深度 | TikTok收5.3亿欧元罚单：全面解析GDPR下的创纪录处罚

2025年5月2日，爱尔兰数据保护委员会(后文简称为DPC)宣布了对TikTok Technology Limited处以5.3亿欧元巨额罚款的最终决定，同时要求其在6个月内终止向中国传输欧洲经济区(EEA, European Economic Area)用户数据，否则将面临数据传输暂停令。

作为欧盟史上第三大GDPR罚单，也是首例针对向中国数据传输的重大处罚，这一决定引发全球数据保护圈的高度关注。此前更高的罚款包括：

1. Meta（Facebook）：2023年5月，因将用户数据从欧盟传输至美国而被罚款12亿欧元。

2. Amazon：2021年7月，因广告数据处理问题被罚款7.46亿欧元。

北京时间5月9日晚，IAPP的Joe Jones与爱尔兰DPC的Cian O'Brien展开了对话，揭开了这一处罚背后的决策过程、法律逻辑以及影响。对于出海欧盟的企业来说，这场对话中所透露的信息有利于我们判断新的数据传输工作。

一、调查核心：远程访问同样构成数据传输

与以往针对Uber（2.9亿欧元）和Meta（12亿欧元）的案例不同，本次对TikTok的调查聚焦于一种特殊类型的数据传输——远程访问。O'Brien在对话中指出了这一关键区别：

“本案的事实性质在很多方面与过去几年看到的其他欧洲大案不同。例如，如果我们看看荷兰监管机构去年7月关于优步的决定，荷兰监管机构处以2.9亿欧元的罚款...同样，爱尔兰DPC 2023年5月关于Meta传输个人数据的决定，DPC处以12亿欧元的罚款...这些决定都涉及在目的地第三国（美国）的服务器上存储EEA用户数据。”

• 相比之下，TikTok案例的独特之处在于：TikTok的传输事实性质不仅因涉及中国而不同，还因为它涉及到对EEA用户数据的远程访问。

   

这一概念为何重要？ 这打破了传统认知。许多企业一直认为，只要数据物理存储在欧盟境内或其他地区，就不构成向其他国家的“传输”。

但这次DPC的决定明确表示，即使数据存储在欧盟境内，当中国员工远程访问这些数据时，这些数据会在中国本地设备（如员工的电脑）上处理，因此仍然构成向中国的实质性数据传输。

具体而言，这些远程访问由“字节跳动集团公司的中国员工基于个案业务需求获得”，涉及多种目的和广泛类别的个人数据，且这些传输被认定是系统性、重复性和持续性的。

DPC认为，尽管调查对象不是EEA用户数据在中国服务器上的存储，但欧洲数据保护委员会早在2020年的补充措施建议中就明确指出：“第三国的远程访问确实构成GDPR意义上的传输”。

这种远程访问方案自然会导致EEA用户数据在中国本地设备上处理，因此无疑构成了向中国的“非常显著的数据传输”。

这一解释对全球企业有深远影响，因为许多跨国公司可能已经实施了数据本地化策略（如将欧盟用户数据存储在欧盟境内），但仍允许全球各地的员工进行远程访问，而这种做法现在同样需要符合GDPR严格的跨境数据传输要求。

他进一步讨论了Schrems I和Schrems II这两个由奥地利隐私活动家马克斯·施雷姆斯发起的具有里程碑意义的欧洲法院案例如何塑造了当今的数据传输规则。

用通俗的语言理解：想象欧盟的数据保护就像一个精心设计的保险箱，为个人数据提供特定级别的安全保障。“基本等同”原则要求当你把数据从欧盟的保险箱移到另一个国家的保险箱时，第二个保险箱的安全水平不能显著低于欧盟的标准。

Schrems I判决首次确立了这一关键原则：当欧盟公民的个人数据被传送到欧盟以外的国家时，这些数据必须继续享有与在欧盟内部"基本相同"的保护水平。

Schrems II判决则进一步要求：无论企业使用什么法律机制（包括标准合同条款SCCs）来传输数据，都必须确保目的地国家能提供与欧盟“基本等同”的数据保护水平。

O'Brien在对话中表示：“未能在进行传输前核实并保证基本等同性，使随后的传输变得不合法，必须不基于这种情况进行。这种澄清和保证基本等同性对确保个人数据传输到第三国时保持高水平保护至关重要。”

三、TikTok对中国法律适用的自我评估：存在差异

调查过程中的一个关键发现是，TikTok自己的数据传输评估已经承认中国法律框架存在无法达到“基本等同”的标准。

TikTok评估中确认的五大差异领域如下：

TikTok认为，鉴于其标准合同条款和实施的补充措施，传输的EEA用户数据确实获得了基本等同的保护。然而，它指出中国法律在数据隐私监管、公共机构访问个人数据监管、监管监督、申诉权利以及国际条约承诺方面不提供基本等同性。

例如，关于中国公共机构访问个人数据，

TikTok就概述了这如何与欧盟标准存在实质性差异：中国的访问控制不如欧盟标准要求的那样规范和清晰，在访问比例性上也存在不确定性。

关于监管监督，TikTok表示，这与欧盟标准存在实质性差异。虽然中国公共机构获取数据前需要事先批准，但这种批准不如欧盟标准要求的那样独立于政府，内部批准的规则和标准往往不公开。

特别值得注意的是，O'Brien引用了TikTok自己声明中提到的几部关键中国法律，包括《反恐怖主义法》、《反间谍法》、《网络安全法》和《国家情报法》。

TikTok自己认定这些法律与欧盟标准存在“重大差异”，但仍然坚持认为，由于数据存储在中国境外，加上他们实施的额外保护措施，仍能达到“基本等同”的保护水平。

DPC认为，这些自我评估是直接证明TikTok意识到中国法律框架未达到“等同标准”的证据，在此前提下，TikTok仍然继续进行数据传输。

四、DPC认为TikTok评估存在明显缺陷

尽管TikTok已经做了功课——实施了标准合同条款(SCCs)和一系列补充措施，但DPC认为这些努力存在两个根本性缺陷。

这些缺陷揭示了许多企业在数据合规上的常见误区：仅仅满足表面上的合规要求，而未能解决实质性问题。

争议一：笼统评估替代具体分析

TikTok没有将法律的适用性问题与其实际业务模式联系起来。

O'Brien表示：“当依赖SCCs作为传输工具时，相关实体有义务在特定传输背景下评估这些差异。仅进行高层次分析是不够的。”

 简单来说，TikTok没有回答更重要的问题：“中国和欧盟之间的数据法差异如何具体影响实际传输的欧洲用户数据？”它只以一般术语进行阐释，没有充分定义这些差异的范围。它没有在具体传输背景下考虑这些差异。

争议二：地域适用性判断

TikTok认为只要数据不存储在中国，中国法律就不适用。

但DPC认为，当EEA用户数据被远程访问时，就会导致数据在中国的设备上本地处理。比如当中国员工打开电脑远程查看欧洲用户数据时，这些数据实际上会被下载到他们的本地设备上进行处理——此时，这些数据已经物理上进入了中国的司法管辖范围，可能受到中国法律的约束。

O'Brien表示，这就像主张“我的钱没存在中国银行，所以中国税法不适用”，但实际上当你把钱取到中国境内使用时，相关法律就已经适用了。