TikTok之前承認部分歐洲用戶數據被遠距離存取,引發數據安全疑慮,在5月遭DPC重罰5.3億歐元。DPC 5月表示,TikTok在過去4年調查中均表示未在中國存放歐洲用戶資料,但4月時揭露,該公司於2個月前發現少量歐洲用戶資料存放中國服務器,後來已刪除。
鄧志松表示:“愛爾蘭數據保護委員會(DPC)針對TikTok進行新一輪調查的原因在於,‘一小部分歐洲經濟區(EEA)用戶的個人數據曾被短暫存儲在中國境內的服務器上’與TikTok此前向監管機構宣稱的‘僅允許中國員工遠程訪問數據、從不存儲於中國’的表述不符。但由於該問題曝光時前次調查已近尾聲,DPC未在5月的處罰決定中納入該問題,而是在近期啓動了新一輪調查。”
專家指出,《通用數據保護條例》(GDPR) 項下的透明度義務要求企業在數據收集階段向數據主體明確告知個人數據的處理目的、方式;可問責性要求企業遵守個人數據處理原則(如最小必要、透明度等),並提供證明;監管協作義務要求企業配合監管機構的工作。
鄧志松解釋稱:“將一小部分EEA用戶個人數據短期存儲在中國境內服務器上可能未作事前披露,且必要性有待證明。加上前後信息披露存在矛盾,可能涉嫌違反前述義務。就跨境數據傳輸合規而言,DPC已在前次調查中認定,由於中國法律要求企業向國家機關無限制地提供個人數據且缺乏透明度和相稱性保障,因此TikTok採用的標準合同條款(SCC)和補充措施未能提供同等保護,違反了GDPR,本案中的數據跨境傳輸可能面臨同樣的問題。”
此外,鄧志松還指出,根據歐盟個人資料保護委員會(EDPB)發佈的指南性文件Recommendations 02/2020 on the European Essential Guarantees for surveillance measures,規定在向第三國傳輸個人數據場景下,公權力對隱私權和數據保護權的干預需要滿足的四項條件,標準相當嚴苛。
他說:“在前次調查中,即便TikTok已通過價值120億歐元的‘Project Clover’建設本地數據中心、引入第三方安全審計,也未消除DPC對中國政府可以基於《國家情報法》、《反間諜法》等任意調取TikTok用戶數據的疑慮。”
TikTok正在對DPC 5月2日做出的決定提出申訴,強調這項裁決可能創下先例,對於在歐洲營運的跨國企業和整個產業造成深遠影響。
專家稱,近年來,歐盟在數據跨境監管上的焦點已逐步從美資科技企業延伸至中國出海平台。Meta(12億歐元)、Uber(2.9億歐元)等美國巨頭曾長期佔據數據跨境違規罰單榜,如今,中國出海科技企業與它們一道,成為歐盟數據合規監管的重點對象。
鄧志松對衛星通訊社表示:“愛爾蘭TikTok數據跨境案件凸顯出的並非個案問題,而是中資出海企業在跨境數據傳輸中所面臨的普遍制度困境,正如美國互聯網巨頭長期以來在歐洲面臨的嚴格監管一樣,這種情形將成為常態,需要從法律、政策和商業模式層面進行系統性應對。”
針對所謂的TikTok“安全問題”,中國外交部多次強調,中國政府高度重視並依法保護數據隱私與安全,從來沒有、也不會要求企業或個人以違反當地法律的方式為中國政府採集或提供位於外國境內的數據信息和情報。