2025年9月3日,欧盟普通法院(European General Court)在法国议员 Philippe Latombe 诉欧盟委员会一案中,驳回了废除欧盟–美国数据隐私框架(EU-US DPF)充分性决定的诉求,确认该框架事实和法律上的有效性。这是继安全港(Safe Harbour)与隐私盾(Privacy Shield)相继被欧盟法院判无效后,欧美跨境数据传输机制首次通过司法审查。但普通法院仅为一审,上诉须在两个月零十天内提交至欧盟法院(CJEU),企业不宜将 DPF 当作唯一合规路径。
TL;DR
欧美数据传输机制历经两次司法否决。2015年,欧盟法院在 Schrems I 案中宣布 2000年安全港决定无效;2020年 Schrems II 案又推翻了隐私盾,同时确认标准合同条款(SCC)仍有效,但基于 SCC 的传输需采取补充措施,各公司因此开始做数据传输影响评估(DTIA)。为填补空白,美国总统拜登 2022年10月签署第 14086 号行政令,设立 DPRC 等制度,回应 Schrems II 对美国公权力访问缺乏独立监督与救济的担忧;欧盟委员会于 2023年7月10日发布 DPF 充分性决定(见7月10日生效!欧盟–美国数据隐私框架发布)。Latombe 案是这一框架首次经受住司法审查。
法院的论证围绕 DPRC 独立性、批量收集与“实质等同”标准展开:
判决为欧美传输提供了阶段性稳定,但留下两点不确定:一是本案可上诉至 CJEU;二是委员会已明确保留定期审查和随时暂停 DPF 的权力,充分性决定并非一劳永逸。历史上依赖单一机制的企业已付出代价,如 Meta 因 SCC 传输被认定不足遭巨额罚款(见Meta 数据隐私案:数据跨境合规新考量),瑞典企业也曾因使用 Google Analytics 向美国传输数据被罚(见瑞典企业被罚千万)。
企业开展传输时,应结合数据传输影响评估验证传输模式是否触及高风险情报获取场景,并依据 GDPR 第 46 条准备 SCC、BCR 等备用工具,而非把 DPF 视为唯一路径。撰写和维护跨境传输文件的实务方法可参考数据跨境企业隐私合规的重要一环。