欧盟《通用数据保护条例》是以知情同意作为基本立法架构(notice-and-consent framework),要求机构在收集用户个人信息前,告知用户信息的处理状况,在网络环境中通常表现为发布隐私声明,用户在阅读声明后作出同意的意思表示,作为机构对个人信息收集及利用的合法授权。
《通用数据保护条例》(GDPR),是欧盟有关个人数据的收集、处理、使用和存储的新法规,于2018年5月25日开始强制执行。5月25日之前,受到GDPR规制的公司需对其个人数据收集和处理方式进行审查并针对遵守此项法规作出必要修正,否则将面临最高为2千万欧元或全球收入4% 的巨额罚金。尽管GDPR由欧盟负责,但其影响不仅限于处理个人数据的欧盟公司,还将影响那些因向欧盟境内的个人提供商品和服务而处理个人数据的非欧盟公司,例如可供欧盟居民访问并收集和处理这些居民数据的网站。GDPR也适用于在监控或剖析欧盟居民过程中处理个人数据的任何公司(无论公司所在何地)。
15.3.1 荷兰以侵犯儿童隐私为由对TikTok罚款75万欧元
2018年7月,荷兰数据保护局发起了一项针对TikTok(“抖音”国际版)个人数据处理的调查,并于2020年10月形成了一份调查报告。该报告结论显示,2018年5月25日至2020年7月29日间,TikTok没有以“可以理解的语言”告知儿童关于个人数据的处理,从而违反了GDPR的规定。
2021年7月22日,荷兰数据保护局(Autoriteit Persoonsgegevens)认为TikTok未能以儿童能够清晰了解的语言向其提供与个人数据处理有关的信息,从而了侵犯儿童隐私,对TikTok处以75万欧元的罚款。
2021年2月,欧洲消费者组织(BEUC)向欧盟委员会和消费者保护机构投诉TikTok,认为其大规模侵犯了多项欧盟用户权益,并且未能保护儿童免受隐藏广告和不当内容的侵害。随后,欧盟监管机构和消费者保护监督机构要求TikTok在一个月内解决该平台上儿童数据安全性的问题。除了BEUC外,还有15个国家的消费者组织也向当局发出警报,敦促他们调查该公司的行为 。
2021年9月14日,爱尔兰数据保护委员会(DPC)称,对字节跳动旗下TikTok的用户数据处理方式是否遵守GDPR的情况,发起两项调查。一项关于TikTok向中国转移个人数据以及转移数据是否遵守GDPR;另一项关于数据保护设计和默认要求的遵守情况。
如果爱尔兰的数据保护委员会获准,则可开出最高达全球营收4%的罚金。
早在2019年11月,美国政府就对TikTok展开了国家安全调查,主要针对TikTok在内容审查和个人数据存储两方面。此外,荷兰还三次对TikTok违规使用儿童敏感数据、违反欧洲广告和隐私规则等行为进行起诉,2020年5月,荷兰隐私监管机构也对TikTok展开了数据安全调查。同年,TikTok在澳大利亚因安全和数据问题受到相关审查。
