TT案后遗症

这一段的背景是这样的：

TT提出，评估第三国现行法律或实践对欧盟数据主体权利自由的影响时，必须考量第三国法律导致EEA用户数据在具体转移情境中被第三国监管机构侵入的实际发生概率，而不能仅看法条解释。为了论证它的观点，TT还搬出了比例原则、Schrems II，以及DPC在调查期间的问询（这一部分我觉得TT论证得很精彩）。

而TT的观点也被DPC所接受了。DPC 承认此逻辑在原则上成立：如果企业能够通过补充措施去论证监管机构获取EEA用户数据是theoretical or remote, 或者hypothetical or unlikely to materialize in practice，那么对应的，补充措施的标准线也可以适当地降低。

所以，理论上即便存在他们眼中的problematic laws，也可以最终得到同等保护的结论。我认为这是DPC在本案（或者后续对待数据跨境问题）的一个突破性松口。根据朴素的文字理解，“theoretical or remote”和“hypothetical or unlikely to materialize in practice”意味着企业无需证明监管机构100%不能获取EEA用户数据，而只需要证明虽然第三国的监管机构有这样的权力，但其无法真正行使这样的权力导致EEA用户数据被侵入即可。换言之，只要证明第三国监管机构侵入EEA用户数据的几率非常低（但不用是零），辅以恰当的补充措施，数据跨境合规还是有实现可能性的。

那么，下一步要做的就是：（1）证明“实践中中国法不会或极低概率使监管机构获取EEA用户数据”；（2）证明在（1）成立的前提下企业采取的补充措施是足够的。

对于（1），TT提供了专家报告证明“不存在中国当局强迫披露存储在境外数据的历史记录”、TT本身不在中国运营因此监管机构对这对数据不感兴趣（还对比了领英的情况）、TT的历史透明度报告，以及其在整个抗辩过程中反复强调的属地原则限制和技术措施（TT还提供了更多的论据但被掩码了，我也很好奇都有什么）。

但这一步并没有被DPC认可。DCP坚持，TT在未能厘清属地原则对于跨境数据的适用性的前提下，是无法准确判定中欧法律下的数据保护差距的。其逻辑为：

→ TT提供的“属地原则”论点无法达到明确法律上监管机构对于数据的可获取程度

→ 无法证明实践中监管机构获取EEA用户数据的概率是极小的

→ 无法明确中欧数据保护的差距

→ 补充措施弥补差距的功效无法被确认

TT在这一层机会的失败主要源于过分坚持“属地原则”，从DPC视角看推演的第一步就不成立，之后再多的证据材料也无法完成逻辑闭环。当然就算TT愿意放弃“属地原则”的防御策略，以这家公司的体量、数据量、字段多样性，后续论证也是步步维艰，很难得出“低概率侵入”的结论。

但假设，一个并不是那么引人瞩目的出海中企承认中国法的域外管辖效力，是不是有机会去证明“监管机构数据侵入在实践中不可能发生”呢？那么是不是还有机会去论证其所采取的补充措施能够使EEA用户数据达到同等保护的程度呢？

本来写到这里我是希望去找到一些可以给企业直接用的、经过实践检验的案例。但是我做不到。因为这套逻辑的个案分析不仅是基于企业的情况，也是基于“中国法下监管机构对于数据的可获取程度”的明确，而这一点不管是TT案还是其他中企的调查案中欧盟监管机构都没有（也不应该）给出一个确定答案。

而且，低概率并不能直接豁免补充措施义务，而补充措施的有效性也是一个欧盟自由心证的过程。即便有企业成功论证了低概率，其所举证的补充措施也极有可能不足以说服欧盟监管，最终还是无法论证同等保护。

我非常期待有企业能够朝着这个方向趟出一条路来。只是还需提醒的是，企业此前未收到监管机构数据访问要求的历史记录单独不足以证明“低概率”。这一点可能是走到这一步的律师/法务往往会着力举证的，但EDPB指南中已明确：

但只有当第三国法律框架不禁止进口方披露其是否曾收到（或未曾收到）公共机关的披露请求时，才能把进口方的历史经验作为补充信息源使用，并应对该法律评估本身形成书面记录。然而，必须明确：单凭进口方“从未收到过访问请求”这一事实，绝不能被视为用以证明“第46条GDPR传输工具已足够有效、无需任何补充措施即可继续传输”的决定性依据。可将该信息与从其他渠道获得的各类信息一并纳入对第三国法律及实践的整体评估，用以判断本次具体传输的风险。进口方的相关记录经验还必须得到客观、可靠、可核实且公开或可获取的实务信息的印证，而不得与之相矛盾；例如，同一行业内其他主体是否收到过类似访问请求、与本次传输相似的个人信息是否曾被调取，以及法律在实践中的适用情况（相关判例、独立监督机构的报告等）。（Para47）