欧盟法院裁决GDPR反滥诉：中国出海企业合规压力骤增

欧盟法院一纸裁决，为GDPR（《通用数据保护条例》）下的数据主体访问权（DSAR）滥用问题划下关键界限，直接冲击在欧运营的中国企业。2026年3月19日，欧盟法院就德国眼镜店Brillen Rottler诉个人TC一案作出初步裁决，核心在于澄清企业何时可以拒绝“过度”或“无根据”的数据访问请求。裁决确认，GDPR赋予的权利并非绝对，企业的数据监管人员有权在特定情况下拒绝配合。这标志着欧盟司法机构正试图在个人数据权利保护与企业实际运营负担之间寻求新的平衡点，对依赖欧洲市场的中国互联网平台、电商及智能硬件制造商而言，其合规与风险管理策略面临重大且现实的调整压力。

本案源于一起具体纠纷。原告Brillen Rottler是一家德国眼镜店，其指控个人TC在订阅其新闻通讯后一个月内即提出数据访问请求，并依据GDPR第12条第5款，以该请求“明显缺乏依据或过度”为由拒绝配合。TC则提出异议并要求1000欧元赔偿。欧盟法院的裁决要点有三：首先，数据保护非绝对权利，企业可援引第12条第5款拒绝请求，但门槛极高，监管机构强调此类拒绝应“非常少见”。其次，即使是首次提出的数据访问请求，也可能因“质量”问题（如存在滥用意图）而被认定为“过度”，打破了“过度”仅指“重复请求”的固有认知。最后，判断的关键在于请求是否构成“权利滥用”，核心标准是请求者的意图，而非单纯请求次数。

这项裁决为中国出海企业提供了明确的司法指引，也带来了更复杂的合规挑战。企业未来在处理DSAR时，必须更审慎地评估请求背景与意图，并准备充分的证据以证明“滥用”或“过度”的存在，方能合法拒绝。这要求企业完善内部数据治理流程，提升举证能力。同时，裁决也可能抑制部分以骚扰或施压为目的的DSAR滥诉行为，为企业减轻一定的运营负担。然而，如何在保护用户正当权利与防范权利滥用之间精准拿捏，避免因不当拒绝而招致监管处罚或诉讼风险，将成为中国企业在欧洲数据合规战场上的新考题。