TikTok因为隐私保护成为重要议题而遭到345亿欧元的GDPR罚款

TikTok因GDPR违规遭罚345亿欧元，隐私保护成为核心议题

发布时间：2023年9月26日 由 Glyn Moody

TikTok正式陷入风头浪尖：它已经成为因违反欧盟主要隐私法GDPR而遭受重大罚款的企业之一。爱尔兰数据保护委员会DPC对该公司处以 345万欧元的罚款 约合37亿美元，原因是未能妥善保护儿童的个人数据。

DPC两年前启动了调查，主要针对TikTok在欧盟的两大运作方面：如何处理儿童数据，以及如何将个人数据传输到中国。关于第二点的决定尚未公布，预计将在明年某个时候发布。

DPC对TikTok如何处理儿童个人数据的裁定并不简单。DPC表示，它在一年前将草拟的决定提交给其他欧盟数据保护机构，来自意大利和柏林的两个机构对该提案提出了异议。与今年早些时候对Meta公司处以12亿欧元罚款的情况类似，这一欧盟机构间的分歧需要欧洲数据保护委员会EDPB裁决，而这一裁决现在已经作出。调查涉及TikTok处理儿童私隐数据的三个方面：

DPC发现，儿童账户的默认设置为公共，这意味着任何人都可以查看孩子在TikTok上发布的内容。所谓的 家庭配对 设置允许成年人不一定是孩子的父母或监护人将他们的账户与孩子的账户配对。这使得成年人可以向年满16岁的儿童发送私信，DPC认为这对儿童用户产生了“严重风险”。此外，儿童用户的默认公共设置进一步增加了13岁及以下儿童使用TikTok的风险。

关于年龄验证的最终观点是，TikTok已在满足GDPR的努力中遵守相关规定，确保只有13岁以上的用户可以使用该平台。DPC还裁定TikTok采用了 黑暗模式，在注册过程中以及发布视频时，暗示用户选择更具隐私侵害性的选项。尽管这些用户介面问题已存在一段时间，但这是首次就该问题发出重大裁决。DPC还发现，TikTok未能向其儿童用户提供充分的透明信息。

根据DPC的调查以及EDPB的意见，针对TikTok的决定包含三个要素：

对于DPC的决定，TikTok的欧洲隐私负责人表示：“我们对决定的几个方面表示尊重地不同意，尤其是罚款的金额。”该公司的主要论点如下：

DPC的调查仅集中在2020年7月至12月期间。DPC未找到TikTok的年龄保证措施违反GDPR的证据，而且大部分批评在我们于2021年初引入措施后已经不再适用在调查开始的几个月前。

这是一个相当薄弱的辩解。就像有人说他确实超速了，但后来他减速了，因此应该得到豁免。重点在于，TikTok在某段时间内未能遵守相关法律GDPR。

确实，在过去一年左右的时间里，TikTok意识到需要加强其隐私保护，尤其是因为世界各地都对使用其服务施加了 禁令。在2023年1月，TikTok的全球隐私与监管事务负责人发文提到“2023年数据隐私日：认可已做的工作及未来的计划”。文中提供了有关几项旨在加强美国和欧洲隐私的行动的资讯。其中包括建立 TikTok美国数据安全

一个独立的商业实体，负责管理所有需要获取美国政府认定需要额外保护的用户数据的商业功能，并保护在美国交付内容的系统，以确保其不受外国操控。

与此同时，在大西洋的另一边，TikTok在都柏林建立了 数据中心，以减少数据传输到欧盟以外的情况。最近，这一计划扩展为克洛佛专案Project Clover：

一个专注于为欧洲TikTok用户数据创建安全环境的计划。这一倡议将引入多项新措施，以加强现有保护措施，并进一步使我们整体的数据治理与欧洲数据主权原则保持一致。

针对持续关注的 TikTok隐私政策，该公司在2023年2月发表了一篇名为“打破迷思：我们数据收集实践的事实”的文章，并在2023年6月发表了另一篇名为“TikTok真相：我们的隐私与数据安全实践的新系列”。最近，它解释了如何遵守新的EU数字服务法，包括创建一个 欧洲在线安全中心。

这些高调举措显示出，隐私保护已成为TikTok服务的核心。DPC的最新GDPR罚款无疑会促使该公司继续在此领域的工作，这对于所有用户来说都是好消息，因为TikTok将不断增长并扩展到新领域。

图片来源：TikTok