负责调查的爱尔兰数据保护委员会(DPC)指出(注:因为TikTok欧盟总部在爱尔兰):TikTok未能提供足够保障,以证明中国员工远程访问的欧盟用户数据受到与欧盟标准等同的隐私保护。
调查还发现,TikTok长期提供不实信息,此前称未将欧洲用户数据存储于其它国家,然而2025年2月,TikTok自身通报,部分数据确实曾被存入国外的服务器,且直到4月才删除。
DPC命令TikTok必须在6个月内完成合规整改,否则将被强制中止向其他国家的数据传输。
TikTok表示要上诉
TikTok 表示,它强烈反对这一裁决,并表示已利用欧盟自身的法律框架(具体来说是所谓的标准合同条款),授予严格控制和有限的远程访问。它计划对这一裁决提出上诉。
TikTok 还表示,该裁决并未充分考虑其在 2023 年首次推出的数据安全措施,这些措施可以独立监控远程访问,并确保欧盟用户数据存储在欧洲和美国境内的专用数据中心。
之前就被罚了3.45亿欧元
此次处罚是TikTok在欧盟的第二次重大隐私罚单。早在2023年,该公司因不当处理儿童数据被罚3.45亿欧元。
当年9月,爱尔兰数据保护委员会(DPC)对TikTok处以3.45亿欧元罚款,理由是其在2020年7月至12月期间,未能采取足够措施保护13至17岁未成年用户的个人资料,严重违反了GDPR规定。
DPC调查发现,TikTok存在以下几个关键问题:
-
默认公开账户设置:新注册的13至17岁用户账户,默认设为“公开”,意味着任何用户——包括非好友或陌生人——都能查看这些青少年的视频、资料及评论。这一默认设置被认为未能考虑未成年人的隐私权和安全风险。
-
“家庭配对”功能缺乏有效审查:TikTok曾推出一项“家庭配对”(Family Pairing)功能,允许家长连接子女账户以监督使用行为。但调查指出,该功能没有有效验证操作者是否为家长本人,有可能被未成年人绕过或误用,从而产生管理盲区。
-
暗示式设计误导用户:TikTok在设置流程中使用“黑暗模式设计”(Dark Patterns),例如将公开选项放在显著位置,而将更隐私的选项淡化处理,诱导用户选择更少隐私保护的设置。这种做法违反了GDPR中关于“数据保护从设计开始”和“默认隐私”的原则。
-
年龄验证机制薄弱:虽然平台规定13岁以下儿童不得注册,但其年龄验证系统容易被绕过,导致大量低龄儿童可以轻易创建账户,使用风险内容。
DPC罚款记录
DPC 是欧盟 GDPR 的主要监管机构之一,负责监督在爱尔兰设有欧洲总部的科技公司,如 Meta(包括 Facebook、Instagram 和 WhatsApp)、TikTok 和 LinkedIn。
GDPR 规定了严格的数据保护要求,包括数据处理合法性、透明度、儿童数据保护和跨境数据转移规则,违反这些要求可能导致高额罚款。
2018 年起 GDPR 实施后,科技大厂因其大规模数据处理活动而成为监管重点。
欧盟最近动作频频
3月,欧盟委员会依据《数字市场法》对苹果和脸书母公司Meta分别处以5亿欧元和2亿欧元罚款,合计7亿欧元的处罚成为该法案实施以来最具标志性的执法案例。
调查显示,苹果应用商店的支付系统涉嫌强制捆绑服务,限制第三方支付渠道;Meta则被指控在广告业务中存在数据垄断行为。
欧盟竞争事务专员维斯塔格在新闻发布会上强调,处罚决定基于企业“系统性违反公平竞争规则”的事实,与地缘政治因素无关。但多家国际媒体注意到,处罚决议恰逢美欧钢铝关税谈判陷入僵局的关键时间节点。
(文:机器学习算法与自然语言处理)