2025年1月16日,奥地利隐私保护组织Noyb(None of Your Business)针对TikTok、AliExpress、SHEIN、Temu、腾讯和小米等公司提出投诉,指责这些公司违反了欧盟《通用数据保护条例》(GDPR),非法将数据传输至中国。其中,AliExpress、SHEIN、TikTok和小米四家公司公开承认将欧洲用户的个人数据传输到中国;而Temu和腾讯则声称数据被传输到了未公开的“第三国”。基于此,Noyb在希腊、荷兰、比利时、意大利和奥地利等国家针对上述公司向中国传输数据的行为提出了六项投诉,并要求对这些公司处以高达其全球收入4%的罚款。
此次行动是Noyb针对中国实体的首次投诉。根据GDPR和相关法律,数据仅能在欧盟境内或是目的地国家具备与欧盟同等数据保护水平的情况下进行传输。而noyb认为上述公司传输地无法提供与欧盟相同水平的个人数据保护,且相关公司也无法防止传输地政府访问欧盟用户的数据。因此,noyb要求数据保护机构下令这些公司暂停传输数据,让这些公司的数据处理活动符合GDPR规定,并施加行政罚款。
从此次事件可以清晰地看到GDPR的管辖原则在其中的体现。
1.GDPR的管辖范围概述
GDPR的管辖范围广泛,不仅适用于欧盟境内的数据处理活动,还通过“长臂管辖”原则将效力延伸至欧盟境外。其管辖原则主要基于属地管辖和属人管辖,并结合了“目的标准”和“效果标准”,确保对个人数据的全面保护。
2.属地管辖原则
根据GDPR第3条第1款,属地管辖适用于以下情况:(1)在欧盟境内设立的数据控制者或处理者:无论其数据处理行为是否发生在欧盟境内,只要数据控制者或处理者在欧盟境内设有机构,其个人数据处理行为均受GDPR管辖。(2)“机构”的定义:GDPR不局限于传统的公司形式,只要通过稳定的安排能够真正有效地开展活动,即视为“设立机构”。例如,分支机构、子公司或临时办事处等均可能被认定为“机构”。TikTok、腾讯、小米等公司在欧洲设有办事机构,必然受到GDPR的管辖。
3.属人管辖原则
根据GDPR第3条第2款,属人原则通过“目的标准”和“效果标准”将管辖权延伸至欧盟境外的数据处理活动。“目的标准”是指的含义是:即使数据控制者或处理者不在欧盟设立实体,但只要其处理行为与向欧盟数据主体提供商品或服务相关,GDPR即适用。具体包括:(1)向欧盟数据主体提供商品或服务,无论是否要求支付对价。(2)对欧盟数据主体的行为进行监控(例如在线行为跟踪)。“效果标准”的含义是:即使数据控制者或处理者不在欧盟设立,但只要其数据处理活动对欧盟境内的数据主体产生了“实际影响”,则GDPR可以对其行使管辖权。例如,如果境外企业通过网站向欧盟消费者提供商品或服务(如使用当地货币、提供多语言支持、使用欧盟顶级域名等),则可能被认定为受GDPR管辖。
因此,只要数据处理行为涉及欧盟境内主体的个人数据,就可能落入GDPR的管辖范围。退一步讲,即使这些企业在欧盟境内没有实体,但在欧盟境内国家拥有大量用户,企业为欧盟用户提供服务,处理欧盟用户数据,以实现商业利益等目的,符合属人管辖的条件。
4.国际公法下的适用
根据GDPR第3条第3款,即使数据控制者或处理者不在欧盟设立,但如果其所在地区适用欧盟成员国法律(基于国际公法),其数据处理行为也受GDPR管辖。
此次中国企业被投诉事件给众多企业敲响了警钟。即使中国企业未在欧盟设立实体,只要涉及欧盟数据主体的数据处理,也可能受GDPR管辖。在全球化的今天,中国企业在开展跨国业务时,一方面要加强自身的数据安全管理和合规建设,完善数据处理流程;另一方面,也需要积极与国际组织和各国监管机构沟通,以更好地应对日益严格的国际数据监管环境,避免因数据合规问题而遭受损失。
从TikTok、腾讯、小米等多家公司因数据合规问题在欧盟被投诉看《通用数据保护条例》的管辖原则
作者:山西华炬律师事务所来源:山西华炬律师事务所

2025年1月16日,奥地利隐私保护组织Noyb(None of Your Business)针对TikTok、AliExpress、SHEIN、Temu、腾讯和小米等公司提出投诉,指责这些公司违反了