欧盟调查TikTok一案凸显出中企在跨境数据传输中面临的普遍制度困境
© Mark Schiefelbein
关注
评论
爱尔兰数据保护委员会(DPC)代表欧盟针对TikTok向中国传输用户数据的行为启动新一轮隐私调查。多年来,TikTok一直受到西方政府的密切关注,因担心其与北京的联系以及用户数据可能被用于间谍或宣传。北京大成律师事务所高级合伙人邓志松在接受卫星通讯社采访时指出,爱尔兰TikTok数据跨境案件凸显了中资出海企业在跨境数据传输中所面临的普遍制度困境,需从法律、政策和商业模式层面进行系统性应对。
TikTok之前承认部分欧洲用户数据被远距离存取,引发数据安全疑虑,在5月遭DPC重罚5.3亿欧元。DPC 5月表示,TikTok在过去4年调查中均表示未在中国存放欧洲用户资料,但4月时揭露,该公司于2个月前发现少量欧洲用户资料存放中国服务器,后来已删除。
邓志松表示:“爱尔兰数据保护委员会(DPC)针对TikTok进行新一轮调查的原因在于,‘一小部分欧洲经济区(EEA)用户的个人数据曾被短暂存储在中国境内的服务器上’与TikTok此前向监管机构宣称的‘仅允许中国员工远程访问数据、从不存储于中国’的表述不符。但由于该问题曝光时前次调查已近尾声,DPC未在5月的处罚决定中纳入该问题,而是在近期启动了新一轮调查。”
专家指出,《通用数据保护条例》(GDPR) 项下的透明度义务要求企业在数据收集阶段向数据主体明确告知个人数据的处理目的、方式;可问责性要求企业遵守个人数据处理原则(如最小必要、透明度等),并提供证明;监管协作义务要求企业配合监管机构的工作。
邓志松解释称:“将一小部分EEA用户个人数据短期存储在中国境内服务器上可能未作事前披露,且必要性有待证明。加上前后信息披露存在矛盾,可能涉嫌违反前述义务。就跨境数据传输合规而言,DPC已在前次调查中认定,由于中国法律要求企业向国家机关无限制地提供个人数据且缺乏透明度和相称性保障,因此TikTok采用的标准合同条款(SCC)和补充措施未能提供同等保护,违反了GDPR,本案中的数据跨境传输可能面临同样的问题。”
此外,邓志松还指出,根据欧盟个人资料保护委员会(EDPB)发布的指南性文件Recommendations 02/2020 on the European Essential Guarantees for surveillance measures,规定在向第三国传输个人数据场景下,公权力对隐私权和数据保护权的干预需要满足的四项条件,标准相当严苛。
他说:“在前次调查中,即便TikTok已通过价值120亿欧元的‘Project Clover’建设本地数据中心、引入第三方安全审计,也未消除DPC对中国政府可以基于《国家情报法》、《反间谍法》等任意调取TikTok用户数据的疑虑。”
TikTok正在对DPC 5月2日做出的决定提出申诉,强调这项裁决可能创下先例,对于在欧洲营运的跨国企业和整个产业造成深远影响。
专家称,近年来,欧盟在数据跨境监管上的焦点已逐步从美资科技企业延伸至中国出海平台。Meta(12亿欧元)、Uber(2.9亿欧元)等美国巨头曾长期占据数据跨境违规罚单榜,如今,中国出海科技企业与它们一道,成为欧盟数据合规监管的重点对象。
邓志松对卫星通讯社表示:“爱尔兰TikTok数据跨境案件凸显出的并非个案问题,而是中资出海企业在跨境数据传输中所面临的普遍制度困境,正如美国互联网巨头长期以来在欧洲面临的严格监管一样,这种情形将成为常态,需要从法律、政策和商业模式层面进行系统性应对。”
针对所谓的TikTok“安全问题”,中国外交部多次强调,中国政府高度重视并依法保护数据隐私与安全,从来没有、也不会要求企业或个人以违反当地法律的方式为中国政府采集或提供位于外国境内的数据信息和情报。
京公网安备11010502053235号
