□作者 | 星球嘉宾 焦振山
□编辑 | 合规社 合规酱
□投稿邮箱 | [email protected]
本文基于爱尔兰数据保护委员会DPC对TikTok案的最终裁决文件(2025年10月2日公开)进行深入解读,旨在为跨国企业的数据合规实践提供深度分析与建设指引。
▽
1. 违反GDPR第46条第1款中(适当保障措施)
未能确保传输至中国的欧盟个人数据获得与欧盟“实质等同”的保护水平,处以4.85亿欧元罚款。
裁决核心:瓦解属地原则的抗辩
本案的核心争议聚焦于GDPR第46条第1款要求的适当保障措施。DPC的法律推理过程,揭示了仅依赖形式合规SCC和物理存储地在中国境外的策略局限性。
1.1 TikTok的属地原则误区:数据在中国境外存储即可规避风险?
面对调查,TikTok构建了一套以中国法律属地原则为核心的抗辩策略。其核心论点是:由于欧洲用户数据物理存储在中国境外(新加坡、美国、马来西亚),根据属地原则,中国的法律对这些数据不具有管辖权,当局无法合法强制获取存储于境外的欧盟个人数据,哪怕TikTok母公司在中国大陆注册。
基于此,TikTok虽然承认中国法律与欧盟法律标准存在差异,但断定这些差异对其远程访问运维的解决方案模式不构成实质风险。这种试图通过物理上的中国境外存储的数据本地化策略来规避数据接收国(中国)法律风险的思路,在跨国企业一度相当普遍,但DPC的裁决揭示了其根本性的一厢情愿和错误。
1.2 DPC的决定性反驳:远程访问即中国境内处理
DPC的裁决中最具开创性的部分,是将法律焦点从静态的数据存储位置,转向动态的数据处理地点。DPC的核心论证基于GDPR对处理的广泛定义(第4条第2款)。DPC指出,允许身在中国的员工远程访问存储于境外的数据,不可避免地导致这些数据在中国境内的计算机设备上被处理(包括访问、查阅、使用等)。
DPC在裁决中明确强调,即使该处理是暂时的,例如数据仅在中国员工的电脑上显示或短暂存于本地内存,这也足以使数据在物理上进入中国以至于受到当局的司法管辖。DPC认为,TikTok的评估未能恰当地处理这样一个事实:通过远程访问解决方案进行跨境处理的欧盟个人数据实际上已经进入中国境内。由此,DPC构建了清晰有力的逻辑链条:
1.中国员工远程访问存储于境外的欧盟用户数据。
2.当中国员工在其位于中国境内的设备上查看或处理这些数据时,该行为已符合GDPR对处理的定义。
3.由于处理行为发生于中国境内,相关欧盟用户数据及处理数据的人员和实体受中国法律管辖。
这一解释彻底瓦解了TikTok的抗辩基础。即爱尔兰DPC担心真正的更直接的风险在于在中国境内处理的欧盟用户数据,当局拥有管辖权,这一远程数据访问行为和爱尔兰DPC的担忧,直接导致了其合规框架的崩溃。
合规体系的失效:TIA的缺陷与补充措施的不足
由于风险评估的前提错误,TikTok的传输影响评估(TIA)被DPC认定存在根本性缺陷,其所依赖的补充措施也随之失效。
2.1 风险场景的错位评估
TikTok的TIA报告确实识别了中国法律与欧盟标准之间的重大差异。然而基于错误的属地原则假设,TikTok就断定这些风险与其远程访问模式无关。其致命缺陷在于忽视了数据以明文在中国境内处理这一高风险场景。评估从未真正分析:当数据在中国境内被远程访问和处理时,企业面临的真实风险是什么?例如TIA未深入分析中国相关法律和司法实践中是否可能强制要求员工交出其本地设备上正处于明文状态的欧盟用户数据。
2.2 补充措施的不对症
由于未能识别真实风险,TikTok所采取的补充措施也被认定为无效。DPC详细评述了其不足之处:
1.技术措施的局限性
即使采用传输中和静态存储加密,并将主密钥存储在中国境外,这些措施仍无法应对数据在境内终端被解密使用的场景。一旦数据以明文形式被查看,加密技术本身无法防止相关监管部门要求提供此明文数据。访问控制也无法防范相关监管部门依据法律要求在境内员工协助获取其屏幕上显示的数据。
2.标准合同的局限性
标准合同条款SCC中的通知义务可能被相关法律所阻断。
DPC最终认定,TikTok未能验证和证明其实施的保障措施能够确保跨境传输的数据享有实质等同的保护水平,严重违反了GDPR第46条第1款。
透明度义务:从不严谨的措辞到具体披露
DPC还针对TikTok违反GDPR第13条第1款的透明度义务,单独施加了4500万欧元的罚款。DPC调查发现,TikTok在2021年10月适用的隐私政策存在严重欠缺:
1.未明确接收国
政策在提及数据可能被共享到欧盟以外时,没有具体列明包括中国在内的关联第三国。
2.未说明传输性质
隐私政策未提及远程访问这一事实,用户不清楚数据共享包括了中国员工远程访问其个人数据的情形。
这种不严谨的措辞披露方式严重损害了欧盟用户即数据主体的知情权。DPC的重罚传递出强烈信号:在数据跨境场景中,仅仅使用模糊的措辞已远远不够;企业必须主动、具体地解释数据将如何传输以及传输至何处。
值得注意的是,TikTok在调查过程中于2022年12月更新了政策。因此DPC认定透明度违规时间为2020年7月29日至2022年12月1日。
强制的监管要求与处罚
在本案中DPC采取了处罚与整改并举的执法组合,体现了数据保护监管的新模式:
1.暂停跨境数据传输
DPC下令TikTok在限期内停止将欧盟用户数据传输至中国。这一要求措施,实质上迫使TikTok对其依赖中国团队运维支撑的业务模式做出根本性改变。
2. 停止违规处理活动
DPC要求TikTok立即停止在中国境内通过远程访问场景等处理欧盟用户数据的活动,确保了整改的彻底性。
3. 行政罚款
总额5.3亿欧元,DPC在量罚时考虑了侵权的系统性、持续时长、受影响用户数量(据TikTok报告:截至2024年12月,欧盟月活用户约为1.59亿),并认定TikTok在Schrems II判决后(欧盟的跨境新规)仍未采取适当措施,至少属于过失违反。
这种将巨额罚款与强制业务整改的行政命令相结合的策略,旨在确保不合规的商业模式在经济上无利可图,在操作上无法持续,杜绝企业将罚款视为经营成本的侥幸心理。
TikTok数据跨境案为全球企业的数据传输合规实践提供了深刻而紧迫的教训。仅依赖形式合规或单一技术工具已无法应对当前数据跨境的要求。企业必须采取更前瞻、务实且透明的技术与合规框架。
5.1 更新传输影响评估(TIA):增加动态数据访问场景
转变评估重心:企业必须摒弃唯存储地论,实际的风险应取决于数据处理者(访问者)的位置,而非数据中心的位置。TIA应优先考虑远程访问所在国的法律环境。
警惕属地原则陷阱:必须基于DPC的逻辑进行假设,一旦数据被远程访问处理,它即进入了访问者所在国的司法管辖范围。如果TIA得出相反结论,极大概率无法通过监管审查。
建立远程访问场景专项评估模块附录:在TIA中增加专门模块,详细记录访问主体与地点、数据范围、具体操作、使用的本地系统,并基于本案先例,对访问者所在国法律对本地设备上处理(即使是临时处理)的数据的适用性进行有据分析。
5.2 深入评估第三国法律实践与风险
超越纸面法律条文的评估:TIA必须关注法律在现实中的执行情况与司法实践。
评估对本地员工的强制义务:深入分析当地法律对企业员工施加的义务。企业应评估相关法律中的模糊义务可能对在当地处理欧盟数据的员工构成何种压力或风险,尤其是在员工在本地设备上处理明文数据时。
5.3 充分验证技术补充措施的有效性
基于场景化的有效性分析:技术措施是必要的,但必须评估在特定风险场景下的效果。组织应在TIA评估中有针对性地回答:如果本地员工可能被合法要求交出密钥,或者相关部门通过技术手段访问本地设备,所选措施是否仍能有效应对当地特定的风险?
强化技术防护:考虑采用安全沙箱或安全浏览器隔离技术,使数据不在本地设备落地,并结合防止数据被复制、下载或截屏和其他安全工具等技术措施实施全面地符合TIA的技术要求。
5.4 践行彻底透明原则
直截了当标明国家:如果数据会被来自中国的团队访问,隐私政策中就应直接提及中国。
解释如何传输:必须解释传输发生的方式和背景。例如:为了提供24小时客户支持,我们位于中国的支持团队可能远程访问您的账户信息(该信息仍存储在我们位于欧盟国家的服务器上)。
5.5 强化可证明的问责机制
将TIA视为前置性法律必要文书:TIA不应是流程性任务,而应是结构严谨、论证充分的法律文书。其核心在于坦诚地承认客观风险,并精确、有说服力地解释如何通过补充措施有效管控了这些风险,确保实质等同的保护。
总结
TikTok跨境数据传输案的裁决,标志着全球数据保护合规进入了一个更为复杂和严格的新阶段。欧盟用户数据存储在受信任的第三国与远程访问的组合方式用来规避欧盟GDPR的跨境监管方式已经变得没有意义并且极有可能面临高额罚单,这就要求所有跨国公司立即检查并调整其全球数据跨境与运维协作模式。
企业必须摒弃法律形式合规和一刀切的属地原则指导下的数据中心建设和基于云计算平台上的数据运维模式,针对不同跨境场景综合运用安全算法工具包和配套的法律合规框架才能更好的符合当地监管部门的苛刻要求。
在数字时代,技术与法律融合所体现的合规能力不再仅是法律形式义务,更是企业全球运营和维护用户信任的核心。
END.
990+已加入
嘉宾介绍:合规社特邀请嘉宾 焦振山
数据与AI法学PHD博士在读,IT法学硕士,09年参加工作以来一直在软件与数据库、大数据、AI算法、密码学、数据安全、应用安全等一线技术工作,2023年7月至今攻读博士PHD。
座右铭:做一个有科研能力的IT法律从业者。
欢迎添加作者微信一起交流探讨,添加时请备注姓名、单位、职务。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...