TikTok在歐洲被罰6億美元

因將歐洲使用者資料傳輸至中國，違反歐盟《通用資料保護條例》（GDPR），TikTok愛爾蘭資料保護委員會（Ireland's Data Protection Commission，後文簡稱IDPC）處以5.3億歐元（約合6億美元）的罰款。這是歐盟歷史上第三高的GDPR罰款，僅次於對Meta（12億歐元）和Amazon（7.46億歐元）的處罰。值得注意的是，在2023年Tiktok因為處理兒童資料不當已經被IDPC罰過3.45億歐元。

根據IDPC，TikTok的主要違規行為包括：

資料傳輸至中國：TikTok未能證明傳輸到中國的資料可以獲得與歐盟同等的保護，尤其是在中國的反恐/反間諜/網路安全法律可能導致政府可以訪問使用者資料的情況下。
透明度不足：在2020年7月至2022年12月期間，TikTok的隱私政策未明確告知使用者其資料可能被傳輸至中國，違反了GDPR的透明度要求。
向監管提供錯誤資訊：TikTok最初聲稱未在中國儲存歐洲使用者資料，但在2025年2月發現有限的資料被儲存在中國伺服器上，並於4月向DPC報告。

IDPC對TikTok的調查歷經四年，始於2021年9月。當時IDPC對TikTok開展了兩項調查：

第一是TikTok是否按照GDPR的要求去處理未成年人的資料，包括對18歲以下未成年人的賬戶設定和對13歲以下兒童的賬戶驗證。TikTok在註冊時預設將未成年使用者的賬戶設定為“公開”，所有人都看觀看和評論未成年釋出的影片，這將導致 13 歲以下兒童也能接觸到有風險的內容。此外，透過“家庭配對”連結時TikTok沒有驗證使用者是否為兒童使用者的父母或監護人。（TikTok已於2020年11月，也就是調查開始前1年，對家庭配對增加了更嚴格的家長控制，並於2021年1月將所有 16 歲以下注冊使用者的預設設定更改為“私人”）。這個調查在2023年以3.45億罰款而結束（就是上文提到的）。

第二是Tiktok傳輸資料到中國，也就是本次罰款的起因。

此次事件對TikTok的影響：

使用者信任受損：TikTok在歐洲的使用者規模龐大（接近1.75億），此次罰款暴露其在隱私保護上有漏洞，可能影響使用者對平臺的信任。如果使用者若感到隱私得不到保障，可能減少使用或轉向競爭平臺，從而對TikTok的留存和增長造成不利影響。
監管風險凸顯：此次事件意味著TikTok在歐盟會面臨更嚴格的合規審查。IDPC要求TikTok在6個月內整改完畢，表明未來類似問題將受到持續關注，並可能招致更多處罰。
運營成本與投資壓力：高額罰款及整改成本將顯著增加TikTok的合規開支。TikTok在歐洲的收入雖然增長迅速（2023年從26億美元增至45.7億美元），但虧損也從5.12億美元激增至13億美元。這反映了合規和運營開支對財務的衝擊，可能迫使TikTok在歐洲市場壓縮投入或降低盈利預期。
市場擴張受限：歐盟的強硬立場以及全球監管環境趨緊，對TikTok未來的市場拓展帶來不確定性。

此次事件對資料跨境傳輸的啟示：

GDPR合規框架：根據GDPR，只有在確保相同保護水平的前提下才可以向歐盟以外傳輸個人資料。若目標國（如中國）未獲歐盟“充分性決定”，企業須採用標準合同條款等附加保障措施，並向監管機構證明這些措施可提供與歐盟同等的保護。此次事件提醒我們：在缺乏充分性決定的情況下，單純簽訂合同並不足夠，還需嚴格評估和防範第三國法律對資料訪問的影響。
資料主權與第三國法律：此次事件凸顯了第三國法規與GDPR的潛在衝突。IDPC指出，中國的反恐法、反間諜法等與歐盟資料保護標準存在“實質性差異”。這意味著，任何對歐盟資料的遠端訪問都必須考慮這些法律可能帶來的風險。監管機構可能要求企業採取額外的技術和組織措施（如限制遠端訪問、加強加密等）來補償這一差異。未來，歐盟及其他國家可能會進一步細化跨境傳輸的審查機制，比如要求更嚴格的資料本地化或第三方審計，以維護資料主權和使用者隱私。
政策制定啟示：此次事件或將促使監管機構重新評估現行跨境資料政策。例如，歐盟可能借此機會加強GDPR的後續實施細則，甚至推動新的法規出臺來對跨境資料流動提出更具體要求。同時，此案也提醒全球治理層面需平衡資料流動與保護：一方面要保障跨境業務和技術創新的便利，另一方面要防範資料外洩和國家安全風險。

此次事件對其他科技公司的啟示：

強化資料合規：從Meta/Amazon/Tiktok的罰款事件中我們看到了即使是規模最大的科技公司也無法規避GDPR的嚴格審查。中小公司更要從中汲取經驗，定期開展資料保護影響評估（DPIA），確保所有跨境資料訪問有合法依據和技術保障，並隨法規更新及時調整合規策略。
增加透明度與溝通：TikTok案件強調資訊透明對合規的重要性。Meta、Apple、Amazon等企業應主動向監管機構和公眾披露其資料處理和跨境訪問流程，避免出現監管質疑時的資訊不對稱。TikTok因為起初未明確告知資料流向而被指提交“錯誤資訊”，引發更大爭議。因此，各公司必須確保向監管機構提交的資訊準確完整，及時更新使用者隱私政策，強化使用者同意機制，以避免類似風波。
技術與政策雙重佈局：為了應對全球監管環境變化，企業需在技術和政策上雙管齊下。技術上，可借鑑TikTok“Project Clover”等方案：TikTok在歐洲建設了獨立資料中心，並聘請歐洲安全公司NCC進行第三方監督。其他公司同樣可以透過資料本地化、端到端加密、訪問日誌審計等手段，減少敏感資料的跨境暴露。在政策層面，則應靈活調整資料架構，如在歐盟部署資料伺服器、嚴格限制海外遠端訪問許可權等。此外，必須密切關注歐盟《數字市場法》（DMA）、《數字服務法》（DSA）等新興法規，以及美國等地的隱私立法動向，確保公司政策與最新監管要求保持一致。

此次事件對中國出海企業的額外啟示：

更高的合規要求：此次事件表明中國企業在全球運營時會收到更嚴格的外部監管。歐盟隱私組織Noyb已向多個成員國監管機構投訴TikTok、SHEIN、小米、Temu、微信等多家中資企業，指控它們將歐洲使用者資料未經授權地傳輸至中國。按照GDPR規定，被投訴的企業最高可被罰款至全球營收的4%，違規成本極高。在全球市場擴張時需要嚴格遵守當地的資料保護法規，並做足前期法律風險評估。
政治地緣風險：歐盟對中國技術企業也越來越警惕，例如在5G領域對華為的限制、在資料領域對TikTok的審查等。可以預見，中國企業在海外拓展時常常伴隨著政策不確定性和國家安全審查，需要應對複雜的地緣政治環境。
信任建設難度：海外消費者和監管機構對中國科技公司的信任程度普遍偏低。中國企業在進入歐美等市場時，需付出額外努力增加透明度與安全保障，例如公開資料處理流程、接受獨立審計等，以逐步建立起當地使用者和監管方的信心。
合規成本與機遇：面對上述挑戰，中國企業需要投入更多資源提升合規能力，包括技術投入和法律投入。這意味著更高的資料加密、訪問控制及合規審計成本。而嚴格合規也為中國企業打開了新的市場機會：透過展示比競爭對手更高的合規和安全標準，它們可以在全球範圍內樹立信譽，從而更好地融入當地生態。