行业动态
TikTok、AliExpress、SHEIN 等公司被指非法向中国传输欧洲用户数据

近日,有组织向 TikTok、AliExpress、SHEIN、Temu、微信和小米提起 GDPR(《通用数据保护条例》)投诉,指控这些公司非法将欧洲用户的数据传输至中国。这些指控为欧盟数据保护法与跨境数据传输问题开辟了新战线,尤其是在中国作为威权监控国家的背景下。
文章目录
明确的法律框架:数据传输的严格要求
根据欧盟法律,数据仅能在目的地国家具备与欧盟同等数据保护水平的情况下进行传输。若无法满足这一条件,公司需依赖“标准合同条款”(SCC)等例外机制,并提供充分的影响评估,证明数据的安全性。然而,鉴于中国缺乏数据保护的充分性决定,同时法律允许当局无限制访问数据,这一前提条件显然无法满足。
noyb 数据保护律师 Kleanthi Sardeli 表示:
“中国是一个数据监控的国家,其数据保护水平远低于欧盟标准。向中国传输欧洲用户数据显然是违法的,必须立即停止。”
具体案例分析:哪些公司涉及数据传输?
- 已确认向中国传输数据的公司:
- TikTok
- AliExpress
- SHEIN
- 小米
- 可能涉及数据传输到中国的公司:
- Temu
- 微信
(这两家公司未明确目的地国家,但其公司结构表明中国是数据的潜在接收方。)
尽管上述公司均未充分回应 GDPR 第 15 条要求的用户数据访问请求,但其隐私政策已表明部分数据确实流向了中国。
中国的数据访问风险
中国的数据保护法律无法有效限制政府对数据的访问:
- 透明度报告显示:小米几乎完全遵守中国当局的数据访问要求,这些要求的规模远超欧盟的同类请求。
- 法律保障缺乏:外国用户在中国几乎无法行使其数据保护权利,因为没有独立的数据保护机构或其他有效法律途径。
- 高风险环境:这些传输行为直接暴露了欧洲用户的数据,使其面临政府监控的风险。
Kleanthi Sardeli 强调:
“中国公司必须遵守政府的数据访问要求,这意味着,只要数据被传输到中国,用户隐私便处于危险之中。”
跨国投诉的下一步行动
该组织已在希腊、意大利、比利时、荷兰和奥地利的 5 个国家发起 6 起 GDPR 投诉,要求:
- 暂停数据传输:根据 GDPR 第 58(2)(j) 条,立即停止向中国传输数据。
- 确保合规:要求公司调整数据处理流程,使其符合 GDPR 要求。
- 施加行政罚款:对违规行为处以高额罚款,最高可达全球年收入的 4%。
- 例如:AliExpress 可能面临 1.47 亿欧元罚款(全球年收入 36.8 亿欧元)。
- Temu 可能面临 13.5 亿欧元罚款(全球年收入 338.4 亿欧元)。
这次针对中国企业的数据传输问题是对欧盟数据保护法的一次严峻考验。noyb 的行动表明,欧盟将采取更强有力的措施应对跨境数据传输中的隐私侵权问题。未来,这些投诉的处理结果可能对其他跨国企业形成重要的法律指导意义。