■張 燕

一、背景

受益所有人信息是指有關(guān)以下自然人的身份及其對法人的控制程度的信息：一是享有法人最終收益的自然人；二是通過所有者權(quán)益之外的其他方式，對法人行使最終有效控制的自然人。①See FATF，Guidance on Beneficial Ownership of Legal Persons，F(xiàn)ATF Web（March 2023），https：／／www.fatfgafi.org／en／publications／Fatfrecommendations／Guidance-Beneficial-Ownership-Legal-Persons.html.受益所有人信息對于防止法人被洗錢和恐怖融資活動濫用，追蹤隱藏于法人之后的從事洗錢和恐怖融資活動的犯罪分子具有重要意義?？紤]到提高受益所有人信息的透明度，允許監(jiān)管機構(gòu)、金融機構(gòu)乃至社會公眾查詢受益所有人信息，一方面使得政府機關(guān)和其他機構(gòu)更易于調(diào)查并防止非法金融活動；另一方面通過創(chuàng)建來自民間和公眾的額外的監(jiān)督和審查層級，能夠更為有效地調(diào)查和遏制犯罪活動。②See Open Ownership，Data Protection and Privacy in Beneficial Ownership Disclosure，Open Ownership Web（May 2019），https：／／openownershiporgprod-1b54.kxcdn.com／media／documents／oo-data-protection-and-privacy_Print.pdf.因此，自2015年起，包括英國和歐盟在內(nèi)的一些國家和地區(qū)開始制定相關(guān)法律，允許監(jiān)管機構(gòu)、金融機構(gòu)乃至社會公眾查詢市場主體的受益所有人信息。但是，鑒于受益所有人信息在性質(zhì)上屬于應(yīng)受個人信息保護法保護的個人信息。因此，此類查詢在將受益所有人信息的透明度提升至更高水平的同時，也導(dǎo)致了提高透明度和保護個人信息之間的沖突，這在允許社會公眾查詢受益所有人信息方面表現(xiàn)得尤為明顯。如何遵循相關(guān)法律原則，有效解決上述沖突，從而既能夠?qū)崿F(xiàn)提高受益所有人信息透明度上承載的反洗錢和反恐怖融資等社會公共利益，又能夠保護受益所有人的個人信息權(quán)益，實現(xiàn)二者之間的平衡，已經(jīng)成為各國在制定查詢受益所有人信息的相關(guān)法律規(guī)定時，需要面對和解決的問題。

歐盟有關(guān)查詢受益所有人信息的法律規(guī)定集中體現(xiàn)了上述問題。2015年，歐盟制定《關(guān)于防止將金融系統(tǒng)用于洗錢或恐怖融資的2015／849號指令》（以下簡稱2015版《歐盟反洗錢指令》）。該指令第30條第5款在規(guī)定主管機關(guān)、金融情報中心以及金融機構(gòu)等義務(wù)機構(gòu)有權(quán)查詢受益所有人信息的同時，也明確允許能夠證明合法利益的個人或組織查詢受益所有人信息。①See Directive（EU）2015／849 of The European Parliament and of the Council of 20 May 2015 on the Prevention of the Use of the Financial System for the Purposes of Money Laundering or Terrorist Financing，Amending Regulation（EU）No 648／2012 of the European Parliament and of the Council，and Repealing Directive 2005／60／EC of the European Parliament and of the Council and Commission Directive2006／70／EC，Article30（5），EUR-Lex web（June5，2015），https：／／eurlex.europa.eu／legal-content／EN／TXT／PDF／？uri＝CELEX：32015L0849.2018年，歐盟對2015版《歐盟反洗錢指令》進行了修訂（修訂后的指令以下簡稱現(xiàn)行《歐盟反洗錢指令》），擴大了有權(quán)查詢受益所有人信息的個人或組織的范圍，明確規(guī)定社會公眾的任何成員均可查詢受益所有人信息，主要理由一是該指令的目標，是防止使用歐盟的金融體系進行洗錢和恐怖融資，而除非歐盟的經(jīng)濟和金融環(huán)境對通過非透明結(jié)構(gòu)為其資金尋求庇護的犯罪分子是不利的，否則上述目標將難以實現(xiàn)。就此而言，提高歐盟經(jīng)濟和金融環(huán)境的總體透明度能夠起到強有力的震懾作用。二是社會公眾對受益所有人信息的查詢，能夠讓公民和社會，包括媒體和民間社會組織對此類信息進行更多的監(jiān)督，并且有利于維系對商業(yè)交易和金融體系完整性的信任。三是此類查詢不僅有助于打擊將公司及其他法律實體和法律安排用于洗錢和恐怖融資的行為，而且能夠為監(jiān)管機構(gòu)和金融機構(gòu)及時有效地獲取受益所有人信息，以及針對洗錢和相關(guān)上游犯罪行為及恐怖融資的調(diào)查提供助力。②See Directive（EU）2018／843 of the European Parliament and of the Council of 30 May 2018 Amending Directive（EU）2015／849 on the Prevention of the Use of the Financial System for the Purposes of Money Laundering or Terrorist Financing，and Amending Directives 2009／138／EC and 2013／36／EU，Recitals 4 and 30，EUR-Lex web（June 19，2018），https：／／eur-lex.europa.eu／legal-content／EN／TXT／PDF／？uri＝CELEX：32018L0843.

盡管歐盟在現(xiàn)行《歐盟反洗錢指令》中聲稱，“在任何情況下，就公司和其他法律實體以及信托和類似的法律安排而言，應(yīng)當(dāng)特別在防止洗錢和恐怖融資上承載的社會公共利益以及數(shù)據(jù)主體的基本權(quán)利之間尋求公正的平衡”。①See Directive（EU）2018／843 of the European Parliament and of the Council of 30 May 2018 Amending Directive（EU）2015／849 on the Prevention of the Use of the Financial System for the Purposes of Money Laundering or Terrorist Financing，and Amending Directives 2009／138／EC and 2013／36／EU，Recital 34，EUR-Lex web（June 19，2018），https：／／eur-lex.europa.eu／legal-content／EN／TXT／PDF／？uri＝CELEX：32018L0843.但是這種自證式的聲明，并未從根本上解決現(xiàn)行《歐盟反洗錢指令》是否確實遵循了相關(guān)法律原則，在提高受益所有權(quán)信息的透明度和保護受益所有人的個人信息之間實現(xiàn)了平衡，故而合法有效的問題。在其2022年審理的“WM及索維姆公司訴盧森堡商業(yè)登記處案”②See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912.中，歐盟法院對此問題進行了審查并作出了回答。

二、基本案情

本案系歐盟法院合并審理的兩個案件，兩案的被告均為盧森堡商業(yè)登記處，該處負責(zé)管理在盧森堡設(shè)立的實體的受益所有人登記簿；兩案的原告則分別為WM和索維姆公司，其中WM系一家盧森堡房地產(chǎn)公司——YO公司的受益所有人。YO公司和索維姆公司均向盧森堡商業(yè)登記處提交申請，請求該處將對受益所有人登記簿中載明的WM和索維姆公司受益所有人信息的查詢，限于國家機關(guān)、信用機構(gòu)、金融機構(gòu)、執(zhí)行官及公證人。盧森堡商業(yè)登記處經(jīng)審查，分別于2019年11月及2020年2月作出決定，駁回了YO公司和索維姆公司的申請。WM和索維姆公司對盧森堡商業(yè)登記處的決定不服，均向盧森堡地區(qū)法院提起訴訟。

因本案涉及現(xiàn)行《歐盟反洗錢指令》的解釋，盧森堡地區(qū)法院遂決定中止本案訴訟，并請求歐盟法院就相關(guān)問題作出先予裁決，其中一個主要問題是，現(xiàn)行《歐盟反洗錢指令》第30條第5款“歐盟成員國應(yīng)確保社會公眾的任何成員在任何情況下均可查詢有關(guān)受益所有人的信息”的規(guī)定是否有效？③See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraphs 20-33.

三、歐盟法院的判決

2022年11月22日，歐盟法院對本案作出判決。在判決中，歐盟法院首先認定，現(xiàn)行《歐盟反洗錢指令》第30條第5款規(guī)定的社會公眾對受益所有人信息的查詢，嚴重干預(yù)了受益所有人依據(jù)《歐盟基本權(quán)利憲章》（以下簡稱《憲章》）第7條和第8條享有的隱私權(quán)以及個人數(shù)據(jù)保護權(quán)。④See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraphs 35-44.

接下來，歐盟法院認為，根據(jù)《憲章》第52條第1款的規(guī)定，對《憲章》確認的權(quán)利和自由的行使的限制必須由法律規(guī)定，尊重了這些權(quán)利和自由的實質(zhì)，遵守比例原則，并且確實符合歐盟所認可的總體利益目標或保護他人權(quán)利和自由的需要。同時，根據(jù)《憲章》第8條第2款的規(guī)定，個人數(shù)據(jù)必須出于特定目的并基于相關(guān)個人的同意或法律規(guī)定的其他合法理由而予以處理。①See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraph 46.

具體到本案中，第一，關(guān)于系爭干預(yù)的合法性問題。由于社會公眾對受益所有人信息的查詢所導(dǎo)致的、對受益所有人享有的隱私權(quán)以及個人數(shù)據(jù)保護權(quán)的限制，系由現(xiàn)行《歐盟反洗錢指令》這一歐盟法律所規(guī)定。并且，現(xiàn)行《歐盟反洗錢指令》第30條第1款和第5款在規(guī)定社會公眾有權(quán)查詢受益所有人信息的同時，也明確規(guī)定這些信息必須是充分的、準確的和最新的，并且列明了必須允許社會公眾查詢的若干信息。同時，現(xiàn)行《歐盟反洗錢指令》還在第30條第9款中明確，歐盟成員國可以規(guī)定此類查詢的豁免以及豁免的條件。在此情形下，應(yīng)認定《憲章》第52條第1款規(guī)定的合法性原則已獲遵守。②See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraphs 47-49.

第二，關(guān)于系爭干預(yù)是否尊重了隱私權(quán)和個人數(shù)據(jù)保護權(quán)的實質(zhì)的問題。盡管現(xiàn)行《歐盟反洗錢指令》第30條第5款并未就社會公眾有權(quán)查詢的受益所有人信息列出一個窮盡所有信息的清單，并且，該款規(guī)定還允許歐盟成員國提供額外的受益所有人信息供社會公眾查詢。但是，根據(jù)現(xiàn)行《歐盟反洗錢指令》第30條第1款的規(guī)定，只有關(guān)于受益所有人和受益所有權(quán)的“充分”的信息，方可獲取、掌握并提供給社會公眾。該款規(guī)定已將與現(xiàn)行《歐盟反洗錢指令》的目的并非充分相關(guān)的信息排除在外。而向社會公眾提供與受益所有人和受益所有權(quán)充分相關(guān)的信息，并不會損害受益所有人享有的隱私權(quán)以及個人數(shù)據(jù)保護權(quán)的實質(zhì)。

同時，現(xiàn)行《歐盟反洗錢指令》第41條第1款明確規(guī)定，該指令項下的個人數(shù)據(jù)處理應(yīng)受《歐盟通用數(shù)據(jù)保護條例》（GDPR）的規(guī)制。據(jù)此，可以認定，現(xiàn)行《歐盟反洗錢指令》項下受益所有人信息的收集、存儲和提供，必須符合GDPR的相關(guān)要求。

綜上所述，歐盟法院認定，因社會公眾查詢受益所有人信息所導(dǎo)致的對隱私權(quán)以及個人數(shù)據(jù)保護權(quán)的干預(yù)，不會損害受益所有人享有的這些權(quán)利的實質(zhì)。③See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraphs 50-54.

第三，關(guān)于系爭干預(yù)是否符合歐盟所認可的總體利益目標的問題。由現(xiàn)行《歐盟反洗錢指令》的相關(guān)規(guī)定可見，該指令允許社會公眾查詢受益所有人信息的目的，是通過提高透明度，創(chuàng)設(shè)一個更難進行洗錢和恐怖融資的環(huán)境，從而防止洗錢和恐怖融資行為。該目的應(yīng)視為構(gòu)成歐盟所認可的，能夠讓系爭干預(yù)成為正當(dāng)?shù)目傮w利益目標。④See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraphs 55-59.

第四，關(guān)于系爭干預(yù)是否符合比例原則的問題。根據(jù)歐盟法院的判例，在判斷系爭干預(yù)是否符合比例原則時，應(yīng)當(dāng)考量以下三個因素：一是社會公眾對受益所有人信息的查詢對于實現(xiàn)總體利益目標而言是否恰當(dāng)；二是因此類查詢導(dǎo)致的系爭干預(yù)是否限于充分必要的范圍，即該總體利益目標是否無法通過效果相同，但對受益所有人享有的權(quán)利干預(yù)更小的方式合理實現(xiàn)；三是系爭干預(yù)與該總體利益目標是否不成比例，這特別要求對該總體利益目標的重要性和系爭干預(yù)的嚴重性進行平衡。

關(guān)于第一個因素，歐盟法院認為，社會公眾對受益所有人信息的查詢，對于實現(xiàn)總體利益目標而言是恰當(dāng)?shù)模驗榇祟惒樵兊墓残再|(zhì)以及因此類查詢所導(dǎo)致的透明度的提升，有助于創(chuàng)設(shè)一個更難進行洗錢和恐怖融資的環(huán)境。

關(guān)于第二個因素，歐盟法院認為，一方面，盡管歐盟理事會和歐盟委員會在庭審中主張，歐盟立法機關(guān)于2018年將2015年版《歐盟反洗錢指令》第30條第5款原先的規(guī)定即“歐盟成員國應(yīng)確?？梢宰C明合法權(quán)益的任何個人或組織在任何情況下均可查詢有關(guān)受益所有人的信息”，修改為“歐盟成員國應(yīng)確保社會公眾的任何成員在任何情況下均可查詢有關(guān)受益所有人的信息”的主要理由，是缺乏有關(guān)“合法權(quán)益”的統(tǒng)一定義，但這并非歐盟立法機關(guān)規(guī)定社會公眾可以查詢受益所有人信息的正當(dāng)理由。

另一方面，歐洲議會、歐盟理事會和歐盟委員會引以為據(jù)的現(xiàn)行《歐盟反洗錢指令》序言部分第30條的規(guī)定，不足以證明系爭干預(yù)是充分必要的。因為該條規(guī)定雖聲稱社會公眾查詢受益所有人信息，能夠讓公民和社會加強對這些信息的監(jiān)督，但該條規(guī)定援以為例的媒體、民間社會組織、可能與受益所有人控制的公司或其他法律實體達成交易的人以及金融機構(gòu)和監(jiān)管機構(gòu)，卻均對查詢受益所有人信息擁有合法權(quán)益。同時，該條有關(guān)社會公眾查詢受益所有人信息有助于打擊對公司和其他法律實體的濫用，并將有助于刑事調(diào)查的規(guī)定，也無法證實此類查詢對于防止洗錢和恐怖融資而言是充分必要的。在此情形下，應(yīng)認定系爭干預(yù)并未限于充分必要的范圍。

關(guān)于第三個因素，歐盟法院認為，首先，根據(jù)現(xiàn)行《歐盟反洗錢指令》第30條第5款有關(guān)社會公眾的任何成員應(yīng)當(dāng)“至少”被允許查詢受益所有人的姓名、出生年月、居住國和國籍及其持有的受益所有權(quán)的性質(zhì)和范圍等信息的規(guī)定，以及歐盟成員國可以提供能夠識別受益所有人的額外信息（該信息“至少”包括受益所有人的出生日期或聯(lián)系方式）以供查詢的規(guī)定，可以認定，該款規(guī)定允許向社會公眾提供未被充分界定但卻可以識別相關(guān)個人的數(shù)據(jù)，而這違反了比例原則有關(guān)導(dǎo)致相關(guān)干預(yù)的法律必須制定清晰和準確的規(guī)則，以規(guī)范有關(guān)措施的范圍和適用，并采取最低限度的保障措施，以便數(shù)據(jù)主體擁有充分的保障，可以有效地保護其個人數(shù)據(jù)免遭濫用的風(fēng)險之要求。

其次，關(guān)于系爭干預(yù)的嚴重性與防止洗錢和恐怖融資這一總體利益目標的重要性之間的平衡。盡管防止洗錢和恐怖融資這一目標的重要性，能夠使得對受益所有人享有的權(quán)利的嚴重干預(yù)成為正當(dāng)，但考慮到，一方面，打擊洗錢和恐怖融資是應(yīng)當(dāng)由公權(quán)力機關(guān)以及信貸機構(gòu)或金融機構(gòu)等承擔(dān)反洗錢和反恐怖融資義務(wù)的主體優(yōu)先處理的事項；另一方面，較之現(xiàn)行《歐盟反洗錢指令》第30條第5款修訂前的規(guī)定，修訂后的規(guī)定構(gòu)成對受益所有人享有的權(quán)利更為嚴重的干預(yù)，此類干預(yù)無法為相關(guān)修訂所帶來的在打擊洗錢和恐怖融資等方面的益處所抵消。鑒于此，系爭干預(yù)并非建立在對總體利益目標以及受益所有人享有的權(quán)利進行適當(dāng)平衡的基礎(chǔ)之上。在此情形下，應(yīng)認定系爭干預(yù)與現(xiàn)行《歐盟反洗錢指令》的總體利益目標不成比例。①See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraphs 66-86.

綜上所述，歐盟法院認為，對于盧森堡地區(qū)法院提出的問題的答復(fù)是，現(xiàn)行《歐盟反洗錢指令》第30條第5款“歐盟成員國應(yīng)確保社會公眾的任何成員在任何情況下均可查詢受益所有人信息”的規(guī)定無效。②See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraph 88.

四、評析

由歐盟法院就本案所作的判決可見，歐盟法院認定現(xiàn)行《歐盟反洗錢指令》第30條第5款規(guī)定無效的理由，主要是提高受益所有人信息的透明度，允許社會公眾的任何成員在任何情況下均可查詢受益所有人信息，嚴重干預(yù)了受益所有人享有的隱私權(quán)以及個人數(shù)據(jù)保護權(quán)，并因此導(dǎo)致了此類查詢所欲實現(xiàn)的提高受益所有人信息的透明度，防止洗錢和恐怖融資等社會公共利益和受益所有人享有的隱私權(quán)以及個人數(shù)據(jù)保護權(quán)之間的沖突。而現(xiàn)行《歐盟反洗錢指令》第30條第5款并未遵循相關(guān)法律原則解決該沖突，并在上述權(quán)益之間實現(xiàn)平衡。揆諸歐盟法院在本案中闡述的判決理由，同時結(jié)合歐盟法院的相關(guān)判例，可以看出，在查詢受益所有人的信息方面，歐盟法院已通過本案確立了以下基本原則。

（一）信息查詢的平衡協(xié)調(diào)原則

查詢受益所有人信息應(yīng)當(dāng)遵循平衡協(xié)調(diào)原則，在提高受益所有人信息的透明度和保護個人信息之間實現(xiàn)公正的平衡。個人數(shù)據(jù)保護權(quán)經(jīng)常會與歐盟法律保護的其他權(quán)利沖突，③See European Union Agency for Fundamental Rights，Handbook on European Data Protection Law（2018 edition），p.52，European Union Agency for Fundamental Rights Web（May 25，2018），https：／／fra.europa.eu／sites／default／files／fra_uploads／fra-coe-edps-2018-handbook-data-protection_en.pdf.隱私權(quán)亦然。由于隱私權(quán)和個人數(shù)據(jù)保護權(quán)并非絕對權(quán)利，因此，在這些權(quán)利與其他權(quán)利沖突的情況下，應(yīng)將這些權(quán)利與其他權(quán)利進行平衡協(xié)調(diào)，④See European Union Agency for Fundamental Rights，Handbook on European Data Protection Law（2018 edition），p.53，European Union Agency for Fundamental Rights Web（May 25，2018），https：／／fra.europa.eu／sites／default／files／fra_uploads／fra-coe-edps-2018-handbook-data-protection_en.pdf.此即所謂平衡協(xié)調(diào)原則。根據(jù)歐盟法院的判例，平衡協(xié)調(diào)原則一是要求對案涉權(quán)利和利益進行詳盡的個案分析和平衡，任何權(quán)利或利益均不得自動凌駕于其他權(quán)利或利益之上；①See European Union Agency for Fundamental Rights，Handbook on European Data Protection Law（2018 edition），p.65，European Union Agency for Fundamental Rights Web（May 25，2018），https：／／fra.europa.eu／sites／default／files／fra_uploads／fra-coe-edps-2018-handbook-data-protection_en.pdf.二是此類平衡應(yīng)當(dāng)是公正的平衡，參照歐盟法院就“邦尼爾視聽公司等訴完美通信瑞典公司案”所作的判決，②See Bonnier AudioAB et al.v.Perfect Communication Sweden AB，C-461／10，EU：C：2012：219，paragraphs 56 and 59.公正的平衡在法律上要求對創(chuàng)設(shè)案涉權(quán)利和利益的相關(guān)法律進行協(xié)調(diào)一致的解釋，并要求該解釋不會與案涉權(quán)利和利益或歐盟法律的基本原則，例如比例原則相沖突；在實踐中則要求基于每一案件的事實，并在適當(dāng)考慮比例原則要求的情況下，對案件涉及的相互沖突的權(quán)利和利益予以權(quán)衡。

具體到查詢受益所有人信息的情形，基于提高受益所有人信息的透明度，允許監(jiān)管機構(gòu)、金融機構(gòu)乃至社會公眾查詢受益所有人信息，將導(dǎo)致其上承載的反洗錢和反恐怖融資等社會公共利益與受益所有人享有的隱私權(quán)和個人數(shù)據(jù)保護權(quán)發(fā)生沖突。對此，應(yīng)遵循平衡協(xié)調(diào)原則，在提高受益所有人信息的透明度和保護個人信息之間實現(xiàn)公正的平衡。

（二）信息查詢的比例原則

在進行上述平衡時，應(yīng)從合法性、尊重隱私權(quán)和個人數(shù)據(jù)保護權(quán)的實質(zhì)、總體利益目標以及比例原則等因素著手，對提高受益所有人信息透明度的相關(guān)措施進行考量，同時還應(yīng)考量該措施是否遵守了個人數(shù)據(jù)保護的基本原則。《憲章》第52條第1款規(guī)定，對《憲章》確認的權(quán)利和自由的行使的限制必須由法律規(guī)定，尊重了這些權(quán)利和自由的實質(zhì)，遵守比例原則，并且確實符合歐盟所認可的總體利益目標或保護他人權(quán)利和自由的需要。據(jù)此，在對提高受益所有人信息的透明度和保護隱私與個人信息之間進行平衡時，首先應(yīng)當(dāng)從合法性、尊重隱私權(quán)和個人數(shù)據(jù)保護權(quán)的實質(zhì)、總體利益目標以及比例原則等因素著手，對提高受益所有人信息的透明度，允許監(jiān)管機構(gòu)、金融機構(gòu)以及社會公眾查詢受益所有人信息的相關(guān)措施進行考量。

具體而言，其一，關(guān)于合法性。合法性要求規(guī)定了提高受益所有人信息透明度，允許監(jiān)管機構(gòu)、金融機構(gòu)以及社會公眾查詢受益所有人信息的相關(guān)措施的法律必須是可充分查閱和可預(yù)見的，并且足夠準確從而能夠讓相關(guān)個人知曉其義務(wù)并規(guī)制其行為。該法律必須清楚地界定主管機關(guān)行使權(quán)力的范圍和方式，以防止相關(guān)個人遭受任意干預(yù)。③See European Union Agency for Fundamental Rights，Handbook on European Data Protection Law（2018 edition），p.43，European Union Agency for Fundamental Rights Web（May 25，2018），https：／／fra.europa.eu／sites／default／files／fra_uploads／fra-coe-edps-2018-handbook-data-protection_en.pdf.

其二，關(guān)于尊重隱私權(quán)和個人數(shù)據(jù)保護權(quán)的實質(zhì)。尊重隱私權(quán)和個人數(shù)據(jù)保護權(quán)的實質(zhì)，是指提高受益所有人信息的透明度，允許監(jiān)管機構(gòu)、金融機構(gòu)以及社會公眾查詢受益所有人信息的相關(guān)措施如果是寬泛的和侵擾性的，以致隱私權(quán)和個人數(shù)據(jù)保護權(quán)喪失了基本內(nèi)容，則該措施即缺乏正當(dāng)依據(jù)。而如果隱私權(quán)和個人數(shù)據(jù)保護權(quán)的實質(zhì)遭到損害，那么就應(yīng)當(dāng)認定提高受益所有人信息的透明度，允許監(jiān)管機構(gòu)、金融機構(gòu)以及社會公眾查詢受益所有人信息的相關(guān)措施是非法的。①See European Union Agency for Fundamental Rights，Handbook on European Data Protection Law（2018 edition），p.44，European Union Agency for Fundamental Rights Web（May 25，2018），https：／／fra.europa.eu／sites／default／files／fra_uploads／fra-coe-edps-2018-handbook-data-protection_en.pdf.

其三，關(guān)于總體利益目標。總體利益目標通常涵蓋國家安全、國防、公共安全、刑事犯罪的預(yù)防、調(diào)查、偵查、起訴或者刑事處罰的執(zhí)行、歐盟或其成員國重要經(jīng)濟和金融利益的保護、公共健康等。②參見GDPR第23條第1款。就提高受益所有人信息透明度，允許監(jiān)管機構(gòu)、金融機構(gòu)以及社會公眾查詢受益所有人信息的相關(guān)措施而言，該措施的總體利益目標，是通過提高透明度，創(chuàng)設(shè)一個更難進行洗錢和恐怖融資的環(huán)境，從而防止洗錢和恐怖融資行為。

其四，關(guān)于比例原則。比例原則是歐盟法的基本原則。該原則通過要求有關(guān)部門在其使用的方式和意圖實現(xiàn)的目標之間進行平衡，從而對這些部門的權(quán)力予以限制。就限制隱私權(quán)和個人數(shù)據(jù)保護權(quán)的任何措施而言，遵守比例原則可謂至關(guān)重要。③See European Data Protection Supervisor，Necessity＆Proportionality，EDPSWeb，https：／／edps.europa.eu／dataprotection／our-work／subjects／necessity-proportionality_en.比例原則有廣義和狹義之分，廣義的比例原則包括必要原則和狹義上的比例原則即適當(dāng)原則。④See European DataProtection Supervisor，EDPSGuidelines on Assessing the Proportionality of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data，p.9，EDPS Web（December 19，2019），https：／／edps.europa.eu／sites／default／files／publication／19-12-19_edps_proportionality_guidelines2_en.pdf.本案中，歐盟法院適用的是廣義的比例原則。

具體來說，首先，必要原則是任何涉及個人數(shù)據(jù)處理的措施，包括本案所涉的提高受益所有人信息透明度的相關(guān)措施均需遵守的原則。⑤See European DataProtection Supervisor，Assessing the Necessity of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data，p.2，EDPS Web（April 11，2017），https：／／edps.europa.eu／sites／default／files／publication／17-06-01_necessity_toolkit_final_en.pdf.原則上，若基于公共利益目標需要采取相關(guān)措施，則該措施可能是必要的。但是，根據(jù)歐盟法院的詮釋，必要原則要求所采取的措施較之能夠?qū)崿F(xiàn)相同目標的其他可供選擇的措施，所造成的影響更小。⑥See European Union Agency for Fundamental Rights，Handbook on European Data Protection Law（2018 edition），p.46，European Union Agency for Fundamental Rights Web（May 25，2018），https：／／fra.europa.eu／sites／default／files／fra_uploads／fra-coe-edps-2018-handbook-data-protection_en.pdf.同時，對于限制隱私權(quán)和個人數(shù)據(jù)保護權(quán)的措施，例如提高受益所有人信息透明度，允許監(jiān)管機構(gòu)、金融機構(gòu)以及社會公眾查詢受益所有人信息的相關(guān)措施而言，歐盟法院適用的是“充分必要”的審查標準，即此類措施只有在充分必要的情況下方可適用。①See European Data Protection Supervisor，Assessing the Necessity of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data，p.7，EDPSWeb（April 11，2017），https：／／edps.europa.eu／sites／default／files／publication／17-06-01_necessity_toolkit_final_en.pdf.

其次，狹義上的比例原則要求因限制相關(guān)權(quán)利而獲取的利益超過其所導(dǎo)致的不利益，即對相關(guān)權(quán)利的限制措施必須具備正當(dāng)理由，而伴隨該措施的保障措施則可以佐證該措施的正當(dāng)性。②See EuropeanData Protection Supervisor，Necessity＆Proportionality，EDPSWeb，https：／／edps.europa.eu／dataprotection／our-work／subjects／necessity-proportionality_en.

根據(jù)歐盟法院在“G.D.訴愛爾蘭警察總監(jiān)等案”③See G.D.v.Commissioner of An Garda Síochána et al.，C140／20，EU：C：2022：258，paragraph 93.以及“波蘭政府訴歐洲議會和歐盟理事會案”④See Republic of Poland v.European Parliament，Council of the European Union，C401／19，EU：C：2022：297，paragraph 65.中的詮釋，就提高受益所有人信息的透明度，允許監(jiān)管機構(gòu)、金融機構(gòu)以及社會公眾查詢受益所有人信息的相關(guān)措施而言，一方面，比例原則要求該措施欲實現(xiàn)的防止洗錢和恐怖融資的目標，只有在與受到該措施影響的隱私權(quán)和個人數(shù)據(jù)保護權(quán)進行恰當(dāng)平衡和協(xié)調(diào)，從而確保該措施所導(dǎo)致的不利益與該目標合比例的情況下，方可予以追尋。鑒于此，對于該措施是否具備正當(dāng)理由這一問題，應(yīng)當(dāng)通過考量該措施所導(dǎo)致的干預(yù)的嚴重性，以及審查該嚴重性與該措施所欲實現(xiàn)的目標的重要性是否合比例，來予以評估。

另一方面，比例原則還要求導(dǎo)致相關(guān)干預(yù)的法律即現(xiàn)行《歐盟反洗錢指令》必須制定清晰和準確的規(guī)則，以規(guī)范提高受益所有人信息的透明度，允許監(jiān)管機構(gòu)、金融機構(gòu)以及社會公眾查詢受益所有人信息的相關(guān)措施的范圍和適用，并采取最低限度的保障措施，以便數(shù)據(jù)主體擁有充分的保障，可以有效地保護其個人數(shù)據(jù)免遭濫用的風(fēng)險。該法律必須特別指出，在何種情況和條件下可以采取相關(guān)措施，從而確保將相關(guān)干預(yù)限制在充分必要的范圍之內(nèi)。在個人數(shù)據(jù)可為公眾即數(shù)量不限的個人獲取，且敏感個人數(shù)據(jù)可能被披露的情況下，對此類保障措施的需求將更為迫切。

最后，在對提高受益所有人信息的透明度和保護隱私與個人信息之間進行平衡時，還應(yīng)依照平衡協(xié)調(diào)原則有關(guān)此類平衡應(yīng)當(dāng)是公正的平衡之要求，對提高受益所有人信息透明度，允許監(jiān)管機構(gòu)、金融機構(gòu)以及社會公眾查詢受益所有人信息的相關(guān)措施所依據(jù)的現(xiàn)行《歐盟反洗錢指令》作出與《憲章》和GDPR協(xié)調(diào)一致的解釋，并據(jù)此對該措施是否符合《憲章》和GDPR的相關(guān)要求，特別是是否符合GDPR第5條規(guī)定的個人數(shù)據(jù)處理的基本原則以及第6條規(guī)定的合法性基礎(chǔ)進行考量。

本案中，由于現(xiàn)行《歐盟反洗錢指令》有關(guān)社會公眾在任何情況下均可查詢受益所有人信息的規(guī)定，一是未將其所導(dǎo)致的對受益所有人享有的隱私權(quán)和個人數(shù)據(jù)保護權(quán)的干預(yù)，限于充分必要的范圍；二是其所導(dǎo)致的干預(yù)并非建立在對總體利益目標以及受益所有人享有的權(quán)利進行恰當(dāng)平衡的基礎(chǔ)之上，并因此與現(xiàn)行《歐盟反洗錢指令》的總體利益目標不成比例。故歐盟法院最終認定，現(xiàn)行《歐盟反洗錢指令》的上述規(guī)定違反了比例原則，未能在提高受益所有人信息的透明度以及保護隱私和個人信息之間實現(xiàn)公正的平衡，并因此無效。

五、對我國的啟示

第一，在查詢受益所有人信息方面，我國也應(yīng)遵循平衡協(xié)調(diào)原則，在提高受益所有人信息透明度和保護個人信息之間實現(xiàn)公正的平衡。

第二，在進行上述平衡時，首先，應(yīng)當(dāng)考慮提高受益所有人信息透明度，允許查詢受益所有人信息的相關(guān)措施的合法性，即該措施原則上宜由我國《反洗錢法》作出規(guī)定；并且，該措施還應(yīng)明確受益所有人信息的范圍、查詢主體、可供查詢的信息、例外情形等。

其次，應(yīng)考慮適用比例原則，對提高受益所有人信息透明度，允許查詢受益所有人信息的相關(guān)措施的必要性和比例性進行考量。在審查相關(guān)措施的必要性時，可以考慮借鑒歐盟數(shù)據(jù)保護監(jiān)管局發(fā)布的“必要性評估工具箱”，①See European Data Protection Supervisor，Assessing the Necessity of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data，pp.9-19，EDPSWeb（April 11，2017），https：／／edps.europa.eu／sites／default／files／publication／17-06-01_necessity_toolkit_final_en.pdf.采用以下四個步驟進行審查：一是對相關(guān)措施及其目的進行詳盡的描述；二是識別相關(guān)措施是否限制了受益所有人的個人信息權(quán)益和其他權(quán)利或權(quán)益；三是界定相關(guān)措施的目標；四是選擇有效并且對個人信息權(quán)益影響最小的措施。就此而言，考慮到查詢受益所有人信息通常將限制受益所有人享有的個人信息權(quán)益，同時考慮到此類查詢所欲實現(xiàn)的防止洗錢和恐怖融資的目標，原則上僅與負有反洗錢和反恐怖融資相關(guān)職責(zé)的監(jiān)管機構(gòu)與負有反洗錢和反恐怖融資義務(wù)的金融機構(gòu)相關(guān)，而與社會公眾無涉。因為打擊洗錢和恐怖融資是監(jiān)管機構(gòu)以及承擔(dān)反洗錢和反恐怖融資義務(wù)的金融機構(gòu)優(yōu)先處理的事項，而非社會公眾的職責(zé)?！霸谌魏吻闆r下，私人主體或?qū)嶓w不應(yīng)正式或非正式、直接或間接地被賦予執(zhí)行反洗錢和反恐怖融資的職責(zé)?！雹赟ee European Data Protection Supervisor，EDPS Opinion on a Commission Proposal Amending Directive（EU）2015／849 and Directive 2009／101／EC，p.14，EDPSWeb（February 2，2017），https：／／edps.europa.eu／sites／edp／files／publication／17-02-02_opinion_aml_en.pdf.據(jù)此，可以選擇將查詢受益所有人信息的主體限于監(jiān)管機構(gòu)和金融機構(gòu)，而將社會公眾排除在外。因為這是目前既能夠有效實現(xiàn)防止洗錢和恐怖融資目標，又對受益所有人享有的個人信息權(quán)益的影響最小，從而符合必要性標準的措施。

再次，還可以考慮借鑒歐盟數(shù)據(jù)保護監(jiān)管局發(fā)布的相關(guān)指南，①See European Data Protection Supervisor，EDPSGuidelines on Assessing the Proportionality of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data，pp.14-33，EDPSWeb（December 19，2019），https：／／edps.europa.eu／sites／default／files／publication／19-12-19_edps_proportionality_guidelines2_en.pdf.在相關(guān)措施通過必要性審查之后，采取以下步驟對該措施的比例性進行審查：一是評估相關(guān)措施的目標的重要性，以及該措施是否和在何種程度上能夠?qū)崿F(xiàn)該目標，即該措施的有效性和效率；二是基于該措施對個人信息權(quán)益的實際影響，評估該措施干預(yù)個人信息權(quán)益的范圍、程度和強度，包括該措施將影響多少人，何種類型的個人信息將被處理，時間多長，該措施是否允許對相關(guān)個人的私人生活得出準確的結(jié)論等；三是對該措施的重要性、有效性和效率以及該措施對個人信息權(quán)益的干預(yù)，即對該措施的利弊進行公正的平衡；四是對有關(guān)該措施比例性的結(jié)論進行分析。如果結(jié)論是該措施不具有比例性，則確定并采用能夠使得該措施具有比例性的保障措施。就此而言，若允許監(jiān)管機構(gòu)和金融機構(gòu)查詢受益所有人信息的相關(guān)措施已通過必要性審查，則該措施還應(yīng)依照比例性標準予以規(guī)范，即該措施應(yīng)制定清晰和準確的規(guī)則，以規(guī)范該措施的范圍和適用，特別是宜就監(jiān)管機構(gòu)和金融機構(gòu)在何種情況與條件下，可以查詢受益所有人信息作出明確的規(guī)定，并規(guī)定最低限度的保障措施，以便受益所有人擁有充分的保障，可以有效地防范其個人信息遭到濫用的風(fēng)險。

最后，應(yīng)對該措施是否符合個人信息保護法的相關(guān)規(guī)定進行考量，包括該措施是否遵守了合法、正當(dāng)、必要和誠信原則、目的明確和最小化處理原則、公開、透明原則、個人信息質(zhì)量原則，是否具備處理個人信息的合法性基礎(chǔ)，是否保障了受益所有人享有的各項權(quán)利等。