1. 概述
2025年9月3日,欧盟普通法院(第十扩展法庭)就案件 T-553/23 作出具有里程碑意义的判决:裁定驳回了法国国会议员菲利普·拉通布(Philippe Latombe)对欧盟委员会 2023年7月10日有关“欧盟——美国数据保护框架”(Data Privacy Framework, DPF)的“决定(执行决定 (UE) 2023/1795)”的撤销请求。法院认为,尽管美国情报机构可能存在“海量收集”个人数据的可能性,但在相关认证和监督机制下,该框架仍可被视为与欧盟《通用数据保护条例》(GDPR)及《基本权利宪章》提供的保护水平“实质等同”。该判决对未来跨境数据传输机制中的合规性评估与法律标准具有深远意义。
2.欧盟—美国数据跨境背景
“安全港”(Safe Harbor)机制废除
2015年,在 Schrems I 案(C-362/14)中,欧盟法院认定美国“安全港”机制未能为欧盟公民提供实质等同的隐私保护,从而宣布其无效。
“隐私护盾”(Privacy Shield)机制继而废除
2020年,在 Schrems II 案(C-311/18),欧盟法院再次裁定“隐私护盾”机制不足以保障同等的权利保护,也因此被宣告无效。
这两次裁定迫使欧盟与美国重新协商数据传输框架,督促美国从法律结构上加强对欧盟公民数据流动的保护。
3.新框架——“欧盟–美国数据保护框架(DPF)”
美国 E.O. 14086 执行令
为回应上述裁定,美国于 2022 年10月7日签署行政令 E.O. 14086,提高情报收集活动的数据保护水平,尤其强调针对海量数据收集的限制,并在多个环节予以法律约束。
欧盟委员会的“决定”
根据 GDPR 第45条第3项,欧盟委员会于 2023年7月10日发布执行决定,正式认定美国 DPF 框架下的数据保护级别“适当”,允许数据在欧盟与挂牌参与该框架的美国实体之间合法流动
4.拉通布提出诉讼的核心争议
是否存在未经司法授权的海量收集?
原告质疑美国情报机构是否仍具备在未经司法或行政授权的情况下进行海量数据收集的权力,从而侵犯欧盟公民的基本权利(第7、8条宪章权利)。
缺乏“事前授权”是否构成缺陷?
原告认为,缺乏“事前司法/行政授权”机制使得 DPF 框架无法确保等同保护。
美国总统秘密更新收集目标是否透明?
由于 E.O. 14086 赋予总统秘密更新海量收集目标的权力,原告认为,这种不透明做法无法满足欧盟对数据保护的透明性要求。
5.案件结果和意义
法院最终驳回了拉通布的诉讼请求,确认欧盟委员会的决定有效。判决指出,美国虽然允许在特殊情况下进行海量数据收集,但行政令已明确要求优先采用有针对性方式,并为例外情形设置了严格条件。此外,美国建立了事后司法监督机制,欧盟公民可以通过 DPRC 获得有效救济。法院认为,缺少“事前授权”并不必然导致保护水平失衡,整体框架仍可被视为满足“实质等同”标准。至于总统更新收集目标的机制,法院认为并未破坏框架的透明性和可预见性。
这份判决具有多重意义。首先,它为跨大西洋数据流动注入了法律确定性,避免了企业在合规操作上的反复不安。其次,法院在标准上展现出一定的灵活性,即不要求美国制度与欧盟完全一致,而是通过综合考量监督、限制和救济机制来认定保护等同。这种思路也为欧盟与其他第三国未来的数据传输安排提供了参照。最后,该判决再次强调了个人数据保护与国家安全之间的平衡,确认了通过制度设计和监督机制,可以在尊重隐私权的同时保障公共安全。