TikTok因违规传输欧盟用户数据被罚5.3亿欧元
平台被指未能提供充分保障,中国员工远程访问欧盟用户数据
2025年5月2日,欧盟隐私监管机构对中国公司字节跳动旗下的TikTok处以5.3亿欧元(约合6亿美元)罚款,理由是其违规将欧盟用户数据传输至中国,违反了欧盟《通用数据保护条例》(GDPR)。
负责调查的爱尔兰数据保护委员会(DPC)指出,TikTok未能提供足够保障,以证明中国员工远程访问的欧盟用户数据受到与欧盟标准等同的隐私保护。
此外,TikTok被指长期提供不实信息,此前声称未将欧洲用户数据存储于其它国家。然而2025年2月,TikTok自身通报部分数据确实曾被存入国外服务器,并直到4月才删除。
DPC命令TikTok必须在6个月内完成合规整改,否则将面临强制中止向其他国家传输数据。
TikTok表示强烈反对这一裁决,并计划提出上诉。公司指出其已利用欧盟法律框架中的标准合同条款,对数据访问进行了严格控制和有限远程管理。
同时,TikTok还强调该裁决并未考虑其在2023年推出的数据安全措施,这些措施旨在独立监控远程访问并确保欧盟用户数据存储在欧洲和美国境内的专用数据中心。
此次处罚是TikTok在欧盟的第二次重大隐私罚单。早在2023年,该公司曾因不当处理儿童数据被罚3.45亿欧元。
当时,爱尔兰数据保护委员会(DPC)指出TikTok在2020年7月至12月期间存在以下关键问题:
- 默认公开账户设置:新注册的13至17岁用户账户默认设为“公开”,导致青少年视频、资料及评论暴露给非好友或陌生人,忽视未成年人隐私权与安全风险。
- “家庭配对”功能缺乏有效审查:允许家长连接子女账户的功能未能验证操作者是否真正为家长,易被未成年人绕过。
- 暗示式设计误导用户:通过“黑暗模式设计”引导用户选择较少隐私保护的设定,违背GDPR关于“数据保护从设计开始”原则。
- 年龄验证机制薄弱:13岁以下儿童难以被识别,从而造成大量低龄用户进入平台使用风险内容。
