了两套平行的诉讼程序，但这种情况并不意味着在本案中，EDPB 的决定的影响应被视为间接的，与 WhatsApp 相关。

107

首先，根据法院的判例，当国家法院的争议结果取决于欧盟机构决定的效力时，根据真诚合作义务，国家法院应在其诉讼的最终判决作出前暂停审理，以避免作出与该机构判决相悖的判决，除非它认为，在案件的具体情况下，向欧洲法院就该机构决定的效力请求初步裁决是合理的（参见相关判决，如 2000 年 12 月 14 日的 Masterfoods 和 HB 案，C‑344/98，EU:C:2000:689，第 57 段，以及 2018 年 7 月 25 日的 Georgsmarienhütte 和其他案，C‑135/16，EU:C:2018:582，第 24 段）。

108

其次，还必须指出，在撤销诉讼的背景下向普通法院提起诉讼，以及在初步裁决请求的背景下向欧洲法院提起诉讼的情况下，如果欧洲法院认为这样做适当，司法公正原则可能允许欧洲法院援引欧洲法院条例第 54 条第 3 款，以中止其诉讼程序，以优先考虑普通法院的诉讼程序（2018 年 7 月 25 日判决，Georgsmarienhütte 和他人，C‑135/16, EU:C:2018:582, 第 25 段）。

109

因此，由于上述第 94 段中提到的两个条件得到满足，所涉及的裁决直接关系到 WhatsApp。

110

鉴于上述考虑，上诉的第一项理由的第二部分必须得到维持，因此，上诉的命令必须被撤销。

上诉的第一项理由的第三部分

111

在其第一项上诉理由的第三部分中，WhatsApp 提出上诉法院在可上诉的命令第 66 至 70 段中认定其诉讼不可接受性与《欧洲联盟条约》和《欧洲经济共同体条约》所建立的司法救济体系的逻辑一致，这一认定因法律错误而被破坏。

112

鉴于上述第 110 段所接受的认定，无需对第一项上诉理由的第三部分作出裁决。

第二项上诉理由，指控在《通用数据保护条例》第 65 条的解释和应用以及欧盟法律一致适用原则方面存在法律错误。

113

参考在第一项上诉理由的背景下发展的论证思路，WhatsApp 声称，上诉法院在可上诉的命令第 41 至 60 段中认定相关裁决除对有关监管机构具有约束力外不产生其他法律效力，从而侵犯了《通用数据保护条例》第 65(1) 条和欧盟法律一致适用原则。

114

鉴于 WhatsApp 仅涉及其第一项上诉理由所提出的论点，并且鉴于上述第 110 段得出的结论，因此无需对第二项上诉理由进行审理，因为该理由不可能导致对上诉命令的更大范围撤销。

案件发回普通法院审理

115

根据欧洲法院法院条例第61条第1款，如果普通法院的判决被撤销，欧洲法院可以在诉讼程序状态允许的情况下，就此事作出最终判决。

116

就本案仅涉及普通法院受理的行动的可受理性而言，该条件在此得到满足。

117

在这方面，首先，如上第 76 段所示，所涉决定构成对 TFEU 第 263 条第 1 款的目的可挑战的行为。其次，如上第 109 段所述，所涉决定直接关系到 WhatsApp，符合 TFEU 第 263 条第 4 款的意义。第三，该决定对 WhatsApp 具有个人相关性，正如上诉令第 40 段中上诉法院自己所发现的。

118

因此，由于 TFEU 第 263 条第 1 款和第 4 款规定的条件已得到满足，并且不存在任何其他不受理的理由，因此宣布取消诉讼具有可受理性。

119

然而，鉴于上诉法院未考虑其面前诉讼的实质问题，而确定实质问题需要在事实上和法律上进行详细评估，因此诉讼程序的状态不允许对上诉人诉讼的实质问题作出裁决。

120

因此，本案应发回上诉法院。

诉讼费用

121

由于案件被转交至普通法院审理，因此与本次上诉程序相关的诉讼费用必须暂缓处理。

基于上述理由，法院（大法庭）现决定：

1.

撤销欧洲联盟普通法院 2022 年 12 月 7 日的判决 ， WhatsApp 爱尔兰 诉 欧洲数据保护局 （T‑709/21, EU:T:2022:783）;

2.

将案件提交至欧盟普通法院；

3.

保留诉讼费用。

Lenaerts

von Danwitz

Jurimae

Lycourgos

Jarukaitis

Ziemele

斯宾亚努-马特伊

孔迪南吉

罗丁

瑞根

皮çàra

古丁

Jääskinen

Smulders

芬格

于2026年2月10日在卢森堡公开法庭宣判。

A. 卡洛特·埃斯科巴

注册官

K. Lenaerts

主席

( *1 ) 案件语言：英语。