TikTok 因数据跨境被爱尔兰 DPC 罚 5.3 亿欧元

TikTok 因数据跨境被爱尔兰 DPC 罚 5.3 亿欧元

Kaamel Lab
Kaamel Lab 2025年5月3日

2025年5月2日,爱尔兰数据保护委员会(DPC)依据《通用数据保护条例》(GDPR)对 TikTok 处以5.3亿欧元行政罚款,理由是其在未充分保障数据主体权利的前提下,将欧洲经济区(EEA)用户的个人数据非法传输至中国。DPC 认定 TikTok 违反了 GDPR 关于跨境传输的核心义务,并要求其在六个月内使数据处理完全合规。这是继2023年因未成年用户数据被罚3.45亿欧元之后,TikTok 在欧盟遭遇的又一次重大合规处罚。

TL;DR

调查结论及法律依据

爱尔兰 DPC 自2021年9月起对 TikTok 启动正式调查,历时近四年。DPC 于2025年初依 GDPR 第60条“一致性机制”向其他成员国监管机构提交初步决定,在未收到反对意见后于5月2日作出最终裁决。调查围绕两个核心问题展开:TikTok 是否在缺乏充分保障的情况下向中国传输 EEA 用户数据,以及是否履行了 GDPR 项下的透明度义务。

第46(1)条方面,若企业将个人数据传输至未获欧盟“充分性决定”(adequacy decision)的第三国,须通过标准合同条款(SCCs)并辅以补充措施,确保数据在接收国获得等同于欧盟的保护。DPC 认为 TikTok 未能充分评估中国相关法律对个人数据权利构成的潜在风险,其 SCCs 与内部控制不足以有效减轻风险。跨境传输前应如何做影响评估,可参考CNIL 就数据转移影响评估(TIA)指南征求意见。SCCs 本身并非万能,Meta 案已表明其在特定法律环境下可能被认定无效,详见Meta 数据跨境合规新考量

第13(1)(f)条方面,DPC 指出 TikTok 2021年发布的 EEA 隐私政策存在重大遗漏:未明确告知用户数据将被传输至包括中国在内的第三国,也未披露中国境内员工可能远程访问存储于美国或新加坡服务器上的用户数据。这损害了用户对个人信息处理的知情权与控制权。

提供不实信息或面临追加处罚

值得注意的是,TikTok 在配合调查过程中曾提供与事实不符的信息。据 DPC 披露,TikTok 最初明确表示未在中国境内存储任何 EEA 用户数据,随后于2025年4月主动更正,承认在内部调查中发现“少量”EEA 数据曾被“错误地”存储于中国境内。DPC 已表示将就该隐瞒或误导行为启动进一步调查,不排除追加处罚。

TikTok 的官方回应

针对该处罚,TikTok 迅速发表声明表示强烈反对,并明确将依法上诉。TikTok 认为裁决未充分考量其为保护欧洲用户数据投入的技术与组织性保障,特别强调其推进的“Project Clover”项目旨在提升数据本地化处理与访问控制。TikTok 还否认曾向中国政府提供任何欧洲用户数据,并称从未收到此类请求。类似的跨境传输执法并非孤例,Uber 也曾因向美国跨境传输司机数据被罚,详见Uber 因违规向美国跨境传输司机数据被罚2.9亿欧元

对出海企业的启示

本案将成为针对向中国传输个人数据的全球性先例,预示此类跨境传输将面临更严格的审查。落地上有三点值得关注。

TikTok 在欧盟已多次被点名,从儿童数据到跨境传输再到《数字服务法》,可对照TikTok 3.45亿欧元罚款:儿童数据保护刻不容缓一并观察其合规压力的累积。DPC 的裁决全文与后续进展,可关注爱尔兰数据保护委员会官网 https://www.dataprotection.ie

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.