10月14日，EDPB宣布其2026年的协同执法主题为透明度原则和信息披露义务。

透明度原则号称GDPR的首要义务（overarching obligation）。即使在最新的GDPR改革方案（征求意见版）中，透明度的要求也几乎未被削弱，仅对科研场景的部分披露义务做了非常有限的豁免。

实务中大家习惯将透明度原则和信息披露义务等同于“告知”。不难预见，2026年隐私政策内容本身确实会被重点审查。但更要强调的是，透明度原则和信息披露义务并非仅体现在一份单纯的文本中。它一方面关系用户行权保障，另一方面直接要求企业对处理目的与合法性基础进行精确匹配，并与数据跨境、处理活动范围与数据流的准确描述等后续义务紧密相连。

在欧盟的重罚案例里，“未充分遵守透明度原则”几乎从不单独出现，而是经常作为结构性问题，与其他更加引人瞩目的核心违规项一起被写入决定书。，反而让人忽略它他的重要性，但必须要提示的是：由于透明度和信息义务履行起来涉及很多稀碎的要点，往往成为监管机构最容易突破（抓小辫子）的一点；再者属于透明度原则为GDPR 的基本原则，适用更高档的罚则，值得一个关注！

建议所有出海企业再把EDPB《GDPR下透明度准则指南》（Guidelines on Transparency under Regulation 2016/679，链接：https://ec.europa.eu/newsroom/article29/items/622227）拿出来读一读，对照修改隐私政策文本、UI设计、行权保障机制（私以为行权保障才是EDPB的真正目的和突破口）等。

11月11日，德国慕尼黑地区法院作出轰动判决：OpenAI 在未经许可的情况下，使用受著作权保护的歌词训练 ChatGPT ，而用户只需发出简单提示词便能让模型输出这些歌词，这一行为构成著作权侵权，OpenAI 被判承担赔偿责任。

通过这个案子，德国确立了非常严苛的合规标准：OpenAI 训练过程中并非只是暂时分析歌词文本，而是将其“memorize（记忆）”在模型参数，这在法律上被定性为受控的复制行为，且欧盟文本与数据挖掘（TDM）例外条款并不适用，无法被豁免。（关于技术部分的理解我也是学的别人的文章：训练即侵权：来看看德国法院对技术的分析有多硬核）

不过目前这一判决尚未最终生效，而 OpenAI 已表示将“采取下一步行动”。后续走向值得持续关注。本案很可能成为欧洲 AI + 版权合规的新标杆。 

11月13日，CJEU作出一项先决裁定：直接营销邮件如果满足了e-Privacy Directive第13（2）条的合规要求，则无需额外要求具备GDPR第6条下的合法性基础。

判决书在这儿：https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=306136&part=1&doclang=FR&text=&dir=&occ=first&cid=3513562

在本篇梳理的欧盟大事件中，这一条反而是最引发我关注和思考的。因为：我不同意！

首先介绍一下e-Privacy Directive第13（2）条的规定：

根据e-Privacy Directive第13（2）条，如果满足以下条件，则商家可以做直接营销（有关直接营销合规更全面的梳理→你可能不知道的 | 欧盟直接营销合规）：

(1)  营销对象的营销联系方式为企业向其销售产品或提供服务过程中获取的。

(2)  营销产品/服务需要与客户此前购买产品或服务具有相似性。

(3)  最初收集营销联系方式时客户已经知悉这个情况切且未明确反对。

(4) 客户每次接收信息时，都能够清晰、明确、、免费、简便地反对继续接收营销信息。

但是，除了上述条件外，我一直理解：直接营销从GDPR的视角上是一种个人数据处理活动。而任何个人数据处理活动都需要拥有合法性基础。从具体要求来看，满足了上述条件本质就能够达到GDPR规定的正当利益标准。因此，正当利益可以是直接营销数据处理的合法性基础——这在GDPR recital 47条写的很直白——二者构成了实践层面的“竞合”。

GDPR Recital 47: The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.

无论如何，既然是基于正当利益来处理个人数据，就需要满足构建正当利益的合规步骤，包括Ligitimate Interest Assessment（正当利益平衡测试，带报告的那种），而这就不是e-Privacy Directive的覆盖范围。

但是，CJEU的裁定却说：根据GDPR第95条，GDPR并未对自然人或法人在提供面向公众的电子通信服务、通过欧盟公共通信网络进行处理时额外施加义务；对于其已受e-Privacy Directive中规定的、具有相同目的的特定义务的方面，GDPR不再另行要求（判决书11段）。应当将两个规定相关条款结合解释为：当数据控制者使用用户的电子邮件地址向其发送未经请求的通信时，已经满足了e-Privacy Directive第13（2）条要求的，GDPR第6（1）条所列的数据处理合法性基础不适用（判决书64段）。

“不适用”与“竞合”就已经是完全不同的两套叙事了。我对“不适用”的结论有以下几点疑问：

第一，CJEU的裁定是否意味着EDPB正当利益指南（Guidelines 1/2024 on processing of personal data based on Article 6(1)(f)GDPR）中关于直接营销适用正当利益为合法性基础的小节就完全作废了？以及又该怎么理解GDPR recital 47呢？

第二，既然CJEU将95条解读为“GDPR与e-Privacy Directive存在either or的关系”，那么是否意味着满足了13（2）条要求的直接营销活动可以完全逃过GDPR的全部合规义务？

第三，既然CJEU将95条解读为“GDPR与e-Privacy Directive存在either or的关系”，那么理论上来说，这套逻辑应当适用e-Privacy Directive规定全部内容，自然也包括第5条cookies的相关要求了（有关直接营销合规更全面的梳理可以看这一篇→你可能不知道的 | Cookies合规要点。也就是说，只要cookies满足了e-Privacy Directive第5条的要求，就无需再考虑GDPR合规了？

虽然e-Privacy Directive近些年广受诟病，但我更希望看到两部法律的融合（也是本次欧盟立法改革的提案之一），而不是通过这样的先决裁定推翻此前的要求。

9月3日，欧盟普通法院对Latome案作出判决。

Philippe Latombe是一个法国国会议员，2025年他在欧盟普通法院起诉，要求撤销欧盟委员会对欧美数据隐私框架（Data Privacy Framework）的充分性决定——几乎是一个翻版的Schrems案。如果欧盟法院支持了他的诉请，那么美国费尽心力搭建的欧→美数据跨境通行证将再再再一次被摧毁。

在Latombe的诉状中，他重点挑战了（1）美国数据保护审查法院（DPRC）的独立性和公正性；以及（2）美国情报机构批量收集个人信息的正当性。这两个问题对于欧盟委员会审查中国法律环境也有很高的参考价值。

然而，欧盟普通法院并没有支持Latombe的观点，使得美国企业可以继续以来现行欧美数据隐私框架（EU-US Data Privacy Framework）传输数据。法院在判决中表示：

• 关于司法独立，由立法或行政机构任命法官本身并不损害其独立性。法院强调，DPRC法官是基于客观的专业标准任命的，在任期和免职方面享有保护，不受日常监管，且他们对美国的数据保护执法机构所作决定的审查具有终局性和约束力。

• 关于政府获取数据，美国法律不允许“大规模监控”（mass surveillance / collecte massive），而“批量收集”（la collecte en vrac）需要符合比例原则上。此外，法院认为，第14086号行政命令（欧盟据此作出充分性决定的核心依据）引入的保障措施对批量收集的范围和目的施加了“有意义的限制”。

总体而言，法院相当看重欧盟委员会提交纸本文件和保证，倾向于采信“纸面上的法律”（law on paper）而非深入审查实践中的执行情况（law in practice）。一旦制度性保障在文本上得以体现，法院似乎便推定其在实践中能够得到落实。

从这一点看，这对于TikTok跨境传输一案其实是利好的。因为欧盟委员会对美国和对中国在“政府访问、司法救济”上的标准是否一致将不可避免地被拿来对照（大哥不说二哥），TikTok 在后续的司法救济程序中也可能会引用欧盟法院在 Latombe 案中的论证路径。

不过，Latombe以及向CJEU提起上诉，我也非常期待CJEU尽快审理判决。无论结果如何，这个案子都能够为此后欧盟数据跨境的第三国法律环境评估提供重要参照。

除了以上新闻外，SRB案（一句话概括：个人数据相对匿名理论被CJEU所认可，利好所有企业）也很值得关注。这个案子我们播客小组可能（不保证，没录就当我没说）会录一期，可以期待哟~