
文/顾宜飒律师
2026年4月1日,知名打车软件Yango的欧洲运营公司MLU B.V.被荷兰、芬兰、挪威三国监管联合处以1亿欧元(折合人民币约8.01亿元)罚款,并被禁止继续向俄罗斯传输芬兰、挪威用户的个人数据。
Q1:MLU B.V.已采用SCCs和加密措施,且已经提前半年停止芬兰和挪威的运营,为何仍难逃三国巨额处罚?
Q2: 荷兰、芬兰、挪威三国是各自处罚还是联合叠加处罚?
Q3: 这一案例对布局欧盟多国的中国出海企业,又能带来哪些合规警示?
一、关于Yango与MLU B.V.
Yango是俄罗斯知名科技巨头Yandex集团旗下的子公司,目前已在全球超过30个国家和地区开展网约车服务。
2018年,Yango正式进入芬兰市场,随后在2021年又进一步拓展至挪威市场。Yango通过“乘客端”(Yango for users)与“司机端”(Yango Pro for drivers)两款应用,搭建起乘客与司机之间的打车服务桥梁。
在此过程中,该平台收集了海量乘客及司机的个人信息,其中不乏高敏感数据,具体包括身份证明文件、联系地址及方式、银行账户信息、精准地理位置与行程轨迹、应用内通信记录等。
而Yango在欧盟的全部数据相关业务,均由总部设于荷兰的MLU B.V.公司全权负责。
作为Yandex集团的重要组成部分,MLU B.V.承担着Yango在EEA内的用户数据处理工作,同时肩负着相应的数据合规责任。

二、案件查办时间线
由于外界一直对Yango如何处理芬兰和挪威两国乘客及司机的大量敏感个人信息存在担忧,
· 2023年,由荷兰数据保护局(AP)牵头,联合芬兰、挪威两国数据保护机构,依据GDPR“一站式机制”(OSS)正式启动本案调查;
· 2025年10月,Yango宣布已停止在芬兰和挪威的运营;
· 2026年4月1日,AP作出正式处罚决定,具体内容包括1亿欧元罚款,以及责令MLU B.V.立即终止向俄罗斯传输所有与欧洲Yango用户相关的个人数据;
· 2026年5月8日,AP对外公示该处罚结果。
监管机构认定其违规的核心原因是:MLU B.V.长期将芬兰、挪威用户的敏感个人数据(含位置轨迹、身份证件、行程记录、银行账户等)传输至俄罗斯境内关联主体,且未能提供符合GDPR要求的充分数据保护保障,无法排除俄罗斯当局获取相关数据的可能性,已构成对欧盟数据保护规则的严重违反。


三、监管重罚原因
1. SCCs的模块选择偏差,导致其不具备法律约束力
MLU B.V.在向俄罗斯关联主体传输数据时,虽然形式上签署了SCCs,但选用的是适用于“数据控制者—数据处理者”关系的模块,但AP经核查认定,接收数据的俄罗斯关联主体本质上属于数据“共同控制者(joint controller)”,应适用“数据控制者—数据控制者”关系的模块。
因为两者所需的合规保障标准存在明显差异,因此这一偏差直接致使整套SCCs失去法律效力。
【根据欧盟GDPR第4条第7款和第8款:数据“控制者(Controller)”,指单独或与他人共同决定个人数据处理目的(purpose)和方式(means)的主体,属于决策者。数据“处理者(Processor)”,指代表控制者处理个人数据的主体,属于执行者。】
2. 技术与组织措施存在的明显漏洞,致使数据面临重识别及违规访问风险
MLU B.V.虽然采取了数据假名化和加密措施,但根据GDPR第32条的要求,在“技术与组织措施(TOMs)”上仍存在明显漏洞,具体体现在:
其一,加密密钥曾经被存储于俄罗斯境内服务器,直接提升了数据被重识别的风险;
其二,同一人员同时担任荷兰实体与俄罗斯实体的董事,导致实际操作中无法形成有效的访问权限隔离,加密措施流于形式,无法发挥实质保护作用。
3.业务停止运营不等于数据传输终止,线上APP未下架仍构成违规
AP明确指出,尽管Yango已终止在芬兰、挪威的业务运营,但其线上应用程序仍可在两国应用商店下载使用,这意味着数据传输行为仍有可能持续发生。仅停止业务运营,未彻底切断数据流动链条(包括下架相关APP、关闭数据收集与传输接口等),仍会被监管机构认定为违规行为。
4.无法证明俄罗斯法律环境能提供实质同等水平的数据保护
根据俄罗斯现行法律,其情报机构FSB拥有广泛的数据访问权限,而MLU B.V.不仅无法通过技术和法律手段实质性阻断此类访问,更无法提供有效证据证明俄罗斯整体法律环境能达到与欧盟“实质同等”的数据保护水平。
5.欧盟多国违规情节叠加推高处罚力度
本案中,AP作为牵头方,芬兰、挪威两国数据保护机构深度参与调查工作,实现了调查信息与证据的互通共享,对Yango在芬兰、挪威两国的违规行为进行认定,并予以叠加考量。
由于Yango的违规行为同时涉及欧盟多个国家,影响范围广泛、违规性质恶劣,并非简单的协调机制,而是能够形成多边协同的执法合力(欧盟GDPR“一站式机制”OSS)。三国监管机构联合作出处罚决定,最终处以1亿欧元的巨额罚款。


四、启示
回归文章开头提出的问题,中国与俄罗斯一样,均未被纳入GDPR充分性认定名单。尤其对于涉足出行、医疗、玩具等领域的中国企业而言,其业务往往涉及大量高敏感个人数据(如行程轨迹、患者病历、未成年人个人信息等)。因此,本案对于布局欧盟的中国出海企业具有重要的警示意义。
一、重视SCCs的合规修正
作为企业跨境数据传输最主流的合规手段,SCCs 曾被视为 “一站式解决方案”,但早在 2020 年的 Schrems II 案中,欧盟法院就已推翻了这一认知:仅仅签署 SCCs 不能自动豁免企业的合规义务,企业仍需完成TIA并采取安全补充措施。
而本案则进一步明确,SCCs 的有效性不仅取决于模块选型与实际法律关系的匹配度,还依赖于技术与组织措施TOMs的实质落地。
二、重视所有数据传输通道的关闭
停止运营不等同于停止传输数据,企业的数据合规义务是贯穿数据全生命周期的,停止运营的同时要完成线上app的下架、数据接口的通道关闭等。
三、重视接收国的数据保护水平
欧洲监管实践已经将数据接收国的法律环境审查置于一个不可或缺的重要位置。审查力度将直接穿透企业自身合规操作,将接收国能否提供实质同等的数据保护水平纳入合规评估范畴。
这意味着,即便企业在技术上做到了极致,但如果数据接收国的机构存在法律层面的数据强制访问权限,而企业又无法同时在技术和法律层面彻底阻断此类访问的可能性,数据跨境传输仍可能面临违规处罚。
四、重视多国联合执法的趋势
如果业务涉及欧盟多个国家,多个国家往往会互通信息、联合调查,形成多边协同的执法合力。
对于在欧盟多国有业务布局的跨国企业而言,欧盟GDPR“一站式机制”联合执法意味着不仅无法通过“不同国家不同策略”的方式规避GDPR合规要求,而且违规后果往往是叠加计算的。
作者介绍:

顾宜飒律师
上海市汇业律师事务所
yisa.gu@huiyelaw.com
华东政法大学硕士毕业,专注于AI与数据合规,拥有丰富的出海合规实务经验,擅长结合监管规则与企业业务场景,提供可落地的AI与数据合规解决方案,助力中国企业合规出海、稳健发展。

特别声明:
本文仅代表作者本人观点,不代表作者所在律所及其他律师出具的任何形式之法律意见或建议。如需转载,请联系作者获取授权,并于转载时注明作者姓名及原文来源。未经作者书面授权,不得转载或使用本文任何内容(含文字、图片等)。如您有意就相关议题进一步交流探讨,欢迎与作者联系。
✨
夜雨聆风