TikTok欧盟罚款案：跨境数据流动与合规挑战

作者：章煦春、劳嘉馨

引言

     2025年5月2日，爱尔兰数据保护委员会（DPC）宣布对TikTok处以5.3亿欧元（约合6亿美元）的巨额罚款。这一罚款的主要原因是TikTok未能确保其将欧洲用户数据传输至中国的做法符合《欧盟通用数据保护条例》（GDPR）。该事件不仅引发了广泛的讨论，也对全球范围内的数据隐私合规性提出了严峻的挑战，尤其是在跨境数据流动日益频繁的背景下。

     跨境数据流动是全球数字化发展的关键组成部分，而如何在确保数据安全和隐私的前提下进行合规传输，已成为企业面临的重要法律问题。本文将通过详细分析TikTok案件，探讨跨境数据流动中的合规挑战。

第一部分：TikTok与GDPR的冲突

1.事件回顾：TikTok遭遇的罚款原因

     TikTok自推出以来，迅速发展成为全球最受欢迎的社交媒体平台之一。然而，随着其全球化扩展，TikTok也面临着越来越多的法律挑战，其中包括数据隐私保护问题。在欧盟，GDPR自2018年生效以来，一直是全球最严格的数据保护法规之一。GDPR的核心之一是对跨境数据传输的管理，特别是当数据被转移到GDPR规定的“第三国”时，必须确保这些国家提供与欧盟相等的数据保护标准。

     在2025年初，爱尔兰数据保护委员会（DPC）启动了对TikTok的调查，最终决定对TikTok处以5.3亿欧元罚款，并要求TikTok在6个月内整改。根据DPC的调查，TikTok主要存在以下三点问题：

     根据GDPR规定，当个人数据跨境传输时，必须确保接收国的保护标准与欧盟境内保持一致。TikTok在调查期间提交的关于中国法律的评估报告中没有充分评估中国法规对个人数据提供了何种程度的保护，也未能有效保证欧洲经济区（EEA）用户数据在传输到中国后的安全性和隐私保护。这一问题的根本原因在于中国法律，特别是《反恐怖主义法》《反间谍法》和《网络安全法》，赋予了中国政府广泛的访问权限，这与GDPR的严格数据保护要求产生了冲突。

     根据GDPR第13(1)(f)条，数据控制者应明确告知数据主体其数据是否被传输至第三国及所采取的保护措施。然而，DPC在调查期间发现TikTok的2021年隐私政策未明确列出数据传输的第三国和处理方式，直至2022年12月才有所披露。因此，DPC认定其在2020年7月29日至2022年12月1日期间违反了透明度义务。

     在调查的初期，TikTok曾向DPC声明，其未将欧洲用户的数据存储在中国。然而，在2025年2月，TikTok向DPC披露，部分欧洲用户的数据实际上被存储在中国的服务器上，这与其先前的声明不符，这也成为此次罚款的核心原因之一。

2.DPC的裁决及其法律依据

     基于GDPR第46条（关于数据传输合法性）和第13条（关于透明度），DPC最终认定TikTok违反了欧盟的数据保护法规。因此，DPC对TikTok处以5.3亿欧元的罚款，其中4.85亿欧元针对数据传输不合规，4500万欧元针对透明度违规。此外，DPC还要求TikTok在6个月内完成整改，否则还可能面临潜在的数据传输禁令。

3.TikTok的回应

     针对DPC的处罚决定，TikTok迅速发布声明表示“强烈反对”，并指出该裁决“主要基于历史情况”，未能充分评估该公司近年来实施的“三叶草计划”（Project Clover）等数据安全保护措施。TikTok明确表示将就罚款提起上诉，并强调，从未收到中国官方对欧洲用户数据的请求，也未向任何中国机构提供此类数据。

第二部分：跨境数据流动的合规挑战

1.跨境数据流动中的法律与政治风险

     随着全球化的推进，跨境数据流动已成为常态。无论是社交媒体、电子商务还是金融服务行业，数据的跨境流动对业务运营至关重要。然而，不同国家的法律体系对数据隐私的规定差异较大，尤其是在数据存储和传输过程中，企业往往面临多重法律约束和政治风险。

     中国和欧盟在数据隐私保护方面的政策差异尤为明显。中国政府拥有较为宽泛的权限，可以要求国内企业提供或访问个人数据，这与GDPR对数据隐私的严格要求形成了对立。对于跨国公司而言，如何在遵循国内法律的同时，确保合规性与欧盟等地的严格数据保护法规，成为了巨大的挑战。

2.企业面临的合规问题

     企业在进行跨境数据传输时，面临以下主要合规问题：

•数据访问权限：企业需要考虑接收国政府的访问权限是否会侵犯数据隐私权。

•数据传输协议：如何确保跨境数据传输符合GDPR的要求，如使用标准合同条款等合法手段。

•透明度问题：企业必须确保用户知道他们的数据被如何存储、处理以及传输。

     这些问题不仅影响数据隐私的保护，还关系到企业的商业运营和合规成本。未能妥善处理这些问题的公司就可能像TikTok一样面临监管机构的严厉处罚。

     TikTok并不是唯一面临跨境数据流动合规问题的公司。Facebook和Google等全球科技巨头也面临类似的挑战。例如，Facebook曾因违反GDPR而被罚款，Google也因未能清楚告知用户其数据处理方式而遭遇诉讼。这些案例表明，随着全球数据隐私法规的趋严，跨国公司在数据管理方面将面临更加复杂的合规要求。

第三部分：中国法律视角分析

     虽然中国关于数据跨境的相关规定与GDPR存在不同，但如果类似的违规行为发生在中国，涉事企业也将面临严格的处罚。

1.跨境数据传输不合规

     在中国法律框架下，跨境数据传输行为将面临双重审查：首先，《个人信息保护法》第38条要求所有跨境数据传输必须通过安全评估、认证或标准合同；其次，根据《数据出境安全评估办法》，像TikTok这样处理海量用户数据的企业必须通过网信部门的安全评估。

2.透明度不足

     根据中国《个人信息保护法》第17条，企业必须详细告知用户数据处理全流程，包括境外接收方信息。中国法律强调告知义务的“完整性”，TikTok案件中的隐私政策更新延迟问题，在中国可能被视为更严重的违规，因为《个人信息保护法》明确要求企业在数据出境场景下必须进行明确告知当事人并获得单独同意。

     从监管实践来看，中国已经形成了以网信部门为主导，行业主管部门协同配合的监管格局。2023年以来，监管部门已对多家未履行数据出境安全评估义务的企业作出行政处罚。这些案例表明，中国正在通过严格执法来确保数据跨境流动监管要求的落实。

第四部分：合规监管趋势与未来展望

跨境数据流动与全球法规的趋势

     随着数字化和全球化的推进，越来越多的国家开始加强对数据保护的监管。例如，印度、巴西和其他国家也在制定类似于GDPR的数据保护法规，全球数据隐私法律体系逐渐趋向一致。然而，不同地区的法规差异仍然存在，跨境数据流动的合规性仍然是企业面临的重要问题。

TikTok案件对其他跨国公司数据管理的启示

     TikTok的案例不仅对企业的跨境数据流动合规提出了警示，也突显了全球范围内数据隐私保护的挑战。对于其他跨国公司来说，加强数据管理、提升合规性、预防潜在风险，将是未来长期竞争力的关键所在。

未来企业数据保护策略的重心

     未来，企业在数据保护方面将更加注重技术创新和合规管理，特别是在数据加密、身份验证和数据匿名化等方面的应用。随着法规的不断变化，企业应当在合规和技术层面进行双重投资，以确保数据传输与处理的安全性。

     上海功承瀛泰律师事务所已受聘成为临港新片区数据跨境服务中心首批第三方数据服务机构，可为企业提供全方位的数据合规支持。从数据跨境流动的合规评估、数据资产的价值挖掘，到全流程的数据治理体系建设，我们致力于帮助企业应对监管挑战，优化数据管理效率，在全球化竞争中实现合规与发展的双重目标。

结语

     TikTok在欧盟面临的罚款不仅反映了跨境数据流动中的法律挑战，也为全球企业敲响了警钟。随着数字化进程的加速，数据保护已不再是一个单一的企业责任，而是全球范围内的法律与道德要求。企业如何应对跨境数据流动中的合规挑战，确保合规管理得当，将成为其长期发展中的关键因素。