TikTok隐私政策中的GDPR合规风险——

从欧盟消费者组织的投诉信分析企业违反数据处理原则

2021-05-20

摘要：

欧盟消费者组织于2021年2月16日向欧盟数据保护委员会对TikTok发起投诉，称其隐私政策与用户协议不够公开透明，没有尽到对GDPR的合规义务。在该投诉信中，欧盟消费者组织从三个方面质疑了TikTok的GDPR合规情况，即：TikTok的隐私政策与用户协议涉嫌规避了GDPR有关数据处理的原则；TikTok的数据处理政策缺乏对未成年人用户的特殊保护；TikTok有关个性化广告推送所取得的用户同意的有效性有待查证。本文将从欧盟消费者组织的投诉信出发，重点讨论对GDPR数据处理原则的理解及其适用。我们认为：为规避合规风险，企业需要全面考虑GDPR关于数据处理的原则，尽量做到数据、合法性基础和处理目的三者一一对应，从而保证数据处理公平透明。

一、TikTok投诉案件背景

2021年2月16日，欧洲消费者组织（The European Consumer Organisation, 以下简称BEUC^[1]）向欧盟委员会和欧洲消费者保护机构网络投诉了TikTok，敦促对其展开调查^[2]。同时，BEUC还向欧盟数据保护委员会（European Data Protection Board, 以下简称EDPB^[3]）提交了投诉信，称TikTok的隐私政策和用户协议很可能不符合《通用数据保护条例》（以下简称GDPR）的规定^[4]。随附投诉信的还有两份报告，即《没有过滤功能的TikTok》（TikTok without Filters）和《对TikTok隐私政策的数据保护法分析》（A Data Protection Law Analysis of TikTok’s Privacy Policy）供EDPB成立的TikTok工作组参考^[5]。

其实，这也并非是TikTok第一次在国际上出现审查与合规风险。自2019年以来，法国、意大利、荷兰、丹麦和英国的数据保护机构先后对TikTok的数据合规展开了调查。而在2019年11月19日，欧盟议会议员Moritz Körner针对TikTok可能造成的国家安全风险和数据保护隐患向EDPB发起问询^[6]。

在投诉信中，BEUC对TikTok有关GDPR合规情况的质疑主要集中在以下三个方面：一、TikTok对GDPR数据处理原则的规避；二、TikTok的数据处理政策缺乏对未成年人用户的特殊保护；三、TikTok的个性化广告推送所取得的用户同意是否有效^[7]。本文将就TikTok被投诉规避GDPR数据处理原则进行讨论。

二、GDPR关于数据处理原则的规定

GDPR第5条规定了数据处理中的基本原则，包括合法公平透明原则、目的限定原则、最小必要原则、准确性原则、数据存储限制原则以及完整性机密性原则，具体如下^[8]：

数据处理要遵循合法、公平和透明的原则；

目的限定原则，只有出于明确、清晰、合法的目的才可以收集数据，且后续的数据处理也不得背离初始目的；

最小必要原则，仅收集和处理为实现目的相关的、必要的、最小范围的个人数据；

准确性原则，收集和处理的数据必须是准确、最新的，并且采取必要措施确保对实现目的不准确的数据及时删除；

数据存储限制，原则上数据存储的期限应为满足特定目的的必要期限；

完整性和机密性原则，处理个人数据的方式要能够确保数据安全，包括采取适当的技术或组织措施来防止未经授权、非法的处理以及数据意外遗失、灭失或损毁。

需要特别注意的是，根据GDPR第83条第5款，违反基本原则将会直接受到处罚，最高面临2千万欧元或公司上一年度全球营业额4%的罚款^[9]。我们认为，基本原则不仅包括GDPR第5条的规定，如第二章第6条“处理的合法性基础”、第三章“数据主体权利”、第四章“数据控制者和处理者的义务”等条款具体内容，均与上述原则性条款存在密不可分的联系。因此，在解释GDPR关于数据处理中的数据保护原则时，应与GDPR其他章节的规定相互参照、统一理解适用，而不仅仅是着眼于单一原则。

对于基本原则的统筹兼顾和统一理解，我们强调的是，在满足合法性基础的前提下，还要满足目的限定原则，即每种合法性基础都需要对应一个明确、清晰、合法的目的；并且还要同时兼顾数据的最小必要原则，即保证收集处理的数据需为实现特定目的所必要。例如，在处理关键数据信息时，首先要满足的是合法性原则，即必须符合GDPR第6条列举的六种合法性基础之一，在该前提下，遵循目的限定和最小必要原则^[10]。而如果不能同时满足这些要求，企业的数据处理政策很可能会被认为是不公平和不透明的。

三、TikTok面临的违反数据处理原则的合规风险

总体来看，TikTok遭到诟病的是其频繁的隐私政策变化。在其政策变动频率高、范围广的同时，TikTok也没有公开说明每一次变动的具体变化之处，或留存以前的隐私政策版本供消费者参考，这令BEUC十分担忧。就TikTok当前隐私政策的公平性和透明度问题，BEUC 也从网页和软件界面设计混乱、可供选择的语言和司法辖区不明等方面，尝试证明TikTok违反GDPR第5（1）条的公平透明原则。如此，不仅数据监管机构无法准确地评估TikTok的数据合规情况，消费者也很难清楚知晓其数据如何被处理，难以实际行使保护个人数据的权利^[11]。

1.数据收集处理过程中的模糊化处理风险

对于具体的隐私政策条文是否遵守 GDPR 的数据处理原则规定，BEUC也给出了相应阐释。首先，与 GDPR 惯常所持的对于数据处理谨慎精准的态度相比，TikTok可以自行决定为实现隐私政策中列举的任何一个目的，来处理被授权的任意个人数据项，此举大大增加了数据处理行为模糊化的潜在风险。

Ausloos和Verdoodt两位学者认为，处理数据的操作需要与个人数据对应，特定的处理目的又需要与处理操作对应，而每一个处理操作又需要特定的合法性基础（参见下图1）。从图示可以看出，数据控制者能够基于不同的潜在目的、以多种方式处理同一数据，但在任何情况下，处理目的都需要专门、单一的合法依据。

图1：个人数据、处理操作、处理目的和合法性基础的正确关系

然而，如报告中指出，虽然TikTok的隐私政策列举了需要收集和处理的数据及其合法性基础，但并没有明确说明收集和处理不同的数据是为了实现哪些特定目的。换句话说，该隐私政策没有将个人数据、处理行为、处理目的和具体的合法性基础进行一一对应，从而形成上图1中的单一线性联接模式，这被BEUC认为是一种模糊处理（TikTok 的做法请参见下图2）^[12]。

图2：Tiktok 隐私政策中个人数据、处理操作、处理目的和合法性基础的关系

为此，我们也查阅了欧盟数据保护工作小组出具的《第2016/679号条例下透明度准则的指导意见》（Guidelines on Transparency under Regulation 2016/679）^[13]和GDPR.EU网站提供的隐私政策模板^[14]，根据我们的理解，指导意见仅要求数据控制者预先确定数据处理的范围和结果，并以明晰的语言解释处理行为对用户产生的影响。而隐私政策模板将收集的数据类型、收集数据的方式和处理目的分别列为三部分时，也没有特别强调它们之间一一对应的关系，甚至没有出现“合法性基础”这一标准。也就是说，事实上BEUC的专家学者报告为Tiktok的隐私政策设置，尤其是对数据处理原则的遵循提出了更高的合规标准。

在参阅知名视频网站Youtube最新版的隐私政策^[15]后，我们认为，BEUC对TikTok违反数据处理原则的论证，确实在一定程度上显示了企业在数据收集处理过程中模糊化处理所带来的合规风险，但所谓的模糊化处理需要如何修改完善、并完善至什么程度才能合理规避风险，BEUC的报告却未能给出相应的隐私政策合规模板进行对比参照。而如果上述GDPR 的数据处理原则仅停留在报告中理想化模型的阶段，却缺少企业和行业的实践操作成果，这样的要求在现实中也是难以实现的。

2.数据存储期限不明的合规风险

其次，BEUC还就TikTok的数据存储期限提出了质疑。TikTok隐私政策中关于存储期限的表述，即为“我们会按照为您提供服务所必要的期限保留您的数据，以便履行我们的合同义务，并就有关数据行使权利。当我们不需要您的数据来提供服务时，我们只有在合法业务目的下才会保留您的数据。[...]在不同情况下，我们也许会根据我们的法律义务或者合法性要求继续保留您的数据。”

根据 GDPR第13、14条的规定，数据存储限制原则要求数据控制者告知用户数据存储的期限，如果无法确定具体期限，则需要告知期限的确定标准^[16]。欧盟数据保护工作小组同时表示，数据控制者应针对不同类别的个人数据和不同处理目的规定不同的存储期限^[17]。但是，前述TikTok隐私政策中的表述，仅模糊说明了数据的存储期限为满足合法目的的必要期限，报告认为，该表述没有对不同数据的存储期限做区分，因而难以确认TikTok是否遵守了数据存储限制原则。结合上述 GDPR 条文和有权机关的指导意见，我们认为 BEUC 对数据存储期限不明的质疑具备一定的合理性，因而企业在构建面向用户的隐私政策时，区分不同类型、不同处理目的的数据并分别规定相应的存储期限是十分必要的^[18]。

四、总结

欧盟GDPR对于个人信息的处理实施了严密的保护和严格的监管，因此，为通过欧盟各成员国监管机构的审查、避免处罚，我们认为，数据控制者首先应区分不同种类的个人数据和数据处理目的，并标明相应的存储期限，如果不能确定具体的存储期限，也可以提供确定存储期限的标准，以保证用户的充分知情权。

此外，面对数据处理的各个环节，涉及大量个人数据业务的企业应当以整体视角综合考虑GDPR第5条规定的数据保护原则。需特别关注的是，为满足 GDPR 合规标准，应尽量避免单纯列举收集个人数据的合法性基础和目的，而是以公开、透明的方式，更加简明清晰地呈现数据类型、合法性基础和处理目三者之间的相互关系，向用户展示必要收集处理的数据是什么、基于何种原则、又为实现哪些特定目的。

参考文献：

[1]BEUC的缩写来自其法语名称“Bureau Européen des Unions Consommateurs”。

[2]The European Consumer Organisation (BEUC), BEUC files complaint against TikTok for multiple EU consumer law breaches，https://www.beuc.eu/publications/beuc-pr-2021-006_beuc_files_complaint_against_tiktok_for_multiple_eu_consumer_law_breaches.pdf.

[3]欧盟数据保护委员会是欧盟的独立监管机构，主要职责是保障GDPR在所有欧盟成员国的一致执行，促进成员国数据保护当局之间的合作，以及在数据保护相关问题上向欧盟委员会提出建议。

[4]The European Consumer Organisation (BEUC), EU consumer law complaint against TikTok – GDPR compliance issues, 

https://www.beuc.eu/publications/beuc-x-2021-015_eu_consumer_law_complaint_against_tiktok_-_gdpr_compliance_issues.pdf.

[5]TikTok工作组最早设立于2020年6月，为回应欧洲议会议员Moritz Körner的问询。

[6]参见欧盟议会官网的议员问询，https://www.europarl.europa.eu/doceo/document/E-9-2019-003875_EN.html。

[7]Supra note 4。

[8]参见GDPR第5条的规定。

[9]参见GDPR 第83条的规定。

[10]Dr. J. Ausloos & V. Verdoodt, Confusing by Design: A Data Protection Law Analysis of TikTok’s Privacy Policy (February 2021), Page 7.

[11]Ibid., Page 4-6.

[12]Ibid., Page 7-8.

[13]Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, para 10.

[14]GDPR.EU网站虽然不是欧盟委员会的官方网站，但它是由Proton Technologies AG公司运营、欧盟Horizon 2020框架计划的REP-791727-1项目资助，故该隐私政策模板具备一定的参考性。详情请参见https://gdpr.eu/wp-content/uploads/2019/01/Our-Company-Privacy-Policy.pdf。

[15]YouTube Data Processing Terms (version of November 24, 2020),https://www.youtube.com/t/terms_dataprocessing.

[16]参见GDPR 第13 (2) a和14 (2) a的规定。

[17]Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, Annex.

[18]Supra note 10, Page 13.

本文作者：