2026年3月19日，欧盟法院就Brillen Rottler诉TC案作出初步裁决，对《通用数据保护条例》（GDPR）中数据主体访问权（DSAR）的滥用、过度请求的认定以及损害赔偿要件等关键问题进行了澄清。

这项欧盟法院的裁决确认了，企业的数据监管人员拥有拒绝数据主体的权利。与其他欧盟权利一样，GDPR规定的权利也不能被滥用。

这项裁决是在数据主体权利保护与企业运营负担之间寻求新平衡的重要司法尝试。对中国在欧盟运营或面向欧盟用户的企业（尤其是互联网平台、电商、智能硬件制造商等）具有重大且现实的合规与风险管理意义。

一、判决要点：数据主体访问请求（DSAR）如何过度？

该案的原告Brillen Rottler是一家位于德国的家族式眼镜店，2023年向德国法院提起诉讼，声称这位被称为 TC 的个人在通过 Brillen Rottler 的网站注册订阅其新闻通讯后一个月内，就向该公司发送了数据主体访问请求。Brillen Rottler并援引《通用数据保护条例》（GDPR）第12条第5款，声称该DSAR明显缺乏依据或过度，因此拒绝配合。TC就此提出异议及1000欧元赔偿。双方各执己见，当地法院于是将若干问题提交给了欧盟法院。

该判决的核心裁决要点如下：

1、数据保护非绝对权利

法院认为，数据保护并非绝对权利，第12条第5款允许控制者在数据主体访问请求明显无根据或过度的情况下拒绝该请求，这表明数据主体访问请求并非凌驾于所有情况之上的绝对权利。在某些情况下，请求者的行为足以构成控制者拒绝其数据主体访问请求的理由。

然而，依赖第12(5)条并非易事，因为监管机构强调了其高门槛要求。爱尔兰数据保护委员会曾指出，“数据控制者以此为由拒绝请求的情况应该非常少见。”

2、首次访问请求也可构成“过度请求”

在考虑一次性数据主体访问请求（DSAR）是否构成过度请求时，欧盟法院采纳了总检察长的意见，认为第12条第5款仅将重复请求作为过度请求的一种示例。因此，表面上没有任何条款表明首次数据主体访问请求不能被视为“过度”。

也就是说，即使是数据主体向特定控制者提出的首次访问请求，也可能被认定为“过度”，前提是控制者能够证明该请求构成权利滥用。法院强调，判断的关键在于请求的“质量”（即是否存在滥用意图），而非单纯的数量。

3、滥用权利的认定标准

要认定访问请求构成滥用权利（从而属于“过度请求”），需要满足两个要件：

（1）客观要件：请求的目的偏离了GDPR第15条访问权的立法本意。该权利旨在让数据主体了解并验证其个人数据处理的合法性，而非用于其他目的。

（2）主观要件：数据主体存在滥用意图，即其提出请求的主要或唯一目的是为了制造侵权事实，从而索取赔偿金，而非真正行使其数据权利。

许多从业者将数据主体访问请求（DSAR）视为“动机盲点”。也就是说，数据控制者不会去猜测或考虑数据主体的意图。然而，实际上，这种做法通常只是一种理想化的假设。大多数公司都会了解数据主体访问请求的背景，例如不满的员工或愤怒的客户提出的请求，并会在回复中考虑这些背景因素。

值得注意的是，欧盟法院对于将有关请求者的公共信息纳入考量持更为犹豫的态度，但允许在有其他材料支持的情况下，将其视为相关信息。

然而，数据的控制者负有举证责任，需提供证据证明上述滥用行为的存在。法院指出，控制者可以援引公开信息作为支持其主张的证据。例如，证明该数据主体曾向大量其他控制者提出类似请求并随后索赔的记录。

4、侵犯访问权本身不自动导致非物质损害赔偿

针对GDPR第82(1)条下的赔偿请求权，法院澄清了三个累积性条件：存在违反GDPR的行为、数据主体遭受了损害、该损害与违法行为之间存在因果关系。

仅仅证明控制者侵犯了访问权（第15条），并不足以自动获得损害赔偿。数据主体必须证明其因该侵权行为实际遭受了损害（例如，因无法确认数据处理状况而产生的焦虑、压力或实际的不利影响），而不仅仅是权利被侵害这一事实。

二、对中国出海企业的核心意义与战略启示

此判决对中国在欧盟运营或面向欧盟用户的企业（尤其是互联网平台、电商、智能硬件制造商等）具有重大且现实的合规与风险管理意义。

近年来，以NOYB为代表的组织及个别职业索赔人，常通过系统化、模板化的方式向企业（包括众多中国出海企业）发起数据访问请求（DSAR），并在企业响应不及时或不完整时立即投诉或索赔，以此施压。此判决首次在欧盟层面明确，企业可以基于“滥用权利”对首次DSAR进行抗辩并拒绝响应。这为企业应对恶意、滋扰性或纯粹以索赔为目的的行权请求提供了明确的法律依据。

虽然提供了抗辩路径，但欧盟法院将举证责任完全置于企业（控制者）一方。企业不能仅凭感觉或对方“名声不好”就拒绝请求。必须系统性地收集和保存证据，以证明请求者存在滥用的主观意图（如大量、模式化的请求-索赔记录）以及请求目的偏离合法性验证。这要求企业建立更精细的DSAR风险评估与记录机制。

判决澄清了“侵权≠赔偿”，有助于遏制纯粹以诉讼牟利的滥诉行为。然而，这绝不意味着企业可以忽视或怠于履行访问权义务。欧盟法院及各国法院普遍认为，“对个人数据失去控制”或“因不确定性产生的持续焦虑”可能构成可赔偿的非物质损害。如果企业无正当理由拒绝合法、善意的访问请求，导致用户产生实际困扰，仍面临高额赔偿风险。近期德国法院就有判例，企业虽在法定期限内但延迟（19天）回复简单访问请求，仍被判支付赔偿。

此判决的精神与欧盟正在推进的《数字综合法案》（Digital Omnibus）改革方向一致。该法案提案旨在修订GDPR，明确当数据主体为保护其数据之外的目的而滥用GDPR权利时，控制者可以拒绝或收费。第35条明确指出，“如果数据主体意图使控制者拒绝其访问请求，以便随后要求赔偿，则构成滥用访问权”。值得注意的是，该条还指出，“控制者应承担较低的举证责任，证明请求具有过度性”，因此控制者只需证明存在滥用行为即可——这降低了上述“高门槛”。

这表明欧盟立法与司法机构均意识到、并试图平衡数据主体权利保护与企业免受滥权困扰之间的关系。

三、给中国企业的具体行动建议

欧盟法院的此项判决，是在数据主体权利保护与企业运营负担之间寻求新平衡的重要司法尝试。对于中国企业而言，它既是一把抵御恶意诉讼的“盾牌”，要求企业提升证据意识和抗辩能力；同时也是一记警钟，提醒企业必须夯实基础合规，因为对合法权利的侵害赔偿风险并未显著减少。

在欧盟数字监管日趋复杂（GDPR、DSA、DMA、《数据法》等叠加）的背景下，中国企业必须建立更智能、更敏捷、更善于举证的数据合规体系，才能在全球市场中行稳致远。

1、升级DSAR响应流程与风险评估机制

（1）建立筛查机制：在收到DSAR时，除验证身份外，应初步评估请求背景。对于来自已知职业索赔人或模式异常的请求（如新注册用户立即提出复杂访问请求），启动内部标记。

（2）完善证据记录：详细记录请求内容、接收时间、处理过程、沟通记录及最终决定。如决定以“滥用/过度”为由拒绝，必须基于客观证据（如该请求者公开的诉讼历史、向大量企业发送的模板化请求记录等）形成书面理由。

（3）谨慎行使拒绝权：拒绝首次请求需极为审慎，必须有充分、可信的证据支持“滥用”认定，否则可能因错误拒绝合法请求而招致更严厉的处罚和赔偿。

判决绝非为企业不履行GDPR义务开绿灯。对于绝大多数普通用户的合法访问请求，企业仍需严格遵守“毫不迟延”的原则（通常不超过一个月），并提供完整、易懂、格式通用的回复。应投资自动化工具，提高DSAR响应效率和质量。

2、将合规重点从“被动响应”转向“主动治理与证明”

（1）强化数据地图与记录：确保能快速、准确地定位和提取用户个人数据，这是高效、合规响应DSAR的基础。

（2）注重流程文档化：所有DSAR处理决策、延期理由、拒绝依据都必须有完整记录，以满足GDPR的问责制要求。

（3）关注欧盟立法动态：密切关注《数字综合法案》的立法进程，为未来可能更明确的“滥用行权”抗辩规则做好准备。

【免责声明】本文撰写所需的信息采集自合法公开的渠道，我们无法对信息的真实性、完整性和准确性提供任何形式的保证。本文仅为分享、交流信息之目的，不构成对任何企业、组织和个人的决策依据。