突发：TikTok因向中国传输个人数据被处以5.3亿欧元罚款

爱尔兰数据保护委员会（DPC）今日公布对TikTok Technology Limited（"TikTok"）调查的最终决定。此次调查由作为TikTok主要监管机构的DPC发起，旨在审查TikTok将欧洲经济区（EEA）用户个人数据[1]传输至中华人民共和国（"中国"）的合法性。此外，调查还评估了TikTok在此类传输方面向用户提供的信息是否符合《通用数据保护条例》（GDPR）规定的透明度要求。

该决定由数据保护专员德斯·霍根博士（Dr Des Hogan）和戴尔·桑德兰先生（Mr Dale Sunderland）作出，并已通知TikTok。决定认定TikTok在向中国传输EEA用户数据[2]及履行透明度义务[3]方面违反了GDPR。该决定包括总计5.3亿欧元的行政罚款，并要求TikTok在6个月内整改其数据处理行为。若未按期合规，TikTok对中国的数据传输将被暂停。

DPC副专员格雷厄姆·道尔（Graham Doyle）评论道：

“GDPR要求，当个人数据被传输到其他国家时，必须继续维持欧盟境内的数据保护高标准。

TikTok将个人数据传输至中国违反了GDPR规定，因为TikTok未能验证、保障并证明EEA用户的个人数据在被中国员工远程访问时，享有与欧盟境内相同程度的保护。

TikTok未能开展必要的评估，因此也未能处理可能因中国的反恐、反间谍及其他法律导致的政府访问EEA个人数据的问题，而这些法律正是TikTok自己认为与欧盟标准存在重大差异的。”

2025年2月21日，DPC根据GDPR第60条的规定将其决定草案提交至GDPR协作机制。该草案未受到任何异议。DPC对其欧盟/欧洲经济区同行监管机构的合作与支持表示感谢。

提交调查的信息存在错误

在调查期间，TikTok曾向DPC表示其未在中国服务器上存储EEA用户数据。然而，TikTok于2025年4月告知DPC，其在2025年2月发现的一个问题显示，确有少量EEA用户数据被存储在中国的服务器上，这与TikTok先前向调查提供的证据不符。TikTok称，这一发现意味着其向调查提供了不准确的信息。

副专员道尔（Doyle）补充道：

“DPC对近期有关在中国服务器上存储EEA用户数据的发展高度重视。尽管TikTok已通知DPC该数据现已被删除，但我们正考虑是否需要在与其他欧盟数据保护机构协商后采取进一步的监管措施。”

DPC将在适当时候公布完整决定及相关信息。

[1] 欧盟境外数据传输的法律要求

GDPR在整个欧洲经济区提供高水平的个人数据保护，并赋予个人相应的数据保护权利。当个人数据被传输至EEA以外地区时，可能影响个人行使权利的能力，并可能削弱GDPR保障的高保护水平。因此，必须确保此类传输不会破坏GDPR保障的保护水平。根据GDPR第五章的规定，只有在符合其要求的前提下，方可进行数据传输。

GDPR第45条第1款规定，欧盟委员会可决定某第三国或其某些领域/行业提供足够的数据保护水平（即“充分性决定”），从而授权向该国传输数据。

目前，欧盟委员会已就以下国家作出充分性决定：安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、美国和乌拉圭。

若某组织（“数据控制者”）拟将个人数据传输至欧盟/EEA以外、尚无充分性决定的第三国，则该传输仅能在满足GDPR第五章中其他相关条款（如标准合同条款）的前提下进行。该规定要求组织有责任验证、保障并证明该国的法律和实践提供了与欧盟基本等效的数据保护水平。

[2] DPC关于传输合法性的认定

在本次调查中，TikTok Ireland有义务评估中国法律是否提供了与欧盟法律基本等效的保护水平。DPC认定TikTok违反了GDPR第46条第1款，因为其未能验证、保障并证明所采用的补充措施及标准合同条款（SCCs）在确保EEA用户个人数据（通过远程访问传输）获得与欧盟相同保护水平方面的有效性。尽管TikTok主张远程访问传输不受相关法律和实践的约束，但TikTok在调查期间提供的对中国法律的评估表明，中国法律体系的某些方面阻碍了对其保护水平的“等效”认定。

DPC参考了TikTok的评估报告以及其确认的明显偏离欧盟标准的中国法律，如《反恐怖主义法》《反间谍法》《网络安全法》及《国家情报法》。特别地，DPC认为TikTok未能充分评估这些法律及实践对传输中EEA用户数据的保护水平，从而直接影响了TikTok选择适当保障措施的能力，并阻碍其验证和保障与欧盟等效的保护水平。

在行使纠正权力时，DPC还考虑了TikTok在“Clover项目”下采取的持续改进措施。尽管如此，DPC仍认定在允许上诉期结束后，给予TikTok六个月时间来使其数据处理活动合规，并在届时未整改的情况下暂停其对中国的数据传输，是合适的、必要的、且成比例的。DPC认为，六个月是合理的整改时限。

[3] DPC关于透明度的认定

GDPR第13条第1款(f)项规定，数据控制者须向数据主体说明其将个人数据传输至第三国的情况。DPC审查了TikTok于2021年10月发布的EEA隐私政策，认为该政策在两个关键方面未能满足GDPR第13条第1款(f)项的要求：

首先，TikTok 2021年版隐私政策未明确指出包括中国在内的数据接收国家。其次，政策未解释构成数据传输的具体处理方式，尤其未说明在中国的员工通过远程访问位于新加坡和美国的服务器来访问个人数据。

TikTok在调查期间更新了隐私政策，并于2022年12月向DPC提交了新版EEA隐私政策。该政策明确指出了EEA用户数据传输的目的地国家，并告知用户其个人数据存储在美国和新加坡的服务器上，并可能被位于巴西、中国、马来西亚、菲律宾、新加坡和美国的TikTok集团实体通过远程方式访问。

DPC评估认为TikTok 2022年12月版EEA隐私政策符合GDPR第13条第1款(f)项的要求。因此，DPC认定TikTok违反该条款的时间范围为2020年7月29日至2022年12月1日。

本次决定共对TikTok处以5.3亿欧元的行政罚款，其中包括因违反GDPR第13条第1款(f)项而被罚款4500万欧元，因违反第46条第1款而被罚款4.85亿欧元。

声明：本文来自数字经济与社会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。