一、NOYB是谁？为何可以提起投诉或诉讼？

NOYB是一家位于欧盟的非营利组织，其总部位于奥地利维也纳，由奥地利数据保护活动家Max Schrems创立。NOYB致力于执行数据保护法，特别是GDPR和欧盟电子隐私指令。自成立以来，NOYB与其创始人重点针对私营企业的隐私问题和侵犯隐私行为，频繁指控Meta、Apple、Google等多家企业存在违反GDPR的违法行为并提起了大量的投诉和诉讼，其中包括隐私保护领域著名的Schrems I、Schrems II案，该案近乎重塑了欧盟和美国之间的数据跨境传输框架。

原则上，针对企业的投诉或诉讼，应当由其权利受到侵害的个人自行或者委托第三方提起。NOYB作为一个独立的第三方非营利组织，其代表欧盟境内数据主体提起投诉或诉讼的基础，来源于GDPR和《欧盟关于保护消费者集体利益的代表人诉讼的指令》（Directive on representative actions for the protection of the collective interests of consumers, (EU) 2020/1828，简称“《欧盟集体诉讼指令》”）的规定。

GDPR第80条则规定，数据主体有权委托根据欧盟成员国法律正式成立、其法定目标符合公共利益、并在保护数据主体个人数据权利和自由方面积极开展活动的非营利机构、组织或协会代表其提出投诉，代表其行使投诉和诉讼的权利。如果此类非营利机构、组织或协会认为数据主体的权利受到侵犯，则可以独立于数据主体的授权，自行提起投诉和诉讼。

此外，《欧盟集体诉讼指令》于2020年12月24日生效，规定“适格实体（Qualified Entity）”能够就违反欧盟法律（包括GDPR）中与消费者有关的具体规定的行为，在各欧盟成员国的本国法院提起代表人诉讼（包括国内诉讼和跨境诉讼）并寻求救济。该指令规定，适格实体的判断标准包括：（1）实体在过去12个月内有实际开展保护消费者利益的公共活动；（2）其法定目的对于保护消费者利益有合法利益；（3）该实体具有非营利性质等。2024年12月2日，NOYB在奥地利和爱尔兰获准认定为适格实体[2]。这意味着，《欧盟集体诉讼指令》与GDPR相互衔接，赋予了NOYB一柄“利刃”，使其能够代表欧盟地区数据主体，自行针对相关企业提起投诉以及诉讼（具体管辖规则见下文），以尝试迫使企业纠正其不合规行为。但是，在本次提起的6项投诉中，NOYB均是根据GDPR第80条的规定，以不同的数据主体的名义发起投诉，而并未选择独立提起投诉。

二、本次投诉重点内容是什么？

NOYB对六家公司的投诉内容几乎如出一辙。重点内容如下：

（一）案情起点：未回应查询跨境转移的用户行权请求

NOYB在投诉中声称，相关数据主体作为平台用户，根据GDPR第15条试图访问平台收集的个人数据，查询个人数据是否被转移至中国或其他第三国。然而，通过平台提供的查询路径获取转移情况时，数据主体仅被告知了平台处理数据主体的个人数据清单，但并未包含平台是否向中国或向其他任何第三国跨境传输数据主体数据的答复。

（二）隐私政策：NOYB重点关注的条款

NOYB重点分析了各平台隐私政策中关于“个人数据如何在全球范围内转移”的条款。NOYB声称部分企业的隐私政策未明确披露数据会传输至哪些国家，数据主体的个人数据可能会被转移到包括中国在内的第三国（any personal data of the complainant may be transferred to outside of the European Union, including to China）。

（三）信箱地址：实际数据控制者的疑虑

NOYB认为，尽管部分被投诉公司在隐私政策中声明由其在欧盟设立的实体负责数据处理（欧盟实体设立情况见下文“四、谁管辖本次投诉？”中的表格），但实际操作中，数据处理的目的和方式并非由该欧盟设立的实体决定，而是由其他非欧盟关联实体决定。同时，被投诉公司总部位于欧盟境外，欧盟设立的实体团队人数少，在欧盟的“信箱地址”不应被视为GDPR第4条定义的“主要设立地点”（a main establishment in the EU）。

（四）传输机制：未满足GDPR下跨境传输合规义务

根据GDPR规定，欧盟数据跨境传输的合规路径主要包含充分性决定（Adequacy Decision）、适当保障措施（Appropriate Safeguards）、特殊情形下的豁免：例如个人明确同意；为签订和履行合同所必需等（详见下文“六、企业如何应对”）。在对六家公司的投诉中，NOYB提出：

1. 中国不属于充分性决定国家，因此无法适用充分性决定路径进行数据传输；
    
2. 适当保障措施中的标准合同条款（SCCs）需要在衡量第三国数据保护水平是否与欧盟数据保护水平相当的基础上适用，被投诉人采取的补充措施，难以克服数据传输目的地国与欧盟之间不等同的数据保护水平与立法现状所存在的差距（nor of any supplemental measures that could overcome the problematic legislation and the non-equivalent level of data protection）。

并且，原则上，SCCs等适当保障措施只能覆盖商业场景下的数据传输（only cover commercial data transfers），无法涵盖控制者与第三国政府部门间的关系（do not cover relations between the controller and third-country authorities），NOYB针对第三国数据保护法律体系的完善性以及政府提取数据的行为提出了质疑，称第三国法律可能影响SCCs的有效性（the effectiveness of SCCs can be severely compromised by the third-country law）。

针对上述指控，企业除了及时与监管机构或用户沟通，采取积极措施解决问题以外，可以从投诉内容事实的不符性方面进行准备或者抗辩，或证明已经依照GDPR规定采取合规措施对用户个人数据进行保护，澄清和抗辩的角度包括但不限于：

1. 提供用户行权响应回复流程和实施机制等相关证据；
    
2. 提供证明澄清已经向数据主体说明了数据跨境相关情况；
    
3. 梳理数据跨境传输情况和记录，说明数据并未向NOYB投诉中指控的目的地国传输，例如采取了数据库隔离等措施；
    
4. 澄清未曾被相关第三国政府部门调取数据，或者政府部门在中国境内依法调取的数据并非涉及从欧盟跨境传输的数据，两者不存在联系等；
    
5. 妥善说明数据跨境传输的合法性基础；
    
6. 准备已经完成的个人数据跨境影响评估（DTIA）和签署的SCCs等文件，证明已经依照GDPR采取相关的保障措施；
    
7. 提供数据传输相关技术措施实施文件，证明已经妥善采取技术措施保障数据安全，且未发生过数据泄露事件等。

三、谁管辖本次投诉？

GDPR第51条规定，各欧盟成员国应规定一个或多个独立公共机构负责监督GDPR的实施，以保护自然人在数据处理方面的基本权利和自由，并促进个人数据在欧盟内的自由流动，此类机构被称为“监管机构”[3]。

GDPR规定，（1）就投诉而言，数据主体或代表数据主体的机构有权向数据主体惯常居住地、工作地点或涉嫌侵权地点的成员国监管机构（下称“监管机构所在地”）提起投诉；（2）就诉讼而言，针对监管机构/数据控制者/数据处理者的诉讼，数据主体应当在监管机构所在地或数据控制者/数据处理者设立地点（Establishment）的成员国法院提起。

值得注意的是，GDPR本身规定了广泛的适用和管辖范围，不仅适用于欧盟境内的数据控制者或处理者，还适用于为欧盟境内数据主体提供商品和服务而利用和处理个人数据的境外数据控制者或处理者。因此，根据GDPR第77条至第79条的规定，对于此类在欧盟境内没有设立实体的境外数据控制者或处理者，数据主体或代表数据主体的机构还可以在数据主体的惯常居住地提起投诉或诉讼。

此外，由于欧盟用户可能在多个欧盟成员国居住、旅行等，用户的个人数据在多个欧盟成员国被处理。为此，GDPR第62条和第63条建立了“一站式机制（one-stop-shop mechanism）”，以确保用户个人数据在欧盟多个成员国涉及数据跨境业务时，在牵头监管机构负责对欧盟境内实施数据处理活动的企业进行监查执法的同时，其他成员国通过“一致性”机制[4]与其相合作，由此协调成员国之间的投诉，避免出现重复投诉或者起诉的情况。

根据上述规定，NOYB针对TikTok、Shein和Xiaomi等6家企业的运营和隐私政策披露进行了一定的调研。如上文提及，NOYB认为，中国企业在隐私政策提供的隐私保护邮箱、法人实体多数仅是“空壳公司”，而非实际开展运营活动的机构或实体。因此，根据GDPR第77条至第79条对于管辖地的规定，NOYB选择在数据主体的惯常居住地相对应的数据监管机构提出投诉；基于GDPR的域外效力，NOYB所投诉的对象也并非均是中国企业在欧盟境内成立的实体，而是其认为实际开展运营活动的海外实体。我们梳理如下表：

四、NOYB的投诉可能给企业带来什么影响？

（一）投诉、诉讼基本流程是什么？

目前NOYB针对其认为的六家被投诉企业的“不合规”行为可以采取的行为主要分为投诉（Complaint）和诉讼（Lawsuits）两种类型：

1. 投诉

GDPR第77条和第80条明确赋予数据主体及代表数据主体的机构向监管机构投诉的权利[5]，数据主体及代表数据主体的机构认为与其相关的个人数据的处理活动违反了GDPR时，有权向监管机构提出投诉。

根据GDPR的规定，监管机构应当受理数据主体或者代表数据主体的机构、组织或协会提交的投诉，并在适当范围内调查投诉事项，在3个月内将调查的进展和结果通知投诉人。在调查期间，监管机构可以要求相关企业提供合规证明材料。

2. 诉讼

GDPR第78条[6]和第79条[7]则明确赋予数据主体及代表数据主体的机构寻求有效司法救济的权利。数据主体及代表数据主体的机构，在提起投诉后且等待监管机构调查结果的过程中，可以同时对侵害其权利的数据控制者或处理者直接提起诉讼；如果监管机构不处理投诉、未及时告知调查结果或者对于监管机构的调查结果不满意的，还可以起诉监管机构。

因此，如前所述，基于被赋予的适格实体地位和GDPR第80条规定，除了现阶段向数据监管机构提起投诉以外，不排除NOYB后续提起诉讼、要求企业整改其违反GDPR的行为。如上所述，此类法律行动可能直接针对企业，亦或在监管机构调查结果未能满足期望时，对监管机构提起诉讼，从而推动监管机构的执法行动。

（二）NOYB的投诉、诉讼意味着什么？

尽管NOYB是代表数据主体的机构或可以代表数据主体提起诉讼的适格主体，但其本身仅为非政府组织（NGO），并非GDPR规定的具有执法和监管权力的监管机构。目前NOYB对于TikTok、Shein和Xiaomi等6家企业提出的“指控”并不属于执法行为，其投诉或指控仅代表该NGO本身的意见和主张，并不构成监管机构的调查结果和最终意见，也不意味着被其指控的企业真实存在被指控的各项违法违规情况，不会对涉事企业的数据处理行为产生直接的法律效力。

但是，NOYB的指控系代表数据主体提起投诉或者诉讼，一旦被监管机构或者法院正式受理，则意味着监管机构和法院将正式对涉事企业启动调查程序，对被指控企业的数据处理活动是否符合GDPR的规定将开展实质性的调查、评估，并出具调查结果。一旦监管机构在调查过程中发现被指控的企业存在不合规的数据处理活动，企业将面临不利舆情、要求整改、罚款等风险。

因此，从规避风险的角度而言，我们建议六家被投诉企业及时检视其数据处理活动的合规性，以避免如果NOYB提出的指控被正式受理后、监管机构开展调查可能带来的相关风险。对于出海欧盟的企业，我们也建议根据GDPR和配套的指南等文件已做出的明确要求，排查和完善数据合规治理体系和措施，规避潜在的被数据主体投诉或者数据监管机构主动调查的风险。

此外，根据NOYB官方网站[8]，NOYB依据GDPR提出了共计874项投诉/诉讼（GDPR Complaint），其中NOYB胜诉（含部分胜诉）或者被投诉/诉讼公司整改至合规水平的投诉/诉讼占比为29.63%，NOYB败诉的投诉/诉讼占比为4.1%，其他结果、待监管部门或者法院判决或裁定的投诉/诉讼占比为66.27%。不难发现，NOYB所提起的大量投诉目前处于“积压”状态，其提出的指控尚未得到欧盟地区数据监管部门或者欧洲法院的支持。NOYB称，其目标为利用有针对性和战略性的诉讼来维护全欧洲人民的隐私权，利用公关和媒体活动来引起人们对众多隐私问题的关注，并加强数据主体的权利[9]，推测此为其乐此不疲提出各类投诉或诉讼的动因。在数据跨境传输领域，鉴于NOYB及其创始人Max Schrems在2016年的Schrems I案和2020年的Schrems II案中两度挑战欧盟和美国之间的数据跨境传输框架（欧盟-美国安全港协议（Safe Harbor）和欧盟-美国隐私盾协议（Privacy Shield））均获得了成功的经验，我们仍建议企业应谨慎对待。

五、企业应当如何应对？有何启示？

由于本次投诉NOYB主要对六家中国知名互联网企业的海外实体在数据跨境传输活动方面提出质疑，因此下文我们主要从数据跨境传输做出建议（不意味着其他数据合规工作重要性降低）。根据GDPR第44条的规定，从欧盟境内向境外第三国（即欧盟以及欧洲经济区以外的国家或地区）或国际组织传输个人数据的，应当确保境外接收方具有充分的数据保护水平，具体而言应当满足如下条件之一：

1. 数据传输方（含数据控制者或处理者）已采取适当的保障措施，包括：

（1）签署欧盟委员会制定的标准合同条款（SCCs）；
 

（2）制定有约束力的集团公司规则（BCRs）；
 

（3）经成员国数据保护机构和欧盟委员会批准的数据保护合同；
 

（4）根据GDPR第40条制定的行为准则；或
 

（5）根据GDPR第42条被批准的认证机制。

2. 特殊情形下的豁免：例如个人明确同意；为签订和履行合同所必需；为建立、行使或捍卫法律主张所必需；为实现公共利益；为保护数据主体或他人重大利益所必需。

3. 接收方所在国家或地区获得欧盟委员会数据保护充分性决定（“白名单”）。

然而，欧盟的“白名单”机制通常从（1）第三国或地区关于尊重人权和基本自由的法治建设及其实施情况；（2）第三国或地区独立监管机构的设置和有效运作情况；（3）第三国或地区参与或批准的有关个人数据保护的国际承诺、公约或文书，三个维度判断第三国是否具备了充分的数据保护水平。受此制度和GDPR在数据保护领域先行的影响，许多国家和地区在建立数据保护法律体系时或多或少参考GDPR的规定，但获得欧盟委员会“充分性认定”的国家数量寥寥。

我国目前虽然已经建立起了以《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》为核心的“三法二条例”数据治理安全体系，并通过《促进和规范数据跨境流动规定》《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》等多项配套文件，为数据跨境流动提供规范、便利和安全的环境。但由于欧盟委员会仍未将中国列入“白名单”内，因此中国企业无法基于充分性决定将个人数据跨境传输至中国境内。

针对从欧盟将个人数据跨境传输至中国，企业常见的实践包括但不限于：

1. 选择当地的服务器或者数据中心，完成数据本地化和本地运营（避免数据传输到欧盟境外，或被境外人员访问等跨境传输情形）；或传输到白名单国家，并仅在白名单国家处理，避免二次跨境传输；
    
2. 坚持严格的“最小必要”原则，尽可能减少不必要的数据跨境传输；
    
3. 开展DTIA（需要注意的是，该评估不同于数据保护影响评估（DPIA），企业需要针对数据跨境传输的每个场景完成DTIA并保留评估记录，以作为向监管调查时进行自证的有力合规证据）和签订欧盟标准合同条款（SCCs）；
    
4. 采取传输加密、访问控制和权限管理（例如企业在全球范围经营时，依照当地数据本地化要求和数据跨境传输合规机制，建立当地服务器，并采取严格的隔离措施）等措施，保障数据安全；
    
5. 制定集团内部合规制度（特别是建立全球数据跨境传输制度）、成立跨境传输专门负责小组、加强员工培训等。

NOYB此次提起的投诉一方面体现了欧盟部分人士对数据跨境传输合规性的质疑；另一方面，欧盟委员会“充分性认定”的机制不可避免地受到了地缘政治、文化因素等多方面因素的影响（TikTok关服风波等亦可见一斑），不排除中欧之间数据流动的隔阂存在进一步加深的可能性，以及后续欧盟各成员国数据保护监管机构会加强数据跨境传输监管力度的可能性，因此关注欧盟数据跨境传输合规要求，将是企业需要更加重点关注的命题。

本文仅包括我们对GDPR等个人数据保护相关法律的研究，不视为法律意见。本文关于NOYB的信息均来自公开渠道及NOYB的自我介绍，不代表我们认可、同意或者支持其事实主张、观点和意见。