

案例集 | TikTok爱尔兰数据跨境违规——处罚决定书笔记

数据合规肖大国

2025-10-09

导读：好难

TikTok爱尔兰罚单

中企数据跨境何去何从？

TikTok违规跨境传输（通过远程访问）EEA用户个人数据被爱尔兰数据保护委员会（DPC）处以5.3亿欧元的处罚决定书终于全文发布了。决定书链接：https://www.dataprotection.ie/en/treoir-ccs/law/decisions/inquiry-tiktok-technology-limited-april-2025

国庆假期有一搭没一搭地学完，分享一些笔记。分成以下四部分：跨境传输本该怎么做、TikTok的防御策略、中国法评估、其他学到了的点，以及我的感想。

建议先复习一下这一篇案例集 | 都柏林没有奇迹，TikTok折戟数据回传难题

跨境传输本该怎么做

进入本案之前，还是老生常谈地重复介绍下GDPR下跨境传输合规的大框架（比较熟悉的朋友可以直接跳到下一part）。

GDPR在整个欧洲经济区（欧盟27国+冰岛、列支敦士登、挪威）范围内提供了高水准的个人数据保护，并为个人提供了数据保护权利。而当个人数据被转移到欧洲经济区之外时，个人行使数据主体权利可能受阻，并且高水平保护可能难以为继。

为了解决这个问题，GDPR第五章专门规定了个人数据跨境转移（指欧洲经济区之外）场景下的合规义务，而这些合规义务要实现的目标就是数据在转移后，其在欧盟内受到的高水平保护得以延续。

对于中国企业而言，几乎唯一可用的就是SCCs（标准合同条款）。SCCs，顾名思义，欧盟委员会制定好一套格式合同，企业只要采用这套合同并且保证履行合同义务，自然就能实现跨境前后的同等保护，满足GDPR的合规要求。既然如此简单，为什么TikTok还会犯低级错误呢？

那是因为，SCC并不单纯是一个文件签署的问题。SCC以及其他适当保障合规工具适用的必要条件是：数据出口方必须以个案评估的形式，核实第三国的法律或实践是否可能会影响所采用的合规工具的有效性。如是，数据出口方必须采取补充措施弥补因第三国法治所产生的保护空白/削弱，最终再次达到同等保护的水平。

鉴于TikTok允许在中关联公司远程访问存储于中国境外的欧盟经济区用户个人数据的行为构成数据跨境传输，因此需要满足GDPR同等保护的要求。而DPC认为中国法律体系（包括《反恐怖主义法》《反间谍法》《网络安全法》和《国家情报法》）中的若干方面与欧盟保护水平不相符。双方就此展开了长达四年的拉锯。

TikTok的自救

从程序策略上，TT礼节上非常尊重DPC，无论干个什么事儿都会先和DPC说明，但实质好像又不是很重视，屡次申请延期（也是策略）还迟交。

从抗辩策略上，我总结为兵分四路：

死不承认：中国法环境问题是双方最大的争议来源，也是整个处罚决定的重点，在下一部分单独讨论
从善如流：(1) 修改Intra-Group Agreement并调整了跨境传输链路上各方角色；(2) 更新TikTok EEA Privacy Policy
积极对抗：(3) 倒打一耙，甩锅DPC；(4) 引入专家对抗DPC的论据
胡搅蛮缠：(5) 口不择言，企图乱拳打死老师傅

下面展开说下（1）（2）（3）（4）（5）点。

(1) 修改Intra-Group Agreement并调整了跨境传输链路上各方角色【用处不大】

此前TT用的Intra-Group Agreement是2010版SCC，2022年底更新成了2021版SCC。另外，TT集团同步完成了跨境传输链路调整：此前TT集团所有接收EEA用户数据的十六家关联公司都是Processor，TT爱尔兰与这些公司之间是C-P的关系；调整后仅保留北京字跳网络技术有限公司做Processor，其他关联公司的角色变成了sub-Processors。

我理解合同更替只是因为2010版SCC在2022年被欧盟委员会要求退役，属于TT必须完成的形式合规，与DPC的调查案并无直接关联；而从多procesor改为单processor+subP的结构调整可能是为了避免跨境传输链路极度分散暴露更多的风险点。但这种链路调整对于“数据跨境至中国”问题的实质帮助不大，也不是处罚决定的着墨重点。

（2）更新TikTok EEA Privacy Policy【有用】

此前，隐私政策中并没有明确披露“数据将被传输至中国”，而只有“all other third countries”这样笼统的表述。这一点引发了DPC的关注。双方基于GDPR Art.13(1)(f)条对于是否应当披露跨境传输接受国展开了battle。

TT认为，告知第三国并非为Art.13(1)（f）的应有之义，而这显然不被DPC接受（para591）。结果是TT在2022年12月更新了EEA Privacy Policy，明确披露出“China”字眼。

这个小小修改在后续评估罚金时帮了忙，因此DPC就此认为TT违反告知义务的期间到更新隐私政策为止。时间越短，罚款当然越少。

（3）倒打一耙，甩锅DPC【没用】

在整个调查过程中，TT两次提出类似“责任倒置”的主张，试图将皮球踢给DPC，但无奈都被驳回了。

首先，TT主张未履行评估义务并不导致传输本身违法。若控制者在向第三国传输个人数据前未能充分核实第46条的要求是否得到满足，则DPC需要自己来做评估。DPC要先得出SCC不能被遵守的结论，然后才能暂停传输。但DPC说：不要甩锅！根据schrems II那是出口方的责任，监管机构的责任是调查传输的合法性。

然后，TT又说，需要DPC先得出特定数据跨境场景下没有任何alternative means才能要求暂停数据跨境。DPC说：不是的。是TT要证明有同等保护，如果没有证明那DPA就可以暂停或中止转移，这也是DPA的义务。

（4）引入专家对抗DPC的论据【有用】

调查期间，TT提交了多份专家报告，一半是为了打掉DPC对于中国法律的不信任；一半是为了论证四叶草计划下TT采取的differential privacy measures。DPC的决定中对于后者仅陈述事实并无反应。但对于前者倒是多次提及。

原本DPC希望依赖Milieu Report（一个针对外国法律环境的半官方评估报告）来评估中国的法律环境，但TT提交的报告来自更熟悉中国法律环境的中国学者（许可教授）和中国律所（方达），成功说服DPC更多地采信专家报告而不是Milieu Report。

但是，这些专家报告的内容也并未被全盘接受。在下文中国法评估部分，TT也引用了专家报告来支撑其“中国法适用属地原则”主张，但并没有被DPC采纳。

（5）垂死挣扎：乱拳打不死老师傅【没用】

除了上文提到的策略，读决定书的过程中好几次我都觉得TT确实是没招了，试图乱拳打死老师傅。

比如，TT主张作为GDPR的说明性条款（recital）不能被援引为构成GDPR的规定。这明显是睁眼说瞎话。

再比如，在回应DPC的preliminary draft decision时，TT（声泪俱下地）表示暂停数据跨境是不成比例的处罚，将影响TT的用户、内容创作者、广告商，以及受欧盟宪章保护的TT经营自由。（Para 692）

对此DPC倒是一板一眼作出了回应。其首先肯定数据权利不是唯一一个基本权利，但需要有balance。DPC强调其暂停数据跨境传输的要求已经考虑了比例原则；其次，DPC没有阻止TT采取各种行动满足GDPR的要求；再次，这个中止决定只是影响以后的数据跨境（para707）；最后，TT是有六个月的宽限期的（para710）...

中国法评估

对于中国法评估是处罚决定的核心。感兴趣的朋友可以从280段开始读到455段。

作为背景信息，首先需要介绍两份重要的指南：

（1）《关于补充传输工具以确保符合欧盟个人数据保护水平的建议措施》（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）。这个指南推荐（=要求）在跨境传输场景下，如采用SCC或其他适当保障合规工具的，需要采用六步走的方式保证实现真正意义的“同等保护”。

Step 1：了解传输活动，包括传输个人数据类型、数据主体类型、数据进口方、所涉系统，以及整个传输活动的必要性等。
Step 2：选定合规工具（e.g., SCC）并且确认选择了正确的工具。
Step 3：评估传输工具的有效性（就是我们常说的TIA，transfer impact assessment）：数据进口国的现行法律或实践做法是否有可能影响所采用合规工具的有效性？换言之，在SCC的场景下，数据进口国的法律/做法是否妨碍了SCC条款的实现。
Step 4：如果第三步的答案为“是”，那么就需要采用补充措施，来弥补SCC条款实现的不确定性。
Step 5：补充措施可能涉及的与监管沟通的程序（主要针对BCR作为合规工具的情况，SCC不用）
Step 6：在适当节点重新评估已传输至第三国的个人数据的保护水平。

（2）《关于欧洲基本保障措施的建议》（Recommendations 02/2020 on the European Essential Guarantees for surveillance measures）。该建议是EDPB为了指导企业正确评估第三国国家意志为监控目的获取数据的另一个指南性文件。

在TT提交的TIA报告中，关于SCC的有效性（可直接在决定书中搜关键词“section 2”定位），TT分别从以下五个方面作出论证，当然DPC也一一作出反驳：

以上五点中，最重要的攻防战发生在“属地原则”的构建上。即，中国法是否有权要求企业对其披露存储于中国境外的EEA用户数据。我在阅读这部分时感觉DPC似乎也没有一个特别明确的逻辑，而是车轱辘话来回倒。我把双方各自的核心论据总结了如下。但一定要说明的是，这部分内容很重要，我的总结极有可能不全面，建议看原文！

其他学到了的点

1.TT的SCC附件/TIA写得好细。这么好的套话下次我用用~

决定书这部分的各种表都挺不错的，值得借鉴。

（我每次写nature of processing都觉得费劲）

2. 没有revealing or deducing 特殊类型字段的意图不代表客观条件上没有掌握这些字段

3. DPC接受进口国身份藏在告知文本两层之下

更新后的隐私政策中，“China”字眼也不是一眼可见的，而是需要点击到下位页面才能发现，但这种做法为DPC所接受。

4. 除了法律环境外还可以通过论证第三国监管机构对于控制者掌握数据提出披露要求等干预行为的发生概率极低来做支持同等保护

TT主张，在评估第三国现行法律和实践的影响时，需分析公权力在实践中要求披露等干预行为的发生概率，而非仅依据法规或法条解释。披露要求在实践中引发风险的可能性或严重程度应基于客观因素确定，包括可公开获取的信源、同行先例、判例以及独立机构的报告等。对此，DPC认同这套逻辑，并表示：如果数据控制者评估确认风险是“理论上的或遥远，那么在特定情形下，叠加补充措施，是可以用于验证、保证并证明“实质上等同的保护水平”的。

我觉得这是DPC的一个突破性松口，给了出海中企一点点数据回传合规的喘息空间。

但DPC同时强调这个结论在TT的案例里不成立。因为即便在这套逻辑下，TT也只是强调属地原则和法律不适用性，而没有分析适用后的影响，所以TT根本就没能有效证明中国监管机构获取EEA用户数据是theoretical or remote, 或者hypothetical or unlikely to materialize in practice。可惜，真的好可惜！TT你真的太轻敌了！

感想

通篇读下来，我能感到TT很努力，但好像又努力不到点儿上，比如处罚决定中DPC着墨最多的中国法域外效力部分，TT的抗辩翻来覆去就那两句，毫无招架之力。而且过于看重“属地原则”的证明力，没有两手准备考虑如何构建“中国法适用但还是能达到同等保护”的叙事（有可能是真的没辙了）。

DPC蛮不容易的，几年时间里需要仔细评估TT递交的海量资料并且抓到要点作出回应。200页的决定书一个字一个字打出来也不轻松（要是车轱辘话能少一点就更好了）。同时我也认可DPC的逻辑，无论是我的个人观点还是基于处罚决定披露的TT的抗辩，都很难得出一个令其满意的“同等保护”答案。
但能怎么办呢？生意不做啦、网不上啦、饭不吃啦、地球村不建设啦？还是希望欧盟的监管机构不要太死板太傲慢，考虑一下第三国的国情，也考虑一下利益平衡，差不多得了！
除了上面的部分DPC还对GDPR第49条减损条款适用（503段到517段）和罚金计算（750段开始到最后）的分析，主要内容和此前发的两篇文章（GDPR第49条适用条件深度解析；手把手帮你计算GDPR罚金）重叠，就不再赘述了。