![图片[1]数据安全-治理-指南TikTok因向中国传输个人数据被处以5.3亿欧元罚款](https://www.dsgg.org/wp-content/uploads/2025/06/TikTok因向中国传输个人数据被处以5.3亿欧元罚款.png)
2025年5月2日,爱尔兰数据保护委员会(DPC)决定对Tiktok违规传输个人数据除以5.3亿欧元(约合44亿人民币)罚款,这是继亚马逊7.46 亿欧元罚款(2021)和Meta12 亿欧元罚款(2023)之后开出的第三高罚单。
目前,DPC仅发布了新闻稿,全文尚未披露。但已有明确说明:尽管TikTok在将数据跨境传输至中国的过程中采用了GDPR的标准合同条款(SCC)作为合规工具,但其未能核实、确保并证明SCC及其补充措施能够提供等同水平的保护,因此违反了GDPR规定。
时间线
- 2021年9月14日,爱尔兰数据保护委员会(DPC)对TikTok启动两项调查:(1)TikTok处理儿童数据是否符合GDPR要求;(2) TikTok将个人数据传输到其母公司是否符合GDPR有关向第三国传输个人数据的规定。
- 2023年9月15日,DPC宣布,Tiktok违反GDPR关于儿童数据保护的规定,对其处以 3.45 亿欧元的罚款,并命令其在三个月内作出整改。
- 2025年2月21日(历时三年半),DPC向其他欧盟成员国的数据保护机构提交了对TikTok跨境传输个人数据调查的决定草案。
- 2025年5月2日,DPC宣布对于TikTok跨境传输个人数据调查的处罚决定。
SCC与EDPB六步走
DPC的调查其实很直白:TikTok将数据回传至中国是否满足GDPR“同等保护”的要求。
GDPR在整个欧洲经济区(欧盟27国+冰岛、列支敦士登、挪威)范围内提供了高水准的个人数据保护,并为个人提供了数据保护权利。而当个人数据被转移到欧洲经济区之外时,个人行使数据主体权利可能受阻,并且高水平保护可能难以为继。
为了解决这个问题,GDPR第五章专门规定了个人数据跨境转移(指欧洲经济区之外)场景下的合规义务,而这些合规义务要实现的目标就是数据在转移后,其在欧盟内受到的高水平保护得以延续。
![图片[2]数据安全-治理-指南TikTok因向中国传输个人数据被处以5.3亿欧元罚款](https://www.dsgg.org/wp-content/uploads/2025/06/TikTok因向中国传输个人数据被处以5.3亿欧元罚款_1.png)
对于中国企业而言,几乎唯一可用的就是SCCs(标准合同条款)。
SCCs,顾名思义,欧盟委员会制定好一套格式合同,企业只要采用这套合同并且保证履行合同义务,自然就能实现跨境前后的同等保护,满足GDPR的合规要求。
既然如此简单,为什么TikTok还会犯如此低级的错误呢?原因在于,SCC的使用并不仅仅是签署一份文件那么简单。SCC以及其他适当保障合规工具适用的必要条件是:数据出口方必须以个案评估的形式,核实第三国的法律或实践是否可能会影响所采用的合规工具的有效性。如是,数据出口方必须采取补充措施弥补因第三国法治所产生的保护空白/削弱,最终再次达到同等保护的水平。
为此,EDPB单独出了推荐性指南《关于补充传输工具以确保符合欧盟个人数据保护水平的建议措施》(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)。这个指南推荐(要求)在跨境传输场景下,如采用SCC或其他适当保障合规工具的,需要采用六步走的方式保证实现真正意义的“同等保护”。
Step 1:了解传输活动,包括传输个人数据类型、数据主体类型、数据进口方、所涉系统,以及整个传输活动的必要性等。 Step 2:选定合规工具(e.g., SCC)并且确认选择了正确的工具。 Step 3:评估传输工具的有效性(就是我们常说的TIA,transfer impact assessment):数据进口国的现行法律或实践做法是否有可能影响所采用合规工具的有效性?换言之,在SCC的场景下,数据进口国的法律/做法是否妨碍了SCC条款的实现。 Step 4:如果第三步的答案为“是”,那么就需要采用补充措施,来弥补SCC条款实现的不确定性。 Step 5:补充措施可能涉及的与监管沟通的程序(主要针对BCR作为合规工具的情况,SCC不用)。 Step 6:在适当节点重新评估已传输至第三国的个人数据的保护水平。
TikTok的国家意志困境
TikTok的困境就在于Step 3&4。
EDPB在指南中指出了三种可能影响合规工具有效性的情形。如果存在三种情形之一,就需要暂停传输或者考虑加入补充措施:
(i)第三国法律虽然符合GPDR的保护水准但实践中未得到有效应用/遵守;
(ii)在第三国缺乏相关立法的情况下,存在与传输工具的承诺不一致的做法;
(iii)所传输数据或数据进口方所适用的第三国法律存在削弱合规工具 “同等保护”保障的风险,且未能达到欧盟关于基本权利、必要性及相称性所要求的保护标准。
DPC认为,中国法律框架存在(iii)类风险,即中国法律体系(包括《反恐怖主义法》《反间谍法》《网络安全法》和《国家情报法》)中的若干方面不符合与欧盟法律“实质等同”的标准。
![图片[3]数据安全-治理-指南TikTok因向中国传输个人数据被处以5.3亿欧元罚款](https://www.dsgg.org/wp-content/uploads/2025/06/TikTok因向中国传输个人数据被处以5.3亿欧元罚款_2.png)
![图片[4]数据安全-治理-指南TikTok因向中国传输个人数据被处以5.3亿欧元罚款](https://www.dsgg.org/wp-content/uploads/2025/06/TikTok因向中国传输个人数据被处以5.3亿欧元罚款_3.png)
![图片[5]数据安全-治理-指南TikTok因向中国传输个人数据被处以5.3亿欧元罚款](https://www.dsgg.org/wp-content/uploads/2025/06/TikTok因向中国传输个人数据被处以5.3亿欧元罚款_4.png)
![图片[6]数据安全-治理-指南TikTok因向中国传输个人数据被处以5.3亿欧元罚款](https://www.dsgg.org/wp-content/uploads/2025/06/TikTok因向中国传输个人数据被处以5.3亿欧元罚款_5.png)
对此,TikTok的策略是强调以远程访问行使跨境传输欧盟数据不受中国法律和实践的约束(即Step 3后不认为中国法律与实践将影响SCC的有效性),然而DPC并不买账。
而既然在Step 3已经认定数据进口国的法制情况可能影响传输工具的有效性,DPC的调查就来到Step 4——采取补充措施。TikTok是否通过额外补充措施把保护水平拉回到“同等水位”呢?对于这个问题TikTok交出的答卷是著名的“三叶草计划”(Project Clover)——一个价值120亿欧元的数据安全项目。虽然新闻稿对此着墨较少,但结论很明显:这样的补充措施也未能彻底打消DPC疑虑。
这让人不禁想问:是否有一个明确的标准可供参考,到底要做到什么程度DPC才可能满意呢?有的。
一方面,EDPB在《关于补充传输工具以确保符合欧盟个人数据保护水平的建议措施》附件2中列出了一些补充措施的示例(我想TikTok的水平应当不会在这一点上失分)。
另一方面,为协助企业准确评估第三国国家意志出于监控目的获取数据的风险,EDPB曾发布另一个指南性文件《关于欧洲基本保障措施的建议》(Recommendations 02/2020 on the European Essential Guarantees for surveillance measures)。根据该建议,在向第三国传输个人数据场景下,公权力对隐私权和数据保护权的干预需要满足以下四个条件方可被欧盟接受:
- 处理应基于清晰、精确和易于获取的规则
- 需要证明与追求的合法目标的相关性和必要性
- 应存在独立的监督机制
- 需要为个人提供有效的救济措施
面对如此高的要求,TikTok价值120亿欧元的“三叶草计划”也无计可施。作为对照组,我想起Schrems II案之后美国也是花了三年的时间才赢得欧盟对其新“欧盟-美国数据隐私框架”满足上述四点主张的认可。
TikTok好像真的陷入了国家意志困境。
而更令人担忧的是,这可能只是个开始。无论是DeepSeek在意大利的调查案还是NOYB大战中国六巨头(TikTok、AliExpress、Shein、Temu、微信和小米)都提到这点:中国法律要求企业向国家机关无限制地提供个人数据且缺乏透明度和相称性保障(原文:Chinese law mandates companies to provide unrestricted access to personal data to state authorities without guarantees of transparency or proportionality)。
接招吧,欧盟法院!
而对于DPC的结论,TikTok还是作出了回应,反对DPC的决定:
- DPC的决定未能充分考虑“三叶草计划”(Project Clover),却聚焦 “三叶草计划”实施之前的情况,未能反映目前所实施的安全保障。三叶草计划下所实施的措施是业内最强大和最严格的数据保护措施,并由欧洲知名网络安全公司NCC独立监控。如果这都被认为不充分,那么请问什么叫充分?
- DPC明明认同TikTok一贯以来的主张:我们从未收到来自中国当局索取欧洲用户数据的要求,也从未向中国当局提供过欧洲用户的数据。
- 在欧洲,TikTok拥有超过1.75亿用户、6,000多名员工,并且这一平台帮助小型企业为欧洲GDP贡献了48亿欧元,创造了超过51,000个就业岗位,已经深度融入欧洲经济体系。TikTok所依赖的跨境传输合规工具SCC是经过欧盟批准的且由无数欧盟企业使用的工具(仍然被DPC挑刺),TikTok也已经在内外部专家的建议下作出了详细的评估(而不是DPC所称的未进行必要评估)。
- 我们不同意这一决定,并计划提出全面上诉。
TikTok官网原文:
https://newsroom.tiktok.com/en-eu/our-response-to-the-irish-data-protection-commission-decision-on-data-transfers
延伸问题1:Tiktok的儿童数据合规调查案结果如何?
和跨境传输问题同期启动调查的还有Tiktok对于儿童数据的处理情况。对于这一点,DPC于2023年9月15日做出最终决定,认为Tiktok在以下做法违反GDPR关于儿童数据保护的规定,并对其处以3.45亿欧元罚款:
- 将儿童用户账户设置为默认公开
- 允许成年人通过“家庭配对”设置访问儿童的账户而未验证成年人身份
- 在向儿童用户提供有关平台使用的充分透明性规则方面存在不足
- 未考虑13周岁以下儿童访问平台的风险
- 使用“黑暗模式”引导用户选择隐私保护水平低的平台设置。
需要注意的是,在DPC作出最终决定前,该案也经历了多成员国征求意见环节。在这一环节中,意大利和德国的监管机构都对作为牵头监管机构的DPC的决定草案提出意见,认为DPC对于Tiktok的调查不够全面且“心慈手软”,导致本案启动争议解决程序被呈送至EDPB 。而EDPB于2023年8月约束性决定中要求DPC扩大调查范围。
虽然DPC按照EDPB的要求扩大了调查范围并于9月作出最终决定,但TikTok在2023年11月10日向欧盟法院提起诉讼,要求撤销EDPB针对其非法处理儿童个人数据的约束性决定。目前该诉讼仍在进行中。
延伸问题2:DPC作出决定前为什么要向平级的成员国数据保护机构传阅草案?
首先要明确一下DPC和其他成员国监管机构的角色:牵头监管机构(Leading supervisory authority)与相关监管机构(Supervisory authority concerned)。当涉案企业的行为构成跨境处理(注意此时不是跨境传输,而是指处理行为发生在多个成员国或影响多个成员国主体)时,各成员国数据保护机构均有权受理案件。为了避免管辖纠纷,欧盟遵循一站式原则,由数据控制者/处理者的主营业地的数据保护机构作为牵头监管机构进行调查和处罚,其他相关监管机构有权对其决定提出异议。
而如果牵头监管机构与其他相关监管机构不能就决定达成合意时,就会触发GDPR争议解决机制由EDPB介入,对争议事项作出约束性决定。这就是缘何DPC在公布本次处罚决定前先向平级的成员国数据保护机构传阅决定草案,也是TikTok儿童数据保护案中EDPB的作用。
此外,虽然爱尔兰DPC通常被企业认为是没有感情的、心狠手辣的GDPR执法机器,但其同时也在遭受同行们(其他相关监管机构)的批评,认为其过于“宽容”。早在2022年针对Meta的调查案中,其他相关监管机构(比利时、德国和奥地利)就对其宽容态度表示异议,该案随之也被提交至EDPB作出约束性决定。虽然DPC还曾就此起诉EDPB的决定认为其超过权力范围,但最终未被欧盟法院所支持。
