裁决pdf链接:
https://ww2.courts.ie/acc/alfresco/e401aa8e-bc84-4a36-9ec9-fa469a83882a/2025_IEHC_619.pdf/pdf
2025年11月13日,爱尔兰高等法院(Irish High Court)发布裁定:
在 TikTok 的上诉程序最终结束之前,爱尔兰数据保护委员会(DPC)不得执行其早前作出的针对 TikTok 的整改指令,其中包括要求暂停向中国的个人数据传输。
这意味着:TikTok 的中国团队仍可在审理期间维持现有数据访问方式,暂不需要立即停止或重构其技术架构。
背景:DPC 对TikTok做出的罚款和纠正令
DPC于 2025 年 4 月结束了一项历时多年的调查,认定 TikTok 在将个人数据提供给位于中国的集团实体以进行远程访问时,未能依据GDPR第 46 条提供供“与欧盟等同程度的保护”。
DPC 认为,TikTok依赖的标准合同条款(SCC)及补充措施不足以应对中国法律下的潜在政府访问风险,因此作出如下决定:
罚款总额 5.3 亿欧元;
暂停令(Suspension Order,Art.58(1) j GDPR):要求 TikTok 在 6 个月内停止所有相关跨境访问;
整改令(Corrective Orders, Art. 58(1) d GDPR):要求调整数据处理方式以符合GDPR。
TikTok 随后提起上诉,并申请 “暂缓执行(Stay)”。
爱尔兰高等法院现就TikTok“暂缓执行“的申请作出决定:“TikTok 有权在上诉审理期间暂缓执行暂停令与整改令。”
但同时提出了两个条件:1. 积极推进上诉进程;2. 将DPC的决定通知所有的EEA用户。
First, the stay should be for the shortest period possible. I therefore propose granting a stay pending the determination of the appeal in this court on the basis of an undertaking by TikTok to prosecute its appeal with all reasonable diligence and, in any event, to ensure, insofar as it is within TikTok’s power to do so, that the appeal is heard not later than March 2026.
(Irish High Court, [2025] IEHC 619, Rn. 210)
也就是说:DPC 的处罚与整改决定仍然有效,但暂时不能强制执行,直到法院审理结束。
5.3亿罚款方面,按照欧盟程序法本来就自动暂停执行,直到上诉法院作出最终判决。
法院的主要考量
Okunade test
法院采用 Okunade 测试(爱尔兰国内法标准),而非欧盟 Zuckerfabrik 测试来判断是否授予暂缓执行。
Okunade test 是源自爱尔兰最高法院在 Okunade v Minister for Justice 一案中的判决([2012] IESC 49)。这是爱尔兰法院在决定是否允许在主审判决作出前,暂缓执行行政机关的决定(Stay)时所采用的法律标准。
第一要件:是否存在“可争议的严重问题”
在决定是否批准“暂缓执行(Stay)”前,法院首先要确认:TikTok 的上诉是否存在“需要认真审理的重大法律争议点(serious issue to be tried)”。这一点在本案中毫无争议。
DPC 在法庭上也承认:TikTok 的上诉“对 DPC 的最终裁决提出了 serious doubts”,属于真正意义上的法律争议,而非形式主义质疑。
这些争议主要包括:
DPC 是否违反了程序正义(未给予 TikTok 有效申辩机会),
对中国法律风险的评估是否存在逻辑缺陷,
是否未充分考虑 TikTok 后期新增的安全措施(例如 Project Clover),
最终认定TikTok 未满足Art. 46 GDPR的时间范围是否过窄。
法院因此认为:TikTok 的上诉不仅“有理可争”,而且涉及多个复杂的法律和程序问题,必须进入主审阶段解决。
✔️ 第一要件通过。
第二要件:若不暂缓执行,TikTok 是否会遭受“严重且不可弥补”的损害?
法院在 80 多页的判决中强调了一个关键点:立即执行暂停令的后果,对 TikTok 的损害将是巨大且不可逆的。
这方面,TikTok 提供的大量的证据。 若立即执行暂停令:
全球工程体系需重构,
数据链路、存储、日志、审计系统需全面调整,
海量资源需迁移或重建对 TikTok 的广告系统、内容推荐、审核、安全监控等核心业务产生长期且不可逆影响,
对品牌、用户体验、收入造成巨大冲击,
三年内预计损失超过数十亿美元,且无法通过损害赔偿获得补偿(DPC拥有法律豁免,且Francovich 赔偿门槛很高)。
法院同意这些损失规模巨大、难以量化、无法在未来通过赔偿补救。
TikTok 若胜诉,已造成的重构成本和业务影响无法恢复,因此属于典型“不可逆损害”。
“[…] This serves to highlight the impossibility of capturing all the losses which TikTok might suffer in an entirely dynamic market […]”
(Irish High Court, [2025] IEHC 619, Rn. 210)
✔️ 第二要件通过。
第三要件:平衡双方利益(least risk of injustice)
法院也需要考虑了另一面:如果暂缓执行,会不会真的让用户数据陷入更高风险?
法院的回答是:不会。
法院认为:短期内对用户数据的风险有限且可控。
DPC的决定是“TikTok 未能充分证明等同保护”,这有别于“TikTok 已经造成实质风险或违规”,
TikTok已实施大量额外的安全措施(如 Project Clover),
TikTok与多位中国法律专家提交的证据显示相关风险有限且可控,
调查的时间范围只到 2023 年5 月,并未对最新措施做完整评估,
DPC 也没有采用GDPR 第 66 条紧急程序,显示风险并非急迫,
上诉将在数月内审理完毕,延迟风险极小
综上,法院认为:给予临时性暂缓执行,比强制立即执行更能减少整体不公。
“A short further delay […] does not greatly increase the risk that TikTok’s failure to comply with Article 46 poses.”
(Irish High Court, [2025] IEHC 619, Rn. 224)
在暂缓执行期间,对 EEA 用户数据的风险不显著。
while giving all due weight to the decision, to conclude on the basis of the evidence in this application that, even assuming the validity of the DPC’s decision, the risk to EEA user data during the period of any required stay does not appear to be significant.
(Irish High Court, [2025] IEHC 619, Rn. 231)
✔️ 第三要件通过。
法院批准“暂缓执行”,但附带条件:TikTok 必须通知所有EEA用户
TikTok 必须以双方协商认可(或由法院指定)的方式,用清晰易懂的语言通知所有用户DPC 的违规认定。判决同时指出,TikTok 在该通知中可以提及其上诉行为以及本次法院所授予的暂缓执行。
法院将暂缓执行与一项罕见的透明度要求相挂钩。这一要求在 GDPR 执法中并不常见,可见对受影响用户透明度义务的一次显著强化。
注意这里只要求必须告知DPC 的违规认定,另外两项是optional。
原因我估计是,如果用户充分知悉 DPC 的主要处罚决定以及TikTok相关非法处理的情况下还继续使用平台,其短期基本权利风险也更易于被界定与理解。
这对 TikTok 和 DPC 意味着什么?
📌 DPC 的裁决并未被推翻。它仍然有效,只是暂缓执行。
📌 TikTok 接下来必须配合法院的时间安排。法院明确要求 TikTok 快速推进上诉程序,预计将于 2026 年审理。
📌 DPC 可以在主审阶段继续全面辩论。法院仅暂停“执行”,并未限制 DPC 的论点或权力。
写在最后
这是程序性保护,不是实体性胜利。接下来真正决定 TikTok 命运的,是 2026 年的主审判决。
如何在基本权利保护、政府权力和经济后果之间取一个平衡点是值得探讨的问题。法院的利益平衡论证那段很精彩,有兴趣的可以读一读👉第216至242段。
End
