TikTok涉資料回傳中國的5.3億歐元罰款案的幾點初步觀察

文/李汶龍

處罰全文尚未正式釋出，評論空間有限，討論難免零散。不過本案案情複雜、跨度漫長，可以先行鋪墊幾點，為後續討論搭個架子。

一、第二隻靴子終於落了地，更重更大的一支

2021年，DPC同期啟動兩項針對TikTok的調查，其中之一關於兒童保護，已經於2023年9月作出3.45億歐元的處罰，TikTok宣告未表示上訴。但此次不同。可以說，DPC第二份處罰有多個名頭：

重新整理了歐盟對中國企業開出的最大罰款紀錄
也是資料跨境議題上歐盟首次作出非針對美國企業的處罰
根據我的不完全統計，這應該是GDPR有史以來時間跨度最長的第一次調查

當然，嚴格意義上，TikTok並非是在中國註冊的企業，而且也不是第一次受到GDPR違規的處罰。2023年同期，TikTok同樣因為兒童保護問題被英國資訊專員辦公室ICO處罰了1270萬磅，算是開了先河。

二、與Meta12億歐元相比有何不同？

從資料跨境的角度來看，此次處罰是緊隨Meta12億歐元的史上最高罰單（目前Meta正在進行上訴）與Meta的12億歐元處罰不同的地方在於，對於Meta提出的整改要求主要是合規方案細節的修補，例如更新SCC，附加EDPB以及歐盟法院要求的“補充措施”，實施與開展傳輸影響評估TIA，以及在新框架獲批之前，暫停高風險傳輸。但是TikTok的情況會更加複雜。在中歐就政府訪問個人資料的問題上無法達成共識的情況下，只能透過強行嚴格限制中國團隊遠端訪問的方式展開。總之，TikTok案中執法視角更關注在公共部門處理相關的風險，而Meta案更多還是在評估GDPR設定的法律機制，尤其是SCC的“適足性”上。對於TikTok而言，至少在沒有看到判決之前，SCC+TIA+附加措施並不能解決當下問題。除此之外，Meta與TikTok案在一些細節上還有些不同，例如

針對DPC資料傳輸是DPC在2021年主動發起的，而Meta案件主要是noyb投訴驅動
一站式機制上，Meta案最後因為監管機關間無法達成協議最終由EDPB釋出有約束力的決議解決糾紛，但TikTok的案中相關監管機關完全沒有提出異議（有些令人意外），因此最終由牽頭監管機關按照其提議進行處罰
TikTok案的關注點主要是放在遠端訪問的場景之下，相較於Meta案而言場景更為聚焦。但是案件本身的普適性會有所降低，因為不是所有企業都有能力在海外搭建機房，傳輸的情景如何評估風險治理和管控可能無法透過本案進行延展。

三、GDPR執法的中國轉向

從GDPR整體執法軌跡來看，過去數年歐盟的關注點始終集中在美國科技巨頭GAFAM身上，而TikTok自2021年即被立案調查卻遲遲未見結論，恰恰反映出監管重心當時尚未轉移。但進入2024–2025年，情況出現明顯變化：中國科技企業，尤其是以DeepSeek為代表的新一代人工智慧基礎模型企業，其快速發展和技術輸出潛力逐漸引起歐盟高度關注，TikTok案正是在此背景下加速釋出。因此，GDPR執法重心出現了結構性轉向：中國企業不再處於豁免區，而是開始步入歐盟資料治理體制的前沿火線。

具有有戲劇性的是，本案原本可能仍將被延宕，但noyb在2025年初透過“跨法域集中投訴”的策略性佈局，將TikTok與多家中國背景企業一併投訴至歐盟各監管機構，所涉核心問題均指向資料回傳中國，引發巨大輿論與監管壓力。值得玩味的是，DPC在2月21日正式提出本案處罰草案的時間點，恰好距離noyb發起集體投訴約一個月，這一罕見的同步動態幾乎可以視作DPC被“將了一軍”。更早之前，已有媒體提前放出風聲，暗示DPC的最終裁決即將公佈，這種操作在GDPR執法歷史中也並不多見。

四、針對TikTok合規苛責在何處？

儘管判決全文尚未公開，不宜對法律適用細節妄加推斷，但已有資訊表明，TikTok至少在兩個關鍵方面遭到DPC指責，亦即本案爭議的核心所在。其一，是明確的違規專案。

根據DPC釋出的宣告，TikTok在2021年隱私政策中未能充分披露個人資料可能被傳輸至中國，且在監管問詢階段，未能提供準確、全面的資訊。此外，TikTok極可能是基於標準合同條款SCC開展資料跨境（具體表現為中國團隊對歐洲使用者資料的遠端訪問），但是否同步建立了充分的補充保障措施、是否進行了合法有效的跨境傳輸評估TIA，這些尚待判決全文揭示。但從DPC語氣可推測，其認為TikTok未能滿足“實質等同保護”下的最低合規門檻。此外還有問詢資訊提供有誤的drama，此前先例當中並未出現，不知DPC將會如何應對。

其二是制度層面的指責。DPC在宣告中強調：

DPC對TikTok的追責，並不僅僅止於企業自身是否盡到注意義務，而是進一步質疑是否能提供任何真實有效的保障機制。

這就牽涉到一個極為棘手的問題：TikTok是否可能透過組織措施（如遠端訪問限制）與法律論證（如法律適用範圍、資料實際呼叫路徑）說服DPC其風險較低？ TikTok或許試圖論證，在遠端訪問的情景下並不構成迫切威脅，但DPC未必會買賬。與其說DPC在評估和否定TikTok的“個案補救方案”，不如說它對整個制度背景表達了根本性的不信任。

這一裁決正值noyb發起對六家中國企業策略投訴之後（見前文《聊聊noyb針對中國網際網路企業的這波發難》），其共同議題恰恰圍繞對中國法律環境的不確定性，特別是對政府訪問許可權缺乏明確邊界、程式透明性不足、法律適用模糊以及外國資料主體在中國權利行使機制缺位等問題的系統質疑。因此，即便TikTok案中尚未完全展開此類討論，也可以預見，在noyb未來推動的訴訟中，制度信任與法律對等性的爭議將不可避免地全面爆發。TikTok案只是冰山一角，其背後的執法邏輯，很可能預示著歐盟對中國資料制度系統性風險認知的正式確立。

五、TikTok的整改原早於處罰

本次DPC的處罰可謂“翻舊賬”，調查時間跨越三年，從2021年啟動到2025年裁決落地，而TikTok事實上早已開始主動應對。從2023年3月啟動的Clover專案起，TikTok在歐洲的資料本地化重構已經持續超過兩年。與其說這是一場合規響應，不如說是一場圍繞“政治可接受性”的架構重寫：面對歐盟近年來高呼的“數字主權”口號，TikTok選擇以物理基礎設施和組織隔離的方式應對。

處罰決定中，DPC要求TikTok在六個月內完成整改措施。但根據TikTok官方宣告，這些“重構性”措施在Clover框架下其實早已啟動。例如，TikTok在2023年已在愛爾蘭都柏林落地第一個本地資料中心，並宣佈2024年底前啟動歐洲資料向挪威遷移的第二階段。2024年秋季，TikTok也明確提出將包括英國與瑞士在內的歐盟周邊國家資料一併納入本地託管範疇。TikTok還邀請NCC集團作為獨立外部監督方，對整個資料遷移與儲存過程進行即時審計，以此在政治和監管層面塑造可信合規的形象。隨著愛爾蘭與挪威資料中心全面上線，該問題在法律層面應可逐步收斂。DPC此次處罰雖帶有追責性質，但某種程度上也象徵著一項延遲兌現的政治驗收：TikTok未必真正贏得了制度信任，卻至少用基礎設施表達了妥協誠意。在技術無法消除制度不信任的前提下，“物理隔離”成為預設選項。

六、TikTok的5億罰金對其他出海企業是否有借鑑意義？

TikTok此次遭遇的高額罰款，是否對其他中國出海企業具備可複製的借鑑意義？儘管TikTok在合規應對中展現出極強的資源調動能力——建設本地資料中心、引入第三方審計、重構訪問許可權體系——但對於絕大多數中小型出海企業而言，這種“基礎設施式合規”無從效仿。

更尖銳的問題在於：TikTok案之後，中國企業是否仍能依託SCC這一GDPR認可的合法傳輸機制開展歐盟業務？答案目前尚不明朗。值得注意的是，DPC此次處罰所針對的資料處理行為發生在Clover計劃之後，因此它並未否定本地建站和封閉管理這一路線本身。DPC此次是將矛頭指向TikTok自身的合規不力，還是更深層地質疑整個中國法律制度在資料保護上的“不可等同性”。如果DPC的裁決最終落腳在對TikTok盡職義務的評估之上，那麼對於其他出海企業而言，仍能保有一定的合規騰挪空間，即在SCC基礎上，透過補充措施（加密、訪問控制、獨立監督）達成最低可接受的風險閾值。如果DPC實質上是以制度本身判罰，那麼無論企業採取何種技術手段，恐怕都無法滿足歐盟“實質等同”的保護要求。此時，問題已不再是合同義務與技術防護的層面，而是升級為跨制度信任斷裂下的政策衝突。當資料流動跨越的不只是物理邊界，更是制度鴻溝時，企業自身的盡職努力可能並不足以獲得監管諒解。SCC能否繼續作為中國出海企業的合規底盤，將取決於歐盟是否還願意接受“個案實質評估”的邏輯，而非“一刀切”的制度定性——這也將是noyb後續訴訟和歐中資料談判的關鍵博弈點。

七、回應處罰，哪些是需要在國家層面作出回應？

即便建立了資料中心，並且確保所設立的流程、技術、人員都能盡職，是否就能保證合規？仍然未必。資料跨境是一個複雜的法律問題，同時涉及到私有領域企業的合規，國家之間資料保護制度的互任，以及由歐盟創設關於政府訪問私有部門資料的限制和救濟。此外還有一個國際法面向，當涉及到資料主體權利救濟時，第三國的法律能否提供對等的保障、救濟和權利，即便是建立了類似於GDPR規範的基礎之上。

GDPR框架下資料跨境合規本身是一個複雜的議題，而且近年來幾次主要的爭端，圍繞Schrems展開，都是關於政府訪問企業個人資料，也即公共部門資料處理正當性和合法性的議題。比如在隱私盾被Shrems II推翻的案件中，實際上歐盟法院對於隱私盾用於私有部門資料跨境傳輸並沒有質疑，第三代環大西洋資料隱私保護框架的變動主要都是在公共部門資料處理中提供程式限制（基於比例原則），以及在個人主張權利時提供救濟（在司法部下設立了資料保護法庭，但因為川普再度上任開除了PCLOB幾位成員可能會再度被廢除）。

整體來說，中國當下在資料和AI治理方面在強調國際領導力和合作，有不少事情可以跟隨這個旋律進行推動。具體而言，有以下幾個面向可以著力：

（一）需要對廣義數字相關立法進行“法典化”，倒不必一定形成法典，但是需基於類似思路對概念、邏輯、理論進行一番對齊工作。尤其是涉及國家安全、反恐、情報收集與個人資訊保護領域交叉的部分。而這非常有賴於組織學術資源和力量進行前期的規範譜系和論證，提供足夠的法律確定性。此前修訂個人資訊保護法、國家安全法等罰金基準是實現處罰一致性和合理性等問題。但於此相比，形成不同法律條文之間的融貫性則是一個更艱鉅的工作，有賴於不同法律部門學者之間的通力合作，以及跨法域之間的思考和研究。

（二）透過規範升級形成“對等保護”敘事。究竟在狹義法律之外如何形成融貫合理、符合法治原則的規範鏈條，實際上仍然缺乏討論和論證，也需要在立法側有所推動。

（三）將個人資訊保護法進行國際化，無論是對其中適用範圍進行措辭進行調整（涵蓋外國人利益），還是出臺相關細則明確外國人行使權利的救濟渠道和機制，目前僅在個人資訊保護法文字層面沒有足夠的法律確定性，需要進一步的落地機制推動，確保在渠道和程式上，中國法律不會被認為存在不平等對待的情形。

八、TikTok案後續走向

隨著一站式機制的結束，本案程式性階段已告一段落：DPC提出處罰草案後，未收到其他成員國監管機構的反對意見，因而無需啟動EDPB協調程式，裁決即生效。TikTok已在24小時內透過官方宣告表態將提起上訴，這意味著接下來的程式將轉入愛爾蘭國內司法體系。

TikTok需在收到正式處罰決定後的28天內，向愛爾蘭高等法院提起司法審查，請求撤銷或變更DPC的裁定，並可同步申請中止決定的執行，直到法院作出最終判決。若高等法院駁回TikTok的請求，後者仍可繼續向愛爾蘭最高法院提起上訴。訴訟過程中，若法院在解釋GDPR相關條文（如第44條及第46條的跨境傳輸要求）方面存有疑問，可依《歐盟運作條約》第267條將問題提交歐盟法院進行預先裁定。

這一訴訟路徑，幾乎是此前Meta案的映象。2023年DPC對Meta開出12億歐元罰單後，Meta同樣迅速釋出宣告宣佈上訴，但迄今未見實質性的司法審查程式進展。一方面，TikTok若能在司法程式中成功削弱DPC關於“缺乏等同保護”的認定，或將為其他在歐運營的中國企業提供抗辯路徑；另一方面，若愛爾蘭法院選擇將核心問題提交歐盟法院（如如何評估第三國法律下的公共部門資料訪問風險），則將把本案從技術合規問題正式引向歐中資料主權博弈的制度主戰場。無論最終結果如何，可以確定的是，TikTok案將不會因處罰落地而劃上句號，而是開啟一段長週期、高關注度的跨國合規訴訟程序。其意義早已超出個案得失，而將直接影響中國企業在歐資料治理空間的制度想象邊界。

九、DPC處罰五億，TikTok就得交五億嗎？未必。

首先，司法程式的介入可能隨時對處罰金額進行修改或撤銷。TikTok已明確表示將上訴，這意味著案件將進入愛爾蘭高等法院甚至最高法院的司法審查階段，結果可能包括部分減免、緩期執行，甚至完全推翻。因此，DPC的“喊價”與國家實際“到賬”，往往是兩條時間軸上節奏迥異的故事線。

即便裁決不變，罰金的實際回收率也極其有限。根據我對2018年以來DPC十大罰金的比對分析（不含TikTok本案），可以發現一個非常明確的圖景：大型科技企業的鉅額罰款幾乎都尚未回收。總額約為33.9億歐元的八起大案（Meta、WhatsApp、LinkedIn等），目前回收為零。很多連走到執行程式的機會都沒有。例如，對Meta開出的4.05億歐元罰款自2022年9月判決以來已近三年毫無進展；WhatsApp 2021年9月被罰2.25億歐元也接近四年仍未收回。Meta和Twitter早年間還有繳納的傾向，但近3年間所有高額罰款幾乎都還在路上。自2020年開始進入執行階段的罰金，總體回收率僅約為0.72%，而真正進入國庫的罰金則集中在一些金額較小、沒有司法抗辯的公共部門和公益機構，回收率高達70.6%。