【文/南极土著】

5月5日，爱尔兰数据保护委员会（DPC）发布公告，宣布根据《2018年数据保护法》第110条，对SHEIN启动调查，以查明SHEIN爱尔兰公司是否违反欧盟通用数据保护条例（GDPR），将欧盟/欧洲经济区用户的个人数据传输到中国。根据公告，2026年4月30日，爱尔兰DPC已正式向SHEIN爱尔兰公司发出了启动调查的决定。

这也是自2021年启动对TikTok的调查并罚款5.3亿欧元后，欧盟第二次针对中国背景的企业启动数据跨境调查。

公告截图

DPC在调查SHEIN的公告中表示，接下来要重点看的，是SHEIN在这些跨境数据传输中，是否真正履行了GDPR下的一系列义务，主要包括：1）GDPR第5条，也就是最基础的个人数据处理原则；2）GDPR第13条，对用户的信息披露和透明度要求；3）GDPR第五章，关于个人数据向欧盟以外国家（第三国）传输的具体规则。

在对外说明中，DPC副专员Graham Doyle强调：“一旦个人数据被传输到欧盟以外，相关数据必须得到与欧盟内部“基本同等水平”的保护。最近一段时间，无论是DPC自身的监管行动，还是其他欧洲监管机构收到的投诉，都使得向中国传输数据的问题成为关注焦点。此次调查是DPC的一项重要战略重点，DPC将与欧洲其他监管机构密切合作，共同推进调查。”

欧盟对中国企业跨境传输或远程访问欧盟个人数据的限制，不是一个新问题，但在欧盟运营的中企接二连三被调查或处罚，让该问题变得更具紧迫性和现实性。

欧盟对数据跨境合规性的判断基本是从“目的地国家”的法律环境出发。监管重点不在企业做了多少技术或合同上的防护，而在于数据流向的那个国家本身，是否被认为能提供与欧盟“实质等同”的保护水平。在此框架下，即便单个企业已经叠加了多层技术措施和合同安排，只要欧盟认为该国法律环境整体上达不到这一标准，就会直接认定风险不可接受，从而得出“保护不充分”的结论。

这背后是欧盟在数据跨境问题上一直以来的关切：包括外国政府调取数据缺乏明确限制和外部监督，司法独立性、比例原则、有效救济等不满足欧盟数据保护委员会（EDPB）的要求等。

如果中国一直拿不到欧盟的“充分性认定”，中国背景的企业在GDPR第五章下能走的路，其实就那么几条：

理论上最直接的办法是把数据彻底匿名化。但从欧盟这几年的实践来看，传统去标识化方法（如k匿名）在当前数据环境下，往往难以满足“不可识别”的高标准。甚至像意大利监管机构，已经在具体案件里直接否定了k匿名的有效性。

此外，欧盟对什么算匿名化数据，标准一直在变。欧盟法院在Breyer v Germany与SRB v EDPS等判例中，不断细化“可识别性”的判断标准，强调应结合具体场景、数据接收方能力以及可合理使用的技术手段进行评估。这意味着，对同一数据是否构成匿名化数据，在不同主体、不同处理情境下，可能得出不同结论。EDPB近年来的多份意见和指南一再强调：要达到“真正匿名化”，不仅需要排除直接识别，还需合理防范通过关联、推断等方式实现的间接识别风险。在实践中，这一标准往往难以满足。

第二条路，是GDPR第49条的“克减条款”（数据主体明确同意、履行合同所必需、重要公共利益等）。但第49条的立法本意本不是用于支撑系统性、大规模的数据传输，因此实际适用场景非常狭窄。

例如，“同意”必须是针对具体、一次性的传输行为，不能拿来做长期、持续的数据流转；“履行合同所必需”则要求这个数据传输直接、不可替代地关系到合同本身。日常运营、后台技术支持这类持续性场景，通常都不算。

从DPC对WhatsApp案的裁决（尽管此案主要涉及透明度和信息披露义务、与第49条无关）看，监管对任何放松GDPR合规要求的解释路径，似乎都持高度怀疑态度。

近年来，也有一些新的思路开始出现。例如，在端侧AI或智能设备等场景下，是否可以通过架构设计，将更多的数据控制权和处理责任交由用户本身，从而弱化企业在数据处理中的角色。一些欧美学者将这一思路概括为“责任转移（liability shifting）”或“纯工具提供方抗辩（mere tool-provider defense）”。其核心设想，是一定程度上激活GDPR第2(2)(c)条的“个人或家庭活动豁免”，使相关处理被界定为用户的私人行为，而非企业的数据处理，从而减轻企业在GDPR第五章下的合规负担。

但从现有法律框架和执法实践来看，这一路径亦面临较大不确定性。首先，GDPR对“控制者”的认定采取实质标准，企业只要在处理目的或方式上具有决定性影响，仍可能被认定为控制者或共同控制者。其次，欧盟法院在Ryneš v Úřad pro ochranu osobních údajů等判例中，对“家庭活动”的适用范围采取了较为严格的解释，一旦处理与商业服务或公共环境发生关联，该例外通常难以适用。

同时，在架构上尝试将数据控制权更多交由用户，本身也会对产品体验产生显著影响，尤其是在需要满足GDPR对同意的严格要求（如明确性、可撤回性和细化选择）情况下。而且，即便核心业务数据保留在终端设备，本地化处理并不意味着数据流动的完全终止。在实际系统中，遥测数据、运行日志以及联邦学习等后台机制，往往仍会产生不同形式的数据回传。这些数据在多数情况下仍可能被认定为个人数据，从而使相关处理活动继续落入GDPR第五章的规则之下。

工作人员在数据中心的机房内进行巡检。 资料图：新华社

在前面这些路径都走不通或很难走的情况下，现实基本就是：大多数常规业务场景，最后还是要回到SCC（标准合同条款）；如果SCC不够，就再叠加跨境影响评估（TIA）和各种补充措施。企业不仅要系统性评估数据要传去的国家（比如中国）的法律环境和实际执法情况，还要把自己所有的数据传输路径，包括远程访问，都梳理和解释清楚。

在和一些律师朋友交流过后，我发现大家反映最难的地方，是要代替全国人大和相关部委去解释中国法律，证明这些法律能提供和GDPR“实质等同”的保护，还得说服欧盟监管机构接受这一结论。不少律师朋友感叹，这几乎是一个不可能完成的任务。

在这些交流中，我得到的另一个反馈是，欧盟在评估中国法律这件事上，本身就没有一个清晰、可操作的标准。企业在做TIA时，到底要分析到多深、写到多细，很大程度上取决于监管机构的主观判断。法务和律师们辛辛苦苦论证了一套逻辑，最后认不认全在DPC主观判断，可能最后就是直接不认。

以常理来说，如果欧盟监管机构认为企业对中国法律的理解不准确，那应该给出一套他们自己更权威的评估作为参照，而不是直接据此作出处罚。但目前来看，欧盟也没有自己的评估体系，企业仍然需要在高度不确定的标准下自行证明、承担风险。

爱尔兰DPC在TikTok案中的调查和处罚，是对上述情况的一个佐证。简言之，欧方认为，中国现行的一些法律（比如《国家情报法》《数据安全法》《个人信息保护法》等）赋予政府较大的获取数据的权力，只要数据传到中国，就存在政府调取的风险，（标准合同条款）SCC和补充措施无法有效缓解这一风险。但是，企业要做到什么程度才能有效缓解风险，DPO没有说。

这样看起来，中国企业要想不被欧盟罚，好像就只能把服务器建在欧洲了，并且要完全彻底切断境内员工对欧盟个人数据的远程访问。

这对不同类型的企业影响差别很大。对大公司可能主要是成本问题：多建机房、多配团队、多做合规，成本很高，但没办法，大致或许还能承受；对中小企业来说，一旦不允许国内团队接触这些数据，很多业务根本跑不起来，要把整套团队搬到欧洲，或者在当地组建团队，还要处理复杂的公司治理、人力配置、技术架构、技术出口等问题，可能相当于生意没法干了。

而且不要以为做了这些就可以烧高香了。

首先，欧盟监管评判数据本地化是否彻底的标准，非常主观且不断漂移。企业即便投入大量资源在欧洲搭建独立机房，后续仍可能被要求提交架构图、接受代码审计，追查是否存在“未披露的数据回流”或“管理员后门”。合规成本很容易变成一个无底洞，投入产出比极不确定。

其次，如果要彻底切断国内对欧洲数据的访问以满足GDPR审查，企业往往不得不在欧洲建立一套平替团队，人力成本会飙升。同时增加的还有研发成本：原本可复用的代码和开发流程无法使用，只能为欧洲单独搭建一整套DevOps体系、运营团队和安全响应机制。这种重复建设的成本，对尚未形成规模效应的中小企业来说几乎致命。

第三，也是Manus案提醒大家的，要警惕跨国运营和交易违反中国技术出口限制的合规风险。对不少中小企业来说，既然欧盟数据不能回流中国进行模型训练或算法分发，那么唯一的解法可能就是将国内的核心算法、底层代码和模型权重“全量输出”部署到欧洲本地机房。这是否会触发中国出口管制和禁限技术出口的红线，是个颇为值得关注的问题。这就落入了又一个“奥德修斯困境”：要在欧盟做得合规就得违反中国法律，要遵守中国法律就会被欧盟罚掉底裤。