跨境數據實務｜歐美數據跨境傳輸框架的法律博弈案例分析【走出去智庫】_風聞

走出去智庫（CGGT）觀察

9月3日，歐盟普通法院維持歐盟與美國達成的數據傳輸協議，駁回了法國議員菲利普·拉通貝對此提起的訴訟。拉通貝起訴稱該協議由於廣泛大量收集個人數據，未能充分保障對私人和家庭生活的尊重。

走出去智庫（CGGT）特約法律專家、鴻鵠律師事務所（Bird & Bird）合夥人龔鈺認為，歐盟委員會通過了對歐盟-美國數據隱私框架（EU-U.S. Data PrivacyFramework）的充分性認定，而且該框架是歐美達成的第三次數據傳輸協議，設置了兩層救濟機制。歐盟普通法院駁回拉通貝的主張，理由包括救濟機制有獨立性保障、數據收集受事後監督等，能夠保障從歐盟傳輸至美國的個人數據受到充分的保護。

歐盟法院為何駁回拉通貝的訴訟？今天，走出去智庫(CGGT)刊發鴻鵠律師事務所（Bird & Bird）龔鈺律師團隊的文章，供關注歐盟跨境數據監管的讀者參閲。

要點

1、獲得歐盟充分性認定的國家或地區有：安道爾、阿根廷、加拿大（商業組織）、法羅羣島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、韓國、瑞士、英國、烏拉圭和美國。

2、考慮到此前兩次宣告無效的前車之鑑，為促成歐盟-美國數據隱私框架，時任美國總統拜登專門發佈《關於加強美國信號情報活動保障措施的行政命令》對隱私盾框架下的救濟措施進行了改良，設立了獨立且有約束力的兩層救濟機制。

3、歐盟普通法院駁回了有關歐盟-美國數據隱私框架下的救濟機制DPRC不具有獨立性的主張。

正文

2025年9月3日，歐盟普通法院（General Court）發佈對 T-553/23 號案件拉通貝訴歐盟委員會（Latombe v Commission）的判決。

根據該判決，歐盟普通法院確認，在歐盟-美國數據隱私框架之下，美國為從歐盟傳輸至該國機構的個人數據提供了充分的保護水平。****

0****1

法律背景

根據歐盟《通用數據保護條例》（GDPR）對於個人數據跨境傳輸的有關規定，GDPR賦予歐盟委員會評估歐盟以外的國家或地區對個人數據的保護是否達到了和歐盟一樣同等且充分的保護水平、並做出充分性認定的權利。

目前，獲得歐盟充分性認定的國家或地區有：安道爾、阿根廷、加拿大（商業組織）、法羅羣島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、韓國、瑞士、英國、烏拉圭和美國（僅限於參與歐盟-美國數據隱私框架的商業實體）。

這也是我們常説的歐盟跨境傳輸白名單。如果將歐洲經濟區（EEA）內的個人數據傳輸至屬於白名單的國家/地區，企業無需專門針對該等數據跨境傳輸採取額外的保障措施，因為歐盟委員會認為這些白名單國家/地區能提供與GDPR同等的數據保護水平，對個人數據主體的保護水平並不會因為跨境傳輸而得以減損。

0****2

歐盟-美國數據隱私框架

2023年7月10日，歐盟委員會通過對歐盟-美國數據隱私框架（EU-U.S. Data PrivacyFramework）的充分性決定，認為美國在該框架下能夠為EEA至美國的數據傳輸提供與歐盟相當的充分保護水平。

由此，美國企業可以通過承諾履行一攬子隱私義務加入該框架，在該框架下將數據從EEA境內的實體傳輸至美國，而無需其他數據保障措施。

事實上，歐盟-美國數據隱私框架是歐盟和美國為解決數據傳輸問題而達成的第三次協議****。前兩次協議分別是2000年達成的安全港框架（U.S.-EU Safe Harbor Framework）和2016年達成的隱私盾框架（EU-U.S. Privacy Shield Framework），都被歐盟法院著名的Schrems系列案件宣佈無效，原因是美國沒有提供與歐盟相當的個人數據保護水平，而且美國的情報監視程序侵犯了歐盟公民的基本權利，而美國沒有為歐盟公民提供有效的司法救濟。

值得注意的是，考慮到此前兩次宣告無效的前車之鑑，為促成歐盟-美國數據隱私框架，時任美國總統拜登專門發佈《關於加強美國信號情報活動保障措施的行政命令》對隱私盾框架下的救濟措施進行了改良，設立了獨立且有約束力的兩層救濟機制，美國司法部長所指定的符合條件國家的公民可以通過本國的官方機構向美國提出關於情報機構的申訴：

第一級救濟機制：國家情報主任辦公室的公民自由保護官（CLPO）負責受理並初步審查情報活動中是否存在違規行為，以及在必要時對符合條件的申訴採取適當的救濟措施。

第二級救濟機制：若申訴人不接受CLPO審查的結果，可以向美國司法部設立的數據保護審查法庭（DPRC）對CLPO決定提起上訴。DPRC將有權進行調查，從情報機構獲得相關信息，審查CLPO所管轄違規行為的決定在法律上是否正確、是否有實質性證據支持，並能夠作出具有約束力的救濟決定；如果DPRC發現收集的數據違反了行政命令中規定的保障措施，DPRC將能夠下令刪除這些數據。

0****3

訴訟起因和爭議焦點

此次訴訟由法國公民菲利普・拉通貝（Philippe Latombe）發起，其個人數據被多個信息技術平台收集並傳輸至美國，因此請求歐盟普通法院撤銷歐盟委員會於2023年7月10日做出的對歐盟-美國數據隱私框架（EU-U.S. Data Privacy Framework）的充分性決定。

因此，訴訟的爭議焦點為：“歐盟-美國數據隱私框架”是否能否保障美國為從歐盟傳輸至該國機構的個人數據受到充分的保護水平？****

拉通貝先生主張該充分性決定應當被撤銷，原因在於：（1）歐盟-美國數據隱私框架下的救濟機制DPRC既不公正也不獨立，而是依附於行政部門；（2）美國情報機構在未獲得法院或獨立行政機關事先授權的情況下，對從歐盟傳輸過境的個人數據進行批量收集的做法，未以足夠清晰、精確的方式加以限定，因此該做法不具有合法性。

0****4

裁判要旨及未來走向

歐盟普通法院駁回了拉通貝先生所提出的訴訟主張。主要原因如下：

首先，普通法院駁回了有關歐盟-美國數據隱私框架下的救濟機制DPRC不具有獨立性的主張。****

關於DPRC，歐盟普通法院指出，從案卷材料中可明確，DPRC法官的任命及其運作設有多項保障措施與條件，以確保其成員的獨立性。此外，僅司法部長有權因法定事由免去DPRC法官的職務，且司法部長及情報機構不得妨礙或不當影響法官的工作。

歐盟普通法院還指出，根據歐盟委員會此前就歐盟-美國數據隱私框架作出的充分性決定，歐盟委員會必須持續監督該決定所依據的法律框架的適用情況。因此，若在充分性決定通過時美國有效的法律框架發生變化，委員會可在必要時決定暫停、修訂或廢除該充分性決定，或限制其適用範圍。

其次，歐盟普通法院駁回了有關個人數據批量收集的主張，並據此全面駁回了該項訴訟：

關於個人數據批量收集問題，歐盟普通法院指出，Schrems II案的判決中並無任何內容表明此類收集必須獲得獨立機構的事先授權；相反，從該判決中可明確，授權此類收集的決定至少必須接受事後司法審查。

在本案中，案卷材料顯示，根據美國法律，美國情報機構開展的信號情報活動須接受DPRC的事後司法監督。因此，普通法院認定，不能認為美國情報機構對個人數據的批量收集未達到Schrems II案就此規定的要求，也不能認為美國法律未能確保提供與歐盟法律所保障的實質等同的法律保護水平。

但是，值得注意的是，歐盟目前現行的司法體系主要由歐洲法院（Court of Justice）和普通法院（General Court）兩層法院構成。歐洲法院為歐盟的最高法院，掌理一般案件的法律審上訴，以及特殊案件的初審。

目前對於歐盟-美國數據隱私框架的有效性認定的判決僅由歐盟普通法院做出，當事人可在普通法院的判決通知之日起2個月10天內，就法律爭議問題向歐洲法院提起上訴。

來源：愚公法律評論(龔鈺律師團隊微信公眾號)