TikTok因欧盟隐私问题被罚款5.3亿欧元

负责调查的爱尔兰数据保护委员会（DPC）指出，TikTok 未能证明其他国家员工远程访问的欧盟用户数据受到与欧盟同等隐私标准的保护。此外，调查还显示，TikTok 没有提供正确信息，说明某些数据已存储在国外服务器上。

DPC要求TikTok在6个月内完成合规整改。对此，TikTok表示，其已使用欧盟法律框架，尤其是标准合同条款（Standard Contractual Clauses），以确保远程访问受严格控制并有限制。TikTok还宣布将对此裁决提起上诉，认为裁决未充分考虑其2023年推出的数据安全措施。这些措施能够独立监控远程访问，并确保欧盟用户的数据存储在欧洲和美国的专属数据中心。

先前的罚款

值得注意的是，TikTok在2023年曾被DPC罚款3.45亿欧元，原因是其未能妥善处理儿童数据，并未采取足够措施保护13至17岁用户的个人资料。这项调查发现了一些问题：

• 新注册账户默认设为“公开”，意味着任何人都可以查看这些青少年用户的视频、个人资料和评论，未充分考虑未成年人的隐私和安全风险。
• “家庭配对”功能（Family Pairing）旨在让家长监督孩子的TikTok使用情况，但缺乏有效的验证机制，未成年人可以轻易绕过或误用该功能，形成管理漏洞。
• 设置过程中使用了“黑暗模式”（Dark Patterns），例如突出显示“公开”选项，同时弱化更私密的设置，这误导用户选择安全性较低的隐私选项，违反了GDPR关于“数据保护设计”及“隐私默认”原则。
• 平台的年龄验证机制较弱。尽管规定禁止13岁以下儿童注册，但系统仍可轻易被绕过，导致大量儿童成功创建账户并访问可能存在风险的内容。
   
• 儿童用户未充分获知其数据在默认设置下的处理方式。

挑战与建议

从DPC的调查结果来看，不少企业，无论规模大小，都可能在GDPR或类似法规的全面合规方面面临类似挑战。为系统性应对风险，企业可考虑建立信息安全管理体系，包括隐私信息保护，并进行ISO 27001:2022标准的认证和定期审核服务。

此外，企业还需定期开展隐私影响评估（PIA）和IT安全评估，以评估相关风险并采取相应措施。

DQS 相关服务

• ISO 27001 认证服务，
• 隐私影响评估 (PIA) 服务，以及
• SRAA 服务。