1 月 16 日,noyb 对 TikTok、AliExpress、SHEIN、Temu、WeChat 和小米提出 GDPR 投诉,指控其非法数据传输至中国。
noyb
noyb是由著名的隐私保护倡导者Max Schrems于2018年成立的奥地利非盈利组织,旨在监督并推动欧盟个人数据保护法规GDPR的实施。它活跃于隐私法律领域的诉讼,特别是针对大公司和政府的数据隐私滥用行为,为,包括 Google、Apple、Meta、Netflix 和 Spotify 在内的多家科技巨头。noyb曾因Facebook违反GDPR,尤其是在数据跨境传输方面提出投诉。该案涉及Facebook将欧洲用户数据转移至美国服务器。其始创人Max Schrems 更是曾在 Schrems I 和 Schrems II 案件中直接成功影响欧盟与美国之间的隐私盾的有效性。
noyb 目前已在五个欧洲国家提出了六起 GDPR 投诉,并要求数据保护主管机关根据 GDPR 第 58 条第 2 项(j)立即下令暂停向中国的数据传输。noyb 还要求数据保护当局对这些公司处以行政罚款,以防止未来类似的违规行为。如果投诉成立,这些罚款最高可达公司全球年收入的 4%,例如 AliExpress 可能面临 147 百万欧元的罚款(年收入为 36.8 亿欧元),Temu 可能面临 13.5 亿欧元的罚款(年收入为 338.4 亿欧元)。
投诉内容
根据GDPR,在特定情况下,企业可以依赖“标准合同条款”(SCCs)来作为将欧盟用户传输到欧盟以外地区的合规依据。这条款协议主要要求接收方承诺遵守欧盟的隐私保护规定,这也是企业常用的方案。在签署SCC时,企业不仅需要进行数据传输影响评估,还必须采取措施,确保数据保护水平等同于欧盟标准。具体而言,企业需确保接收国提供相当水平的数据保护,并确认SCC不会与当地法律产生冲突。
noyb 在此次指控中主张,由于中国法律要求企业必须配合政府调取数据,因此,中国无法提供与欧盟相同级别的数据保护。类似的观点早在此前的 Uber 跨境案和欧盟监管机构的调查中就已出现过。在欧盟监管机构对 TikTok 和 Google 的审查中可以看出,欧盟监管部门在审查企业的数据跨境传输时,特别关注接收方所在国政府是否有权调取欧盟用户的个人数据。基于 Schrems II 案件的判决,尽管 SCC 仍然有效,但企业在使用 SCC 时需要评估接收方所在国的数据保护水平,并进行数据传输影响评估。如果接收方所在国的数据保护水平不足,企业需在组织、人员和技术等方面采取补充保护措施;如果接收方所在国的数据保护水平和执法情况可能导致接收方无法履行 SCC 下的义务,则企业依赖 SCC 作为数据跨境合法依据可能存在效力问题。
出海企业应对措施
我们建议相关出海企业可从以下角度着手,提前展开合规布局:
短期内,在欧盟展业的中国企业可以重点关注在数据保护方面的措施,企业可从加强组织和技术保护,包括建立相应的数据保护结构、搭建处理数据保护问题流程、加强协议和措施等方式,确保企业在组织、人员和技术方案有足够的保护水平。帮助企业在完成整体的数据跨境合规调整前争取时间。
长期来看,企业需要从产品、数据、运营、资本等多方面进行考量和采取相应措施。例如,产品方面,确保数字化资产(网站、应用、物联网)在收集和处理用户数据时符合法律法规要求,同时企业组织应该具体保障用户权利和保护用户数据安全的能力;数据方面,建议在非敏感国家进行数据存储、处理和管理;运营方面,由非敏感国家的团队管理欧盟业务,确保高风险国家的员工不接触敏感数据;资本方面,与本地资方形成利益共同体。
KAAMEL
Kaamel 是一个全球一站式隐私合规服务平台,总部位于美国硅谷,中国总部设在北京。它为全球企业提供简单而可信的隐私合规解决方案,特别帮助企业在出海过程中解决隐私合规问题。Kaamel 提供自动化隐私风险检测、隐私管理中心等一站式服务,支持企业在不同发展阶段做出合适的隐私合规决策。
Kaamel 理解,企业在跨境数据治理中面临管理个人信息的跨境存储、跨境传输和跨境访问;选择适合的海外业务主体; 实现数据隔离和业务单元拆分;强化信息安全基础设施;发展海外业务的本地化建设等诸多挑战。Kaamel 愿为企业提供支持,帮助其在国际化过程中更有效应对隐私保护态势的变化,提供跨境数据传输的合规建议和解决方案。
参考资料:
