从Uber天价罚单切入：拆解GDPR管辖逻辑，兼谈我国数据跨境合规启示

近期欧盟数据合规领域的Uber 天价罚单事件引发广泛关注：2024 年 8 月，荷兰数据保护局对 Uber 两家关联公司处以 2.9 亿欧元巨额罚款，核心争议围绕数据跨境传输展开。这起典型执法案例，暴露出欧盟《通用数据保护条例》（GDPR）中两大核心条款的适用争议 ——效力范围条款（第 3 条）与数据跨境转移条款（第五章）。

本文结合《欧盟数据跨境的司法检视与中国镜鉴》一文，用通俗语言梳理两大条款的联动规则、典型场景，并结合欧盟司法实践，为我国出海企业数据合规提供参考。

一、案例引子：一张 2.9 亿欧元罚单背后的规则博弈

Uber 在欧洲经济区设有荷兰子公司 UBV，美国总部为 UTI，两家企业共同处理欧洲司机的个人数据（账号、证件、位置、支付信息等）。双方签署数据共享协议并一度使用欧盟标准合同条款（SCCs）作为合规依据。

2021 年欧盟更新标准合同条款后，Uber 未及时替换新版规则，直到 2023 年才加入欧美新数据框架。荷兰数据保护局据此认定：2021—2023 年期间，Uber 将欧盟用户数据传输至美国总部，未满足 GDPR 跨境传输的合规要求，违反数据保护规则，开出重罚。

而 Uber 提出抗辩：公司数据处理仅受 GDPR 效力范围条款约束，双方属于联合数据控制者，并不构成法律意义上的 “数据跨境转移”，无需适用第五章跨境规则。

这场拉锯的本质，直指 GDPR 长久以来的法律空白：企业落入 GDPR 管辖范围后，何时需要额外遵守数据跨境转移条款？ 两大条款是相互排斥，还是联动适用？这也是本篇论文重点解答的核心问题。

二、核心概念：先读懂 GDPR 两大关键条款

在分析规则逻辑前，先明确两个基础法条的核心内涵，这是理解所有场景的前提。

1. GDPR 第 3 条：效力范围（域外管辖规则）

这是 GDPR 著名的长臂管辖条款，划定条例的适用边界，满足任一情形，企业数据处理行为就受 GDPR 约束：

1. 设立机构标准：在欧盟境内设立公司、分支机构，无论数据是否在欧盟内部处理，均受管辖；
2. 目标指向标准：企业注册在欧盟境外，但专门向欧盟居民提供商品 / 服务，或监控欧盟用户行为，同样受管辖；
3. 国际公法标准：基于国际公法，欧盟驻外使领馆等机构的数据处理行为。

简单理解：只要业务触达欧盟用户，绝大多数跨国企业都会被纳入 GDPR 管辖。

2. GDPR 第五章：数据跨境转移条款（第 44-50 条）

专门规制欧盟个人数据向第三国 / 国际组织传输的行为，也是本次 Uber 被罚的直接依据。 核心合规工具包括：欧盟对第三国的充分性认定、标准合同条款（SCCs）、约束性公司规则（BCRs）等；同时划定例外情形，仅在特殊条件下可豁免合规要求。 该条款的核心目标：确保数据出境后，接收方的保护水平不低于欧盟本土标准。

三、核心逻辑：两大条款的两种适用场景

论文结合欧洲数据保护委员会（EDPB）官方指南，厘清了两大条款并非二选一，而是递进联动的关系：先判断是否落入 GDPR 管辖（第 3 条），再区分是否构成数据跨境转移，进而决定是否启用第五章规则。

场景一：受 GDPR 管辖，但不构成数据跨境转移 → 仅适用通用规则

企业行为满足第 3 条效力范围要求，但没有将欧盟数据传输至境外第三方，此时第五章跨境转移条款自动 “休眠”，企业只需遵守 GDPR 基础数据处理规则。 典型案例：

1. 欧盟本土公司内部流转用户数据，全程未出境；
2. 欧盟用户直接向境外平台提交个人信息：用户本人不是 “数据输出方”，平台虽受 GDPR 管辖，但不认定为跨境转移；
3. 欧盟企业员工赴境外出差，内部访问公司数据，数据未对外披露。

这类场景下，企业仍需履行数据保密、加密、风险评估等基础义务，只是无需额外满足跨境传输的特殊合规要求。

场景二：受 GDPR 管辖，且构成数据跨境转移 → 两大条款联动适用

这是跨境企业最常遇到的情形：行为落入第 3 条管辖范围，同时存在数据输出方向境外接收方传输欧盟个人数据，此时必须叠加适用第五章跨境转移规则。

结合实务，主要分为几大类典型情形：

1. 欧盟企业直接向境外传输数据。欧盟境内的数据控制者 / 处理者，主动将用户数据发送给境外合作方、母公司、外包服务商，明确构成跨境转移，必须使用 SCCs、充分性认定等合规工具。
2. 境外合作方二次转递数据。境外平台收集欧盟用户数据后，再委托其他境外机构处理数据，二次传输行为同样触发跨境规则。
3. 境外司法 / 监管机构调取数据。欧盟企业收到第三国官方的数据访问请求，并对外提供数据，属于跨境转移；除非存在国际司法协助等合法协定，否则违规风险极高。

回到 Uber 案的核心判定

荷兰监管机构对 “数据输出方” 作出扩大解释：认定荷兰子公司 UBV 实际掌控欧盟司机数据，属于法定数据输出方，向美国总部传输数据的行为，完全构成跨境转移。 而 Uber 主张的 “联合控制者不构成跨境” 未被采纳，加之过渡期内未更新合规条款、无法适用例外规则，最终被罚。这也体现出欧盟监管的核心倾向：从严认定数据跨境行为，收紧例外条款适用空间。

四、规则总结：GDPR 条款联动的底层逻辑

综合论文分析，GDPR 第 3 条与第五章形成一套层层设防的保护体系，核心目标是维持欧盟统一的数据保护水准：

1. 第一步：以第 3 条划定管辖边界，所有触达欧盟用户的企业，都必须遵守基础数据保护规则，守住第一道防线；
2. 第二步：若数据仅在欧盟内部流转，维持基础保护标准即可；
3. 第三步：一旦数据流向第三国，立即启动第五章专项规则，通过强制合规工具，避免数据出境后保护标准下降。

两大条款相辅相成，而非相互排斥。欧盟也通过执法裁量、官方指南不断细化标准，扩大跨境行为的认定范围，压缩企业合规漏洞。

五、镜鉴思考：对我国数据立法与出海企业的启示

GDPR 这套成熟的条款联动机制，对我国《个人信息保护法》的完善、以及出海中资企业的合规工作，具备极高参考价值，主要分为制度建设和企业实操两大维度。

（一）制度层面：完善我国个人信息跨境规则

我国《个人信息保护法》第 3 条规定了效力范围，第三章专门规范个人信息跨境传输，框架与 GDPR 相近，但目前存在规则衔接模糊、配套文件层级偏低等问题。

1. 打通法条逻辑，出台司法解释。明确《个人信息保护法》“效力范围条款” 与 “跨境传输条款” 的适用顺位：参照 GDPR 模式，先判断是否受本法管辖，再区分是否构成信息跨境，清晰界定 “信息输出方”“接收方” 的认定标准，统一司法裁判尺度。
2. 提升跨境工具的法律效力。目前我国数据出境安全评估、标准合同、个人信息保护认证等规则，多为部门规章，法律效力有限。建议整合规则，出台高位阶行政法规，将核心流程、硬性要求纳入正式法律条文，提升规则权威性与司法适用性。
3. 细化例外条款适用标准。参考欧盟从严态度，明确跨境传输豁免情形的适用条件，防止企业滥用例外规则规避合规义务。

（二）企业层面：中资出海数据合规实操建议

大量中国跨境电商、互联网、出行、科技企业布局欧洲市场，结合本次 Uber 案例与 GDPR 规则，给出落地合规建议：

1. 前置研判，梳理数据流向。全面排查企业架构：区分欧盟子公司、境外总部、第三方服务商之间的数据流转路径，提前识别是否存在跨境传输行为，从源头规避风险。
2. 严格使用合规工具。目前中国尚未获得欧盟 “充分性认定”，企业开展数据跨境时，必须签署欧盟标准合同条款（SCCs），并及时跟进条款更新，避免像 Uber 一样因版本滞后被罚。同时可搭建约束性公司规则（BCRs），适配集团内部数据流转。
3. 谨慎应对境外数据调取。若收到欧盟以外国家 / 地区的司法、监管数据请求，不得随意传输，优先核查是否存在双边司法协助协定，必要时寻求法律支持。
4. 减少抗辩依赖，主动合规。欧盟对 “跨境例外条款” 采取严格解释，企业试图以 “联合控制者”“合同必要” 等理由抗辩，成功率极低。与其事后应诉，不如在数据传输前完成全流程合规。

六、写在最后

Uber 2.9 亿欧元的天价罚单，不是个例，而是欧盟数据监管常态化的缩影。GDPR 通过 “效力范围 + 跨境转移” 两大条款的联动，构建起一套严密的数据保护网络，既维护欧盟居民个人权益，也形成了全球数字贸易的规则壁垒。

对于我国而言，一方面要吸收欧盟立法经验，补齐个人信息跨境规则的短板，让国内数据治理体系更加体系化、精细化；另一方面，走向海外的中国企业必须摒弃侥幸心理，吃透当地数据法规。

数据跨境已是数字时代的常态，规则越来越完善、监管越来越严格是大势所趋。读懂 GDPR 的底层逻辑，既是应对海外合规风险的必修课，也能反向推动我国数据法治不断成熟。

引文：【澳门法学】2025年第4期，《欧盟数据跨境的司法检视与中国镜鉴》，作者紀正坦，西南政法大學