关注公众号并设为🌟标,获取AI治理全球最佳实践
整理:DPOHUB
2025年1月16日,noyb(欧洲数字权利非政府组织)根据《通用数据保护条例》(GDPR)对TikTok、AliExpress、SHEIN、Temu、WeChat和小米提起投诉,指控其非法将欧洲用户数据传输至中国。
然而,欧盟法律明确规定,只有在目的地国家不降低数据保护水平的情况下,才允许进行数据传输。鉴于中国无法提供同等水平的个人数据保护,这些公司实际上也无法防止中国政府访问欧盟用户的数据。在美国政府访问数据事件后,中国应用程序的崛起为欧盟数据保护法开辟了新的战线。
在五个国家提起6项投诉
针对各公司的投诉:
在希腊投诉TikTok
在希腊投诉小米
在意大利投诉SHEIN
在比利时投诉AliExpress
在荷兰投诉WeChat
noyb目前在五个欧洲国家提出了6项GDPR投诉,并要求数据保护机构根据GDPR第58条第2款(j)立即下令暂停向中国传输数据,因为该国无法提供GDPR第44条和第46条下实质上同等水平的数据保护水平。noyb还要求这些公司使其数据处理活动符合GDPR规定。最后,noyb请求数据保护机构施加行政罚款,以防止未来类似的违法行为。这种罚款最高可达全球收入的4%。例如,AliExpress(年收入36.8亿欧元)的罚款可能高达1.47亿欧元,而Temu(年收入338.4亿欧元)的罚款可能高达13.5亿欧元。事实和理由
数据传输至欧盟以外地区仅为例外情况
原则上,企业不得将欧洲用户的数据传输至欧盟以外的地区。如果由于某些原因确需传输,企业可以依赖一些例外情况(“豁免”)。然而,如果企业仅仅为了方便而外包数据传输,则必须满足严格的要求以确保个人数据的安全性。对于中国等国家,企业通常依赖“标准合同条款”(SCCs)。SCCs是一种合同,要求中国接收方承诺遵守欧盟的保护标准,即使在中国也是如此。为了允许使用SCCs,企业必须进行影响评估,以验证欧洲用户的数据在目的地国家的安全性,并确保SCCs不会与要求访问数据的国家法律冲突。鉴于中国没有获得欧盟的充分性保护决定,也没有任何公司能够提供这样的保证。noyb的数据保护律师Kleanthi Sardeli表示:“中国无法提供与欧盟相同水平的数据保护。将欧洲用户的个人数据传输至中国显然是非法的,必须立即停止。”政府访问数据的高风险
中国没有专门的独立数据保护机构或可以处理政府监控问题的法院,并且相关法律的范围和适用性不明确。用户的访问请求未获答复
了解中国科技公司如何处理欧洲用户的个人数据变得尤为重要。因此,投诉人根据GDPR第15条向上述公司提出了数据访问请求,试图查明其数据是否被传输至中国或其他欧盟以外的国家。不幸的是,这些公司均未提供有关数据传输的法定信息。然而,根据其隐私政策,AliExpress、SHEIN、TikTok和小米确实将数据传输至中国,而Temu和WeChat提到将数据传输至第三国。根据Temu和WeChat的公司结构,这很可能包括中国。全部AI及数据中译本及资讯请加入
还没有评论,来说两句吧...