TikTok卷入隐私争议，跨平台数据传输引关注

当地时间12月17日，奥地利隐私保护组织Noyb向奥地利数据保护机构提交两项投诉，指出TikTok、社交应用Grindr及移动数据分析服务商AppsFlyer存在涉嫌违反欧盟《通用数据保护条例》（GDPR）的行为。

其中一项投诉主要围绕用户数据在不同应用平台间的流转与处理方式展开，TikTok又一次遭到隐私保护组织Noyb投诉，（速卖通、TikTok等中国企业遭数据隐私投诉！）引发业界对跨平台数据合规边界的关注。

此次争议源于一名用户通过GDPR赋予的数据访问权，发现其在不同应用中的行为数据可能存在关联。Noyb在投诉中援引GDPR第9条关于特殊类别数据的规定，认为涉及用户社交偏好等信息的处理应当遵循更为严格的合规要求。

Noyb表示，从数据流转链条分析，此次事件暴露出三方在不同环节的合规缺陷。依据GDPR第6条第1款，个人数据处理须具备合法依据，而Grindr与AppsFlyer均未能就向TikTok传输用户数据提供有效法律基础。尤其在可能涉及性取向等敏感信息时，亦未满足GDPR第9条对特殊数据处理的严格要求。

Noyb在另一项投诉中指出TikTok在程序合规层面也可能存在违规行为。GDPR明确规定用户享有获取个人数据完整副本及相关处理信息的权利，而TikTok被指在履行该义务时存在不足。

此次事件反映出数据合规风险正从单一平台向跨应用、多环节的复杂场景演变，其技术复杂性和法律风险均显著提升。

Noyb在投诉中提出三项主要诉求：一是要求TikTok向用户提供完整数据处理说明；二是责令三家企业停止涉事数据处理行为；三是建议监管机构依据GDPR第83条处以具有威慑力的罚款。根据GDPR相关规定，严重违规行为最高可处全球年营业额4%的罚款。

该案例为中国科技企业的全球化运营提供了重要参考，进一步凸显出海企业面临的复杂合规环境。对于正在拓展国际市场的中国科技公司而言，建立适应不同司法辖区的合规体系已成为必修课。

面对数据合规要求日益严格的国际环境，企业需要在业务与合规之间寻求平衡，采取体系化的应对策略。一是组建专业团队持续追踪各目标市场的法律动态，确保业务实践与监管要求同步更新；二是通过系统的内部培训机制，提升全员的合规意识与操作能力；三是构建符合不同地区法规要求的数据传输管理体系，涵盖数据分级、加密保护及合作方协议约束等关键环节。

从行业发展视角观察，数据合规已从被动的法律遵从演变为企业核心治理能力的重要组成部分。这就要求科技企业建立覆盖数据全生命周期的管理体系，包括对第三方合作的严格审核、对用户的透明告知机制以及合法有效的授权获取流程。

文章来源：NOYB、互联网公开信息

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。