【文/南极土著】

5月5日，爱尔兰数据保护委员会（DPC）发布公告，宣布根据《2018年数据保护法》第110条，对SHEIN启动调查，以查明SHEIN爱尔兰公司是否违反欧盟通用数据保护条例（GDPR），将欧盟/欧洲经济区用户的个人数据传输到中国。根据公告，2026年4月30日，爱尔兰DPC已正式向SHEIN爱尔兰公司发出了启动调查的决定。

这也是自2021年启动对TikTok的调查并罚款5.3亿欧元后，欧盟第二次针对中国背景的企业启动数据跨境调查。

公告截图

DPC在调查SHEIN的公告中表示，接下来要重点看的，是SHEIN在这些跨境数据传输中，是否真正履行了GDPR下的一系列义务，主要包括：1）GDPR第5条，也就是最基础的个人数据处理原则；2）GDPR第13条，对用户的信息披露和透明度要求；3）GDPR第五章，关于个人数据向欧盟以外国家（第三国）传输的具体规则。

在对外说明中，DPC副专员Graham Doyle强调：“一旦个人数据被传输到欧盟以外，相关数据必须得到与欧盟内部“基本同等水平”的保护。最近一段时间，无论是DPC自身的监管行动，还是其他欧洲监管机构收到的投诉，都使得向中国传输数据的问题成为关注焦点。此次调查是DPC的一项重要战略重点，DPC将与欧洲其他监管机构密切合作，共同推进调查。”

欧盟对中国企业跨境传输或远程访问欧盟个人数据的限制，不是一个新问题，但在欧盟运营的中企接二连三被调查或处罚，让该问题变得更具紧迫性和现实性。

欧盟对数据跨境合规性的判断基本是从“目的地国家”的法律环境出发。监管重点不在企业做了多少技术或合同上的防护，而在于数据流向的那个国家本身，是否被认为能提供与欧盟“实质等同”的保护水平。在此框架下，即便单个企业已经叠加了多层技术措施和合同安排，只要欧盟认为该国法律环境整体上达不到这一标准，就会直接认定风险不可接受，从而得出“保护不充分”的结论。

这背后是欧盟在数据跨境问题上一直以来的关切：包括外国政府调取数据缺乏明确限制和外部监督，司法独立性、比例原则、有效救济等不满足欧盟数据保护委员会（EDPB）的要求等。

如果中国一直拿不到欧盟的“充分性认定”，中国背景的企业在GDPR第五章下能走的路，其实就那么几条：

理论上最直接的办法是把数据彻底匿名化。但从欧盟这几年的实践来看，传统去标识化方法（如k匿名）在当前数据环境下，往往难以满足“不可识别”的高标准。甚至像意大利监管机构，已经在具体案件里直接否定了k匿名的有效性。

此外，欧盟对什么算匿名化数据，标准一直在变。欧盟法院在Breyer v Germany与SRB v EDPS等判例中，不断细化“可识别性”的判断标准，强调应结合具体场景、数据接收方能力以及可合理使用的技术手段进行评估。这意味着，对同一数据是否构成匿名化数据，在不同主体、不同处理情境下，可能得出不同结论。EDPB近年来的多份意见和指南一再强调：要达到“真正匿名化”，不仅需要排除直接识别，还需合理防范通过关联、推断等方式实现的间接识别风险。在实践中，这一标准往往难以满足。

第二条路，是GDPR第49条的“克减条款”（数据主体明确同意、履行合同所必需、重要公共利益等）。但第49条的立法本意本不是用于支撑系统性、大规模的数据传输，因此实际适用场景非常狭窄。

例如，“同意”必须是针对具体、一次性的传输行为，不能拿来做长期、持续的数据流转；“履行合同所必需”则要求这个数据传输直接、不可替代地关系到合同本身。日常运营、后台技术支持这类持续性场景，通常都不算。

从DPC对WhatsApp案的裁决（尽管此案主要涉及透明度和信息披露义务、与第49条无关）看，监管对任何放松GDPR合规要求的解释路径，似乎都持高度怀疑态度。

近年来，也有一些新的思路开始出现。例如，在端侧AI或智能设备等场景下，是否可以通过架构设计，将更多的数据控制权和处理责任交由用户本身，从而弱化企业在数据处理中的角色。一些欧美学者将这一思路概括为“责任转移（liability shifting）”或“纯工具提供方抗辩（mere tool-provider defense）”。其核心设想，是一定程度上激活GDPR第2(2)(c)条的“个人或家庭活动豁免”，使相关处理被界定为用户的私人行为，而非企业的数据处理，从而减轻企业在GDPR第五章下的合规负担。

但从现有法律框架和执法实践来看，这一路径亦面临较大不确定性。首先，GDPR对“控制者”的认定采取实质标准，企业只要在处理目的或方式上具有决定性影响，仍可能被认定为控制者或共同控制者。其次，欧盟法院在Ryneš v Úřad pro ochranu osobních údajů等判例中，对“家庭活动”的适用范围采取了较为严格的解释，一旦处理与商业服务或公共环境发生关联，该例外通常难以适用。

同时，在架构上尝试将数据控制权更多交由用户，本身也会对产品体验产生显著影响，尤其是在需要满足GDPR对同意的严格要求（如明确性、可撤回性和细化选择）情况下。而且，即便核心业务数据保留在终端设备，本地化处理并不意味着数据流动的完全终止。在实际系统中，遥测数据、运行日志以及联邦学习等后台机制，往往仍会产生不同形式的数据回传。这些数据在多数情况下仍可能被认定为个人数据，从而使相关处理活动继续落入GDPR第五章的规则之下。

工作人员在数据中心的机房内进行巡检。 资料图：新华社

在前面这些路径都走不通或很难走的情况下，现实基本就是：大多数常规业务场景，最后还是要回到SCC（标准合同条款）；如果SCC不够，就再叠加跨境影响评估（TIA）和各种补充措施。企业不仅要系统性评估数据要传去的国家（比如中国）的法律环境和实际执法情况，还要把自己所有的数据传输路径，包括远程访问，都梳理和解释清楚。

在和一些律师朋友交流过后，我发现大家反映最难的地方，是要代替全国人大和相关部委去解释中国法律，证明这些法律能提供和GDPR“实质等同”的保护，还得说服欧盟监管机构接受这一结论。不少律师朋友感叹，这几乎是一个不可能完成的任务。

在这些交流中，我得到的另一个反馈是，欧盟在评估中国法律这件事上，本身就没有一个清晰、可操作的标准。企业在做TIA时，到底要分析到多深、写到多细，很大程度上取决于监管机构的主观判断。法务和律师们辛辛苦苦论证了一套逻辑，最后认不认全在DPC主观判断，可能最后就是直接不认。

以常理来说，如果欧盟监管机构认为企业对中国法律的理解不准确，那应该给出一套他们自己更权威的评估作为参照，而不是直接据此作出处罚。但目前来看，欧盟也没有自己的评估体系，企业仍然需要在高度不确定的标准下自行证明、承担风险。

爱尔兰DPC在TikTok案中的调查和处罚，是对上述情况的一个佐证。简言之，欧方认为，中国现行的一些法律（比如《国家情报法》《数据安全法》《个人信息保护法》等）赋予政府较大的获取数据的权力，只要数据传到中国，就存在政府调取的风险，（标准合同条款）SCC和补充措施无法有效缓解这一风险。但是，企业要做到什么程度才能有效缓解风险，DPO没有说。

这样看起来，中国企业要想不被欧盟罚，好像就只能把服务器建在欧洲了，并且要完全彻底切断境内员工对欧盟个人数据的远程访问。

这对不同类型的企业影响差别很大。对大公司可能主要是成本问题：多建机房、多配团队、多做合规，成本很高，但没办法，大致或许还能承受；对中小企业来说，一旦不允许国内团队接触这些数据，很多业务根本跑不起来，要把整套团队搬到欧洲，或者在当地组建团队，还要处理复杂的公司治理、人力配置、技术架构、技术出口等问题，可能相当于生意没法干了。

而且不要以为做了这些就可以烧高香了。

首先，欧盟监管评判数据本地化是否彻底的标准，非常主观且不断漂移。企业即便投入大量资源在欧洲搭建独立机房，后续仍可能被要求提交架构图、接受代码审计，追查是否存在“未披露的数据回流”或“管理员后门”。合规成本很容易变成一个无底洞，投入产出比极不确定。

其次，如果要彻底切断国内对欧洲数据的访问以满足GDPR审查，企业往往不得不在欧洲建立一套平替团队，人力成本会飙升。同时增加的还有研发成本：原本可复用的代码和开发流程无法使用，只能为欧洲单独搭建一整套DevOps体系、运营团队和安全响应机制。这种重复建设的成本，对尚未形成规模效应的中小企业来说几乎致命。

第三，也是Manus案提醒大家的，要警惕跨国运营和交易违反中国技术出口限制的合规风险。对不少中小企业来说，既然欧盟数据不能回流中国进行模型训练或算法分发，那么唯一的解法可能就是将国内的核心算法、底层代码和模型权重“全量输出”部署到欧洲本地机房。这是否会触发中国出口管制和禁限技术出口的红线，是个颇为值得关注的问题。这就落入了又一个“奥德修斯困境”：要在欧盟做得合规就得违反中国法律，要遵守中国法律就会被欧盟罚掉底裤。

如果欧盟目前对中企数据跨境监管的逻辑和做法延续下去，对资金和技术栈厚度有限的国内中小出海企业来说，似乎只能要么彻底放弃在欧洲B2C直接运营的想法，转向通过合规代理人（B2BB2C）进行风险隔离；要么直接采用最高级别的端侧加密（如完全不上传用户数据），从产品形态上斩断欧盟的管辖链条。

但是，我怀疑上述任何一种方式，都将让欧洲市场对中国中小出海企业来说变得uninvestable。

这些年下来，相信很多研究和跟踪这个领域的专家有共同的感觉：中欧数据跨境问题，本质上和当年美欧的跨大西洋数据流动争议是同一类问题。企业自己努力的空间比较有限，最后还是绕不开政府层面的协调和制度性安排。

从目前情况看，双方政府对这个事似乎是有比较充分的认识的，中欧之间已经开展了至少两轮数据跨境对话，中德之间也有一些沟通机制（可以参考之前的一个分析：中欧第一次数据跨境流动对话，聊得怎么样），虽然看起来主要涉及非个人数据，但也是很有益的沟通渠道。只是这种政府间谈判涉及很多因素，可能又跟目前中欧关系的其他问题交织，恐怕比我们想象的要更复杂。

有人会问，欧盟现在调查和处罚中国企业，是不是跟中欧地缘政治大环境有关？

首先要承认，大环境一定会或多或少影响具体议题和小环境。过去两年多我在欧洲工作和生活，感觉中欧对目前双方关系的评估和期待很不一样。中方可能觉得，当下欧洲在很多领域更需要中国；但欧洲这边反而会觉得中国在某些方面更需要欧洲。同时，欧洲内部对中国转口贸易、中欧贸易持续失衡等问题的担忧仍在不断上升。

货车在西安国际港站运输集装箱。 资料图：新华社

整体来看，双方虽然在对话，但合作和博弈并存，负面情绪和相互抱怨在累积。这样的背景下，一些具体摩擦就更容易放大。比如近期中欧贸易逆差再创新高；中方对欧盟网络安全法修订和工业加速器法案提出了反对意见，并发出强烈的警告。欧洲那些对华强硬派恐怕心里也老大不爽，想趁机搞点事情，彰显一下欧洲不怕中国。

但总体上，我更倾向于认为，欧盟在数据跨境问题上的这一整套监管，并不只是简单的地缘政治选择，而更像是历史传统、文化理念和当下社会情绪叠加出来的结果。

GDPR出台前后，欧洲就已经形成了一批非常有影响力的“隐私保护主义者”。到了今天，AI兴起，最积极呼吁要警惕风险、加强治理的，依然是欧洲。这些声音，未必都是出于保护本地产业或者针对某个国家。你如果认真听过他们的演讲、看过他们的文章，会发现他们在各自领域其实都能给出一整套自洽的理由，从基本权利，到民主制度，再到社会结构，逻辑是完整的。

但这些讨论，很多时候是在各自的圈子里完成的。做法律和政策的人，很少会真正坐下来，和创业者、工程师把一些关键问题掰开讲清楚。久而久之，就形成了两个相对封闭的世界：一边强调规则、责任和边界，本能地会对技术实践保持怀疑；另一边更关注效率和实现路径，对法律背后的制度逻辑未必有耐心深入理解。

律师很容易从知识产权、程序正义的角度去审视程序员的工作，而程序员也很难完全体会这些规则设计到底在保护什么。这种“错位”，在很大程度上塑造了欧洲在数字领域偏向强监管的取向。要让监管更“科学”，欧洲需要回归苏格兰启蒙运动时期那种跨学科的对话传统，让技术人员、科学家和哲学家、法学家坐在一张桌子上讨论问题。

历史文化也是个因素。欧洲从中世纪晚期开始，就逐步发展出一套极其复杂的权力制衡体系，条约、宪章、不成文规则、各种惯例层层叠加。不同力量间既合作又博弈，每一方站在自己的立场上，都有充分理由坚持主张。但争论非常充分，妥协也非常复杂，最终的政策效果却未必最优，甚至出现“1+1小于2”的情况。放到今天的数字监管上看，也是一样道理。

第三个因素，是社会心态。欧洲社会对大型平台本身就存在一种天然的不信任感，民间组织、家长群体以及舆论环境，从一开始就倾向于用更严格的标准去审视这些公司。再叠加这几年经济增长放缓、社会焦虑上升，很多问题更容易被归因到“技术”和“平台”身上，而不是去反思更深层的制度或结构性因素。这种情绪，会进一步推动监管趋严，甚至带有一定“道德立法”的色彩。

在这样的背景下，一旦外部环境发生变化（比如中美欧关系紧张、舆论风向转变），这种原本就存在的压力会迅速放大。对于中国背景的企业来说，还会叠加一层更现实的不利因素：欧盟内部长期存在的对华意识形态和价值观偏见，使得相关风险在评估时更容易被放大。

总之，我觉得我们要更多地去理解欧洲，弄清楚它强监管背后的一些深层因素，不能简单地用现实主义国际关系和民族主义的框架去套，这无益于解决问题。

欧盟旗帜在比利时布鲁塞尔的欧盟总部外飘扬。 资料图：新华社

从中国这边看，一方面还是要立足自身，统筹好国内治理和国际治理，加强涉外法治。全球数据安全倡议这种非法律层面的政策声明，看起来欧盟是不太买账。前几年也有人提过通过立法解释，对外澄清中国没有获取境外数据的管辖权，但看起来也很难，这完全能理解。

那或许可以换个思路，从完善现有制度入手，看还有没有主动和欧盟制度对接的空间。比如个保法，还在不断完善阶段，像查阅、更正、删除这些权利已经有了，对企业的罚款机制也在。但在跨境数据这一块，能不能再往前走一步，让数据主体的权利救济渠道更清晰、顺畅。这样至少能让欧盟看到，在中国法律体系下，个人数据确实是被认真、可操作地保护的。同时，规则本身也可以更细，比如在标准合同（SCC）、认证机制等方面，是否和欧盟可以有更多技术层面的对接。

再比如，欧盟非常看重是否存在“独立的数据保护机构”。这确实涉及中欧制度差异，短期内不太可能简单对齐。但在一些具体问题上，或许可以探索更有针对性的安排。比如针对外国人数据在中国被政府调取的情况，设计一套类似美国在《欧盟—美国数据隐私框架》（DPF）框架下的救济机制，让个人有申诉渠道、有处理路径。

当然，改变绝不应该是单方面的。GDPR为代表的数字监管制度，本身也有不少需要反思和调整的地方。从目前看，欧盟内部其实也在做一些反思，比如德拉吉报告之后，就开始讨论要简化GDPR、适度放松监管。

在这个背景下，中方也可以反向推动欧盟对自身规则作出有利于中企的调整。

例如，既然中国可以发布汽车、金融等专门领域数据出境合规指南，让欧洲在华企业的数据出境规则更加清晰，欧盟也不能仅仅只是一句“对中国法律不信任”就卡住中企跨境传输或访问数据的通道。这不是做生意应有的态度，做生意，应该有商有量，有退而求其次的解决方案。欧盟应当明确，即使是在“对中国法律不信任”这个前提下，中国企业具体需要如何做、做什么，才能满足GDPR关于数据跨境传输的要求，中企需要更细化和清晰的合规指引。

同时，欧盟应当更加精细化地评估具体中国企业的数据跨境合规状况。比如在SCC评估中，能不能把“历史上是否真的发生过政府调取数据”纳入考量？如果长期没有类似案例，也应该作为风险评估的一部分。再比如，数据跨境的不同场景也要分清楚，不能都搅和在一起。像“远程访问但不下载”、“远程访问并下载”、“直接传输到本地存储”，风险其实完全不一样。

如果中国短期内拿不到“充分性认定”，SCC+TIA又不够用，欧盟应当考虑基于数据类型对中企的合规进行差异化处理。不同类型的数据本来风险就不一样，有些数据即便被获取，实际影响也非常有限。可以借鉴中国经验，对个人数据分级分类，对不那么敏感的数据允许中企远程访问，在中国法律环境下通过SCC+TIA来处理；而对敏感数据，可要求更严格的本地化和远程访问限制。这一思路有点类似美国14117号行政令，虽然它是国家安全逻辑，和GDPR的“个人权利保护”路径不一样，但“按风险分级处理”的方法，似乎是可以借鉴的折中方案。

SHEIN是第二个因数据跨境被欧盟调查的中国背景的企业，但大概率不会是最后一个。2025年初，欧洲隐私权组织NOYB向多个欧盟国家的数据保护机构提交针对六家中企的GDPR数据跨境投诉，阿里速卖通、Temu、微信和小米都在其中。类似调查后续应该还会不断出现，围绕GDPR第44条、第46条的具体适用，争议会一路走到欧盟法院层面。

在此过程中，欧盟内部规则可能会细化和调整，中国自身制度也将不断丰富完善，中欧预计还将展开持续的对话和谈判。产业界、法律界的专家可以多关注，多想点主意。毕竟，一边拥有五亿人口的高质量消费市场，另一边有更大规模的市场和更完整的供应链，双方短期内很难真正脱钩。生意还要继续做，数据不可能不流动，这个问题也就成了个非常现实、必须面对的课题。

（本文转载自公众号“东不压桥研究院”。）