欧洲数字权利中心(noyb- European Center for Digital Rights)是一家总
部位于维也纳的非营利组织,由隐私活动家 Max Schrems 于 2017 年共同创立。Schrems 对美国-欧盟安全港框架和欧盟-美国隐私保护框架提出了质疑,并分别于 2015 年和 2020 年成功地使欧盟法院宣布这两个框架无效。NOYB 在其主要设立国奥地利和爱尔兰被批准为 QE,爱尔兰因境内有大量国际科技公司总部而备受关注。不过,作为一家 QE,NOYB 可以在任何欧盟成员国提起诉讼。
2024 年 12 月 2 日,欧洲数字权利中心(NOYB - European Center for Digital Rights)获准成为 "合格实体"(QE),可就数据保护违规行为向欧洲法院提起代表诉讼。
这类代表诉讼相当于美国的集体诉讼。但与美国不同的是,在欧盟(EU),集体补救必须由获准提起执行诉讼的非营利组织提起。
根据《欧盟代表诉讼指令》((EU) 2020/1828)(《指令》),合格实体必须具有 "非营利性质"。根据该指令获得批准的质量保障机构有权代表消费者向欧洲国家法院或行政当局提起代表诉讼,以寻求禁令措施、补救措施或两者兼而有之。禁令措施停止或禁止企业的非法行为(例如,违反《通用数据保护条例》(GDPR)),而补救措施包括赔偿、降价、终止合同或退还已付价款等补救措施,并可包括企业非法处理个人数据时的赔偿要求等。代表诉讼可以是国内诉讼,由质保机构在其所在的同一欧洲国家发起;也可以是跨境诉讼,在质保机构所在的不同欧盟成员国发起。
在取得QE之前,NOYB基本上要么是对非法数据处理行为提出投诉,要么就是像Schrems一样进行以身试险,从而发起针对数据处理者的斗争。仅仅如此,因 noyb 诉讼而产生的罚款目前已在1.69亿欧元。
奥地利联邦法院于 2024 年 12 月 2 日签发了批准书,爱尔兰司法部于 2024 年 10 月 10 日签发了批准书。
第 8 条规定的禁令措施允许合格实体要求公司停止某些非法行为。就 noyb 而言,这可能是未经有效同意跟踪用户、使用 "暗模式 "非法获得同意、在没有法律依据的情况下出售个人数据、隐私政策中的荒谬措辞或将个人数据转移到未提供充分保护的司法管辖区。一般来说,许多其他违规模式,如对 GDPR 规定的访问或删除请求的答复不完整或延迟,都可以通过这一新文书来强制执行。
通常情况下,非营利组织会首先直接联系一家公司,要求其停止非法活动并签署所谓的 "停止和终止 "协议。如果该公司拒绝签署停止侵权的协议,非营利组织可以在该公司开展业务的任何欧盟成员国或在其欧盟总部提起诉讼。
虽然非物质损害赔偿可能很低,每个用户只需 100 欧元至 1000 欧元,但如果一家公司侵犯了数百万用户的权利,赔偿金额就会迅速增加。在大多数欧盟成员国,每个用户都必须要求一个非营利组织代表他们("选择加入 "制度),但在某些司法管辖区,如荷兰或葡萄牙,合格实体可以代表任何没有反对被代表的用户("选择退出 "制度)。
在过去几年中,NOYB 已经准备好了提起集体纠正诉讼的组织和技术手段,
并于2025年1月16日,欧洲数字权利中心(noyb- European Center for Digital Rights)就TikTok、AliExpress、SHEIN、Temu、WeChat和xiaomi六家关联中国的企业,“违规”向中国传输数据的行为提起了GDPR 投诉。
在noyb提交的六份投诉书中,使用几乎复制粘贴的表述方式,投诉称这些中国关联主体的相关运营公司“将个人数据传输到中华人民共和国,但是由于该国缺乏足够的数据保护水平,因此违反了GDPR关于跨境数据传输规
则。"
如果仔细研读这六份投诉书,可以得出非常有意思的结论信息,似乎足以说明2025开年的这场中西数据保护大战,极有可能就是noyb自编自导自演的一出戏。
这六份投诉书都是相应平台的注册用户,而且是以不同的用户的名义发起投诉,而不是noyb自身。其原因极有可能是发起投诉的当时,noyb自身还并不是欧盟 "合格实体"(QE),只能借助于欧盟用户的身份。
同时,这六份投诉书的投诉用户都是在2024年XXX月XXX日(投诉书中均隐去了具体日期)首先发起个人数据访问权(即申请副本权),目的均是为了核实其个人数据是否被六个产品的运营主体转移至中国或任何其他第三国。而六家平台,无一例外只提供了包括相关字段的副本,均不包括任何有关数据传输的信息。为此,六名用户均二次提出了数据访问请求。
GDPR设定了宽泛的管辖基础,一方面“属人管辖”,即适用于在欧盟设立控制者或处理者的活动范围内对个人数据的处理,无论处理是否在欧盟进行;另一方面也是适用于非在欧盟设立的控制者或处理者对欧盟内数据主体的个人数据的处理,包括提供商品或服务,或者是监控用户在欧盟的行为。
在这六起投诉事件中,以拼多多间接发起的"Temu"的跨境电子商务平台为例。投诉书认为,Temu平台为全球客户提供服务,包括欧洲经济区/欧盟的客户。重要的是,Temu平台在其隐私政策中已明确针对欧盟/欧洲经济区用户撰写条款的行为,以及网站中相关欧元货币标识,显然受到GDPR的管辖。
投诉人还深挖了一下信息,发现从爱尔兰注册局获取的Temu公司打印文件显示其一位董事秦某的工作地点在中国上海。而且直到最近,Temu公司的总部一直设在中国,因此,Temu爱尔兰公司目前的联系地址极有可能只是一个 "信箱 "地址,而根据 GDPR 第 4(16)(a)条,在爱尔兰的“地址”不能被视为在欧盟的主要机构。
所以,这也是本投诉针对的是爱尔兰Whaleco科技公司,但却最终在奥地利提交投诉的原因。
另以TikTok的投诉信为例,投诉人还将TikTok的全球组织架构画了出来。
除此外,经整理发现(其他平台实体设立以及对应的投诉管辖地如下),大部分均是基于投诉人认为平台在注册地只是有一个象征草台班子的邮箱,据此不能认定注册地就是主营机构所在地,从而在投诉人经常居住地提出投诉。
根据noyb表示,在投诉中,其中四家公司公开承认将欧洲用户的个人数据发送至中国,而另外两家则表示将数据传输至未公开的“第三国”。由于这些公司均未对投诉者的访问请求作出充分回应,noyb不得不假设这些“第三国”中包括中国。
以TikTok为例,noyb列出了TikTok关于"我们的全球业务和数据传输"的隐私政策条款,作为其违规向中国传输数据的证据。
而TikTok声明,其在美国、马来西亚和新加坡所运行的服务器上保存数据。同时,在基于欧盟跨境数据充分性决定条件下,TikTok位于加拿大、英国、以色列、日本和韩国的某些实体获得有限的远程访问权限,这是依赖欧洲委员会的充分性决定(或其他法律下的等同决定)来授予这些实体远程访问权限。
另外,在未获得充分性决定的国家的某些实体中,TikTok还根据标准合同条款,让这些国家的实体获得有限的远程访问权限,这些实体位于澳大利亚、巴西、中国、马来西亚、菲律宾、新加坡和美国。
而其中出现的“中国”字眼,让noyb特别不舒服,不过,这件事情
却
和noyb有关!
2020 年 7 月 16 日,欧洲法院(ECJ)对 noyb创办者Schrems所涉案件Schrems II 案(案件 C-311/18)做出了具有里程碑意义的判决。案件中,欧洲法院进一步澄清,对于基于执行标准合同条款 (SCC) 的数据传输,必须确保为数据主体提供“适当的保障措施、可执行的权利和有效的法律补救措施”。
“即使一个组织使用了 GDPR SCC,仍须由控制者或处理者逐案核查第三国的法律是否提供充分保护,企业可以利用DTIA来证明进行了核查留证”。
即,数据输出者和进口者必须评估基于 SCC 的传输是否提供了足够的保护水平,须同时评估考虑 (i) 在欧盟设立的控制者或处理者与在相关第三国设立的传输接收者之间商定的合同条款,以及 (ii) 关于该第三方国家/地区的公共机构对所传输个人数据的任何访问的限制, 以及该第三国法律制度的相关方面。
只有在目的地国不会削弱数据保护的情况下,才允许将数据传输至欧盟以外。显然,单纯的SCC解决不了中欧之间的数据传输问题。
欧盟始终认为,中国企业实际上无法确保欧盟用户的数据不被中国政府访问,中国的数据保护法律并未以任何方式明确限制主管机关的访问权限。
欧盟委员会尚未决定中国能确保一个充分的保护水平,因此被投诉人无法基于充分性决定将投诉人的个人数据转移到中国。根据其隐私政策,被投诉人基于适当的保障措施转移个人数据(以下简称"SCC")。这意味着被投诉人必须进行数据传输影响评估(以下简称"TIA"),以验证中国法律或做法是否影响第 46 条 GDPR 下适当保障措施的有效性。
早在2021 年9 月27日,挪威数据保护局就对挪威收费公司 Ferde 处以 500 万挪威克朗的侵权罚款,原因在于该公司被指控非法将挪威驾车者的个人数据传输到中国,包括Ferde AS 缺乏数据处理协议、风险评估(TIA) 和处理中国驾驶者个人数据传输的合法依据。
而根据EDPB六步法,在进行跨境数据转移影响评估 (TIA) 时,各组织应评估:第三国的法律框架,法律框架在第三国的实际应用,提供第三国政府机构的访问请求,各组织是否有拒绝政府访问请求的机制,是否签订了具有法律约束力的国际公约,是否建立了独立的隐私和数据保护监督机构,数据主体是否有法律补救措施以及这些补救措施的域外范围。
中国的TIA评估着眼于数据处理量级及活动,而欧盟的TIA评估着眼于对国家保护水平进行评估。
根据投诉文件的“想象”:“中国主管机关请求访问个人数据的规模非常大,而在同一时间段内,欧盟/欧洲经济区当局只有少数请求。此外,中国公司几乎总是(或不得不)遵守中国主管机关的请求。而且,中国没有专门且独立的数据保护机构或其他法庭来审理主管机关和企业之间的数据提供争议,且法律的范围和适用性不明确。”
投诉文件甚至还认为:“中国的数据本地化法规要求储存在中国境内收集的数据……由于此原因,几乎任何从中国境内向境外(欧盟/欧洲经济区)转移个人数据的行为都需要事先获得主管机关数据出境指南的授权。”
这显然是无视中国在促进跨境数据流动中实施积极立法和努力监管的作用,扭曲了中国和中国向善科技型企业的本意。
不管如何,noyb 现已在五个欧洲国家提交了六项 GDPR 投诉,并要求数据保护机构根据 GDPR 第 58(2)(j)条立即下令暂停向中国传输数据。
最后但同样重要的是,noyb 请求数据保护机构施加行政罚款,以防止未来发生类似违规行为。此类罚款最高可达全球收入的 4%,例如,对于 AliExpress 而言,可能高达 1.47 亿欧元(年收入 36.8 亿欧元),对于 Temu 而言,可能高达 13.5 亿欧元(年收入 338.4 亿欧元)。
