8 月 5 日，欧盟委员会宣布，TikTok 已承诺于欧盟市场永久撤出 TikTok Lite 奖励计划，且不会启动任何其他规避计划。此前，欧盟委员会曾注意到 TikTok 在法国和西班牙推出的 TikTok Lite 涉嫌违反欧盟《数字服务法》（Digital Services Act，以下简称 DSA），并对此展开调查。TikTok 的此项承诺即是为解决欧盟委员会在调查中提出的问题，欧盟委员会因此结束了本案的调查程序，使得本案成为欧盟委员会首个根据 DSA 结案的案件。

案件事实

TikTok Lite 是一款 TikTok 的轻量版应用。今年 4 月，TikTok Lite 于法国和西班牙正式上线，并推出了“任务和奖励计划”，允许用户通过完成某些任务（如观看视频、点赞内容、关注创作者、邀请朋友加入 TikTok 等）赚取积分，这些积分可以兑换成奖励，如亚马逊礼品券、PayPal 礼品卡、以及可用于打赏创作者的 TikTok 币。

该计划引起了欧盟委员会的担忧，因为其认为该计划可能具有成瘾性。并且，根据 DSA，超大型在线平台在推出任何可能对系统性风险产生重大影响的新功能之前，必须进行风险评估，其中需包括缓解系统性风险的措施，并应要求提供给欧盟委员会和数字服务协调员（Digital Services Coordinator）。而早在 2023 年 4 月，TikTok 即已被欧盟委员会认定为超大型在线平台，但其在推出该功能（即“任务和奖励计划”）前却并未遵守上述要求。

4 月 22 日，欧盟委员会宣布针对 TikTok Lite “任务和奖励计划”在法国和西班牙的上线是否违反 DSA 展开正式调查，要求 TikTok 在 24 小时之内提交风险评估报告，并警告 TikTok ，欧盟委员会考虑暂停“任务和奖励计划”在欧盟范围内的实施（根据 DSA 第 70 条，当服务接收者可能遭受严重损害而存在紧迫性的情况下，欧盟委员会可以决定对超大型在线平台采取临时措施）。

4 月 24 日，TikTok 在社交媒体平台 X（前 Twitter）发文称，其已自愿暂停“任务和奖励计划”的实施，并表示其“始终寻求与欧盟委员会和其他监管机构开展建设性的接触”。

在此之前，欧盟委员会就曾针对 TikTok 是否在未成年人保护、广告透明度、研究人员的数据访问、成瘾设计和有害内容的风险管理等方面是否违反 DSA 展开了调查，目前调查仍在进行中，您可以点击查看 Kaamel 针对这一案件的 详细讨论 。

TikTok Lite 奖励计划违反风险评估义务

TikTok 是欧盟委员会认定的超大型在线平台之一（其他被欧盟委员会认定为超大型在线平台的有亚马逊商城、阿里巴巴全球速卖通、Facebook、Instagram、Twitter等），那么其就必须遵守 DSA 对超大型在线平台设置的额外义务，这其中就包括风险评估义务。

DSA 第 34 条规定，超大型在线平台和超大型在线搜索引擎的提供者除了每年进行一次风险评估外，在推出可能对系统性风险产生重大影响的新功能之前也需进行风险评估。所谓系统性风险，是指以下风险：（i） 通过平台服务传播非法内容；（ii） 对基本权利（尤其是人格尊严、隐私权、个人数据权利、儿童权利等）造成或可能造成负面影响；（iii） 对公共话语、选举进程或公共安全造成或可能造成负面影响；（iv） 与性别暴力、公共健康、未成年人保护相关的实际或可预见的负面影响，以及对个人身心健康造成的严重负面后果。第 35 条则进一步规定，针对风险评估中识别出的风险，提供者需要采取合理、相称、有效的风险缓解措施。

欧盟委员会认为，TikTok Lite 奖励计划允许用户完成特定任务以换取实物奖励，这一奖励计划可能具有成瘾性，因而对用户（尤其是未成年人）的身心健康可能造成负面影响。这属于 DSA 第 34 条定义的系统性风险之一，则 TikTok 需要根据该条进行风险评估、并采取相应的风险缓解措施。但是，TikTok 并未应欧盟委员会要求向其提交风险评估报告，也没有采取相关措施，违反了 DSA 规定的风险评估义务。

TikTok 事件合规启示

此次案件中，TikTok 被调查的原因在于其未遵守 DSA 针对其所属类型的在线平台设置的特殊义务，即在推出可能对系统性风险产生重大影响的新功能之前评估该功能的风险。目前，许多国家和地区都加强了数据和隐私保护领域的立法，并且各国在立法与执法的严格程度、监管关注点与监管模式等方面存在一定差异，同一类型的业务在不同国家需履行的合规义务可能也有所不同，因此出海企业必须时刻关注当地立法最新动态、确保符合当地监管要求。

欧盟委员会在宣布启动此次调查程序时还提及，此前欧盟委员会曾要求 TikTok 提交风险评估报告，但 TikTok 并未按要求提交，因此展开本案调查。企业必须及时对监管机构的要求作出回应，否则可能面临不利后果。并且，许多法律都要求相关主体制作报告或其他文件，对此，企业必须及时准备好相应文件、并保存一定期限，以供监管机构审查。

TikTok 现面临欧美监管机构发起的多个调查或诉讼案件。日前，美国联邦贸易委员会（FTC）曾指控 TikTok 违反美国《儿童在线隐私法》（COPPA），要求法院对其实施民事处罚，您可以点击查看 Kaamel 针对这一案件的 详细讨论 。

DSA 合规要点

DSA 是欧盟于2022年颁布的一项重要法规，旨在规范数字中介服务（尤其是在线平台）提供者的行为。以下是对 DSA 的主要内容与合规要求的简要介绍。

1. 适用范围

DSA 适用于所有向位于欧盟境内或在欧盟设立经营场所的服务接收者提供的中介服务，而不论提供者位于何处。

根据 DSA 的定义，中介服务是指以下三类：

(i) 纯传输（mere conduit）服务，包括在通信网络中传输服务接收者提供的信息，或提供通信网络的接入，例如无线接入点（WAP）、虚拟专用网络（VPN）等；

(ii) 缓存（caching）服务，包括在通信网络中传输服务接收者提供的信息，仅为在接到请求时更加高效地传输信息而自动、临时地存储该信息，例如内容分发网络（CDN）；

(iii) 托管（hosting）服务，包括根据服务接收者请求存储其提供的信息，例如在线平台（online platform）。

2. 义务要求

DSA 采取分类监管的方法，针对中介服务提供者的规模与其所提供服务的类型，对不同的中介服务提供者提出了不同的义务要求。

（1）对所有中介服务提供者，DSA 要求：

• 透明度报告：以机器可读、易于获取的方式公开发布内容审核报告，包括成员国监管当局向其发出命令的数量、内容审核的基本信息、为内容审核采取的自动化手段等信息，至少一年一次。
• 服务条款的可读性：在服务条款中应说明对服务接收者提供的信息所施加的任何限制，并在条款内容发生重大变更时通知服务接收者。
• 联络点：指定并公开与成员国监管当局、欧盟委员会以及欧洲数字服务委员会进行沟通的联络点，以及与服务接收者进行沟通的联络点。
• 法定代表：未在欧盟境内设置场所、但向欧盟提供服务的中介服务提供者，须在提供服务的其中一个成员国中以书面形式指定一名法人或自然人担任法定代表。

（2）对托管服务（包括在线平台）的提供者，DSA 额外要求：

• 建立一个便捷的非法内容举报机制，并在收到举报后及时处理。
• 如果存在非法内容或违背服务条款的内容，托管服务提供者可以对其进行限制（包括删除或禁止访问特定内容、部分或全部终止向其服务等），但须向受影响的服务接收者说明具体理由。
• 向成员国的执法或司法机关通报任何可能涉及威胁个人生命安全的犯罪行为的信息。

（3）在线平台是 DSA 规制的重点，面临着更高的合规要求。在线平台提供者的额外义务主要有：

• 建立一个免费的内部电子投诉处理系统，需保证该系统易于访问、用户友好，且对投诉的处理是及时、非歧视、勤勉、不专断的。
• 建立庭外争端解决机制，并确保相关信息易于访问，使相关用户在对平台决定存在异议时能够诉诸此机制。
• 采取必要的技术和管理措施，确保受信举报人（trusted flagger）在其专业领域内的举报能够得到优先处理。
• 在透明度报告中，还需披露向庭外争端解决机构提交的争端数量、解决结果及平均用时、平台的执行情况等。
• 在向用户推送广告时，需确保用户明知被展示的内容是广告，并提供广告发布者、平台进行广告推荐时所考虑的参数和参数更改方式等信息。
• 不得对在线页面进行特殊设计以欺骗或操纵用户，或者扭曲或损害用户知情和自由决定的能力。
• 不得收集未成年人的个人数据以对其进行广告推荐。

（4）对超大型在线平台（VLOP）和超大型在线搜索引擎（VLOSE）的提供者，DSA 提出的合规要求最为严格。除上述义务外，还主要有：

• 风险评估：至少每年一次对系统性风险（包括非法内容、侵犯隐私、操纵选举、仇恨言论等）进行评估，并制定相应措施以降低风险。在推出任何可能对系统性风险产生重大影响的新功能之前，也必须进行风险评估。风险评估相关材料需保存至少 3 年。
• 独立审计：每年至少进行一次独立审计，并充分考虑审计报告中提出的建议，在收到建议后的 1 个月内完成一份审计实施报告、列出整改措施并加以执行。
• 推荐系统：每个推荐系统应至少提供一个不基于用户画像进行分析的选项。
• 广告透明度：于在线页面的特定部分设置并公开一个广告库，以供用户查询广告内容、广告发布者、展示期间等信息。
• 数据访问权限：经监管机构合理请求，应向其提供所需的数据访问权限。经符合一定条件的研究人员合理请求，应向其提供所需的数据访问权限。