2026年6月3日,爱尔兰高等法院就TikTok诉爱尔兰数据保护委员会(DPC)一案作出了备受瞩目的判决。这份判决书,几乎驳回了TikTok的全部上诉理由,确认了DPC此前认定的两项GDPR违规——违反第46(1)条(数据跨境传输)和第13(1)(f)条(透明度义务),维持了5.3亿欧元行政罚款的有效性。
这场始于2021年9月的调查,历时近四年。围绕的核心问题是:当TikTok位于中国的员工远程访问存储在欧洲以外服务器上的欧洲用户数据时,GDPR的数据跨境传输规则是否适用?DPC的回答是肯定的,而爱尔兰高等法院对此予以了全面确认。
📌 如需下载判决书原文,请按如下步骤操作:
● 请关注“耀时律师XEON”公众号;
● 回复“TikTok爱尔兰判决书”,获取下载链接。
事实争议:
远程访问如何构成“数据跨境传输”?
TikTok的远程访问解决方案,是其抗辩的逻辑起点。其数据实际存储在新加坡、马来西亚和美国的服务器上,位于中国的员工通过远程方式访问这些数据进行必要的运营支持。TikTok认为,既然数据从未“存储”在中国境内,中国法律依据属地原则无权管辖,那么数据就应当被视为始终处于中国法律管辖之外。
这一论证看似简洁有力,却存在一个致命的逻辑缺口——它混淆了“存储”与“处理”的概念。GDPR第4(2)条对“处理”的定义极为宽泛,涵盖了对个人数据的任何操作,包括“查阅、使用、公开”等。DPC在调查中指出,远程访问必然导致数据在中国境内的计算机信息系统上被临时处理——加载至内存、在CPU和GPU中运算,即便只是瞬时的,也构成了GDPR意义上的“处理”。TikTok最终也不得不承认,“瞬时的数据处理是任何远程访问解决方案不可避免的结果”。
这一认定具有深远意义:数据服务器的物理位置不再是数据传输分析的决定性因素,监管的焦点已经不可逆转地转移到能够访问这些数据的人员所在地。对中国出海企业而言,这意味着即便数据存储在欧盟境内,只要中国团队可以远程访问,就可能触发GDPR的跨境传输义务。
法律争议:
控制者的义务究竟有多重?
如果说事实争议聚焦于“远程访问是否算传输”,那么法律争议的核心则是:控制者需要做到什么程度才算合规?
TikTok主张其已履行了义务——它委托中国顶尖律所进行了五轮数据跨境传输影响评估(TIA),每份评估都得出了相同的结论:通过标准合同条款(SCCs)和补充措施,EEA用户数据在中国获得了实质上等同于欧盟的保护水平。在TikTok看来,它已经“核实”了保护水平,这就足够了。
但法院明确拒绝了这一解释。判决书指出,GDPR第46(1)条要求的不只是控制者“自我满意”,而是必须能够证明合规。法院特别援引了Schrems II案中“核实、保障和证明”的三重标准,并强调:如果存在一个事先评估的要求,那么“必须是一个充分评估的要求”。监督机构有权审查控制者的评估是否充分,而无需独立审查第三国法律。
换言之,DPC不需要自己去证明中国法律保护不足——它只需要证明TikTok的评估存在缺口或缺陷。这一裁决大大降低了监管机构的举证负担,同时显著提升了控制者的合规门槛。
程序争议:
公平程序的红线在哪里?
TikTok还提出了多项公平程序抗辩,其中最值得关注的是“临时处理问题”的突袭指控。TikTok声称,DPC在初步决定草案中只关注了数据存储于境外的问题,却在最终决定中转向了“数据在中国境内被临时处理”这一全新理由,未给予其充分回应机会。
法院对此的回应耐人寻味。法官指出,临时处理是远程访问的必然结果,而GDPR第46条的焦点始终是实际被转移和处理的数据。TikTok不能因为自己将注意力集中在“存储”而非“处理”上,就指责DPC提出了“新”问题。更何况,DPC在第二轮的补充问询中已经明确询问了“技术手段”的问题。
这一裁决的启示在于:程序正义不是无限循环的权利。控制者不能通过不断提交新材料来无限期拖延调查,也不能以“未被明确告知”为由回避其本应履行的核心义务。
罚款与救济:
5.3亿欧元何去何从?
尽管法院维持了5.3亿欧元罚款的有效性,但它在纠正措施问题上作出了对TikTok有利的裁量。法院发现,DPC在评估TikTok的“三叶草计划”(Project Clover)——一项旨在通过假名化和差分隐私技术保护用户数据的综合方案——时,未能充分说明为何认为这些措施不足以避免暂停数据传输令。
法院特别指出,DPC仅仅停留在“假名化数据仍可能属于个人数据”的抽象层面,却没有回答一个更具体的问题:在这些措施下,数据主体事实上是否仍可被识别。由于缺乏充分理由,法院决定将纠正措施部分发回DPC重新审议。
然而,这一局部胜利并不影响罚款本身。法院确认TikTok的两项违规行为均构成“过失”——它“不可能不知道自己行为的侵权性质”。过失标准的门槛极低,TikTok的复杂法律意见和详尽评估报告并不能成为免责金牌。
深远影响:
中国出海企业的合规启示
这份判决的影响远超TikTok一案本身。
第一,“远程访问即传输”已成定论。任何在中国境内可远程访问EEA用户数据的人员安排,都将触发GDPR第五章的全部义务。出海企业不能再以“数据存储在境外”为由回避合规要求。
第二,“评估”必须经得起审查。 委托顶尖律所出具法律意见、完成多轮TIA报告,这些都不足以证明合规——除非评估本身是充分的,并且能够证明其所声称的保护水平。监督机构有权审查评估的质量,而无需自行完成替代评估。
第三,举证责任在于控制者。TikTok试图将举证责任转嫁给DPC——要求DPC证明中国法律保护不足——但法院明确拒绝。控制者必须自行“核实、保障和证明”数据在第三国获得实质上同等的保护。
第四,技术措施必须经得起实质性审查。假名化、加密等技术手段不能仅凭存在就被认定为有效;控制者必须证明其在事实上能够防止数据主体被识别。
结语
五亿欧元的罚单,与其说是一次惩罚,不如说是一面镜子——它照出了数据跨境合规领域中那些被忽视的盲区。远程访问、临时缓存、假名化处理……这些技术细节在商业运营中或许微不足道,但在GDPR的框架下,它们恰恰构成了合规的基石。
对出海企业而言,这场判决传递的信号清晰而坚定:合规不是一份报告、一纸合同、一套技术方案,而是一个贯穿数据全生命周期的系统工程。从存储到处理,从评估到证明,每一个环节都必须经得起最严格的审视。这不仅是法律的底线,更是赢得全球用户信任的起点。
咨询法律顾问服务,欢迎联系我们。
张晓宇
江苏耀时律师事务所
创始人
主任合伙人
xeonzxy@163.com
张晓宇律师,江苏耀时律师事务所创始人、主任合伙人。经济法、金融法双硕士,拥有中国大陆和美国纽约州律师牌照,上海证券交易所独立董事资格。曾在英国伦敦XXIV大律师楼担任国际商事仲裁访问律师。
2015年,张晓宇律师入选全国律师协会“涉外律师领军人才”;2017年,入选江苏省律师协会“江苏省省级涉外律师人才”;2018年,入选司法部“全国千名涉外律师人才"。获评南京市鼓楼区“金牌巾帼律师”;光明日报《中国力量》封面人物;无锡市“数字贸易创新人物";南京市“优秀涉外律师。
张晓宇律师担任南京市法学会涉外法治研究会理事、中国法治现代化研究院“涉外法治与一带一路法治发展研究中心”研究员、新加坡国际仲裁中心青年仲裁委员会成员、香港国际仲裁中心女性仲裁俱乐部成员、合肥仲裁委员会/镇江仲裁委员会/泰州仲裁委员会/潍坊仲裁委员会/马鞍山仲裁委员会仲裁员、中国国际贸易促进委员会调解中心调解员、无锡市软件协会人工智能专委会专家委员、无锡国际商事争端解决和知识产权服务中心专家库成员。
如需预约咨询,请选择以下途径联系我们,我们会及时回复您:
1. 关注“耀时律师XEON”公众号并在后台私信留言;
2. 发送邮件至:xeoninfo@163.com;
3. 扫描下方二维码进行预约咨询登记:
编辑/审核:耀时行政团队

