TikTok因將歐洲用戶資料傳回中國，違反GDPR遭歐盟重罰5.3億歐元

歐盟資料監管機構之一，愛爾蘭資料保護委員會（DPC）在 5 月 2 日公布調查結果，裁定 TikTok 母公司 TikTok Technology Limited 違反《一般資料保護規則》（GDPR），因將歐洲用戶資料傳回中國且未充分告知用戶，遭處以 5.3 億歐元罰款，並限期六個月內完成改善。

DPC 指出，TikTok 未能證明資料傳輸過程符合 GDPR 的保護標準，且在部分情況下，中國境內員工擁有遠端存取權限，但未能充分保障歐洲用戶的個資安全。TikTok 雖曾表示資料不會儲存於中國伺服器，但今年 4 月自發通報，發現有少數用戶資料誤存於中國，目前已完成刪除。

DPC 表示，將密切監督 TikTok 的後續改善情形，並不排除進一步採取監管行動。愛爾蘭資料保護委員會副主委 Graham Doyle 表示：「這類未受充分保障的資料傳輸，恐侵害用戶依歐盟法律應享有的基本權利。」

針對此裁決，TikTok 表示不服，將提出上訴，並強調其資料傳輸作業符合歐盟標準合約條款。TikTok 也表示，裁決未充分納入 2023 年啟動的 Project Clover 資料保護計畫，此計畫著重在歐洲資料本地儲存與由第三方監控存取行為。

TikTok 在歐洲擁有約 1.75 億用戶，為青少年主流社群平台之一。公司強調，從未接獲中國政府要求提供歐洲用戶資料的請求，亦未曾提供任何資料。

這是 DPC 第二度對 TikTok 開罰。去年，TikTok 曾因處理兒童個資不當，遭罰 3.45 億歐元。身為多家科技企業歐洲總部所在地，愛爾蘭的 DPC 在歐盟內扮演重要監管角色，近年也曾對 Meta、X（前身為 Twitter）與 LinkedIn 等公司祭出罰則。

根據 GDPR 規定，若企業將個資轉移至歐洲經濟區以外地區，須確保該資料在當地能獲得與歐盟同等的保護，否則最高可處以全球年營收 4% 的罰鍰。

Photo：Solen Feyissa
Credit：Reuters