TikTok爱尔兰巨额罚单对中欧数据传输的启示

2025-12-15

近期针对TikTok（抖音海外版）爱尔兰公司的处罚决定，向我们揭示了中欧跨境数据传输的现状：这并非意味着跨境传输被全面禁止，但它凸显了极高的合规负担，以及对数据跨境传输的严格限制。

爱尔兰数据保护委员会（DPC）于2025年10月发布了针对TikTok的5.3亿欧元处罚决定，主要针对其非法数据传输行为。这一决定令商界震动。DPC的逻辑是：“当个人数据传输至欧洲经济区（EEA）以外时，可能会阻碍自然人行使数据保护权利，并可能规避欧盟的高水平保护”，即根据《通用数据保护条例》（GDPR）第46条，如果EEA的个人数据发生转移，GDPR的保护必须跟随。

一、欧盟数据跨境监管背景

在TikTok案之前，关于欧洲数据传输的法律立场已通过2023年针对Meta爱尔兰公司的12亿欧元处罚决定以及Schrems 1和Schrems 2案件的判决得到了阐明。每一项Schrems判决都导致美欧之间的“充分性认定（Adequacy Decision）”失效。目前的第三版美国充分性认定也正面临法律挑战。

只有当接收国获得了欧盟委员会的“充分性认定”时，数据跨境传输才是合法的。但这仅适用于全球15个国家，包括中国在内的其余180个国家必须依赖GDPR下的替代传输机制，例如欧盟委员会的标准合同条款（SCCs）。

然而，即使是2021年发布的新版SCCs，本身也不足以使数据传输合法化。在Schrems 2案中，欧盟法院（CJEU）澄清：只有当数据主体获得的保护水平与GDPR和《欧盟基本权利宪章》所保证的保护水平“实质等同（Essentially Equivalent）”时，向欧盟境外传输个人数据才是合法的，即使双方签署了SCCs也不例外。如果海外数据进口方所在地国法律允许政府无限制访问数据，那么根据GDPR数据进口方就无法实质性地遵守SCCs，该数据跨境传输将不再合法。

二、TikTok爱尔兰案认定的事实

在之前的一次监管调查中，DPC获悉TikTok允许字节跳动（ByteDance）在中国的公司（包括北京字节跳动网络技术有限公司）远程访问存储在美国、新加坡和马来西亚服务器上的EEA数据。根据GDPR，此类远程访问构成“数据传输”。字节跳动公司访问EEA数据的目的包括信任与安全、运营、变现、支付和信息安全等。字节跳动员工可以访问数据的类型包括用户账户信息、设备信息、行为日志、交易信息等。DPC认为这些传输是系统性、重复性和持续性的，并不能适用GDPR下针对偶发性传输的任何豁免。

TikTok辩称没有EEA数据实际存储在中国的服务器上。然而，TikTok远程访问通常会在中国的本地机器上创建数据的临时副本（Cache）。

整体上，DPC的行政决定暴露了TikTok在本案的应对中存在如下问题：准备工作不足，未能理清自身事实，对欧盟法律理解欠缺，反馈延迟以及向DPC提供的信息准确性不高。对于TikTok来说更不利的是，本次处罚并非故事的终点。有消息透露，与TikTok的说法相反，部分EEA数据实际上曾存储在中国的服务器上，这将来可能招致另一项处罚。

三、处罚决定

DPC认定TikTok违反了GDPR如下两个条款：

· GDPR第46(1)条：未能确保个人数据受到与欧盟内部实质等同的保护水平。

· GDPR第13(1)(f)条：未能告知用户存在中国员工远程访问情况。

尽管TikTok关于中国法律和实质等同性提交了大量材料，但它依赖于对法律的假设性解读，而没有提出关于中国法律在实践中如何影响EEA数据的确切结论。TikTok的提交材料侧重于中国法律如何适用于位于中国境外的EEA数据，但未解决EEA用户数据位于中国境内的问题。正因如此，TikTok无法保证中国的法律和实践不会破坏SCCs及TikTok补充措施的有效性。

四、“实质等同”标准

GDPR要求TikTok全面评估中国的法律和实践，并审查提供的保障措施是否能提供“实质等同”的保护水平。DPC参考了关于中国法律制度的Milieu报告以及TikTok提交的证据，包括来自中国学者和律师的各种报告。

很遗憾所有这些证据都仅聚焦于中国法律如何适用于位于中国境外的EEA数据，从而完全偏离了重点，即本地临时副本问题。TikTok承认中国政府拥有广泛且未定义的调查和监控权力，但是指出中国政府无权强制企业提供存储在中国境外的数据访问权限，因为这样做会违反“主权原则”。而且，TikTok提交的证据显示，至今也未发生过强制披露境外持有数据的情况。

但是，TikTok未能解决中国法律如何适用于EEA数据暂时存储在中国本地设备上的问题。此外，DPC对于中国法律下的“属地原则”在实践中是否真会被解释得如此具有限制性表示怀疑，对此，TikTok未能提供权威证据予以回应。

与Meta案中美国法律（如FISA702条款）被认为存在广泛监控权力类似，DPC认为中国法律对于数据调取权利似乎缺乏明确的限制，并对中国法律下监控权力的控制措施是否足够规范和清晰表示不满意。

相比之下，2023年的Meta处罚案件决定强调了当时“美国法律中非常明显的不足”，包括《外国情报监视法》（FISA）第702条、第12333号行政令（EO12333）和第28号总统政策指令（PPD28）下收集“对外情报”的明确而广泛的权力。

DPC认为中国法律对于行政监控权力的限制措施在规范性和清晰性方面不足，而且法官或其他独立机构的决定对政府不具有约束力。《个人信息保护法》的相关执法实践尚未完全落地。DPC对于是否存在一个能独立于政府的监督机构存疑。

所有这些缺陷表明其未能满足欧洲数据保护委员会（EDPB）制定的“基本保障建议（Essential Guarantees Recommendations）”，其中包括“法治”（保障A）、必要性和比例性以及作为“人权”的隐私（保障B）、拥有有效权力的独立监督机构（保障C）以及针对个人的有效补救措施（保障D）。

五、关于补充措施

GDPR规定处理者可以采取补充措施来弥补当地法律的差异，特别是在SCCs无法提供所需保护水平的情况下。TikTok辩称其被允许采取基于风险的措施，且考虑到客观评估下对个人的风险较低，其数据传输是合法的。

然而，DPC不同意这一观点。如果TikTok最初评估了具体风险，它本可以根据风险的级别和可能性选择适当的补充措施。但是，TikTok未识别中国法律和实践中存在的差异并评估风险，导致其后续采取的补充措施无效。

关于TikTok的技术、合同和组织措施的大部分细节在公开的处罚决定中被删除。不过，TikTok确实实施了严格的访问控制、加密、组内数据传输协议、与外部云服务商的合同，以及EEA数据传输政策、执法指南和常见问题解答。由于这些措施并非针对解决特定风险，因此它们是无效的。

此外，TikTok提供的很多补充措施反映的是GDPR第32条要求的一般安全措施，DPC认为这没有帮助，因为如果中国政府可以强制访问明文数据，那么加密、物理数据隔离和访问控制就是无效的。同样，合同措施因对政府没有约束力也无效。

六、克减情形（Derogation）

GDPR允许在某些克减情形下的数据跨境传输，例如基于合同必要性、令人信服的合法利益或同意。TikTok也提交了一个例子，即中国的一名高级工程师需要远程访问EEA数据以处理紧急情况，例如重大伤害风险。

然而，TikTok没有提供任何底层的合规文件，例如平衡性测试评估。DPC认为，错误地依赖克减情形可能会破坏数据保护权利的实质和比例性原则。

七、透明度

DPC审查了TikTok远程访问数据时遵守GDPR第13(1)(f)条透明度义务的情况。DPC强调透明度必须尽可能切实、具体和精确，以赋予数据主体问责的权力，数据主体需可以行使其数据权利，例如反对权和以其他方式控制其个人数据的权利。

DPC认为GDPR第13(1)(f)条要求控制者在收集数据时应以清晰、通俗、易于获取的书面形式向数据主体披露以下信息：

· 向第三国传输个人数据的意图

· 第三国的名称

· 传输机制的细节，例如SCCs

· 适当或适用的保障措施以及数据主体获取副本的能力

虽然TikTok的2021年EEA隐私政策未能提供此细节，但其2022年EEA隐私政策已告知个人，数据存储在美国和新加坡的服务器上，并且受到位于巴西、中国、马来西亚、菲律宾、新加坡和美国的TikTok集团实体的有限远程访问。DPC评估认为，该政策符合本次调查的目的。

八、结论

很明显，在很多（但并非所有）情况下，中国法律可能无法满足“实质等同”的保护水平。但是，本案的关键是TikTok未能在其提交的文件中呈现正确的事实，未能提供相关证据，未能识别特定风险，也未能通过补充措施解决相关风险。

对于那些非社交类且隐私风险较低的中国企业来说，本案的决定所披露信息并未能够提供有效的合规工作指导。此外，该决定并不意味着欧洲数据完全不能传输到中国，因为每个案件的具体情况不同。

有一点是明确的，中国企业应尽可能地将最核心的数据密集型服务放在欧洲本地运营。然而，对于边缘业务涉及的数据，在满足最小必要原则的基础上，并辅以相关的补充保护措施（例如立即自动删除本地副本），有可能被允许传输至欧洲之外。此外，隐私保护技术包括假名化（或去标识化）等也应尽量使用。

最近的SRB案件判决表明，去标识化数据并不总是构成个人数据，特别是如果接收者实际上无法识别到个人。如果数据传输影响评估（TIA）披露了未解决的高风险，中国企业应根据GDPR第36条与欧洲相关数据保护机构启动事前咨询，这是中国企业在从事国际业务时可以利用的另一种保障性措施。

TikTok决定带来的启示总结如下：

· 每一项数据跨境传输都必须以事实正确、有据可依且论证充分的数据传输影响评估、有效的传输机制、具有针对性的补充措施、更新的设计隐私政策和数据隐私培训计划等为基础，以证明其符合GDPR的要求。

· 数据传输影响评估必须切合实际，并考虑到实践中可能的做法、先例、判例法、实际案例和风险。

· 必须披露有证据支持的实际案例，说明法律如何在具体事项背景下适用，而不是依赖于可能在实践中应用不同的有利的假设性法律解释。

· 如果识别出差异，必须实际审查并证实其对合规性的影响。

· 并不要求一定要识别出欧盟与当地法律之间的所有差异，但必须识别并解释那些在特定数据传输背景下相关的法律的影响。

· 对当地法律评估不足很可能会导致采取的补充措施被认定为不充分。

· 每个数据传输影响评估都将基于事实，包括网络和设备中数据电子副本的技术细节。

· 必须在隐私专家的帮助下进行数据映射，以发现所有事实并避免错误。

· 在跨境数据传输合规中，法律评估（识别义务）是强制性的，不以风险高低为转移；但补充性措施的选择，可以基于实际风险的高低来确定其必要性和比例性。

最后，本案对于中国的数据出境安全管理实践也具有极强的镜鉴意义。实际上，中国《个人信息保护法》及相关配套法规要求数据出境前，应事先评估“境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响”。这与欧盟《通用数据保护条例》（GDPR）下的数据传输影响评估（TIA）要求在原则上具有高度的相似性。

然而，本案揭示了欧盟在要求“实质等同保护”时，对评估的深度、证据的权威性以及对数据在本地设备上暂时复制等技术细节的关注程度，是现阶段中国数据出境实践案例中可能尚未完全达到的。随着中国监管实践经验的不断积累，特别是在与国际高标准接轨的过程中，中国的数据出境安全评估将趋于更加规范化和严格化，并更加注重对境外法律的实操影响分析，以此推动中方企业构建更加坚实、更具全球适应性的合规体系。这将有助于中国企业在全球化运营中更好地预见风险，并避免因评估不足而遭受重大合规惩罚。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。