团队介绍:
垦丁出海团队,国内外一站式法律合规顾问
垦丁出海团队致力于帮助各类出海企业,解决企业在逐鹿海内外路上遇到的各类疑难法律问题,致力于成为企业“出海灯塔”,让客户在全球业务上,可以无惧艰难,乘风破浪,让出海成为第二增长曲线。目前已服务过80+头部互联网企业、独角兽企业。共计发表400+篇原创法律文章。进行200+场专业分享。发布20+份行业法律分析报告。
(如需获取报告或存在项目需求,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
2025年1月16日,欧洲非营利组织NOYB针对六家主要的中国出海公司——TikTok、小米、阿里巴巴(AliExpress)、希音(SHEIN)、微信和Temu,向欧盟多个数据保护监管机构提起了数据保护投诉。这些投诉的核心是这些公司涉嫌违反了《通用数据保护条例》(GDPR),将欧洲用户的数据传输到中国,而中国的数据保护水平被认为未能达到GDPR的标准。
(来源:noyb官网)
NOYB是什么来头?
NOYB是由奥地利隐私活动家马克斯·施雷姆斯(Max Schrems)创立的非营利组织。NOYB是“None of Your Business”的缩写,也就是“我们用户的隐私和你们大公司没有关系,你们离我们的隐私远点儿”的意思,异常“生猛”。这个组织专注于个人隐私和数据保护权利,经常代表消费者集体利益,根据GDPR提起数据保护投诉和诉讼。在“Schrems I”和“Schrems II”案件中,NOYB成功挑战了欧盟-美国之间的“安全港协议”和“隐私盾协议”,并导致这两项协议被欧盟法院废除。
投诉的原因
一、 数据传输至中国及相关问题
所有被投诉的公司都面临着将欧洲用户的个人数据传输至中国的指控。NOYB认为认这违反了GDPR第五章,因为中国的数据保护水平被认为不足,并未经过欧盟的充分性认定。
这些公司声称使用标准合同条款 (SCCs) 作为数据传输的保障,但NOYB认为,中国的法律和实践使得SCCs无法提供足够的保护。中国法律允许政府在没有充分司法审查的情况下访问个人数据,这削弱了SCCs的有效性。这些公司也未能进行充分的数据传输影响评估 (TIA),以验证中国法律是否会影响SCCs的效力。
二、 数据主体权利受限
NOYB还指出,中国的《个人信息保护法》(PIPL) 和其他相关法律可能导致数据主体的访问请求和数据可移植权受到“任意批准”的限制。数据主体很难获得有效的行政或司法救济,也难以根据PIPL或中国民法典获得赔偿。在执法过程中通常采取“黑箱”操作,使得数据主体无法了解访问的具体情况。
三、 公司在欧盟的“主要机构”问题
NOYB还发现,一些公司在欧盟注册的机构(例如在爱尔兰或荷兰)可能只是“邮箱地址”,并非真正控制数据处理的机构,这些公司的实际决策权可能由位于中国的母公司控制,因此无法被视为 GDPR 下的“主要机构。例如,小米在荷兰的 Xiaomi Technology Netherlands、SHEIN 在爱尔兰的 Infinite Styles Ecommerce Co. Limited、以及 TikTok 在爱尔兰的 TikTok Technology Limited。
四、 未充分响应数据访问请求
NOYB通过暗访发现,用户向这些公司提出数据访问请求后,这些公司未能提供关于数据传输、数据位置等关键信息的完整回复。一些公司甚至使用自动回复或模板化的回复,未能针对用户的具体问题进行解答。
✦
•
✦
✦
左右滑动,查看投诉书原文
✦
NOYB的诉求
NOYB已经向各欧盟成员国数据保护机构提交投诉,包括比利时、希腊、意大利、荷兰和奥地利,诉请如下:
1. 要求调查和处罚:NOYB要求数据保护机构对这些公司进行调查,并根据GDPR第 58 条和83条的规定,处以有效的、相称的和具有劝诫作用的罚款。
2. 要求暂停数据传输:在调查期间,NOYB
要求数据保护机构根据GDPR第58(2)(j)条的规定,暂停将欧洲用户的个人数据传输到中国。
3. 要求公司提供信息:NOYB要求这些公司提供有关数据传输、数据处理活动、数据传输影响评估等方面的详细信息。
总结和后续
NOYB的投诉不仅仅是关于数据传输本身,而是关于欧盟用户数据在中国法律框架下可能面临的系统性风险。NOYB认为这些公司未能充分评估这些风险,未能采取充分的保护措施,并且未能有效地回应用户的数据访问请求,从而违反了GDPR的规定。
在2025年1月17日举行的中国外交部例行记者会上,外交部发言人郭嘉昆在回应外媒记者“对此次事件中方对此有何回应”的提问时表示,中国政府高度重视并依法保护数据隐私和安全,从来没有、也不会要求企业或个人以违反当地法律的方式,为中国政府采集或提供位于外国境内的数据信息和情报。有关方面应当尊重市场经济和公平竞争原则,为中国企业提供公平、透明、非歧视的营商环境。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了14年+科技型公司实务经验,具备中外律所从业背景。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
欧洲(欧盟、英国、俄罗斯)、北美洲(美国、加拿大)、日本、韩国、印度、东南亚多国(新加坡、泰国、马来西亚、印尼、越南、菲律宾等多国)、中东(沙特、阿联酋、阿曼、埃及等)、南美洲(巴西、阿根廷等)、非洲多国、以及中国(港澳台地区)等超过30+国家与地区。
职业资格:
是广东数据资产登记合规委员会评审专家、持有CIPP/E(国际信息隐私专家认证/欧盟)、CIPM(注册信息隐私管理专家)、区块链应用操作员资格证书、数据安全师数据合规官等资格证书。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
感谢有你!请查收垦丁王捷律师团队2024年度报告总结,助力2025企业出海!
帮你总结好了 | 2024年全球各国数据合规核心议题,含六大区域及十二国,助力出海2025
年终报告季丨更新至7.0版本!个人信息保护数据合规法律法规汇编(截止2024年12月27日)
美国司法部发布数据跨境传输最终规定,以应对外部获取美国敏感的个人和政府相关数据所带来的紧迫国家安全风险
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
合规实务 | AIGC非知识产权领域的法律风险与合规应对
合规实务 | AIGC知识产权领域的法律风险与合规应对
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
