TikTok因在保护用户信息方面存在问题,周五被欧盟隐私监管机构罚款5.3亿欧元,并要求TikTok在6个月内使其数据处理合规。此外,如果TikTok未能在此期限内使其数据处理合规,该决定还要求TikTok暂停向中国传输数据。
爱尔兰数据保护委员会(DPC)称,中国字节跳动旗下的TikTok未能证明欧盟用户的个人数据,其中部分数据由中国员工远程访问——得到了欧盟法律规定的高级别保护。
爱尔兰数据保护委员会在一份声明中说,因此,TikTok没有处理中国当局可能根据《反间谍法》和该平台认为与欧盟标准存在实质性差异的其他法律访问数据的问题。
TikTok表示强烈反对这一裁决,并称已利用欧盟自身的法律框架,特别是“欧盟标准合同条款”(SCC),对远程访问进行了严格控制和限制。TikTok计划对这一裁决提起上诉。
TikTok还表示,该裁决没有充分考虑到2023年首次推出的数据安全措施,即独立监控远程访问并确保欧盟用户数据存储在欧洲和美国的专用数据中心。
TikTok近年来在全球青少年中迅速发展,在欧洲拥有1.75亿用户,该公司宣称,从未收到过中国当局要求提供欧盟用户数据的请求,也从未向中国当局提供过数据。
TikTok在一份声明中说:“这一裁决有可能开创一个先例,对在全球范围内运营的欧洲公司和整个行业产生深远影响”。
爱尔兰数据保护委员会还发现,虽然TikTok在长达四年的调查过程中一直表示没有在中国的服务器上存储欧盟用户的数据,但该平台曾于上月披露,在今年2月发现有少量数据存储在中国,并在之后删除了这些数据。
爱尔兰数据保护委员会副专员多伊尔(Graham Doyle)说:“欧盟《通用数据保护条例》要求,当个人数据被转移到其他国家时,欧盟内部提供的高水平保护必须继续。TikTok向中国转移个人数据的行为违反了欧盟《通用数据保护条例》,因为TikTok未能核实、保证和证明中国员工远程访问的欧洲经济区用户的个人数据得到了与欧盟内部基本同等的保护”。
多伊尔补充道,“由于TikTok没有进行必要的评估,TikTok没有处理中国当局可能根据中国反恐、反间谍和其他法律获取欧洲经济区个人数据的问题,TikTok认为这些法律与欧盟标准存在实质性差异”。
多伊尔指出,“爱尔兰数据保护委员会非常重视有关在中国服务器上存储欧洲经济区用户数据的最新进展。虽然TikTok已通知爱尔兰数据保护委员会,数据现已被删除,但我们正在与欧盟数据保护机构协商,考虑采取进一步的监管行动”。
这是TikTok第二次受到爱尔兰数据保护委员会的处罚。2023年,TikTok因违反欧盟有关处理儿童个人数据的隐私法而被罚款3.45亿欧元。
爱尔兰数据保护委员会是许多世界顶级科技公司在欧盟的主要监管机构,因为这些公司的欧洲区总部都设在该国。自2018年获得制裁权以来,该机构还对微软的领英、X(前推特)和脸书母公司Meta等公司处以罚款。
根据欧盟《通用数据保护条例》(GDPR),该条例也涵盖欧洲经济区成员国冰岛、列支敦士登和挪威,任何一家公司的主要监管机构都可以对其处以高达全球收入4%的罚款。