查詢受益所有人信息應遵循的法律原則
——“WM及索維姆公司訴盧森堡商業登記處案”評析

■張 燕

一、背景

受益所有人信息是指有關以下自然人的身份及其對法人的控制程度的信息：一是享有法人最終收益的自然人；二是通過所有者權益之外的其他方式，對法人行使最終有效控制的自然人。①See FATF，Guidance on Beneficial Ownership of Legal Persons，FATF Web（March 2023），https：／／www.fatfgafi.org／en／publications／Fatfrecommendations／Guidance-Beneficial-Ownership-Legal-Persons.html.受益所有人信息對于防止法人被洗錢和恐怖融資活動濫用，追蹤隱藏于法人之后的從事洗錢和恐怖融資活動的犯罪分子具有重要意義?？紤]到提高受益所有人信息的透明度，允許監管機構、金融機構乃至社會公眾查詢受益所有人信息，一方面使得政府機關和其他機構更易于調查并防止非法金融活動；另一方面通過創建來自民間和公眾的額外的監督和審查層級，能夠更為有效地調查和遏制犯罪活動。②See Open Ownership，Data Protection and Privacy in Beneficial Ownership Disclosure，Open Ownership Web（May 2019），https：／／openownershiporgprod-1b54.kxcdn.com／media／documents／oo-data-protection-and-privacy_Print.pdf.因此，自2015年起，包括英國和歐盟在內的一些國家和地區開始制定相關法律，允許監管機構、金融機構乃至社會公眾查詢市場主體的受益所有人信息。但是，鑒于受益所有人信息在性質上屬于應受個人信息保護法保護的個人信息。因此，此類查詢在將受益所有人信息的透明度提升至更高水平的同時，也導致了提高透明度和保護個人信息之間的沖突，這在允許社會公眾查詢受益所有人信息方面表現得尤為明顯。如何遵循相關法律原則，有效解決上述沖突，從而既能夠實現提高受益所有人信息透明度上承載的反洗錢和反恐怖融資等社會公共利益，又能夠保護受益所有人的個人信息權益，實現二者之間的平衡，已經成為各國在制定查詢受益所有人信息的相關法律規定時，需要面對和解決的問題。

歐盟有關查詢受益所有人信息的法律規定集中體現了上述問題。2015年，歐盟制定《關于防止將金融系統用于洗錢或恐怖融資的2015／849號指令》（以下簡稱2015版《歐盟反洗錢指令》）。該指令第30條第5款在規定主管機關、金融情報中心以及金融機構等義務機構有權查詢受益所有人信息的同時，也明確允許能夠證明合法利益的個人或組織查詢受益所有人信息。①See Directive（EU）2015／849 of The European Parliament and of the Council of 20 May 2015 on the Prevention of the Use of the Financial System for the Purposes of Money Laundering or Terrorist Financing，Amending Regulation（EU）No 648／2012 of the European Parliament and of the Council，and Repealing Directive 2005／60／EC of the European Parliament and of the Council and Commission Directive2006／70／EC，Article30（5），EUR-Lex web（June5，2015），https：／／eurlex.europa.eu／legal-content／EN／TXT／PDF／？uri＝CELEX：32015L0849.2018年，歐盟對2015版《歐盟反洗錢指令》進行了修訂（修訂后的指令以下簡稱現行《歐盟反洗錢指令》），擴大了有權查詢受益所有人信息的個人或組織的范圍，明確規定社會公眾的任何成員均可查詢受益所有人信息，主要理由一是該指令的目標，是防止使用歐盟的金融體系進行洗錢和恐怖融資，而除非歐盟的經濟和金融環境對通過非透明結構為其資金尋求庇護的犯罪分子是不利的，否則上述目標將難以實現。就此而言，提高歐盟經濟和金融環境的總體透明度能夠起到強有力的震懾作用。二是社會公眾對受益所有人信息的查詢，能夠讓公民和社會，包括媒體和民間社會組織對此類信息進行更多的監督，并且有利于維系對商業交易和金融體系完整性的信任。三是此類查詢不僅有助于打擊將公司及其他法律實體和法律安排用于洗錢和恐怖融資的行為，而且能夠為監管機構和金融機構及時有效地獲取受益所有人信息，以及針對洗錢和相關上游犯罪行為及恐怖融資的調查提供助力。②See Directive（EU）2018／843 of the European Parliament and of the Council of 30 May 2018 Amending Directive（EU）2015／849 on the Prevention of the Use of the Financial System for the Purposes of Money Laundering or Terrorist Financing，and Amending Directives 2009／138／EC and 2013／36／EU，Recitals 4 and 30，EUR-Lex web（June 19，2018），https：／／eur-lex.europa.eu／legal-content／EN／TXT／PDF／？uri＝CELEX：32018L0843.

盡管歐盟在現行《歐盟反洗錢指令》中聲稱，“在任何情況下，就公司和其他法律實體以及信托和類似的法律安排而言，應當特別在防止洗錢和恐怖融資上承載的社會公共利益以及數據主體的基本權利之間尋求公正的平衡”。①See Directive（EU）2018／843 of the European Parliament and of the Council of 30 May 2018 Amending Directive（EU）2015／849 on the Prevention of the Use of the Financial System for the Purposes of Money Laundering or Terrorist Financing，and Amending Directives 2009／138／EC and 2013／36／EU，Recital 34，EUR-Lex web（June 19，2018），https：／／eur-lex.europa.eu／legal-content／EN／TXT／PDF／？uri＝CELEX：32018L0843.但是這種自證式的聲明，并未從根本上解決現行《歐盟反洗錢指令》是否確實遵循了相關法律原則，在提高受益所有權信息的透明度和保護受益所有人的個人信息之間實現了平衡，故而合法有效的問題。在其2022年審理的“WM及索維姆公司訴盧森堡商業登記處案”②See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912.中，歐盟法院對此問題進行了審查并作出了回答。

二、基本案情

本案系歐盟法院合并審理的兩個案件，兩案的被告均為盧森堡商業登記處，該處負責管理在盧森堡設立的實體的受益所有人登記簿；兩案的原告則分別為WM和索維姆公司，其中WM系一家盧森堡房地產公司——YO公司的受益所有人。YO公司和索維姆公司均向盧森堡商業登記處提交申請，請求該處將對受益所有人登記簿中載明的WM和索維姆公司受益所有人信息的查詢，限于國家機關、信用機構、金融機構、執行官及公證人。盧森堡商業登記處經審查，分別于2019年11月及2020年2月作出決定，駁回了YO公司和索維姆公司的申請。WM和索維姆公司對盧森堡商業登記處的決定不服，均向盧森堡地區法院提起訴訟。

因本案涉及現行《歐盟反洗錢指令》的解釋，盧森堡地區法院遂決定中止本案訴訟，并請求歐盟法院就相關問題作出先予裁決，其中一個主要問題是，現行《歐盟反洗錢指令》第30條第5款“歐盟成員國應確保社會公眾的任何成員在任何情況下均可查詢有關受益所有人的信息”的規定是否有效？③See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraphs 20-33.

三、歐盟法院的判決

2022年11月22日，歐盟法院對本案作出判決。在判決中，歐盟法院首先認定，現行《歐盟反洗錢指令》第30條第5款規定的社會公眾對受益所有人信息的查詢，嚴重干預了受益所有人依據《歐盟基本權利憲章》（以下簡稱《憲章》）第7條和第8條享有的隱私權以及個人數據保護權。④See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraphs 35-44.

接下來，歐盟法院認為，根據《憲章》第52條第1款的規定，對《憲章》確認的權利和自由的行使的限制必須由法律規定，尊重了這些權利和自由的實質，遵守比例原則，并且確實符合歐盟所認可的總體利益目標或保護他人權利和自由的需要。同時，根據《憲章》第8條第2款的規定，個人數據必須出于特定目的并基于相關個人的同意或法律規定的其他合法理由而予以處理。①See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraph 46.

具體到本案中，第一，關于系爭干預的合法性問題。由于社會公眾對受益所有人信息的查詢所導致的、對受益所有人享有的隱私權以及個人數據保護權的限制，系由現行《歐盟反洗錢指令》這一歐盟法律所規定。并且，現行《歐盟反洗錢指令》第30條第1款和第5款在規定社會公眾有權查詢受益所有人信息的同時，也明確規定這些信息必須是充分的、準確的和最新的，并且列明了必須允許社會公眾查詢的若干信息。同時，現行《歐盟反洗錢指令》還在第30條第9款中明確，歐盟成員國可以規定此類查詢的豁免以及豁免的條件。在此情形下，應認定《憲章》第52條第1款規定的合法性原則已獲遵守。②See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraphs 47-49.

第二，關于系爭干預是否尊重了隱私權和個人數據保護權的實質的問題。盡管現行《歐盟反洗錢指令》第30條第5款并未就社會公眾有權查詢的受益所有人信息列出一個窮盡所有信息的清單，并且，該款規定還允許歐盟成員國提供額外的受益所有人信息供社會公眾查詢。但是，根據現行《歐盟反洗錢指令》第30條第1款的規定，只有關于受益所有人和受益所有權的“充分”的信息，方可獲取、掌握并提供給社會公眾。該款規定已將與現行《歐盟反洗錢指令》的目的并非充分相關的信息排除在外。而向社會公眾提供與受益所有人和受益所有權充分相關的信息，并不會損害受益所有人享有的隱私權以及個人數據保護權的實質。

同時，現行《歐盟反洗錢指令》第41條第1款明確規定，該指令項下的個人數據處理應受《歐盟通用數據保護條例》（GDPR）的規制。據此，可以認定，現行《歐盟反洗錢指令》項下受益所有人信息的收集、存儲和提供，必須符合GDPR的相關要求。

綜上所述，歐盟法院認定，因社會公眾查詢受益所有人信息所導致的對隱私權以及個人數據保護權的干預，不會損害受益所有人享有的這些權利的實質。③See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraphs 50-54.

第三，關于系爭干預是否符合歐盟所認可的總體利益目標的問題。由現行《歐盟反洗錢指令》的相關規定可見，該指令允許社會公眾查詢受益所有人信息的目的，是通過提高透明度，創設一個更難進行洗錢和恐怖融資的環境，從而防止洗錢和恐怖融資行為。該目的應視為構成歐盟所認可的，能夠讓系爭干預成為正當的總體利益目標。④See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraphs 55-59.

第四，關于系爭干預是否符合比例原則的問題。根據歐盟法院的判例，在判斷系爭干預是否符合比例原則時，應當考量以下三個因素：一是社會公眾對受益所有人信息的查詢對于實現總體利益目標而言是否恰當；二是因此類查詢導致的系爭干預是否限于充分必要的范圍，即該總體利益目標是否無法通過效果相同，但對受益所有人享有的權利干預更小的方式合理實現；三是系爭干預與該總體利益目標是否不成比例，這特別要求對該總體利益目標的重要性和系爭干預的嚴重性進行平衡。

關于第一個因素，歐盟法院認為，社會公眾對受益所有人信息的查詢，對于實現總體利益目標而言是恰當的，因為此類查詢的公共性質以及因此類查詢所導致的透明度的提升，有助于創設一個更難進行洗錢和恐怖融資的環境。

關于第二個因素，歐盟法院認為，一方面，盡管歐盟理事會和歐盟委員會在庭審中主張，歐盟立法機關于2018年將2015年版《歐盟反洗錢指令》第30條第5款原先的規定即“歐盟成員國應確?？梢宰C明合法權益的任何個人或組織在任何情況下均可查詢有關受益所有人的信息”，修改為“歐盟成員國應確保社會公眾的任何成員在任何情況下均可查詢有關受益所有人的信息”的主要理由，是缺乏有關“合法權益”的統一定義，但這并非歐盟立法機關規定社會公眾可以查詢受益所有人信息的正當理由。

另一方面，歐洲議會、歐盟理事會和歐盟委員會引以為據的現行《歐盟反洗錢指令》序言部分第30條的規定，不足以證明系爭干預是充分必要的。因為該條規定雖聲稱社會公眾查詢受益所有人信息，能夠讓公民和社會加強對這些信息的監督，但該條規定援以為例的媒體、民間社會組織、可能與受益所有人控制的公司或其他法律實體達成交易的人以及金融機構和監管機構，卻均對查詢受益所有人信息擁有合法權益。同時，該條有關社會公眾查詢受益所有人信息有助于打擊對公司和其他法律實體的濫用，并將有助于刑事調查的規定，也無法證實此類查詢對于防止洗錢和恐怖融資而言是充分必要的。在此情形下，應認定系爭干預并未限于充分必要的范圍。

關于第三個因素，歐盟法院認為，首先，根據現行《歐盟反洗錢指令》第30條第5款有關社會公眾的任何成員應當“至少”被允許查詢受益所有人的姓名、出生年月、居住國和國籍及其持有的受益所有權的性質和范圍等信息的規定，以及歐盟成員國可以提供能夠識別受益所有人的額外信息（該信息“至少”包括受益所有人的出生日期或聯系方式）以供查詢的規定，可以認定，該款規定允許向社會公眾提供未被充分界定但卻可以識別相關個人的數據，而這違反了比例原則有關導致相關干預的法律必須制定清晰和準確的規則，以規范有關措施的范圍和適用，并采取最低限度的保障措施，以便數據主體擁有充分的保障，可以有效地保護其個人數據免遭濫用的風險之要求。

其次，關于系爭干預的嚴重性與防止洗錢和恐怖融資這一總體利益目標的重要性之間的平衡。盡管防止洗錢和恐怖融資這一目標的重要性，能夠使得對受益所有人享有的權利的嚴重干預成為正當，但考慮到，一方面，打擊洗錢和恐怖融資是應當由公權力機關以及信貸機構或金融機構等承擔反洗錢和反恐怖融資義務的主體優先處理的事項；另一方面，較之現行《歐盟反洗錢指令》第30條第5款修訂前的規定，修訂后的規定構成對受益所有人享有的權利更為嚴重的干預，此類干預無法為相關修訂所帶來的在打擊洗錢和恐怖融資等方面的益處所抵消。鑒于此，系爭干預并非建立在對總體利益目標以及受益所有人享有的權利進行適當平衡的基礎之上。在此情形下，應認定系爭干預與現行《歐盟反洗錢指令》的總體利益目標不成比例。①See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraphs 66-86.

綜上所述，歐盟法院認為，對于盧森堡地區法院提出的問題的答復是，現行《歐盟反洗錢指令》第30條第5款“歐盟成員國應確保社會公眾的任何成員在任何情況下均可查詢受益所有人信息”的規定無效。②See WM，Sovim SA v.Luxembourg Business Registers，C37／20 and C601／20，EU：C：2022：912，paragraph 88.

四、評析

由歐盟法院就本案所作的判決可見，歐盟法院認定現行《歐盟反洗錢指令》第30條第5款規定無效的理由，主要是提高受益所有人信息的透明度，允許社會公眾的任何成員在任何情況下均可查詢受益所有人信息，嚴重干預了受益所有人享有的隱私權以及個人數據保護權，并因此導致了此類查詢所欲實現的提高受益所有人信息的透明度，防止洗錢和恐怖融資等社會公共利益和受益所有人享有的隱私權以及個人數據保護權之間的沖突。而現行《歐盟反洗錢指令》第30條第5款并未遵循相關法律原則解決該沖突，并在上述權益之間實現平衡。揆諸歐盟法院在本案中闡述的判決理由，同時結合歐盟法院的相關判例，可以看出，在查詢受益所有人的信息方面，歐盟法院已通過本案確立了以下基本原則。

（一）信息查詢的平衡協調原則

查詢受益所有人信息應當遵循平衡協調原則，在提高受益所有人信息的透明度和保護個人信息之間實現公正的平衡。個人數據保護權經常會與歐盟法律保護的其他權利沖突，③See European Union Agency for Fundamental Rights，Handbook on European Data Protection Law（2018 edition），p.52，European Union Agency for Fundamental Rights Web（May 25，2018），https：／／fra.europa.eu／sites／default／files／fra_uploads／fra-coe-edps-2018-handbook-data-protection_en.pdf.隱私權亦然。由于隱私權和個人數據保護權并非絕對權利，因此，在這些權利與其他權利沖突的情況下，應將這些權利與其他權利進行平衡協調，④See European Union Agency for Fundamental Rights，Handbook on European Data Protection Law（2018 edition），p.53，European Union Agency for Fundamental Rights Web（May 25，2018），https：／／fra.europa.eu／sites／default／files／fra_uploads／fra-coe-edps-2018-handbook-data-protection_en.pdf.此即所謂平衡協調原則。根據歐盟法院的判例，平衡協調原則一是要求對案涉權利和利益進行詳盡的個案分析和平衡，任何權利或利益均不得自動凌駕于其他權利或利益之上；①See European Union Agency for Fundamental Rights，Handbook on European Data Protection Law（2018 edition），p.65，European Union Agency for Fundamental Rights Web（May 25，2018），https：／／fra.europa.eu／sites／default／files／fra_uploads／fra-coe-edps-2018-handbook-data-protection_en.pdf.二是此類平衡應當是公正的平衡，參照歐盟法院就“邦尼爾視聽公司等訴完美通信瑞典公司案”所作的判決，②See Bonnier AudioAB et al.v.Perfect Communication Sweden AB，C-461／10，EU：C：2012：219，paragraphs 56 and 59.公正的平衡在法律上要求對創設案涉權利和利益的相關法律進行協調一致的解釋，并要求該解釋不會與案涉權利和利益或歐盟法律的基本原則，例如比例原則相沖突；在實踐中則要求基于每一案件的事實，并在適當考慮比例原則要求的情況下，對案件涉及的相互沖突的權利和利益予以權衡。

具體到查詢受益所有人信息的情形，基于提高受益所有人信息的透明度，允許監管機構、金融機構乃至社會公眾查詢受益所有人信息，將導致其上承載的反洗錢和反恐怖融資等社會公共利益與受益所有人享有的隱私權和個人數據保護權發生沖突。對此，應遵循平衡協調原則，在提高受益所有人信息的透明度和保護個人信息之間實現公正的平衡。

（二）信息查詢的比例原則

在進行上述平衡時，應從合法性、尊重隱私權和個人數據保護權的實質、總體利益目標以及比例原則等因素著手，對提高受益所有人信息透明度的相關措施進行考量，同時還應考量該措施是否遵守了個人數據保護的基本原則?！稇椪隆返?2條第1款規定，對《憲章》確認的權利和自由的行使的限制必須由法律規定，尊重了這些權利和自由的實質，遵守比例原則，并且確實符合歐盟所認可的總體利益目標或保護他人權利和自由的需要。據此，在對提高受益所有人信息的透明度和保護隱私與個人信息之間進行平衡時，首先應當從合法性、尊重隱私權和個人數據保護權的實質、總體利益目標以及比例原則等因素著手，對提高受益所有人信息的透明度，允許監管機構、金融機構以及社會公眾查詢受益所有人信息的相關措施進行考量。

具體而言，其一，關于合法性。合法性要求規定了提高受益所有人信息透明度，允許監管機構、金融機構以及社會公眾查詢受益所有人信息的相關措施的法律必須是可充分查閱和可預見的，并且足夠準確從而能夠讓相關個人知曉其義務并規制其行為。該法律必須清楚地界定主管機關行使權力的范圍和方式，以防止相關個人遭受任意干預。③See European Union Agency for Fundamental Rights，Handbook on European Data Protection Law（2018 edition），p.43，European Union Agency for Fundamental Rights Web（May 25，2018），https：／／fra.europa.eu／sites／default／files／fra_uploads／fra-coe-edps-2018-handbook-data-protection_en.pdf.

其二，關于尊重隱私權和個人數據保護權的實質。尊重隱私權和個人數據保護權的實質，是指提高受益所有人信息的透明度，允許監管機構、金融機構以及社會公眾查詢受益所有人信息的相關措施如果是寬泛的和侵擾性的，以致隱私權和個人數據保護權喪失了基本內容，則該措施即缺乏正當依據。而如果隱私權和個人數據保護權的實質遭到損害，那么就應當認定提高受益所有人信息的透明度，允許監管機構、金融機構以及社會公眾查詢受益所有人信息的相關措施是非法的。①See European Union Agency for Fundamental Rights，Handbook on European Data Protection Law（2018 edition），p.44，European Union Agency for Fundamental Rights Web（May 25，2018），https：／／fra.europa.eu／sites／default／files／fra_uploads／fra-coe-edps-2018-handbook-data-protection_en.pdf.

其三，關于總體利益目標?？傮w利益目標通常涵蓋國家安全、國防、公共安全、刑事犯罪的預防、調查、偵查、起訴或者刑事處罰的執行、歐盟或其成員國重要經濟和金融利益的保護、公共健康等。②參見GDPR第23條第1款。就提高受益所有人信息透明度，允許監管機構、金融機構以及社會公眾查詢受益所有人信息的相關措施而言，該措施的總體利益目標，是通過提高透明度，創設一個更難進行洗錢和恐怖融資的環境，從而防止洗錢和恐怖融資行為。

其四，關于比例原則。比例原則是歐盟法的基本原則。該原則通過要求有關部門在其使用的方式和意圖實現的目標之間進行平衡，從而對這些部門的權力予以限制。就限制隱私權和個人數據保護權的任何措施而言，遵守比例原則可謂至關重要。③See European Data Protection Supervisor，Necessity＆Proportionality，EDPSWeb，https：／／edps.europa.eu／dataprotection／our-work／subjects／necessity-proportionality_en.比例原則有廣義和狹義之分，廣義的比例原則包括必要原則和狹義上的比例原則即適當原則。④See European DataProtection Supervisor，EDPSGuidelines on Assessing the Proportionality of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data，p.9，EDPS Web（December 19，2019），https：／／edps.europa.eu／sites／default／files／publication／19-12-19_edps_proportionality_guidelines2_en.pdf.本案中，歐盟法院適用的是廣義的比例原則。

具體來說，首先，必要原則是任何涉及個人數據處理的措施，包括本案所涉的提高受益所有人信息透明度的相關措施均需遵守的原則。⑤See European DataProtection Supervisor，Assessing the Necessity of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data，p.2，EDPS Web（April 11，2017），https：／／edps.europa.eu／sites／default／files／publication／17-06-01_necessity_toolkit_final_en.pdf.原則上，若基于公共利益目標需要采取相關措施，則該措施可能是必要的。但是，根據歐盟法院的詮釋，必要原則要求所采取的措施較之能夠實現相同目標的其他可供選擇的措施，所造成的影響更小。⑥See European Union Agency for Fundamental Rights，Handbook on European Data Protection Law（2018 edition），p.46，European Union Agency for Fundamental Rights Web（May 25，2018），https：／／fra.europa.eu／sites／default／files／fra_uploads／fra-coe-edps-2018-handbook-data-protection_en.pdf.同時，對于限制隱私權和個人數據保護權的措施，例如提高受益所有人信息透明度，允許監管機構、金融機構以及社會公眾查詢受益所有人信息的相關措施而言，歐盟法院適用的是“充分必要”的審查標準，即此類措施只有在充分必要的情況下方可適用。①See European Data Protection Supervisor，Assessing the Necessity of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data，p.7，EDPSWeb（April 11，2017），https：／／edps.europa.eu／sites／default／files／publication／17-06-01_necessity_toolkit_final_en.pdf.

其次，狹義上的比例原則要求因限制相關權利而獲取的利益超過其所導致的不利益，即對相關權利的限制措施必須具備正當理由，而伴隨該措施的保障措施則可以佐證該措施的正當性。②See EuropeanData Protection Supervisor，Necessity＆Proportionality，EDPSWeb，https：／／edps.europa.eu／dataprotection／our-work／subjects／necessity-proportionality_en.

根據歐盟法院在“G.D.訴愛爾蘭警察總監等案”③See G.D.v.Commissioner of An Garda Síochána et al.，C140／20，EU：C：2022：258，paragraph 93.以及“波蘭政府訴歐洲議會和歐盟理事會案”④See Republic of Poland v.European Parliament，Council of the European Union，C401／19，EU：C：2022：297，paragraph 65.中的詮釋，就提高受益所有人信息的透明度，允許監管機構、金融機構以及社會公眾查詢受益所有人信息的相關措施而言，一方面，比例原則要求該措施欲實現的防止洗錢和恐怖融資的目標，只有在與受到該措施影響的隱私權和個人數據保護權進行恰當平衡和協調，從而確保該措施所導致的不利益與該目標合比例的情況下，方可予以追尋。鑒于此，對于該措施是否具備正當理由這一問題，應當通過考量該措施所導致的干預的嚴重性，以及審查該嚴重性與該措施所欲實現的目標的重要性是否合比例，來予以評估。

另一方面，比例原則還要求導致相關干預的法律即現行《歐盟反洗錢指令》必須制定清晰和準確的規則，以規范提高受益所有人信息的透明度，允許監管機構、金融機構以及社會公眾查詢受益所有人信息的相關措施的范圍和適用，并采取最低限度的保障措施，以便數據主體擁有充分的保障，可以有效地保護其個人數據免遭濫用的風險。該法律必須特別指出，在何種情況和條件下可以采取相關措施，從而確保將相關干預限制在充分必要的范圍之內。在個人數據可為公眾即數量不限的個人獲取，且敏感個人數據可能被披露的情況下，對此類保障措施的需求將更為迫切。

最后，在對提高受益所有人信息的透明度和保護隱私與個人信息之間進行平衡時，還應依照平衡協調原則有關此類平衡應當是公正的平衡之要求，對提高受益所有人信息透明度，允許監管機構、金融機構以及社會公眾查詢受益所有人信息的相關措施所依據的現行《歐盟反洗錢指令》作出與《憲章》和GDPR協調一致的解釋，并據此對該措施是否符合《憲章》和GDPR的相關要求，特別是是否符合GDPR第5條規定的個人數據處理的基本原則以及第6條規定的合法性基礎進行考量。

本案中，由于現行《歐盟反洗錢指令》有關社會公眾在任何情況下均可查詢受益所有人信息的規定，一是未將其所導致的對受益所有人享有的隱私權和個人數據保護權的干預，限于充分必要的范圍；二是其所導致的干預并非建立在對總體利益目標以及受益所有人享有的權利進行恰當平衡的基礎之上，并因此與現行《歐盟反洗錢指令》的總體利益目標不成比例。故歐盟法院最終認定，現行《歐盟反洗錢指令》的上述規定違反了比例原則，未能在提高受益所有人信息的透明度以及保護隱私和個人信息之間實現公正的平衡，并因此無效。

五、對我國的啟示

第一，在查詢受益所有人信息方面，我國也應遵循平衡協調原則，在提高受益所有人信息透明度和保護個人信息之間實現公正的平衡。

第二，在進行上述平衡時，首先，應當考慮提高受益所有人信息透明度，允許查詢受益所有人信息的相關措施的合法性，即該措施原則上宜由我國《反洗錢法》作出規定；并且，該措施還應明確受益所有人信息的范圍、查詢主體、可供查詢的信息、例外情形等。

其次，應考慮適用比例原則，對提高受益所有人信息透明度，允許查詢受益所有人信息的相關措施的必要性和比例性進行考量。在審查相關措施的必要性時，可以考慮借鑒歐盟數據保護監管局發布的“必要性評估工具箱”，①See European Data Protection Supervisor，Assessing the Necessity of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data，pp.9-19，EDPSWeb（April 11，2017），https：／／edps.europa.eu／sites／default／files／publication／17-06-01_necessity_toolkit_final_en.pdf.采用以下四個步驟進行審查：一是對相關措施及其目的進行詳盡的描述；二是識別相關措施是否限制了受益所有人的個人信息權益和其他權利或權益；三是界定相關措施的目標；四是選擇有效并且對個人信息權益影響最小的措施。就此而言，考慮到查詢受益所有人信息通常將限制受益所有人享有的個人信息權益，同時考慮到此類查詢所欲實現的防止洗錢和恐怖融資的目標，原則上僅與負有反洗錢和反恐怖融資相關職責的監管機構與負有反洗錢和反恐怖融資義務的金融機構相關，而與社會公眾無涉。因為打擊洗錢和恐怖融資是監管機構以及承擔反洗錢和反恐怖融資義務的金融機構優先處理的事項，而非社會公眾的職責?！霸谌魏吻闆r下，私人主體或實體不應正式或非正式、直接或間接地被賦予執行反洗錢和反恐怖融資的職責?！雹赟ee European Data Protection Supervisor，EDPS Opinion on a Commission Proposal Amending Directive（EU）2015／849 and Directive 2009／101／EC，p.14，EDPSWeb（February 2，2017），https：／／edps.europa.eu／sites／edp／files／publication／17-02-02_opinion_aml_en.pdf.據此，可以選擇將查詢受益所有人信息的主體限于監管機構和金融機構，而將社會公眾排除在外。因為這是目前既能夠有效實現防止洗錢和恐怖融資目標，又對受益所有人享有的個人信息權益的影響最小，從而符合必要性標準的措施。

再次，還可以考慮借鑒歐盟數據保護監管局發布的相關指南，①See European Data Protection Supervisor，EDPSGuidelines on Assessing the Proportionality of Measures that Limit the Fundamental Rights to Privacy and to the Protection of Personal Data，pp.14-33，EDPSWeb（December 19，2019），https：／／edps.europa.eu／sites／default／files／publication／19-12-19_edps_proportionality_guidelines2_en.pdf.在相關措施通過必要性審查之后，采取以下步驟對該措施的比例性進行審查：一是評估相關措施的目標的重要性，以及該措施是否和在何種程度上能夠實現該目標，即該措施的有效性和效率；二是基于該措施對個人信息權益的實際影響，評估該措施干預個人信息權益的范圍、程度和強度，包括該措施將影響多少人，何種類型的個人信息將被處理，時間多長，該措施是否允許對相關個人的私人生活得出準確的結論等；三是對該措施的重要性、有效性和效率以及該措施對個人信息權益的干預，即對該措施的利弊進行公正的平衡；四是對有關該措施比例性的結論進行分析。如果結論是該措施不具有比例性，則確定并采用能夠使得該措施具有比例性的保障措施。就此而言，若允許監管機構和金融機構查詢受益所有人信息的相關措施已通過必要性審查，則該措施還應依照比例性標準予以規范，即該措施應制定清晰和準確的規則，以規范該措施的范圍和適用，特別是宜就監管機構和金融機構在何種情況與條件下，可以查詢受益所有人信息作出明確的規定，并規定最低限度的保障措施，以便受益所有人擁有充分的保障，可以有效地防范其個人信息遭到濫用的風險。

最后，應對該措施是否符合個人信息保護法的相關規定進行考量，包括該措施是否遵守了合法、正當、必要和誠信原則、目的明確和最小化處理原則、公開、透明原則、個人信息質量原則，是否具備處理個人信息的合法性基礎，是否保障了受益所有人享有的各項權利等。