TikTok跨境传输案又来进展!深度解析TikTok为什么突然发送关于DPC裁决的通知与背后法律博弈

来源:那一片数据星辰

文章摘要
一、问题与结论概述 2025年12月16日,荷兰数据保护机构向TikTok用户发出了一则不同寻常的警告。这则警告不是源于荷兰监管机构自身的调查,而是基于爱尔兰高等法院在同年11月13日作出的一项判决。

一、问题与结论概述
2025年12月16日,荷兰数据保护机构向TikTok用户发出了一则不同寻常的警告。这则警告不是源于荷兰监管机构自身的调查,而是基于爱尔兰高等法院在同年11月13日作出的一项判决。在该判决中,爱尔兰法院要求TikTok必须向其欧洲经济区用户明确告知:该平台正在将用户的个人数据传输至包括中国在内的欧盟以外地区,而这种数据传输已被爱尔兰数据保护委员会认定为违反了《通用数据保护条例》(GDPR)的规定。这一通知要求看似简单,而是科技巨头与欧洲数据保护监管机构之间一场高风险法律博弈的直接产物。
本文聚焦于一个看似“程序性”的细节——爱尔兰高等法院在准予对 爱尔兰数据保护机构DPC 暂停令与纠正令的暂停执行(stay)时,为什么要把“向所有用户发送通知”设为明确条件,以及荷兰数据保护机构 Autoriteit Persoonsgegevens(AP)如何借由这一通知窗口,对公众与组织表达其监管态度与风险判断。
结论上,用户通知并非为了“以告知替代合规”,而是高等法院在权衡暂停执行DPC裁定书期间的基本权利风险与企业不可逆损失时,用来降低短期风险、提升数据主体知情程度、从而使继续使用平台更接近“informed basis”的一项条件安排。该通知义务的定位,是“风险缓释与程序正当性工具”,而非 GDPR 跨境传输合法化路径。 另一方面,荷兰 AP 对外沟通的核心并非“法院允许继续传输”,而是强调“平台仍在向包括中国在内的欧盟外国家传输个人数据、且监管机构认为该行为违法”,并据此公开提示用户与组织重新评估是否继续使用。
二、案件背景:何以出现“通知”这一司法条件
要理解这则用户通知的法律分量,必须首先审视强制发布该通知的爱尔兰高等法院案件。本节解构法院的司法演算,揭示其在权衡企业蒙受的“严重且不可弥补的损害”与用户基本权利所面临的风险之间,所进行的精妙平衡。
2.1. 爱尔兰数据保护机构DPC的裁定
爱尔兰高等法院的判决涉及TikTok Technology Limited与DPC之间的一起重大争议。DPC于2021年9月14日依据《2018年数据保护法》第110条启动了一项针对TikTok的调查,调查的核心问题是TikTok是否在将其欧洲经济区用户的个人数据传输至中国时,确保了这些数据获得了与欧盟内部实质等效的保护水平。经过长达三年多的详细调查,并与其他欧洲经济区监管机构依照GDPR第60条进行协商后,DPC于2025年4月30日作出正式决定,认定TikTok违反了GDPR第46条第1款的规定,未能确保通过远程访问方式传输至中国的用户数据获得等效保护。同时,该决定还认定TikTok在2020年7月29日至2022年12月1日期间违反了GDPR第13条第1款第f项的规定,未能向数据主体提供关于数据传输的必要信息。
DPC 的决定除行政罚款外,还包含依据 GDPR 第58(2)(j)作出的暂停传输命令(Suspension Order)及依据第58(2)(d)作出的纠正令(Corrective Order),并规定两项命令在决定作出后六个月生效。 TikTok 依法上诉后,罚款支付因国内法机制自动中止,但暂停令与纠正令并不自动中止,因此 TikTok 向高等法院申请对上述命令作出 暂停执行。
关于DPC裁定书的深度解析请见本公众号四万字解析(一键跳转)。
2.2. 法院的权衡:为何暂停DPC的命令?
爱尔兰高等法院在决定是否中止DPC的命令时,进行了一场精细的权衡。一方面,TikTok辩称,若立即遵守暂停令,将对其业务造成“严重且不可弥补的损害”,包括数十亿欧元的支出、大规模的业务中断,并主张其已采取的保障措施,特别是其在旨在本地存储欧洲用户数据的“三叶草项目”(Project Clover)上的重大投资,已提供了必要的保护。另一方面,DPC则强调,继续允许数据传输将对1.59亿欧洲经济区用户的基本权利构成持续风险。
最终,法院批准了TikTok的申请。法官的结论是,执行暂停令对TikTok造成的损害是重大且可量化的,而对用户权利构成的风险则被认为是“有限且暂时的”。在此情境下,法院认为批准暂缓执行代表了“最低的不公正风险”(the least risk of injustice)——这是一项司法衡量标准,旨在案件最终判决前,选择对各方造成最小总体损害的方案。
关于爱尔兰高等法院暂停DPC执行的分析请见本公众号(一键跳转)。
正是在这一"短期风险如何被最小化"的语境下,法院引入了"用户通知"作为条件:法院明确指出,其担忧之一在于用户是否被告知 DPC 对 TikTok 的不利认定,尤其是关于其未能符合 GDPR 第46条的认定;并进一步强调,虽然"通知本身"不能使本应违法的跨境传输变为合法,合法化需要第49(1)项下的"明确且知情的同意"等条件,但若用户继续使用平台能够建立在对 DPC 所识别问题(以及 TikTok 已提起上诉)有所了解的基础上,法院认为对基本权利的短期风险关切将"有所缓解"。
三、高等法院对"通知"的法理定位:不是合规替代,而是暂停令风险缓释
高等法院在裁定中把“通知”嵌入其暂停令的条件体系,并以高度操作性的方式落地:其一,暂停令应尽可能短,并要求 TikTok 承诺以合理勤勉推进上诉程序、并在其可控范围内确保上诉最迟于 2026 年 3 月前开庭审理;其二,TikTok 需要(如尚未完成)以双方同意方式或由法院在无法达成一致时指示的方式,向其所有用户以清晰易懂语言通知 DPC 的决定,且该通知可以同时提及 TikTok 的上诉以及法院已准予暂停。
这段结构表明,法院将“通知”视为与“缩短暂停期间”并列的风险缓释措施:前者通过加速实体审理压缩风险暴露时间,后者通过信息透明与风险提示提升数据主体的知情程度。两者共同服务于法院所强调的目标——在 stay 是否准予的问题上实现“least risk of injustice”的总体判断。 因此,从合规视角看,“通知”并不改变第46条项下跨境传输必须具备“实质等同保护”的实体门槛,而是法院在临时救济阶段对基本权利风险作出的程序性补偿设计。
四、通知“为什么必须做”:法院对风险可控性的核心叙事
从裁定文本的论证顺序看,法院并未回避 DPC 所强调的基本权利风险,但其判断“短期风险有限且暂时”,并据此认为暂停执行不会对 GDPR 运行造成一般性风险。 与此同时,法院将“用户是否知情”作为影响风险评估的重要变量:其指出 DPC 决定中第二项侵权认定涉及未在一定期间内充分告知用户跨境传输的性质;并进一步提出,在文件材料中未见用户已被告知 DPC 对 TikTok 的违法认定,因此通过通知使用户继续使用平台建立在“informed basis”上,有助于缓解对基本权利短期风险的担忧。
换言之,通知的“必要性”并不是从 GDPR 第13条的常规透明度义务推导出来,而是从临时救济的利益衡量推导出来:既然法院允许在上诉期间继续维持现状,它就需要引入一项可执行、可监督且能够立刻发挥效用的条件,以减少在此期间数据主体对风险与争议状态的“信息不对称”。这一逻辑解释了为什么通知要求被写入裁判主文式条件条款,而不是停留在一般性建议。
五、荷兰 AP 的态度:把"通知"转化为对公众与组织的风险提示窗口
围绕同一通知事件,荷兰 AP 的对外信息呈现出更为直接的风险导向表达。公开报道显示,AP 指出欧盟 TikTok 用户将收到一则通知,通知内容需包含 TikTok 向包括中国在内的欧盟外国家共享个人数据,并且必须告知用户:监管机构认为这违反 GDPR。报道同时呈现 AP 的"使用警示"立场,即 AP 公开提醒用户与组织应认真思考是否继续使用 TikTok。
5.1. 核心信息:DPC的裁决依然有效
荷兰AP的官方沟通,战略性地区分了被暂停的措施和依然有效的根本性裁决。AP向公众强调的关键信息是:尽管法院暂时中止了DPC纠正措施的执行,但DPC做出数据传输非法的裁决本身仍然有效。这一区分具有重大的法律意义;它向组织和公众发出信号,即虽然眼下的强制执行被搁置,但监管机构认定的根本性合规漏洞依然存在,并伴随着潜在的法律和声誉风险。
5.2. 风险剖析:AP为何担忧?
荷兰AP在其声明中详细阐述了其担忧的来源,主要集中在以下几个方面:
数据收集的广度: AP强调TikTok收集了大量个人数据,不仅包括用户的点击行为、位置信息和联系人列表,有时甚至涉及财务数据。
用户的脆弱性: AP特别关注年轻用户群体,认为他们往往对数据收集的潜在风险认识不足,更容易受到影响。
欧盟外法律环境的差异: AP的核心论点在于,在中国等非欧盟国家,个人数据保护的规则与欧盟存在本质差异。这导致用户一旦数据被传输出去,将很难有效控制其后续用途。
5.3. 用户的行动指南:AP的具体建议
为帮助用户和组织应对当前局面,荷兰AP发布了清晰的行动指南。
对个人用户的建议:



  1. 仔细阅读TikTok推送的通知及其完整的隐私声明。

  2. 检查并审视应用内的隐私设置,特别是其对摄像头、麦克风、联系人和位置信息的访问权限。

  3. 基于当前情况,重新评估是否愿意继续使用该应用。

  4. 在应用内分享内容时保持警惕,尤其要避免分享任何敏感个人信息。
    对使用TikTok的组织的建议:

  5. 进行全面的风险评估,例如通过开展数据保护影响评估(Data Protection Impact Assessment, DPIA),并在评估中明确考虑监管机构已裁定其数据传输为非法的事实。

  6. 审慎判断继续使用TikTok是否是负责任的选择。AP特别强调,政府及半官方机构应在此类决策中发挥示范作用。

  7. 如果决定继续使用,必须就此决策及其可能给受众带来的风险,进行清晰、透明的沟通。
    从监管沟通策略看,AP 并未将重点放在“高等法院已准予暂停执行、命令暂缓执行”这一程序性结果上,而是把通知聚焦为“风险事实的可见化”:在其叙事中,关键是“平台仍在向中国等第三国传输数据”以及“监管判断该传输违法”。这种表达方式与高等法院的定位并不矛盾:法院的通知条件旨在降低暂停执行期间的信息不对称,而 AP 的警示性表述则进一步利用这一信息披露窗口,将风险评估与合规期望以更强烈的公共传播方式传递给用户与组织,促使其作出治理层面的使用决策与风险控制安排。
    六、结论:临时休战下的深远影响
    当前围绕TikTok数据传输的局面,仅仅是一场临时休战,远非最终的解决方案。用户收到的通知和荷兰监管机构的警告,是同一法律困境下并行不悖的风险缓释策略。用户通知代表了法院强制执行的微观层面干预,通过透明度赋予个人权力;与此同时,荷兰AP的警告则是宏观层面的监管信号,向更广泛的公众和组织警示持续存在的系统性风险。二者共同诠释了欧盟数据保护执法的双轨思路:在司法车轮缓慢转动之际,既要求企业履行告知义务,也由监管机构主动管理公共风险。
    此案的核心法律问题,即TikTok的“三叶草项目”(Project Clover)等补充措施是否足以提供与欧盟标准“基本等同”的数据保护,至今悬而未决。爱尔兰法院的最终判决将不仅决定TikTok在欧洲的运营前景,更将成为对“补充措施”及数据本地化策略有效性的关键司法检验,为所有在欧盟运营的跨国科技公司提供一个期待已久或深感畏惧的法律基准。

技术驱动法律,专业成就未来