专栏名称: 数据保护官

DPOHUB数据保护官俱乐部的官微：一个聚焦数据隐私和数据安全的非营利性高端学术平台；一个整合法律、技术及管理的专业数据合规生态体；一个制造干货、相互赋能及塑造职业品牌的数据合规共同体。合作WX：heguilvshi

欧洲组织投诉TikTok、AliExpress、SHEIN、Temu、WeChat和Xiaomi数据跨境违法

数据保护官 · 公众号 · · 2025-01-17 13:44

正文

关注公众号并设为🌟标，获取AI治理全球最佳实践

来源： noy b

整理：DPOHUB

2025年1月16日，noyb（欧洲数字权利非政府组织）根据《通用数据保护条例》（GDPR）对TikTok、AliExpress、SHEIN、Temu、WeChat和小米提起投诉，指控其非法将欧洲用户数据传输至中国。

然而，欧盟法律明确规定，只有在目的地国家不降低数据保护水平的情况下，才允许进行数据传输。鉴于中国无法提供同等水平的个人数据保护，这些公司实际上也无法防止中国政府访问欧盟用户的数据。 在美国政府访问数据事件后，中国应用程序的崛起为欧盟数据保护法开辟了新的战线。

在五个国家提起6项投诉

针对各公司的投诉：

在希腊投诉TikTok
在希腊投诉小米
在意大利投诉SHEIN
在比利时投诉AliExpress
在荷兰投诉WeChat
在奥地利投诉Temu

投诉请求

noyb目前在五个欧洲国家提出了6项GDPR投诉，并 要求数据保护机构根据GDPR第58条第2款(j)立即下令暂停向中国传输数据 ，因为该国无法提供GDPR第44条和第46条下实质上同等水平的数据保护水平。

noyb还要求这些公司使其数据处理活动符合GDPR规定。

最后， noyb请求数据保护机构施加行政罚款 ，以防止未来类似的违法行为。 这种罚款最高可达全球收入的4% 。例如，AliExpress（年收入36.8亿欧元）的罚款可能高达1.47亿欧元，而Temu（年收入338.4亿欧元）的罚款可能高达13.5亿欧元。

事实和理由

数据传输至欧盟以外地区仅为例外情况

原则上，企业不得将欧洲用户的数据传输至欧盟以外的地区。如果由于某些原因确需传输，企业可以依赖一些例外情况（“豁免”）。然而，如果企业仅仅为了方便而外包数据传输，则必须满足严格的要求以确保个人数据的安全性。

对于中国等国家，企业通常依赖“标准合同条款”（SCCs）。SCCs是一种合同，要求中国接收方承诺遵守欧盟的保护标准，即使在中国也是如此。为了允许使用SCCs，企业必须进行影响评估，以验证欧洲用户的数据在目的地国家的安全性，并确保SCCs不会与要求访问数据的国家法律冲突。

鉴于中国没有获得欧盟的充分性保护决定，也没有任何公司能够提供这样的保证。

noyb的数据保护律师Kleanthi Sardeli表示： “中国无法提供与欧盟相同水平的数据保护。将欧洲用户的个人数据传输至中国显然是非法的，必须立即停止。”

政府访问数据的高风险

中国没有专门的独立数据保护机构或可以处理政府监控问题的法院，并且相关法律的范围和适用性不明确。

用户的访问请求未获答复

了解中国科技公司如何处理欧洲用户的个人数据变得尤为重要。因此，投诉人根据GDPR第15条向上述公司提出了数据访问请求，试图查明其数据是否被传输至中国或其他欧盟以外的国家。不幸的是，这些公司均未提供有关数据传输的法定信息。然而，根据其隐私政策，AliExpress、SHEIN、TikTok和小米确实将数据传输至中国，而Temu和WeChat提到将数据传输至第三国。根据Temu和WeChat的公司结构，这很可能包括中国。

全部AI及数据中译本及资讯请加入

欧洲组织投诉TikTok、AliExpress、SHEIN、Temu、WeChat和Xiaomi数据跨境违法

正文

在五个国家提起6项投诉

数据传输至欧盟以外地区仅为例外情况

政府访问数据的高风险

用户的访问请求未获答复

请到「今天看啥」查看全文