2025年1月16日,欧洲非营利组织NOYB针对六家主要的中国出海公司——TikTok、小米、阿里巴巴(AliExpress)、希音(SHEIN)、微信和Temu,向欧盟多个数据保护监管机构提起了数据保护投诉。这些投诉的核心是这些公司涉嫌违反了《通用数据保护条例》(GDPR),将欧洲用户的数据传输到中国,而中国的数据保护水平被认为未能达到GDPR的标准。
(来源:noyb官网)
NOYB是什么来头?
NOYB是由奥地利隐私活动家马克斯·施雷姆斯(Max Schrems)创立的非营利组织。NOYB是“None of Your Business”的缩写,也就是“我们用户的隐私和你们大公司没有关系,你们离我们的隐私远点儿”的意思,异常“生猛”。这个组织专注于个人隐私和数据保护权利,经常代表消费者集体利益,根据GDPR提起数据保护投诉和诉讼。在“Schrems I”和“Schrems II”案件中,NOYB成功挑战了欧盟-美国之间的“安全港协议”和“隐私盾协议”,并导致这两项协议被欧盟法院废除。
投诉的原因
一、 数据传输至中国及相关问题
所有被投诉的公司都面临着将欧洲用户的个人数据传输至中国的指控。NOYB认为认这违反了GDPR第五章,因为中国的数据保护水平被认为不足,并未经过欧盟的充分性认定。
这些公司声称使用标准合同条款 (SCCs) 作为数据传输的保障,但NOYB认为,中国的法律和实践使得SCCs无法提供足够的保护。中国法律允许政府在没有充分司法审查的情况下访问个人数据,这削弱了SCCs的有效性。这些公司也未能进行充分的数据传输影响评估 (TIA),以验证中国法律是否会影响SCCs的效力。
二、 数据主体权利受限
NOYB还指出,中国的《个人信息保护法》(PIPL) 和其他相关法律可能导致数据主体的访问请求和数据可移植权受到“任意批准”的限制。数据主体很难获得有效的行政或司法救济,也难以根据PIPL或中国民法典获得赔偿。在执法过程中通常采取“黑箱”操作,使得数据主体无法了解访问的具体情况。
三、 公司在欧盟的“主要机构”问题
NOYB还发现,一些公司在欧盟注册的机构(例如在爱尔兰或荷兰)可能只是“邮箱地址”,并非真正控制数据处理的机构,这些公司的实际决策权可能由位于中国的母公司控制,因此无法被视为 GDPR 下的“主要机构。例如,小米在荷兰的 Xiaomi Technology Netherlands、SHEIN 在爱尔兰的 Infinite Styles Ecommerce Co. Limited、以及 TikTok 在爱尔兰的 TikTok Technology Limited。
四、 未充分响应数据访问请求
NOYB通过暗访发现,用户向这些公司提出数据访问请求后,这些公司未能提供关于数据传输、数据位置等关键信息的完整回复。一些公司甚至使用自动回复或模板化的回复,未能针对用户的具体问题进行解答。




NOYB的诉求
NOYB已经向各欧盟成员国数据保护机构提交投诉,包括比利时、希腊、意大利、荷兰和奥地利,诉请如下:
1. 要求调查和处罚:NOYB要求数据保护机构对这些公司进行调查,并根据GDPR第58 条和83条的规定,处以有效的、相称的和具有劝诫作用的罚款。
2. 要求暂停数据传输:在调查期间,NOYB
要求数据保护机构根据GDPR第58(2)(j)条的规定,暂停将欧洲用户的个人数据传输到中国。
3. 要求公司提供信息:NOYB要求这些公司提供有关数据传输、数据处理活动、数据传输影响评估等方面的详细信息。
总结和后续
NOYB的投诉不仅仅是关于数据传输本身,而是关于欧盟用户数据在中国法律框架下可能面临的系统性风险。NOYB认为这些公司未能充分评估这些风险,未能采取充分的保护措施,并且未能有效地回应用户的数据访问请求,从而违反了GDPR的规定。
在2025年1月17日举行的中国外交部例行记者会上,外交部发言人郭嘉昆在回应外媒记者“对此次事件中方对此有何回应”的提问时表示,中国政府高度重视并依法保护数据隐私和安全,从来没有、也不会要求企业或个人以违反当地法律的方式,为中国政府采集或提供位于外国境内的数据信息和情报。有关方面应当尊重市场经济和公平竞争原则,为中国企业提供公平、透明、非歧视的营商环境。
TikTok、全球速卖通、SHEIN、Temu、微信和小米被投诉违反GDPR
作者:出海互联网法律观察来源:出海互联网法律观察

2025年1月16日,欧洲非营利组织NOYB针对六家主要的中国出海公司——TikTok、小米、阿里巴巴(AliExpress)、希音(SHEIN)、微信和Temu,向欧盟多个数据保护监管机构提起了数据