2023年9月15日,爱尔兰数据保护委员会(DPC)对 TikTok 处以3.45亿欧元罚款,认定其违反 GDPR 中关于儿童个人数据保护的规定。DPC 查明,TikTok 将儿童用户账户默认设为公开模式,允许任何人(包括非 TikTok 用户)查看儿童发布的内容,且在注册与发布流程中用“黑暗模式”诱导儿童选择公开设置。对任何面向、或事实上会触达未成年人的平台来说,这个案子划出的红线是:默认设置必须朝隐私最保护的方向倾斜,选项呈现必须客观中立。
TL;DR
早在2021年9月14日,DPC 就启动了对 TikTok 在2020年7月31日至12月31日期间个人数据处理的调查。调查发现,TikTok 将儿童用户资料默认设为公开,未能确保默认情况下只处理必要的个人数据,违反 GDPR 第5(1)(c)、第24(1)和第25(2)条。将儿童资料默认公开也对13岁以下儿童构成进一步风险,DPC 据此认定其违反第12(1)条。(注:DPC 和 EDPB 的决定中,“儿童”指所有18岁以下个体。)

2022年9月13日,DPC 依第60(3)条向各相关监管机构提交判决草案。意大利数据保护局(Garante)认为 TikTok 已有年龄核实机制、未违反第25条,但其提议未被采纳;柏林数据保护当局则提出应增加对“黑暗模式”违反公平原则的认定,使案件范围扩大。
因柏林当局的反对意见涉及新的违规发现,欧盟数据保护委员会(EDPB)介入审查。EDPB 分析了 TikTok 向13-17岁用户展示的两个弹窗。在注册弹窗中,儿童被鼓励点击右侧“跳过”按钮从而选择公开账户,连带影响其评论可见性等隐私设置。在视频发布弹窗中,“立即发布”按钮以粗体深色显示,而“取消”按钮较浅;用户若想设为私密,须先取消再另找隐私设置切换。这种设计诱导用户走向默认公开,使保护个人数据的选择变得困难。
EDPB 主席 Anu Tallus 强调,与隐私有关的选项应以客观、中立的方式提供,避免任何具欺骗性或操纵性的语言与设计。EDPB 认定 TikTok 违反 GDPR 公平原则,指示 DPC 在最终决定中增加该项认定,并要求消除此类设计。EDPB 还对 TikTok 受审查期间的年龄验证有效性表示严重怀疑——13岁年龄门槛可被轻易绕过。这类以界面设计侵蚀用户选择的问题,可参考“暗黑模式”前途暗黑:隐私保护设计要追光。
DPC 根据 EDPB 意见于2023年9月1日通过决定,认定 TikTok 违反 GDPR 第5(1)(c)、5(1)(f)、24(1)、25(1)、25(2)、12(1)、13(1)(e)及5(1)(a)条。决定包含三项内容:对违规行为发出警告;要求 TikTok 在决定通知后三个月内整改至合规;处以总计3.45亿欧元行政罚款。这不是 TikTok 唯一一次因儿童与跨境问题受罚,其后还因数据跨境被 DPC 追加5.3亿欧元罚款。
儿童作为限制行为能力人,需要远超成年人的保护,各法域普遍以年龄划线并强化控制者义务:

TikTok 案说明,即便平台不以13岁以下儿童为目标,只要事实上会收集儿童数据就受监管。判断自身风险可从几个问题入手:是否有中国14岁以下、美国13岁以下或欧盟16岁以下用户;应用商店资料是否允许这些年龄段下载;网站风格是否以儿童青少年为目标;实践中是否合理预期会有大量儿童用户。落地建议是:将儿童账户默认设为隐私最保护状态、以客观中立方式呈现隐私选项、在隐私政策与联系页面保留监护人删除数据的入口。类似执法在美国同样密集,可参考 FTC 对 TikTok 违反 COPPA 提起诉讼与 musical.ly 儿童隐私旧案。DPC 通报见 https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-345-million-euro-fine-of-TikTok 。