随着欧盟《一般数据保护条例》（以下简称 “GDPR”）的实施，Facebook、Google、Amazon 等美国科技巨头纷纷在欧洲陷入监管风波。如今，战火也烧到了中国企业身上。近日，有外媒报道称，德国柏林的监管机构已开始就数据和隐私政策方面的问题对摩拜展开调查。 

外媒称摩拜面临德国监管机构调查 

公开资料显示，2017年6月，摩拜进入欧洲，第一站是英国曼彻斯特。目前，摩拜在英国、德国、法国、意大利等国家均有服务。 

据英国《金融时报》报道，德国柏林的数据保护和信息自由专员计划对共享汽车和共享单车公司展开调查，摩拜也在受调查之列。依据计划，数据保护和信息自由专员将调查摩拜单车的数据和隐私政策，并要求摩拜在未来一周内作出书面回复。 

《金融时报》称，共享单车和汽车平台通过手机应用收集了大量用户数据，用户在没有使用应用时也可能被收集到准确的位置数据。同时，摩拜将欧盟用户数据传送回中国总部的做法，也引起了注意。 

以用户同意为基础的数据跨境传输

GDPR 于今年5月25日正式生效，对个人信息的跨境传输作出严格规定：数据控制者和处理者不能将欧盟居民的个人信息传输至境外，除非他们能证明为这些信息提供了充足的保护。就此，欧盟提出了“充分性认定”机制，由欧盟对单个国家、地区、国际组织或行业的个人数据跨境流动进行充分性保护评估。 

根据摩拜全球版官网内的介绍，摩拜用户的数据可能被传输至中国和新加坡。由于这两个国家尚未通过欧盟委员会的充分性认定，摩拜将基于用户同意进行数据跨境传输。 

目前居住在法国波尔多的王女士，是摩拜的一名欧洲用户。她提供的摩拜法国版隐私政策截图显示，摩拜向用户明示了会把数据传输至欧盟以外。用户必须在这一项政策前勾选“同意”，才能继续使用单车服务。 

关于数据跨境传输的合规方式，目前各界尚未形成共识。美国学者Alexander Hanff公开发文称，按照GDPR的要求，摩拜如要将欧盟用户的个人信息发送回中国，必须提供适当的保护措施。他认为，获取用户的“同意”仅能作为一种临时的手段，这种手段适用于单次的或是个人的数据传输，但不能作为常态化的、大规模的数据传输的合规依据。 

回应
摩拜：严格遵守GDPR及欧洲行业标准

12月12日，摩拜有关负责人就相关报道回应南都称，摩拜单车自2016年成立以来，就一直非常重视用户数据的保护。 

“摩拜单车于2017就开展相关工作以严格遵守GDPR及整个欧洲的行业标准。目前我们还没有接到监管部门的问询，我们将积极配合有关部门的工作和问询。”该负责人告诉南都记者。 

摩拜欧洲业务增长负责人Steve Milton在接受《金融时报》采访时则表示， GDPR是非常敏感和复杂的监管条例，摩拜很愿意同数据保护官员坐下来交谈，并且提供他们想知道的一切信息。 

GDPR 对企业的违法行为设置了“天价处罚”规定，最高达年营收额的4%或2000万欧元的处罚。今年5月以来，Facebook、Google、Amazon 等美国科技巨头均在欧洲遭到用户投诉，被指违反 GDPR。 

柏林数据保护和信息自由专员目前没有进一步披露有关摩拜的调查细节。