专业领域
赌博网站视点 | 爱尔兰数据保护委员会对TikTok处罚裁决书解读:出海欧盟合规启示与实务思考
作者:王渝伟 余扬
前言:2025年5月,爱尔兰数据保护委员会(以下简称“DPC”)正式发布对TikTok Ireland(以下简称“TikTok”)的处罚决定,该案自2021年9月启动调查,历经近4年周期与三轮沟通,核心聚焦TikTok中国员工及实体远程访问境外欧洲经济区(以下简称“EEA”)用户数据所涉的数据跨境传输合规性问题,最终形成的裁决书不仅是GDPR框架下数据跨境监管的典型案例,更对中国企业出海欧盟的跨境数据合规实践产生关键影响——其调查逻辑、对GDPR第46条的适用解读,以及针对第三国法律评估、补充措施选择的具体要求,为中国出海企业划定了欧盟数据监管的核心关注点,也让 “远程访问” 等特殊数据跨境场景的合规风险进入更广泛的视野。
鉴于此案对实务的指导意义,本文未采用逐细节拆解案件的常规方式,而是从出海企业的核心需求出发,提炼裁决书中与实务操作紧密相关的七大重点内容。这些内容既可为数据合规律师提供欧盟监管逻辑的专业参考,助力其精准把握案件争议焦点与合规论证方向;也能为出海企业提供清晰的合规指引,帮助其预判跨境数据传输中的风险点;同时亦可为数据合规领域的相关研究与实践提供有价值的案例支撑,推动行业对欧盟数据监管的深度理解。
重点一:处罚决定作出的时间跨度以及多轮次的沟通
本次DPC对TikTok的调查自2021年9月启动,并最终在2025年5月作出了最终的处罚决定,自调查启动到最终决定作出历经了近4年的时间。在这段时间里,DPC在调查进行的过程中多次与TikTok就决定所涉及的事项进行了沟通,TikTok多次向DPC提供相关的证明材料、意见书、报告以及答复。
以下是本决定作出过程中的几个重要的时间节点:
2021年9月——DPC正式启动调查
2021年10月——TikTok针对调查作出首次答复
2022年5月——DPC要求TikTok提供补充答复
2022年6月——TikTok提供补充答复
2022年7月——DPC向TikTok提交《关于调查的事项陈述》
2022年9月——TikTok提交了针对《陈述》的意见书
2022年10月——TikTok提交了许可教授的首份报告
2022年12月——TikTok提交了相关材料
2023年5月——DPC向TikTok提供了初步决定草案
2023年9月——TikTok针对该决定草案提交了事实陈述、相关律所的法律意见书(包括许可教授的第二份报告)以及关于“三叶草计划”的材料
2024年6月——DPC告知TikTok不会对初步决定草案的内容进行修订,并要求提供营业额数据用以计算罚金
2025年2月——DPC向共同监管机构(CSAs)及TikTok提交了决定草案,并启动GDPR共同决策程序
2025年5月——该处罚决定正式发布
从上述时间节点可以看出来,本次调查主要可以分为三个阶段:1)自2021年9月至2022年6月, DPC正式启动调查并与TikTok开始了第一轮沟通,要求TikTok针对调查事项提供答复及相关证明材料;2)2022年7月至2023年4月,DPC与TikTok的第二轮沟通,对调查事项有关的陈述进行了质证并补充提供了更新材料;3)2023年5月至2025年5月,DPC与TikTok的第三轮沟通,主要针对DPC作出的初步决定草案的内容进行质证。
重点二:处罚决定的范围
根据裁决书的内容,DPC称本次处罚决定仅针对TikTok中国员工及实体远程访问存储在中国境外的EEA用户数据所产生的数据跨境传输这一事项。尽管在后续调查中TikTok最终承认存在将EEA用户数据存储至位于中国境内的服务器中的情形,但由于TikTok在与DPC沟通过程中提交的不准确信息导致DPC无法及时开展针对这一事实的调查,因此DPC本次的裁决仅聚焦在因“远程访问”产生的数据跨境上。
为避免歧义,本文中所有关于“数据跨境传输”的表述均与DPC的裁决保持一致,仅指因TikTok中国员工及实体远程访问存储于中国境外的EEA用户数据产生的跨境。
重点三:GDPR第46条以及TIA的根本目的
DPC在裁决书中花费了较大的篇幅去论证和说明GDPR第V章(数据跨境传输)的合规逻辑,尤其是在缺乏充分性认定(第45条)的情况下,在数据控制者或处理者选择适当保障措施(第46条)为数据跨境传输的依据时,其应当特别关注的要点。
根据GDPR第46.1条的规定,数据控制者或处理者只有在提供了适当的保障措施,并且有可执行的数据主体权利和有效的法律救济措施的情况下,才可以将个人数据转移到第三国或国际组织。该条规定中明确表明了“适当的保障措施”“有可执行的数据主体权利”以及“有效的法律救济措施”系适用第46条开展数据跨境传输的前提。该条规定背后的基本逻辑是为了保障传输到第三国的欧盟公民的个人数据仍能够享受《欧盟基本权利宪章》第7、8条(尊重私人和家庭的生活,保护个人数据)中所规定的基本权利。
因此,对数据控制者和处理者而言,采用标准合同的方式开展数据跨境传输并非“免死金牌”,其仍需要确保向第三国传输的个人数据的保护水平应当实质上等同于欧盟的保护水平。DPC在该裁决书中多次提到了欧洲数据保护委员会(以下简称“EDPB”)发布的“Essential Guarantees Recommendations(以下简称‘EEG’)”,该文件中明确了“对第三国(或第三国当局)监督/情报/执法访问个人数据”所必须满足的基准:1)规则应当清晰、明确且可获得;2)满足必要性与比例原则;3)存在独立监督;4)存在有效救济和可执行的权利。在实践中,EEG是欧盟评估第三国是否提供了与欧盟实质等同的保护水平的参考依据之一,也是DPC与TikTok就中国的充分保护水平进行辩论的重要依据和参考。
为了验证并确保第三国存在实质等效的保护,数据控制者或处理者必须在传输开始前充分且准确地评估第三国的法律框架以及司法实践,尤其是关于公共当局获取该跨境传输的个人数据的情况。这一评估通常通过“数据跨境传输影响评估(以下简称‘TIA’)”进行,尽管TIA缺乏明确的规定或指引确定其内容(目前仅CNIL发布了与TIA有关的指引文件),但从DPC的裁决中可以确定TIA必须包括以下内容:1)评估第三国法律和实践的情况,尤其是其中存在的不足;2)基于这些不足认识风险,并确定补充保障措施(Supplementary Measures);3)检验保障措施的效果;4)得出“实质等效保护”的结论;5)留存相关的记录。
综上所述,GDPR第46条本质上并非规避欧盟充分性认定的“捷径”,而是在充分认识到第三国法律和实践中存在的不足的前提下,基于这些“不足”针对性地设置补充保障措施以实现“实质等效保护”的必经之路:只有在充分认识到不足的前提下,数据控制者或处理者采取的保障措施及补充措施方有意义,其“实质等效保护”的结论才会被认可。由此可见TIA在适用第46条开展数据跨境传输过程中的重要地位。
重点四:DPC作出本裁决的依据和方法
裁决书中的“问题二”关注的是TikTok是否充分履行了第三国保护水平的评估义务,在这一部分DPC特别说明了其对中国法律的任何理解和解释均非自己做出的,并且明确表示(在爱尔兰法律体系中)外国司法辖区的法律系事实问题,通常需通过具备该国法律知识和专业能力的法律专家提供的独立专家证据予以认定。在本次调查中,DPC对于中国法律的评估依据和方法均基于以下相关材料:1)Millieu报告(系Milieu Consulting与 KU Leuven大学受EDPB委托制作的报告,其内容主要是评估包括中国在内的第三国对个人数据的访问制度)以及TikTok提交的针对该报告的意见及回复;2)TikTok提交的许可教授的数份报告;3)TikTok委托中国知名律所以及国际知名律所提交的评估报告。DPC在该决定中明确表示,作为非中国法律专家作出的报告,在Millieu报告和TikTok提交的中国法律分析产生分歧时,TikTok所提供的材料权重更高。
这里可以得出几个比较有趣的点:首先,DPC在这里贯彻了爱尔兰作为普通法系国家对待外国法问题的一贯原则,即将其作为事实看待并寻求当地法律专家提供的材料和意见,因而中国律所及许可教授的报告在整个调查过程中被视为非常重要的参考资料;其次,DPC将Millieu报告这一“非中国法律专家作出的报告”作为了重要的判断依据,这似乎与其坚持的原则相悖;最后也引出了一个在实践中值得考量的问题,即在进行TIA的过程中,考虑到DPC在此处针对外国法律问题的态度,对第三国(即数据接收国)法律的分析评估是否应当由当地律师或法律专家作出更为合适。
重点五:TikTok如何履行评估义务以及DPC的分析
正如前文所述,通过TIA评估第三国法律和实践中存在不足和缺陷,并基于这一评估结果确定补充保障措施以达到“实质等效保护”的要求是以GDPR第46条开展数据跨境传输的底层逻辑,DPC在“问题二”中花了很大的篇幅去论证TikTok是否适当且充分履行了对中国法律的评估义务。
在TikTok与DPC的沟通过程中,TikTok在其对中国法律的评估结论中承认,中国法律对个人数据的保护水平与欧盟在事实上存在差异,但基于属地原则,中国无权强制要求组织或个人提供未存储在中国境内的数据,因此此类差异并不会削弱保障。这一观点构成了TikTok贯彻整个调查的核心逻辑。DPC在其初步裁决中并不完全认可这一结论,其认为TikTok并未恰当考虑“属地原则”的适用:1)DPC认为部分中国法律具有域外管辖效力,这些法律会导致用户数据被有关机构获取;2)DPC认为TikTok论述中的“属地原则”存在模糊性,并且没有讨论“属地原则”以及有关法律在此场景下的适用方式。
TikTok在第二次答复中针对DPC的疑虑针对性地作出了回复,TikTok主张中国法律中的属地原则和国家主权原则保证了中国有关公共当局不能获取存储在中国境外的EEA用户数据。TikTok论述了“裁决管辖权”和“执行管辖权”在实践中的可行性,并提交了许可教授及高伟绅律所提供的实践经验报告,认为其所采用的转移机制形式有效确保了转移至中国的数据将获得实质上等同于欧洲经济区所保障的保护水平。TikTok还提交了许可教授的第二份报告和方达律所出具的专家报告,用以支撑论证中国有关的公共当局不具备获取存储在境外的用户数据的可能性。
DPC认为,TikTok已经充分论述了对于存储在中国境外的用户数据的问题,但并没有解决TikTok中国员工在远程访问时的中国法律适用问题,即在中国员工远程访问时,针对所涉用户数据的处理是发生在中国境内的,此时有关的中国法律基于属地管辖原则是可以适用的。在此情景下,相关的法律使得中国有关公共当局能够获取在中国境内处理的用户数据。
基于此,DPC认为TikTok并没有充分履行评估义务。DPC指出TikTok的不足之处在于:1)TikTok并未充分评估中国法律的不足(未讨论在远程访问时,用户数据会在中国境内被处理);2)未基于这一不足判断可能的风险;3)在中国《个人信息保护法》颁布并生效后,未及时做新的差异评估分析。
通过这一决定,我们可以看出欧盟数据监管机构在适用GDPR第46条时的基本逻辑在于:1)数据控制者和处理者应当充分全面地评估接收国的法律框架和实践,这一评估的根本目的在于认识到接收国法律的不足;2)针对这些不足,结合所采取的数据跨境传输的方案,采取适当的保障措施以及补充措施,以确保EEA用户数据受到实质等效的保护。
在这一部分的裁定原文中可以明显看出TikTok的回应与DPC的关注点并不完全相同:DPC始终认为TikTok进行的评估并没有完全关注到在此数据跨境场景下的风险,尤其是没有考虑到远程访问时TikTok中国实体及员工是在中国境内访问的情况,而TikTok也始终将重点放在中国有关机构无法获取存储在中国境外的服务器上。双方对焦点问题的讨论存在一定的分歧。
重点六:补充措施以及替代方案
通过之前的分析可以发现,补充措施采取的目的是为了弥补接收国数据保护的不足,使用户数据在实际效果上达到实质等效的保护。一般而言补充措施包括三大类:1)技术措施;2)合同措施;3)组织措施。DPC在其裁决书中认为,三类补充措施中最为重要的就是技术措施,因为合同措施和组织措施一般较难约束公共当局获取个人数据,只有技术措施能够实现这一目标。DPC在裁决书中认为,由于TikTok未能充分评估中国法律,因此也当然不具备选择适当的补充措施的能力。
尽管看起来DPC在这一部分中的论述与之前的并无二致,DPC仍在强调充分评估义务的重要性以及与后续补充措施采取之间的紧密联系,但TikTok提到了对后续开展数据跨境传输的企业而言非常有启发性的一点:TikTok主张在评估依据GDPR第46条开展数据跨境转移可行性时可以采用基于风险的方式进行,即在评估某第三国现行法律或实践对欧盟数据主体权利与自由的影响时,必须考量在数据转移的具体情境中实际发生干预的可能性。TikTok认为Schrems II案表明了“数据跨境传输产生的风险应依据‘相称性标准’而非‘完美性标准’进行评估,不仅需考量潜在风险出现的可能性,还需评估风险一旦发生所造成的严重程度”。TikTok认为,如果潜在的风险是“假设性的”或“发生概率极低的”,则此类风险可以不予考虑,因此其引用了许可教授以及高伟绅律所的报告,认为中国有关当局没有理由会在实践中获取EEA用户数据,因此此类风险纯属假设且没有实际证据支持,因此基于“相称性标准”,此类不应暂停数据的跨境传输。为了支持这一观点,TikTok还提交其网站的透明度报告以及领英发布的透明度报告,用以证明中国当局请求获取EEA用户数据的可能性可以被忽略不计。
DPC在裁决书中认为TikTok提出的“基于风险”的替代主张是具有可接受性的。但这里的“可接受性”仍需要建立在通过大量材料、调查、评估以及实践案例积累而成的判断上,因此需要数据控制者或处理者对接收国法律框架中的风险予以明确识别和界定。并且这里的“假设性的”或“发生概率极低的”风险并不会降低“实质等效保护”的标准和基本要求,但若潜在风险确实是“假设性的”或“发生概率极低的”,可能影响数据控制者或处理者对补充措施的确定,并与其论证其采取的补充措施能够满足“实质等效保护”的标准有关。
DPC认为TikTok在对“属地原则”以及数据跨境情景的错误解读即意味着其未能清晰阐明中国法律框架中的不足,也并没有证明中国有关当局获取用户数据的风险属于“假设性的”或“发生概率极低的”。在DPC的视角中,这一替代性方案并不是用以替代补充措施或“实质等效保护”标准的基本要求,而是数据出口方在确定补充措施时的考量因素之一。
重点七:透明度义务与隐私政策
尽管透明度义务似乎并不是本次处罚的主要内容,但DPC在裁决书中罗列出的观点仍具有极高的参考价值。DPC在裁决书中认为,根据GDPR Art12至14的规定,在涉及数据跨境传输的场景下,数据控制者或处理者应当完整罗列出所有可能接收数据的第三国。包括诸多国内外大型互联网企业的隐私政策在内,目前实践中往往采取的方式是通过“EEA外的国家”进行笼统地描述,并不会详细披露每一个数据接收国,而这样的描述被DPC认为是不合规的。此外,DPC还在其报告中指出,数据控制者或处理者应当使用清晰明确的语言说明构成数据转移的处理活动的性质,如在本案中TikTok应当说明其将用户数据跨境传输至中国的方式是“远程访问”的方式。
考虑到“透明度义务”即将成为EDPB在2026年度的执法重点,中国企业应当尤其关注其在隐私政策等信息披露文件中的表述是否充分满足了GDPR以及EDPB的要求。
总结
本文通过对DPC处罚TikTok Ireland案裁决书的核心要点拆解,明确了该案对中国数据合规律师的七大实务启示。在程序层面,近4年的调查周期与三轮沟通机制,揭示了欧盟数据监管调查的长期性;在实体层面,GDPR第46条并非 “规避充分性认定的捷径”,数据跨境传输影响评估(TIA)需全面覆盖第三国法律不足、风险判断及补充措施验证,且中国企业需特别关注“远程访问”场景下的法律适用争议。同时,DPC对外国法评估的专家依赖原则、补充措施中技术措施的优先性,以及隐私政策需明确披露 “具体数据接收国” 与 “传输方式” 的要求,均为中国企业应对欧盟数据监管提供了关键指引。
需客观看待的是,该案虽在舆论层面伴随争议,也让部分国内出海企业对出海数据合规前景产生顾虑,但从实务角度看,本案的裁决逻辑亦间接表明,通过构建符合GDPR要求的合规体系,实现数据向国内的合法回传并非无径可循。未来,我们以及业界同僚将持续深耕出海数据合规领域,一方面为国内企业提供精准的合规方案支持,助力其应对跨境数据监管挑战;另一方面也将通过实践不断探索合规路径,为国内数据跨境司法实践积累经验,推动行业合规水平的整体提升。
