跨境数据实务｜欧美数据跨境传输框架的法律博弈案例分析【走出去智库】

走出去智库（CGGT）观察

9月3日，欧盟普通法院维持欧盟与美国达成的数据传输协议，驳回了法国议员菲利普·拉通贝对此提起的诉讼。拉通贝起诉称该协议由于广泛大量收集个人数据，未能充分保障对私人和家庭生活的尊重。

走出去智库（CGGT）特约法律专家、鸿鹄律师事务所（Bird & Bird）合伙人龚钰认为，欧盟委员会通过了对欧盟-美国数据隐私框架（EU-U.S. Data PrivacyFramework）的充分性认定，而且该框架是欧美达成的第三次数据传输协议，设置了两层救济机制。欧盟普通法院驳回拉通贝的主张，理由包括救济机制有独立性保障、数据收集受事后监督等，能够保障从欧盟传输至美国的个人数据受到充分的保护。

欧盟法院为何驳回拉通贝的诉讼？今天，走出去智库(CGGT)刊发鸿鹄律师事务所（Bird & Bird）龚钰律师团队的文章，供关注欧盟跨境数据监管的读者参阅。

要点

1、获得欧盟充分性认定的国家或地区有：安道尔、阿根廷、加拿大（商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、乌拉圭和美国。

2、考虑到此前两次宣告无效的前车之鉴，为促成欧盟-美国数据隐私框架，时任美国总统拜登专门发布《关于加强美国信号情报活动保障措施的行政命令》对隐私盾框架下的救济措施进行了改良，设立了独立且有约束力的两层救济机制。

3、欧盟普通法院驳回了有关欧盟-美国数据隐私框架下的救济机制DPRC不具有独立性的主张。

正文

2025年9月3日，欧盟普通法院（General Court）发布对 T-553/23 号案件拉通贝诉欧盟委员会（Latombe v Commission）的判决。

根据该判决，欧盟普通法院确认，在欧盟-美国数据隐私框架之下，美国为从欧盟传输至该国机构的个人数据提供了充分的保护水平。

01

法律背景

根据欧盟《通用数据保护条例》（GDPR）对于个人数据跨境传输的有关规定，GDPR赋予欧盟委员会评估欧盟以外的国家或地区对个人数据的保护是否达到了和欧盟一样同等且充分的保护水平、并做出充分性认定的权利。

目前，获得欧盟充分性认定的国家或地区有：安道尔、阿根廷、加拿大（商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、乌拉圭和美国（仅限于参与欧盟-美国数据隐私框架的商业实体）。

这也是我们常说的欧盟跨境传输白名单。如果将欧洲经济区（EEA）内的个人数据传输至属于白名单的国家/地区，企业无需专门针对该等数据跨境传输采取额外的保障措施，因为欧盟委员会认为这些白名单国家/地区能提供与GDPR同等的数据保护水平，对个人数据主体的保护水平并不会因为跨境传输而得以减损。

02

欧盟-美国数据隐私框架

2023年7月10日，欧盟委员会通过对欧盟-美国数据隐私框架（EU-U.S. Data PrivacyFramework）的充分性决定，认为美国在该框架下能够为EEA至美国的数据传输提供与欧盟相当的充分保护水平。

由此，美国企业可以通过承诺履行一揽子隐私义务加入该框架，在该框架下将数据从EEA境内的实体传输至美国，而无需其他数据保障措施。

事实上，欧盟-美国数据隐私框架是欧盟和美国为解决数据传输问题而达成的第三次协议。前两次协议分别是2000年达成的安全港框架（U.S.-EU Safe Harbor Framework）和2016年达成的隐私盾框架（EU-U.S. Privacy Shield Framework），都被欧盟法院著名的Schrems系列案件宣布无效，原因是美国没有提供与欧盟相当的个人数据保护水平，而且美国的情报监视程序侵犯了欧盟公民的基本权利，而美国没有为欧盟公民提供有效的司法救济。

值得注意的是，考虑到此前两次宣告无效的前车之鉴，为促成欧盟-美国数据隐私框架，时任美国总统拜登专门发布《关于加强美国信号情报活动保障措施的行政命令》对隐私盾框架下的救济措施进行了改良，设立了独立且有约束力的两层救济机制，美国司法部长所指定的符合条件国家的公民可以通过本国的官方机构向美国提出关于情报机构的申诉：

第一级救济机制：国家情报主任办公室的公民自由保护官（CLPO）负责受理并初步审查情报活动中是否存在违规行为，以及在必要时对符合条件的申诉采取适当的救济措施。

第二级救济机制：若申诉人不接受CLPO审查的结果，可以向美国司法部设立的数据保护审查法庭（DPRC）对CLPO决定提起上诉。DPRC将有权进行调查，从情报机构获得相关信息，审查CLPO所管辖违规行为的决定在法律上是否正确、是否有实质性证据支持，并能够作出具有约束力的救济决定；如果DPRC发现收集的数据违反了行政命令中规定的保障措施，DPRC将能够下令删除这些数据。

03

诉讼起因和争议焦点

此次诉讼由法国公民菲利普・拉通贝（Philippe Latombe）发起，其个人数据被多个信息技术平台收集并传输至美国，因此请求欧盟普通法院撤销欧盟委员会于2023年7月10日做出的对欧盟-美国数据隐私框架（EU-U.S. Data Privacy Framework）的充分性决定。

因此，诉讼的争议焦点为：“欧盟-美国数据隐私框架”是否能否保障美国为从欧盟传输至该国机构的个人数据受到充分的保护水平？

拉通贝先生主张该充分性决定应当被撤销，原因在于：（1）欧盟-美国数据隐私框架下的救济机制DPRC既不公正也不独立，而是依附于行政部门；（2）美国情报机构在未获得法院或独立行政机关事先授权的情况下，对从欧盟传输过境的个人数据进行批量收集的做法，未以足够清晰、精确的方式加以限定，因此该做法不具有合法性。

04

裁判要旨及未来走向

欧盟普通法院驳回了拉通贝先生所提出的诉讼主张。主要原因如下：

首先，普通法院驳回了有关欧盟-美国数据隐私框架下的救济机制DPRC不具有独立性的主张。

关于DPRC，欧盟普通法院指出，从案卷材料中可明确，DPRC法官的任命及其运作设有多项保障措施与条件，以确保其成员的独立性。此外，仅司法部长有权因法定事由免去DPRC法官的职务，且司法部长及情报机构不得妨碍或不当影响法官的工作。

欧盟普通法院还指出，根据欧盟委员会此前就欧盟-美国数据隐私框架作出的充分性决定，欧盟委员会必须持续监督该决定所依据的法律框架的适用情况。因此，若在充分性决定通过时美国有效的法律框架发生变化，委员会可在必要时决定暂停、修订或废除该充分性决定，或限制其适用范围。

其次，欧盟普通法院驳回了有关个人数据批量收集的主张，并据此全面驳回了该项诉讼：

关于个人数据批量收集问题，欧盟普通法院指出，Schrems II案的判决中并无任何内容表明此类收集必须获得独立机构的事先授权；相反，从该判决中可明确，授权此类收集的决定至少必须接受事后司法审查。

在本案中，案卷材料显示，根据美国法律，美国情报机构开展的信号情报活动须接受DPRC的事后司法监督。因此，普通法院认定，不能认为美国情报机构对个人数据的批量收集未达到Schrems II案就此规定的要求，也不能认为美国法律未能确保提供与欧盟法律所保障的实质等同的法律保护水平。

但是，值得注意的是，欧盟目前现行的司法体系主要由欧洲法院（Court of Justice）和普通法院（General Court）两层法院构成。欧洲法院为欧盟的最高法院，掌理一般案件的法律审上诉，以及特殊案件的初审。

目前对于欧盟-美国数据隐私框架的有效性认定的判决仅由欧盟普通法院做出，当事人可在普通法院的判决通知之日起2个月10天内，就法律争议问题向欧洲法院提起上诉。

来源：愚公法律评论(龚钰律师团队微信公众号)