NOYB是一家位于欧盟的非营利组织，其总部在奥地利维也纳，由奥地利数据保护活动家Max Schrems创立。NOYB致力于执行数据保护法，特别是GDPR和欧盟电子隐私指令。自成立以来，NOYB与其创始人重点针对私营企业的隐私问题和侵犯隐私行为，频繁指控Meta、Apple、Google等多家企业存在违反GDPR的违背法律规定的行为并提起了大量的投诉和诉讼，这中间还包括隐私保护领域著名的Schrems I、Schrems II案，该案近乎重塑了欧盟和美国之间的数据跨境传输框架。

  原则上，针对企业的投诉或诉讼，应当由其权利受到侵害的个人自行或委托第三方提起。NOYB作为一个独立的第三方非营利组织，其代表欧盟境内数据主体提起投诉或诉讼的基础，来源于GDPR和《欧盟关于保护消费者集体利益的代表人诉讼的指令》（Directive on representative actions for the protection of the collective interests of consumers, (EU) 2020/1828，简称“《欧盟集体诉讼指令》”）的规定。

  GDPR第80条则规定，数据主体有权委托根据欧盟成员国法律正式成立、其法定目标符合公共利益、并在保护数据主体个人数据权利和自由方面积极开展活动的非营利机构、组织或协会代表其提出投诉，代表其行使投诉和诉讼的权利。如果此类非营利机构、组织或协会认为数据主体的权利受到侵犯，则可以独立于数据主体的授权，自行提起投诉和诉讼。

  此外，《欧盟集体诉讼指令》于2020年12月24日生效，规定“适格实体（Qualified Entity）”能够就违反欧盟法律（包括GDPR）中与消费者有关的具体规定的行为，在各欧盟成员国的本国法院提起代表人诉讼（包括国内诉讼和跨境诉讼）并寻求救济。该指令规定，适格实体的判断标准包括：（1）实体在过去12个月内有实际开展保护消费者利益的公共活动；（2）其法定目的对于保护消费者利益有合法利益；（3）该实体具有非营利性质等。2024年12月2日，NOYB在奥地利和爱尔兰获准认定为适格实体[2]。这在某种程度上预示着，《欧盟集体诉讼指令》与GDPR相互衔接，赋予了NOYB一柄“利刃”，使其能够代表欧盟地区数据主体，自行针对相关企业提起投诉以及诉讼（具体管辖规则见下文），以尝试迫使企业纠正其不合规行为。但是，在本次提起的6项投诉中，NOYB均是根据GDPR第80条的规定，以不同的数据主体的名义发起投诉，而并未选择独立提起投诉。

  NOYB在投诉中声称，有关数据主体作为平台用户，根据GDPR第15条试图访问平台收集的个人数据，查询个人数据是不是被转移至中国或其他第三国。然而，通过平台提供的查询路径获取转移情况时，数据主体仅被告知了平台处理数据主体的个人数据清单，但并未包含平台是否向中国或向其他任何第三国跨境传输数据主体数据的答复。

  NOYB认为，尽管部分被投诉公司在隐私政策中声明由其在欧盟设立的实体负责数据处理（欧盟实体设立情况见下文“三、谁管辖本次投诉？”中的表格），但真实的操作中，数据处理的目的和方式并非由该欧盟设立的实体决定，而是由其他非欧盟关联实体决定。同时，被投诉公司总部在欧盟境外，欧盟设立的实体团队人数少，在欧盟的“信箱地址”不应被视为GDPR第4条定义的“主要设立地点”（a main establishment in the EU）。

  根据GDPR规定，欧盟数据跨境传输的合规路径主要包含充分性决定（Adequacy Decision）、适当保障措施（Appropriate Safeguards）、特殊情形下的豁免：例如个人明确同意；为签订和履行合同所必需等（详见下文“五、企业怎么样应对”）。在对六家公司的投诉中，NOYB提出：

  针对上述指控，企业除了及时与监督管理的机构或用户沟通，采取积极措施处理问题以外，可以从投诉内容事实的不符性方面做准备或者抗辩，或证明已经依照GDPR规定采取合规措施对用户个人数据来进行保护，澄清和抗辩的角度包括但不限于：

  3、梳理数据跨境传输情况和记录，说明数据并未向NOYB投诉中指控的目的地国传输，例如采取了数据库隔离等措施；

  4、澄清未曾被相关第三国政府部门调取数据，或者政府部门在中国境内依法调取的数据并非涉及从欧盟跨境传输的数据，两者不存在联系等；

  6、准备已完成的个人数据跨境影响评估（DTIA）和签署的SCCs等文件，证明已经依照GDPR采取相关的保障措施；

  7、提供数据传输有关技术措施实施文件，证明已经妥善采取技术措施保障数据安全，且未发生过数据泄露事件等。

  GDPR第51条规定，各欧盟成员国应规定一个或多个独立公共机构负责监督GDPR的实施，以保护自然人在数据处理方面的基本权利和自由，并促进个人数据在欧盟内的自由流动，此类机构被称为“监督管理的机构”[3]。

  GDPR规定，（1）就投诉而言，数据主体或代表数据主体的机构有权向数据主体惯常居住地、工作地点或涉嫌侵权地点的成员国监督管理的机构（下称“监督管理的机构所在地”）提起投诉；（2）就诉讼而言，针对监督管理的机构/数据控制者/数据处理者的诉讼，数据主体应当在监督管理的机构所在地或数据控制者/数据处理者设立地点（Establishment）的成员国法院提起。

  值得注意的是，GDPR本身规定了广泛的适用和管辖范围，不仅适用于欧盟境内的数据控制者或处理者，还适用于为欧盟境内数据主体提供商品和服务而利用和处理个人数据的境外数据控制者或处理者。因此，根据GDPR第77条至第79条的规定，对此类在欧盟境内没有设立实体的境外数据控制者或处理者，数据主体或代表数据主体的机构还可以在数据主体的惯常居住地提起投诉或诉讼。

  此外，由于欧盟用户可能在多个欧盟成员国居住、旅行等，用户的个人数据在多个欧盟成员国被处理。为此，GDPR第62条和第63条建立了“一站式机制（one-stop-shop mechanism）”，以确保用户个人数据在欧盟多个成员国涉及数据跨境业务时，在牵头监督管理的机构负责对欧盟境内实施数据处理活动的公司进行监查执法的同时，其他成员国通过“一致性”机制[4]与其相合作，由此协调成员国之间的投诉，防止重复投诉或者起诉的情况。

  根据上述规定，NOYB针对TikTok、Shein和Xiaomi等6家企业的运营和隐私政策披露进行了一定的调研。如上文提及，NOYB认为，中国企业在隐私政策提供的隐私保护邮箱、法人实体多数仅是“空壳公司”，而非实际开展运营活动的机构或实体。因此，根据GDPR第77条至第79条对于管辖地的规定，NOYB选择在数据主体的惯常居住地相对应的数据监督管理的机构提出投诉；基于GDPR的域外效力，NOYB所投诉的对象也并非均是中国企业在欧盟境内成立的实体，而是其认为实际开展运营活动的海外实体。笔者梳理如下表：

  目前NOYB针对其认为的六家被投诉企业的“不合规”行为能采取的行为大致上可以分为投诉（Complaint）和诉讼（Lawsuits）两种类型：

  GDPR第77条和第80条明确赋予数据主体及代表数据主体的机构向监督管理的机构投诉的权利[5]，数据主体及代表数据主体的机构觉得与其相关的个人数据的处理活动违反了GDPR时，有权向监督管理的机构提出投诉。

  根据GDPR的规定，监督管理的机构应当受理数据主体或者代表数据主体的机构、组织或协会提交的投诉，并在适当范围内调查投诉事项，在3个月内将调查的进展和结果通知投诉人。在调查期间，监督管理的机构能要求相关公司可以提供合规证明材料。

  GDPR第78条[6]和第79条[7]则明确赋予数据主体及代表数据主体的机构寻求有效司法救济的权利。数据主体及代表数据主体的机构，在提起投诉后且等待监督管理的机构调查的最终结果的过程中，可以同时对侵害其权利的数据控制者或处理者直接提起诉讼；如果监督管理的机构不处理投诉、未及时告知调查的最终结果或者对于监督管理的机构的调查的最终结果不满意的，还可以起诉监督管理的机构。

  因此，如前所述，基于被赋予的适格实体地位和GDPR第80条规定，除了现阶段向数据监督管理的机构提起投诉以外，不排除NOYB后续提起诉讼、要求企业整改其违反GDPR的行为。如上所述，此类法律行动可能直接针对企业，亦或在监管机构调查的最终结果未能满足期望时，对监督管理的机构提起诉讼，从而推动监督管理的机构的执法行动。

  尽管NOYB是代表数据主体的机构或能代表数据主体提起诉讼的适格主体，但其本身仅为非政府组织（NGO），并非GDPR规定的具有执法和监管权力的监督管理的机构。目前NOYB对于TikTok、Shein和Xiaomi等6家企业提出的“指控”并不属于执法行为，其投诉或指控仅代表该NGO本身的意见和主张，并不构成监督管理的机构的调查的最终结果和最终意见，也不意味着被其指控的企业真实存在被指控的各项违法违规情况，不会对涉事企业的数据处理行为产生直接的法律效力。

  但是，NOYB的指控系代表数据主体提起投诉或者诉讼，一旦被监督管理的机构或者法院正式受理，则意味着监督管理的机构和法院将正式对涉事企业启动调查程序，对被指控企业的数据处理活动是不是满足GDPR的规定将开展实质性的调查、评估，并出具调查的最终结果。一旦监督管理的机构在调查过程中发现被指控的企业存在不合规的数据处理活动，企业将面临不利舆情、要求整改、罚款等风险。

  因此，从规避风险的角度而言，笔者建议六家被投诉企业及时检视其数据处理活动的合规性，以避免如果NOYB提出的指控被正式受理后、监督管理的机构开展调查可能带来的相关风险。对于出海欧盟的企业，笔者也建议根据GDPR和配套的指南等文件已做出的明确要求，排查和完善数据合规治理体系和措施，规避潜在的被数据主体投诉或者数据监督管理的机构主动调查的风险。

  此外，根据NOYB官方网站[8]，NOYB依据GDPR提出了共计874项投诉/诉讼（GDPR Complaint），其中NOYB胜诉（含部分胜诉）或者被投诉/诉讼公司整改至合规水平的投诉/诉讼占比为29.63%，NOYB败诉的投诉/诉讼占比为4.1%，其他结果、待监管部门或者法院判决或裁定的投诉/诉讼占比为66.27%。不难发现，NOYB所提起的大量投诉目前处于“积压”状态，其提出的指控尚未得到欧盟地区数据监管部门或者欧洲法院的支持。NOYB称，其目标为利用有明确的目的性和战略性的诉讼来维护全欧洲人民的隐私权，利用公关和媒体活动来引起人们对众多隐私问题的关注，并加强数据主体的权利[9]，推测此为其乐此不疲提出各类投诉或诉讼的动因。在数据跨境传输领域，鉴于NOYB及其创始人Max Schrems在2016年的Schrems I案和2020年的Schrems II案中两度挑战欧盟和美国之间的数据跨境传输框架（欧盟-美国安全港协议（Safe Harbor）和欧盟-美国隐私盾协议（Privacy Shield））均获得了成功的经验，笔者仍建议企业应谨慎对待。

  由于本次投诉NOYB主要对六家中国知名互联网公司的海外实体在数据跨境传输活动方面提出质疑，因此下文笔者主要从数据跨境传输做出建议（不意味着其他数据合规工作重要性降低）。根据GDPR第44条的规定，从欧盟境内向境外第三国（即欧盟以及欧洲经济区以外的国家或地区）或国际组织传输个人数据的，应当确保境外接收方具有充分的数据保护水平，具体而言应当满足如下条件之一：

  2.特殊情形下的豁免：例如个人明确同意；为签订和履行合同所必需；为建立、行使或捍卫法律主张所必需；为实现公共利益；为保护数据主体或他人重大利益所必需。

  3. 接收方所在国家或地区获得欧盟委员会数据保护充分性决定（“白名单”）。

  然而，欧盟的“白名单”机制通常从（1）第三国或地区关于尊重人权和基本自由的法治建设及其实施情况；（2）第三国或地区独立监督管理的机构的设置和有效运作情况；（3）第三国或地区参与或批准的有关个人数据保护的国际承诺、公约或文书，三个维度判断第三国是不是具备了充分的数据保护水平。受此制度和GDPR在数据保护领域先行的影响，许多国家和地区在建立数据保护法律体系时或多或少参考GDPR的规定，但获得欧盟委员会“充分性认定”的国家数量寥寥。

  我国目前虽然已经建立起了以《中华人民共和国个人隐私信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》为核心的“三法二条例”数据治理安全体系，并通过《促进和规范数据跨境流动规定》《数据出境安全评估申报指南（第二版）》和《个人隐私信息出境标准合同备案指南（第二版）》等多项配套文件，为数据跨境流动提供规范、便利和安全的环境。但由于欧盟委员会仍未将中国列入“白名单”内，因此中国企业没办法基于充分性决定将个人数据跨境传输至中国境内。

  1、选择当地的服务器或者数据中心，完成数据本地化和本地运营（避免数据传输到欧盟境外，或被境外人员访问等跨境传输情形）；或传输到白名单国家，并仅在白名单国家处理，避免二次跨境传输；

  3、开展DTIA（必须要格外注意的是，该评估不同于数据保护影响评估（DPIA），企业要针对数据跨境传输的每个场景完成DTIA并保留评估记录，以作为向监管调查时进行自证的有力合规证据）和签订欧盟标准合同条款（SCCs）；

  4、采取传输加密、访问控制和权限管理（例如企业在全世界经营时，依照当地数据本地化要求和数据跨境传输合规机制，建立当地服务器，并采取严格的隔离措施）等措施，保障数据安全；

  5、制定集团内部合规制度（特别是建立全球数据跨境传输制度）、成立跨境传输专门负责小组、加强员工培训等。

  NOYB此次提起的投诉一方面体现了欧盟部分人士对数据跨境传输合规性的质疑；另一方面，欧盟委员会“充分性认定”的机制不可避免地受到了地理政治学、文化因素等多方面因素的影响（TikTok关服风波等亦可见一斑），不排除中欧之间数据流动的隔阂存在进一步加深的可能性，以及后续欧盟各成员国数据保护监督管理的机构会加强数据跨境传输监督管理力度的可能性，因此关注欧盟数据跨境传输合规要求，将是企业要更加着重关注的命题。

  本文仅包括笔者对GDPR等个人数据保护相关法律的研究，不视为法律意见。本文关于NOYB的信息均来自公开渠道及NOYB的自我介绍，不代表笔者认可、同意或支持其事实主张、观点和意见。

  [5] GDPR第77条“向监督管理的机构投诉的权利”，（1）在不影响任何其他行政或司法救济的情况下，如果数据主体认为与其相关的个人数据的处理违反了本条例，则每个数据主体均有权向监督管理的机构提出投诉，特别是在其惯常居住地、工作地点或涉嫌侵权地点的成员国。（2）受理投诉的监督机构应告知投诉人投诉的进展和结果，包括根据第78条采取司法补救的可能性。

  [6] GDPR第78条“针对监督管理的机构寻求有效司法救济的权利”，（1）在不影响任何其他行政或非司法补救措施的情况下，每个自然人或法人均有权针对监督管理的机构对其具有法律约束力的决定寻求有效的司法补救。（2）在不影响任何其他行政或非司法救济的情况下，如果监督管理的机构不处理投诉，或者未在三个月内告知数据主体根据第77条提出的投诉的进展或结果，则每个数据主体均有权获得有效的司法救济。（3）针对监督管理的机构的诉讼应在该监督管理的机构所在地的成员国法院提起。

  [7] GDPR第79条“针对控制者或处理者寻求有效司法救济的权利”，（1）在不影响任何可用的行政或非司法救济的情况下，包括根据第77条向监督管理的机构提出投诉的权利，如果数据主体认为其个人数据的处理不符合本条例的规定，导致其在本条例下的权利受到侵犯，则每个数据主体均有权获得有效的司法救济。（2）针对控制者或处理者的诉讼应在控制者或处理者设有机构的成员国法院提起。或者，此类诉讼也可在数据主体惯常居住地的成员国法院提起，除非控制者或处理者是成员国行使其公共权力的公共机关。