中国政策档案 Governance Archive HOLDINGS 219,195 · FONDS 94
Record · 公众号“东不压桥研究院” ACC. 900026449

Antarctic Native: How Many More Chinese Companies Will Face EU Investigations Over Cross-Border Data Transfers

南极土著:还有多少中企会因数据跨境被欧盟调查

Issuer
公众号“东不压桥研究院”
Date
2026-05-06
Instrument
other
Cited by
0
This article analyzes the EU's investigation into SHEIN by the Irish Data Protection Commission (DPC) over alleged GDPR violations in transferring EU user data to China, highlighting the broader regulatory risks for Chinese companies operating in the EU under the GDPR framework.
Full text · 原文 3,729 字
【文/南极土著】 <br> 5月5日,爱尔兰数据保护委员会(DPC)发布公告,宣布根据《2018年数据保护法》第110条,对SHEIN启动调查,以查明SHEIN爱尔兰公司是否违反欧盟通用数据保护条例(GDPR),将欧盟/欧洲经济区用户的个人数据传输到中国。根据公告,2026年4月30日,爱尔兰DPC已正式向SHEIN爱尔兰公司发出了启动调查的决定。 <br> 这也是自2021年启动对TikTok的调查并罚款5.3亿欧元后,欧盟第二次针对中国背景的企业启动数据跨境调查。 <br> 公告截图 <br> DPC在调查SHEIN的公告中表示,接下来要重点看的,是SHEIN在这些跨境数据传输中,是否真正履行了GDPR下的一系列义务,主要包括:1)GDPR第5条,也就是最基础的个人数据处理原则;2)GDPR第13条,对用户的信息披露和透明度要求;3)GDPR第五章,关于个人数据向欧盟以外国家(第三国)传输的具体规则。 <br> 在对外说明中,DPC副专员Graham Doyle强调:“一旦个人数据被传输到欧盟以外,相关数据必须得到与欧盟内部“基本同等水平”的保护。最近一段时间,无论是DPC自身的监管行动,还是其他欧洲监管机构收到的投诉,都使得向中国传输数据的问题成为关注焦点。此次调查是DPC的一项重要战略重点,DPC将与欧洲其他监管机构密切合作,共同推进调查。” <br> 欧盟对中国企业跨境传输或远程访问欧盟个人数据的限制,不是一个新问题,但在欧盟运营的中企接二连三被调查或处罚,让该问题变得更具紧迫性和现实性。 <br> 欧盟对数据跨境合规性的判断基本是从“目的地国家”的法律环境出发。监管重点不在企业做了多少技术或合同上的防护,而在于数据流向的那个国家本身,是否被认为能提供与欧盟“实质等同”的保护水平。在此框架下,即便单个企业已经叠加了多层技术措施和合同安排,只要欧盟认为该国法律环境整体上达不到这一标准,就会直接认定风险不可接受,从而得出“保护不充分”的结论。 <br> 这背后是欧盟在数据跨境问题上一直以来的关切:包括外国政府调取数据缺乏明确限制和外部监督,司法独立性、比例原则、有效救济等不满足欧盟数据保护委员会(EDPB)的要求等。 <br> 如果中国一直拿不到欧盟的“充分性认定”,中国背景的企业在GDPR第五章下能走的路,其实就那么几条: <br> 理论上最直接的办法是把数据彻底匿名化。但从欧盟这几年的实践来看,传统去标识化方法(如k匿名)在当前数据环境下,往往难以满足“不可识别”的高标准。甚至像意大利监管机构,已经在具体案件里直接否定了k匿名的有效性。 <br> 此外,欧盟对什么算匿名化数据,标准一直在变。欧盟法院在Breyer v Germany与SRB v EDPS等判例中,不断细化“可识别性”的判断标准,强调应结合具体场景、数据接收方能力以及可合理使用的技术手段进行评估。这意味着,对同一数据是否构成匿名化数据,在不同主体、不同处理情境下,可能得出不同结论。EDPB近年来的多份意见和指南一再强调:要达到“真正匿名化”,不仅需要排除直接识别,还需合理防范通过关联、推断等方式实现的间接识别风险。在实践中,这一标准往往难以满足。 <br> 第二条路,是GDPR第49条的“克减条款”(数据主体明确同意、履行合同所必需、重要公共利益等)。但第49条的立法本意本不是用于支撑系统性、大规模的数据传输,因此实际适用场景非常狭窄。 <br> 例如,“同意”必须是针对具体、一次性的传输行为,不能拿来做长期、持续的数据流转;“履行合同所必需”则要求这个数据传输直接、不可替代地关系到合同本身。日常运营、后台技术支持这类持续性场景,通常都不算。 <br> 从DPC对WhatsApp案的裁决(尽管此案主要涉及透明度和信息披露义务、与第49条无关)看,监管对任何放松GDPR合规要求的解释路径,似乎都持高度怀疑态度。 <br> 近年来,也有一些新的思路开始出现。例如,在端侧AI或智能设备等场景下,是否可以通过架构设计,将更多的数据控制权和处理责任交由用户本身,从而弱化企业在数据处理中的角色。一些欧美学者将这一思路概括为“责任转移(liability shifting)”或“纯工具提供方抗辩(mere tool-provider defense)”。其核心设想,是一定程度上激活GDPR第2(2)(c)条的“个人或家庭活动豁免”,使相关处理被界定为用户的私人行为,而非企业的数据处理,从而减轻企业在GDPR第五章下的合规负担。 <br> 但从现有法律框架和执法实践来看,这一路径亦面临较大不确定性。首先,GDPR对“控制者”的认定采取实质标准,企业只要在处理目的或方式上具有决定性影响,仍可能被认定为控制者或共同控制者。其次,欧盟法院在Ryneš v Úřad pro ochranu osobních údajů等判例中,对“家庭活动”的适用范围采取了较为严格的解释,一旦处理与商业服务或公共环境发生关联,该例外通常难以适用。 <br> 同时,在架构上尝试将数据控制权更多交由用户,本身也会对产品体验产生显著影响,尤其是在需要满足GDPR对同意的严格要求(如明确性、可撤回性和细化选择)情况下。而且,即便核心业务数据保留在终端设备,本地化处理并不意味着数据流动的完全终止。在实际系统中,遥测数据、运行日志以及联邦学习等后台机制,往往仍会产生不同形式的数据回传。这些数据在多数情况下仍可能被认定为个人数据,从而使相关处理活动继续落入GDPR第五章的规则之下。 <br> 工作人员在数据中心的机房内进行巡检。 资料图:新华社 <br> 在前面这些路径都走不通或很难走的情况下,现实基本就是:大多数常规业务场景,最后还是要回到SCC(标准合同条款);如果SCC不够,就再叠加跨境影响评估(TIA)和各种补充措施。企业不仅要系统性评估数据要传去的国家(比如中国)的法律环境和实际执法情况,还要把自己所有的数据传输路径,包括远程访问,都梳理和解释清楚。 <br> 在和一些律师朋友交流过后,我发现大家反映最难的地方,是要代替全国人大和相关部委去解释中国法律,证明这些法律能提供和GDPR“实质等同”的保护,还得说服欧盟监管机构接受这一结论。不少律师朋友感叹,这几乎是一个不可能完成的任务。 <br> 在这些交流中,我得到的另一个反馈是,欧盟在评估中国法律这件事上,本身就没有一个清晰、可操作的标准。企业在做TIA时,到底要分析到多深、写到多细,很大程度上取决于监管机构的主观判断。法务和律师们辛辛苦苦论证了一套逻辑,最后认不认全在DPC主观判断,可能最后就是直接不认。 <br> 以常理来说,如果欧盟监管机构认为企业对中国法律的理解不准确,那应该给出一套他们自己更权威的评估作为参照,而不是直接据此作出处罚。但目前来看,欧盟也没有自己的评估体系,企业仍然需要在高度不确定的标准下自行证明、承担风险。 <br> 爱尔兰DPC在TikTok案中的调查和处罚,是对上述情况的一个佐证。简言之,欧方认为,中国现行的一些法律(比如《国家情报法》《数据安全法》《个人信息保护法》等)赋予政府较大的获取数据的权力,只要数据传到中国,就存在政府调取的风险,(标准合同条款)SCC和补充措施无法有效缓解这一风险。但是,企业要做到什么程度才能有效缓解风险,DPO没有说。 <br> 这样看起来,中国企业要想不被欧盟罚,好像就只能把服务器建在欧洲了,并且要完全彻底切断境内员工对欧盟个人数据的远程访问。 <br> 这对不同类型的企业影响差别很大。对大公司可能主要是成本问题:多建机房、多配团队、多做合规,成本很高,但没办法,大致或许还能承受;对中小企业来说,一旦不允许国内团队接触这些数据,很多业务根本跑不起来,要把整套团队搬到欧洲,或者在当地组建团队,还要处理复杂的公司治理、人力配置、技术架构、技术出口等问题,可能相当于生意没法干了。 <br> 而且不要以为做了这些就可以烧高香了。 <br> 首先,欧盟监管评判数据本地化是否彻底的标准,非常主观且不断漂移。企业即便投入大量资源在欧洲搭建独立机房,后续仍可能被要求提交架构图、接受代码审计,追查是否存在“未披露的数据回流”或“管理员后门”。合规成本很容易变成一个无底洞,投入产出比极不确定。 <br> 其次,如果要彻底切断国内对欧洲数据的访问以满足GDPR审查,企业往往不得不在欧洲建立一套平替团队,人力成本会飙升。同时增加的还有研发成本:原本可复用的代码和开发流程无法使用,只能为欧洲单独搭建一整套DevOps体系、运营团队和安全响应机制。这种重复建设的成本,对尚未形成规模效应的中小企业来说几乎致命。 <br> 第三,也是Manus案提醒大家的,要警惕跨国运营和交易违反中国技术出口限制的合规风险。对不少中小企业来说,既然欧盟数据不能回流中国进行模型训练或算法分发,那么唯一的解法可能就是将国内的核心算法、底层代码和模型权重“全量输出”部署到欧洲本地机房。这是否会触发中国出口管制和禁限技术出口的红线,是个颇为值得关注的问题。这就落入了又一个“奥德修斯困境”:要在欧盟做得合规就得违反中国法律,要遵守中国法律就会被欧盟罚掉底裤。 <br> 1 <br> 2 <br> 下一页 <br> 余下全文