中国企业的Schrems时刻：TikTok数据跨境传输案的六个关键问题

2025年5月2日，爱尔兰数据保护委员会（DPC）宣布了对TikTok的最终处罚决定（注释1），针对TikTok从中国远程访问欧洲经济区用户个人数据的行为，认定该行为违反GDPR，罚款5.3亿欧元，同时要求其在6个月内完成合规整改，否则将暂停数据传输。TikTok不服该决定，已向爱尔兰法院提起诉讼，目前诉讼程序尚在进行中。

DPC认定的核心违规事实有二：第一，远程访问存在数据传输合法性缺陷，TikTok未能验证、保证并证明其向中国传输的EEA用户数据获得与欧盟基本等同的保护水平；第二，违反透明度要求，TikTok2021年的EEA隐私政策未明确列出数据传输目的地国家（包括中国），也未说明中国境内人员可远程访问存储在美、新的用户数据。本文重点讨论第一个问题，即跨境传输数据的合法性。

在GDPR“一站式机制”框架内，相关成员国监管机构均未对该裁决提出反对意见。这一结果说明，各国在合规责任、制度保障等关键议题上正逐步形成一致性认知与执法层面的共识。作为GDPR生效以来调查周期最长的案件，该裁决是欧盟在数据跨境问题上首次对中国企业作出的处罚决定，预示着GDPR执法重心正在转向中国企业。

本文将以该案为基础，探讨以下六个关键问题：

1.DPC为何认为TikTok的数据传输违法？

2.TikTok是如何回应的？

3.该案的最终走向如何？

4.如果最终判决对TikTok不利，对中国企业意味着什么？

5.除了SCCs，中国企业还有哪些选择？

6.中欧跨境数据流动的深层矛盾如何解决？

我们不打算仅就案件谈案件、仅就法律谈法律，我们将站在中国立场，把对此案的分析置于更广泛的国际关系、国际竞争视野中，揭示案件本质，预测案件走向和对中国企业的影响。

一、DPC为何认为TikTok的数据传输违法？

TikTok位于中国的员工可远程访问存储于中国境外的欧盟用户个人数据，TikTok需证明其符合GDPR数据出境的合规要求。TikTok选择SCCs作为合规工具，但GDPR不仅要求签署合同，更强调采取实质性措施确保合同义务履行。

DPC的质疑集中于中国法律环境与GDPR的冲突。因为欧盟委员会没有将中国纳入保护水平认定“白名单”，向中国传输个人数据必须确保中国的法律和实践能够提供与欧盟内部基本相当的保护水平。DPC认为，TikTok未能充分验证其依赖的SCCs及补充措施可实现这一等同保护，核心障碍在于中国《反恐怖主义法》《反间谍法》《网络安全法》《国家情报法》等法律赋予政府广泛的数据访问权限，与欧盟标准存在显著差异。

我们理解，DPC指向的是《反恐怖主义法》第51条、《反间谍法》第22条、《网络安全法》第28条、《国家情报法》第14条和第16条等，根据这些条款，相关国家机关可依法收集、调取数据，有关单位和个人须配合，此类规定被DPC视为可能阻碍TikTok履行SCCs义务，且TikTok未针对这一风险采取有效应对措施。

DPC认为TikTok未结合远程访问等具体传输场景进行针对性评估，未能通过“传输影响评估”（TIA）证明中国法律不会削弱GDPR保护。DPC深入对比中国法律条文与GDPR要求，发现双方在政府数据访问权限方面存在根本性差异，即便采用SCCs，也难以阻止中国政府对欧盟用户数据的潜在访问，这直接违反GDPR“跨境传输中保护水平不降低”的核心原则。

以DPC的视角来看，中国《个人信息保护法》《数据安全法》虽对国家机关处理数据的权限和程序作出“必要性”“最小化”等原则性规定，但条文表述较为抽象，缺乏具体操作指引，加之文化差异导致的解释机制缺位，企业难以证明政府访问符合“正当程序”要求。尽管TikTok可能通过远程访问日志等组织措施或法律条文解释尝试降低风险，但DPC更关注制度层面的根本性差异，使得个案补救难以突破系统性信任壁垒。

DPC对TikTok的追责不仅限于企业自身义务，更上升至对中国法律体系的系统性质疑。这种不信任与非营利组织NOYB此前针对六家中国企业的策略性投诉的逻辑相似。TikTok案虽未完全展开制度信任的全面讨论，但其执法逻辑预示着欧盟已将中国数据制度纳入“系统性风险”范畴，未来围绕“制度信任”与“法律对等性”的争议或将在更多诉讼中集中爆发。

二、Tiktok是如何回应的？

TikTok就DPC的裁决作出了回应（注释2），回应的核心内容如下：

(1)DPC裁决聚焦于2023年“三叶草计划”（Project Clover）实施前的特定时期，未充分考量该计划作为一项斥资120亿欧元、具备行业领先数据保护水平的举措所带来的保障，也未反映当前已落实的防护措施。同时，DPC报告中也记录了TikTok一贯的声明，即从未收到中国政府调取欧洲用户数据的要求，也从未向其提供数据。

(2)TikTok遵循欧盟规则，采用SCCs实现有限数据访问，且在外部律所与专家建议下开展了详细评估，强烈反对DPC称其未进行必要评估的主张。TikTok还强调自身在隐私政策及与欧洲用户的沟通中清晰解释了数据处理机制，相比部分企业更为透明。

(3)“三叶草计划”为欧洲用户数据提供了前所未有的保护，包括由欧洲知名网络安全公司NCC集团进行24小时独立监控；欧洲用户数据默认存储在专用的欧洲数据中心；增设安全网关，严格限制数据访问；采用先进隐私增强技术（PET），确保全球流动的数据先行去标识化。这些措施在行业内极具领先性，若仍不被认可，令人质疑何为充足的数据保护。

(4)该裁决可能为欧洲跨国企业及行业设定不利先例，损害欧盟竞争力。在欧洲经济亟需创新、增长与就业的当下，欧盟应支持“三叶草计划”这类既保障欧洲数据安全隐私，又促进数据跨境流动的方案。TikTok明确表示不认同裁决结果。

TikTok的抗辩强调中国政府未调取欧盟用户数据的实际情况、TikTok在数据保护方面的努力以及行业实践对比，但在关键问题上，TikTok想跟DPC谈事实，DPC却跟TikTok谈可能性，二者鸡同鸭讲，结果不问可知。

三、该案的最终走向如何？

预测具体案件的走向是有风险的，但我们想试一试。我们认为，TikTok的上诉很难获得成功。注意，我们的预测是，DPC认为“TikTok采用SCCs，难以阻止中国政府对欧盟用户数据的潜在访问，这违反了‘保护水平不降低’的要求”，TikTok对这个点的上诉难以获得法院支持。

如前所述，DPC的处罚是基于“可能性”，即由于上述《反恐怖主义法》等法律的存在，Tiktok签署的SCCs可能会被削弱减损，无法达到欧盟的保护水平认定，而Tiktok的抗辩则是强调事实问题，即事实上并没有发生减损的情况，这并没有回应欧盟的关切，而究竟什么样的水平达到了欧盟的认定标准，完全是在欧盟的自由裁量之下。当一个案件的裁决不再基于客观事实，而是基于主观的“可能性”时，就进入了唯心主义的范围。极端推演就是，说你不行，你就不行，行也不行。“日耳蛮赢学”似乎又一次发挥作用了。

说得直白点，欧盟设计的数据出境制度，不但可以处罚别国的企业，还可以连带贬损别国的法律体系，可谓不但杀人还要诛心。一旦别国企业和别国政府接受并进入欧盟精心设计的那一套逻辑，那么道德优越感和解释主动权就安全掌握在欧盟手中了。正义在我，真理在握，别国企业、别国政府无论如何自证清白，欧盟都可以吹毛求疵，此种滋味，怎一个爽字了得。在Schrems案中，身为霸主兼盟友的美国都不得不纡尊降贵，被欧盟反复拿捏，何况中国乎？

回望当年美欧之间轰轰烈烈的Schrems系列案，欧盟委员会做出的安全港认可决定和隐私盾认可决定被欧盟法院先后认定无效。Schrems Ⅰ案中，法院发现美国相关法律赋予了公共机构过于宽泛的权力，访问和处理权限超出了个人数据在欧盟收集时以及在数据跨境传输时的目的，也超出了保护国家安全的必要和相称的范围。安全港制度中还缺乏对于美国公共机构访问和处理行为的约束性规定，设置的监管机构美国联邦贸易委员会（FTC）无法监管公共机构的数据访问和处理。数据主体（即个人）也无法获得行政或司法上的救济，特别是不能行使欧盟法律规定的请求查阅、更正、删除的权利。

在Schrems Ⅱ案中，欧盟法院认为，“隐私盾协议”仍然存在诸多明显问题，如权力限制不充分、司法救济手段缺失、隐私盾监察员机制失效、存在大规模收集问题，无法保证数据主体隐私得到应有保护等。

直到美欧重新设计数据隐私框架，引入了新的具有约束力的保障措施，以解决欧洲法院提出的所有关切，包括将美国情报部门对欧盟数据的访问限制在必要和相称的范围内，以及建立欧盟个人可提请救济的数据保护审查法庭（DPRC），欧盟才重新认定美国已达到欧盟的保护水平。

按照欧盟的逻辑，只要美国的相关法律机制有了，就能阻止美国政府偷偷访问欧盟的个人数据，但他们似乎忘了美国情报部门长期监听欧盟国家领导人的事了，这种事会因为设个法庭就消失么？不厚道的我们不免怀疑，欧盟到底是天真呢，还是借坡下驴见好就收？诛心，谁不会呢。

当前的TikTok案与Schrems案有很大程度的相似性，中国企业可能正在迎来自己的Schrems II时刻。区别在于，由于缺乏美欧之间那样的政治互信，中国当前不太可能为了迎合欧盟而大幅调整自身的法律体系。

四、如果最终判决对TikTok不利，对中国企业意味着什么？

Schrems II判决确认，跨境传输工具只有在第三国能够提供实质等同保护时才有效，为此，EDPB单独出了推荐性指南《关于补充传输工具以确保符合欧盟个人数据保护水平的建议措施》（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data），要求出口方通过一套完整的TIA来证明等效保护。根据指南，如采用SCCs或其他适当保障措施，需要采用“六步走”的方式保证实现真正意义的等同保护。其附件二详细列举了技术、合同和组织三类补充措施，并结合具体用例说明如何通过针对性手段确保数据跨境传输时的保护水平与欧盟基本等同。

关于评估第三国处理公共当局为监控目的获取数据的法律时应考虑的要件， EDPB还发布了《关于针对监控措施的欧洲基本保障的第02/2020号建议》（Recommendations 02/2020 on the European Essential Guarantees for surveillance measures），主要用于检查允许第三国公共机构（国家安全机构或执法机构）访问个人数据的措施是否可以被视为正当。

TikTok案警醒中国企业，SCCs虽然好用，但不只是走形式签文件。数据出口方必须以个案评估的形式，核实中国的法律或实践是否可能影响SCCs的有效性。如是，则数据出口方必须采取补充措施来弥补因中国法律所产生的对保护水平的削弱，以最终达到同等保护的水平。如果纯粹远程访问，可以提供访问日志来来证明每次访问的身份、理由、访问的范围等，进而证明中国的国家机关确实没有访问数据。

但是，EDPB在意的是发生的可能性，这些方法不能完全解决EDPB关于中国公共机构访问数据的疑虑。按照欧盟委员会的观点，只有当有充分的理由认为有关国家面临着对国家安全的严重威胁，而这种威胁是真实的、目前的或可预见的，并且必须符合《欧盟宪章》第52条第1款规定的其他要求，才能认可这种国家安全理由和措施的正当性，也就是说，如果中国政府拿不出比较确凿的证据就不能访问数据，而中国企业目前没有能力对国家机关处理个人信息的程序正当性和是否违反比例原则进行评估。虽然中国有限制这类数据访问的规定，《个人信息保护法》（注释3）与《数据安全法》（注释4）对于中国政府机关同样适用，虽然欧盟可能并不认可这些条文的强约束力。

如果最终判决对TikTok不利，中国企业就需要认真考虑如何应对欧盟的类似发难，谨慎考虑是否使用或继续使用SCCs作为跨境传输工具。

依赖SCCs的存量数据传输，将面临合法性挑战。但与Schrems案认定“安全港”和“隐私盾”这两种通用的跨境传输工具无效不同，DPC对TikTok案的裁决只是认定TikTok特定的跨境传输行为违法，这并不会自动导致所有中国企业依赖SCCs的数据传输行为都变成违法，且欧盟数据保护机构的执法资源并非无限，不可能一一追溯调查，故对中小企业来说，存量的跨境传输仍有一定的缓冲期来进行整改，如重新进行TIA，采取更加充分的补充措施，以待时变。对于大型头部企业来说，因为枪打出头鸟以及处罚与全球营收挂钩的原因，风险要大很多，宜早作谋划，及时调整存量数据传输。

对于新增的对华数据传输，无论大型企业还是中小企业，都要小心，不宜还像以前那样简单签个协议了事。

五、除了SCCs，中国企业还有哪些选择？

在GDPR下，企业可以依赖的数据跨境传输工具有三：保护水平认定、适当的保障措施、特定情形下的豁免。对企业来说，这三种工具的难度递增、可出境的数据类型或适用场景递减。

由于中国不在白名单内，只能通过满足第二级（适当的保障措施）和第三级（特定情形下的豁免）来实现数据出境传输的合规要求。如果不能再依赖SCCs，需要考虑其他传输工具。

保障措施中，BCRs仅适用于关联企业之间的数据跨境转移，不适用于与第三方（例如服务提供商、客户、供应商等）之间的数据跨境转移，并且采用BCRs要求跨国企业必须在欧洲经济区内有实体。BCRs需要获得欧盟数据保护机关的批准，其实施成本较高，因此并未被大量地使用。其他保障措施，如行为守则、认证等，也因难度极大而较为少见。对于大多数中国企业来说，这些工具都不好用。

如果上面几条路都走不通，中国企业可以考虑能否利用GDPR第49条规定的特殊情形豁免：

(1)数据主体被明确告知，不存在充足保护或适当的安全措施，预期的数据转移存在风险，但之后数据主体仍然明确表示同意预期的数据转移（根据我们的经验，欧洲人的隐私意识普遍较强，明确同意不容易拿到）；

(2)转移对于履行数据主体与控制者之间的合同，或者履行数据主体在签订契约前所提出要求是必要的（根据我们的经验，这一条有可行性）；

(3)控制者和另一自然人或法人之间签订或履行合同时，转移对于实现数据主体的利益是必要的（根据我们的经验，这一条有可行性）；

(4)转移对于实现公共利益是必要的（商业机构利用这一条的空间不大）；

(5)转移对于确立、行使或辩护法律性主张是必要的（我们曾在诉讼案件证据跨境传输中利用过这一条，相对来说比较好用）；

(6)当数据主体基于身体性或法律性原因无法表达同意，为了保护数据主体或其他人的关键利益是必要的（适用范围很窄，难以作为常规工具）；

(7)转移是根据登记册而进行的——这种登记册是欧盟法或成员国法律为了向具有正当利益的一般性公众或个人提供咨询。但是，只有满足欧盟法或成员国法对咨询所规定必要条件，此类个案中的转移才能进行克减（这一条写得比较抽象，可能指公司股东名册之类，适用范围较窄）。

万一连上述豁免情形都靠不上，那中国企业还剩下一条路，准确地说是一条非常狭窄的小路，走这条小路需要同时满足以下几个条件：

（1）数据转移是非重复性的；

（2）只关乎很少的个人；

（3）对于实现控制者压倒性的正当利益是必要的，并且该利益不与数据主体的权利与自由冲突；

（4）控制者已经对围绕数据传输的情形进行评估，而且基于这种评估对个人数据保护采取了合适的安全保障。

上面这条小路只能在偶尔零星传输数据时使用，不能将此作为常态化持续传输数据的工具。

在DPC副主席O’Brien和IAPP进行直播讨论时，他对中小企业的建议是，如果在具体的数据传输场景下，企业的评估无法证实并确保数据能得到基本等效的保护，那就需要寻找其他替代方案，比如考虑数据本地化等。

我们想说的是，欧盟在设计GDPR时，曾将“没有数据本地化要求“作为亮点之一，以此标榜欧盟支持数据自由流动的立场，但现实就是，在一个日趋分裂世界中，欧盟也不能坚守自己的立场，我们已经看到，并将继续看到，在严厉的处罚压力下，越来越多在欧盟展业的外国企业被迫进行数据本地化。

六、中欧跨境数据流动的深层矛盾如何解决？

我们观察到一个有趣的现象。比较中美欧三地数据出境监管体制可以发现，中国通过数据出境安全评估和个人信息出境备案制度，兼顾国家安全与个人权利；美国原来倡导数据自由流动，基本不限制数据出境，但近来出台法律防止所谓的“受关注国家”访问美国的政府数据和批量敏感个人数据，这也是兼顾国家安全与隐私保护的思路；欧盟以GDPR为基础，以保护个人数据为旗帜，常将个人权利与自由挂在嘴边，但通过Schrems系列案和目前的TikTok案，欧盟间接审查和干涉他国立法和政府行为，事实上起到了维护国家安全的作用。中美欧三地的数据出境监管体系迥异，但在这一点上竟有殊途而同归之趋势。

TikTok案的本质并非单纯的企业合规争议，而是中欧在数字经济领域话语权争夺的缩影。这种博弈具有长期性与结构性特征，核心体现在欧盟通过规则制定权构建新的监管壁垒——以数据安全、个人隐私为名义推动全球立法议程，迫使跨境企业在数据传输中接受欧盟的监管逻辑。

当前中欧关系虽略有缓和迹象，但双边议程中投资、贸易等事项仍居优先地位，数据跨境传输规则的协商谈判进展缓慢。这一现实导致中国背景的跨国企业在相当长的时期内将面临两难处境，现阶段只能通过严控中国团队远程访问权限来缓解问题。

当前的争议最终都指向一个根本性问题：如何提高中国法律体系在全球数据流动中的认可度。要提升在数字治理领域的影响力，中国需要系统性完善国内法律框架，特别是在政府数据获取的透明度、程序规范和救济机制方面——不是迫于美欧的外部压力，而是我们完善自身法律体系的内在需求。数据治理需要公法与私法的有机配合，国家安全与个人权利的动态平衡仍是亟待加强的研究领域。中国既需完善政府数据获取的透明度和问责制度，又要建立面向国际的救济通道。中国还需强化《个人信息保护法》的跨境适用研究，提升法律制度的国际兼容性，为全球数据治理贡献更具包容性的解决方案。