伦敦(美联社)——欧盟一家隐私监管机构周五对TikTok处以5.3亿欧元(6亿美元)罚款。经过四年调查发现,这款视频分享应用向中国传输数据的行为使用户面临间谍风险,违反了欧盟严格的数据隐私法规。
爱尔兰数据保护委员会还指控TikTok未向用户明确告知其个人数据的传输去向,并责令该公司在六个月内整改。由于TikTok欧洲总部设在都柏林,爱尔兰监管机构作为其在整个27国欧盟的主要数据隐私监管方。
“TikTok未能核实、保证并证明其中国员工远程访问的(欧洲)用户个人数据获得了与欧盟保障水平基本等同的保护,”副专员格雷厄姆·道尔在声明中表示。TikTok回应称不认同该决定并将提起上诉。
该公司在博客中表示,该裁决针对的是2023年5月前”特定时期”的情况,而此后其已启动名为”三叶草计划”的数据本地化项目,包括在欧洲建设三座数据中心。”事实是’三叶草计划’拥有业内最严格的数据保护措施,包括欧洲顶尖网络安全公司NCC集团前所未有的独立监督,”TikTok欧洲公共政策与政府关系负责人克里斯汀·格拉恩表示,”该决定未能充分考虑这些重大数据安全措施。”
母公司字节跳动位于中国的TikTok,因西方官员担忧其向中国传输用户数据构成安全风险,在欧洲持续面临数据处理审查。2023年,爱尔兰监管机构还在另一起儿童隐私调查中对该公司处以数亿欧元罚款。
爱尔兰监管机构称,调查发现TikTok未解决中国反恐、反间谍、网络安全和国家情报法律下”中国当局潜在获取欧洲用户数据”的问题,这些法律被认为与欧盟标准”存在实质性差异”。格拉恩强调TikTok”从未收到过中国当局对欧洲用户数据的请求,也从未向其提供过这类数据”。
根据欧盟《通用数据保护条例》,欧洲用户数据只有在保障措施到位、确保同等保护水平时才能向境外传输。格拉恩表示,TikTok强烈反对爱尔兰监管机构关于其未进行数据传输”必要评估”的论点,称其已咨询律师事务所和专家意见。她指出尽管TikTok采用与欧洲数千家企业”相同的法律机制”且做法”符合”欧盟法规,却仍被”单独针对”。
这项始于2021年9月的调查还发现,TikTok当时的隐私政策未列明包括中国在内的用户数据传输第三国。监管机构表示,虽然后续政策已更新,但此前未说明数据处理涉及”中国员工对存储在新加坡和美国个人数据的远程访问”。
TikTok将面临爱尔兰监管机构进一步审查。监管方指出,该公司在调查期间谎称未将欧洲用户数据存储在中国服务器上,直至四月才告知监管机构其于二月发现部分数据确实存于中国服务器。道尔表示监管机构正”严肃对待近期事态”,并”考虑是否需要采取进一步监管行动”。
本文编译于美联社,由KELVIN CHAN提供。
特别声明:本文为学术研究和合理使用为目的的编译,原文版权归属于原作者,侵权删除请联系[email protected]
龙旗解析
一、 处罚背景与核心原因
©2025龙旗领地版权所有。未经许可,请勿转载使用。
1.违规主体与法律依据
TikTok因未经合法授权将欧洲经济区(EEA)用户数据传输至中国,违反了欧盟《通用数据保护条例》(GDPR)第五章关于跨境数据传输的规定。爱尔兰数据保护委员会(DPC)作为TikTok在欧盟的主要监管机构,依据GDPR第46条(数据传输保障措施)和第13条(透明度义务)作出处罚决定。
2.具体违规行为
非法数据传输:TikTok允许中国工程师通过远程访问位于美国和新加坡的服务器,处理欧洲用户数据,但未验证中国法律是否能提供与欧盟等效的数据保护水平。
透明度缺失:未在隐私政策中明确告知用户数据可能被传输至中国,且未说明中国员工可访问数据(2020-2022年期间)。
存储问题隐瞒:2025年4月,TikTok承认曾在中国服务器存储少量欧洲数据,与其早期提交的调查证据矛盾。
3.中国法律冲突
DPC指出,中国《反恐法》《反间谍法》等法律赋予政府广泛的数据访问权限,导致欧盟用户数据面临被中国政府获取的风险,而TikTok未充分评估这一隐患。
二、 TikTok的应对与整改
1.三叶草计划(Project Clover)
为应对欧盟监管,TikTok推出该计划,投资12亿欧元在欧洲建立数据中心(爱尔兰和挪威),逐步迁移用户数据至本地,并引入第三方安全验证(如英国NCC Group)。
进展:爱尔兰数据中心已于2023年运营,挪威中心正在建设中,预计2024年底完成数据迁移。
2.透明度改进
更新隐私政策,明确列出数据接收国(包括中国),并说明中国工程师的远程访问权限。
对16-17岁用户默认设置隐私账户,优化青少年保护措施。
3.争议与异议
TikTok声称DPC的指控基于三年前的旧功能和设置,且已通过迁移数据中心和限制传输进行整改,但仍面临“数据主权”与“合规成本”的长期矛盾。
三、 处罚影响与行业启示
1.对TikTok的直接冲击
财务损失:5.3亿欧元罚款是GDPR史上第三高罚单(仅次于Meta的12亿欧元和亚马逊的7.46亿欧元),且需承担数据中心建设等高额合规成本。
运营调整:若未在6个月内整改合规,TikTok可能被暂停向中国传输数据,影响其全球算法协作与运维效率。
2.欧盟监管趋势
数据本地化强化:欧盟对向中国等“数据保护不足”国家的传输审查趋严,企业需优先采用本地存储方案。
示范效应:此次处罚可能推动其他地区(如美国、东南亚)效仿欧盟,制定更严格的数据出境规则。
3.对中国企业的警示
合规必要性:出海企业需构建符合GDPR的数据管理体系,避免依赖“跨境传输豁免”。
技术替代:减少对单一国家工程师的依赖,采用分布式团队和自动化工具降低数据访问风险。
四、 TikTok的全球困境与未来挑战
1.美国市场压力
除欧盟外,TikTok在美国面临“不卖就禁”法案威胁,需在2025年完成业务剥离或关闭。近期提出的“合并方案”尝试通过美国政府持股50%化解危机,但核心算法归属仍是争议焦点。
2.品牌信任危机
连续罚款(如2023年3.45亿欧元儿童数据处罚)削弱用户信任,可能加速创作者和广告主流向Instagram、YouTube等竞品。
3.母公司战略调整
字节跳动CEO梁汝波在2025年全员会上提出“务实浪漫”战略,强调精简流程、反官僚主义,并加大对AI业务的投入以应对监管压力。
五、 总结
此次罚款事件不仅是TikTok的合规失败,更是全球数据主权博弈的缩影。欧盟通过GDPR强化“数字围墙”,迫使跨国企业重新平衡全球化运营与本地化合规。对TikTok而言,能否在6个月内完成整改、重建信任,将决定其欧洲市场的存续。长期来看,数据本地化和透明化或成全球科技企业的必选项。
评论列表 (0条):
加载更多评论 Loading...