愛爾蘭資料保護委員會(DPC)今日公佈對TikTok Technology Limited("TikTok")調查的最終決定。此次調查由作為TikTok主要監管機構的DPC發起,旨在審查TikTok將歐洲經濟區(EEA)使用者個人資料[1]傳輸至中華人民共和國("中國")的合法性。此外,調查還評估了TikTok在此類傳輸方面向用戶提供的資訊是否符合《通用資料保護條例》(GDPR)規定的透明度要求。
該決定由資料保護專員德斯·霍根博士(Dr Des Hogan)和戴爾·桑德蘭先生(Mr Dale Sunderland)作出,並已通知TikTok。決定認定TikTok在向中國傳輸EEA使用者資料[2]及履行透明度義務[3]方面違反了GDPR。該決定包括總計5.3億歐元的行政罰款,並要求TikTok在6個月內整改其資料處理行為。若未按期合規,TikTok對中國的資料傳輸將被暫停。
DPC副專員格雷厄姆·道爾(Graham Doyle)評論道:
“GDPR要求,當個人資料被傳輸到其他國家時,必須繼續維持歐盟境內的資料保護高標準。
TikTok將個人資料傳輸至中國違反了GDPR規定,因為TikTok未能驗證、保障並證明EEA使用者的個人資料在被中國員工遠端訪問時,享有與歐盟境內相同程度的保護。
TikTok未能開展必要的評估,因此也未能處理可能因中國的反恐、反間諜及其他法律導致的政府訪問EEA個人資料的問題,而這些法律正是TikTok自己認為與歐盟標準存在重大差異的。”
2025年2月21日,DPC根據GDPR第60條的規定將其決定草案提交至GDPR協作機制。該草案未受到任何異議。DPC對其歐盟/歐洲經濟區同行監管機構的合作與支援表示感謝。
提交調查的資訊存在錯誤
在調查期間,TikTok曾向DPC表示其未在中國伺服器上儲存EEA使用者資料。然而,TikTok於2025年4月告知DPC,其在2025年2月發現的一個問題顯示,確有少量EEA使用者資料被儲存在中國的伺服器上,這與TikTok先前向調查提供的證據不符。TikTok稱,這一發現意味著其向調查提供了不準確的資訊。
副專員道爾(Doyle)補充道:
“DPC對近期有關在中國伺服器上儲存EEA使用者資料的發展高度重視。儘管TikTok已通知DPC該資料現已被刪除,但我們正考慮是否需要在與其他歐盟資料保護機構協商後採取進一步的監管措施。”
DPC將在適當時候公佈完整決定及相關資訊。
[1]歐盟境外資料傳輸的法律要求
GDPR在整個歐洲經濟區提供高水平的個人資料保護,並賦予個人相應的資料保護權利。當個人資料被傳輸至EEA以外地區時,可能影響個人行使權利的能力,並可能削弱GDPR保障的高保護水平。因此,必須確保此類傳輸不會破壞GDPR保障的保護水平。根據GDPR第五章的規定,只有在符合其要求的前提下,方可進行資料傳輸。
GDPR第45條第1款規定,歐盟委員會可決定某第三國或其某些領域/行業提供足夠的資料保護水平(即“充分性決定”),從而授權向該國傳輸資料。
目前,歐盟委員會已就以下國家作出充分性決定:安道爾、阿根廷、加拿大、法羅群島、根西島、以色列、馬恩島、日本、澤西島、紐西蘭、韓國、瑞士、英國、美國和烏拉圭。
若某組織(“資料控制者”)擬將個人資料傳輸至歐盟/EEA以外、尚無充分性決定的第三國,則該傳輸僅能在滿足GDPR第五章中其他相關條款(如標準合同條款)的前提下進行。該規定要求組織有責任驗證、保障並證明該國的法律和實踐提供了與歐盟基本等效的資料保護水平。
[2] DPC關於傳輸合法性的認定
在本次調查中,TikTok Ireland有義務評估中國法律是否提供了與歐盟法律基本等效的保護水平。DPC認定TikTok違反了GDPR第46條第1款,因為其未能驗證、保障並證明所採用的補充措施及標準合同條款(SCCs)在確保EEA使用者個人資料(透過遠端訪問傳輸)獲得與歐盟相同保護水平方面的有效性。儘管TikTok主張遠端訪問傳輸不受相關法律和實踐的約束,但TikTok在調查期間提供的對中國法律的評估表明,中國法律體系的某些方面阻礙了對其保護水平的“等效”認定。
DPC參考了TikTok的評估報告以及其確認的明顯偏離歐盟標準的中國法律,如《反恐怖主義法》《反間諜法》《網路安全法》及《國家情報法》。特別地,DPC認為TikTok未能充分評估這些法律及實踐對傳輸中EEA使用者資料的保護水平,從而直接影響了TikTok選擇適當保障措施的能力,並阻礙其驗證和保障與歐盟等效的保護水平。
在行使糾正權力時,DPC還考慮了TikTok在“Clover專案”下采取的持續改進措施。儘管如此,DPC仍認定在允許上訴期結束後,給予TikTok六個月時間來使其資料處理活動合規,並在屆時未整改的情況下暫停其對中國的資料傳輸,是合適的、必要的、且成比例的。DPC認為,六個月是合理的整改時限。
[3] DPC關於透明度的認定
GDPR第13條第1款(f)項規定,資料控制者須向資料主體說明其將個人資料傳輸至第三國的情況。DPC審查了TikTok於2021年10月釋出的EEA隱私政策,認為該政策在兩個關鍵方面未能滿足GDPR第13條第1款(f)項的要求:
首先,TikTok 2021年版隱私政策未明確指出包括中國在內的資料接收國家。其次,政策未解釋構成資料傳輸的具體處理方式,尤其未說明在中國的員工透過遠端訪問位於新加坡和美國的伺服器來訪問個人資料。
TikTok在調查期間更新了隱私政策,並於2022年12月向DPC提交了新版EEA隱私政策。該政策明確指出了EEA使用者資料傳輸的目的地國家,並告知使用者其個人資料儲存在美國和新加坡的伺服器上,並可能被位於巴西、中國、馬來西亞、菲律賓、新加坡和美國的TikTok集團實體透過遠端方式訪問。
DPC評估認為TikTok 2022年12月版EEA隱私政策符合GDPR第13條第1款(f)項的要求。因此,DPC認定TikTok違反該條款的時間範圍為2020年7月29日至2022年12月1日。
本次決定共對TikTok處以5.3億歐元的行政罰款,其中包括因違反GDPR第13條第1款(f)項而被罰款4500萬歐元,因違反第46條第1款而被罰款4.85億歐元。
歡迎加入影片號會員!
