TikTok因違反歐盟隱私權法被罰款5.3億歐元

負責此次調查的愛爾蘭資料保護委員會 (DPC) 指出，TikTok 未能證明其員工從其他國家遠端存取的歐盟用戶資料受到與歐盟同等的隱私保護標準保護。此外，調查還發現，TikTok 沒有提供關於部分資料儲存在境外伺服器上的正確資訊。

歐盟資料保護委員會（DPC）要求TikTok在6個月內完成合規整改。 TikTok回應稱，其已利用歐盟法律框架，特別是所謂的標準合約條款，授予了嚴格控制且有限的遠端存取權限。 TikTok也宣布計劃對該決定提起上訴，理由是該裁決未能充分考慮其於2023年推出的數據安全措施。這些措施能夠獨立監控遠端訪問，並確保歐盟用戶的資料儲存在歐洲和美國的專用資料中心。

先前罰款

值得注意的是，TikTok在2023年被荷蘭資料保護委員會（DPC）罰款3.45億歐元。據稱，罰款原因是TikTok處理兒童資料不當，未能採取足夠措施保護13至17歲用戶的個人資料。 DPC的調查指出了以下問題。

• 新註冊的帳戶預設為「公開」。這意味著任何人都可以查看這些青少年的影片、個人資料和評論，這表明該平台缺乏對未成年人隱私和安全風險的考慮。
• 「家庭配對」功能旨在讓家長監控孩子使用TikTok的情況，但缺乏有效的驗證機制。未成年人很容易繞過或濫用此功能，從而造成管理漏洞。
• 該軟體在其設定過程中使用了“暗黑模式”，例如將公開選項突出顯示，同時弱化更私密的設定。這誤導用戶選擇安全性較低的隱私選項，違反了GDPR的「資料保護設計」和「預設隱私」原則。
• 該平台的年齡驗證機制薄弱。儘管規定禁止13歲以下兒童註冊，但該系統很容易被繞過，導致許多幼兒能夠創建帳戶並存取潛在的危險內容。
• 兒童用戶並未被充分告知在預設設定下他們的數據將如何處理。

挑戰

根據資料保護委員會 (DPC) 的調查結果，許多其他組織，無論規模大小，在完全遵守 GDPR 或其他類似法規方面都可能面臨類似的挑戰。為了有系統地應對這些風險，組織可以尋求建立資訊安全管理體系，包括隱私資訊保護，並根據 ISO 27001:2022 標準進行認證和定期審核。

同時，應不時進行隱私影響評估（PIA）和資訊科技安全評估，以評估相關風險。

DQS相關服務

• ISO 27001認證服務， 和
• 隱私影響評估 (PIA) 服務。
• SRAA 服務。