TikTok 5.3亿欧元处罚启示：欧盟个人数据回传国内的合规路径分析（下）

摘要：2025年4月30日，爱尔兰数据保护委员会（“DPC”）正式作出针对TikTok Technology Limited（“TikTok”）的处罚决定，认定TikTok在中国境内远程访问欧洲经济区（“EEA”）用户的个人数据的过程违反《通用数据保护条例》（“GDPR”），并处以5.3亿欧元罚款。本文将分析DPC对TikTok的处罚依据及理由，并总结对中国企业的数据合规启示。

2025年4月30日，DPC正式作出针对TikTok的处罚决定，认定TikTok在中国境内对欧洲经济区用户的个人数据的过程违反GDPR，并处以5.3亿欧元罚款。上一篇文章中，我们已分析了DPC在GDPR框架下对个人数据跨境传输的合规框架。本文将聚焦DPC如何认定TikTok传输EEA个人数据的合规路径，并总结分析对中国企业的合规启示。

一、DPC  对 TikTok  跨境数据传输合规义务的具体认定

TikTok基于SCCs向中国境内传输EEA个人数据，而在GDPR框架下，TikTok必须在数据传输前开展数据跨境传输影响评估（“TIA”），评估第三国的法律及司法实践是否会影响SCCs的有效性，即确保数据主体实际上受到基本等同于欧盟的保护水平，尤其应特别关注该第三国公权力机构访问转移的个人数据相关方面，否则必须采取补充措施，以保证达到同等保护水平。然而，DPC最终认定TikTok未能满足GDPR下的合规要求，具体而言：

（一）DPC 认为TikTok未能在数据传输前充分履行评估义务

调查过程中，TikTok提交了五份TIA报告，并在报告中的第二部分评估中国现行法律及实践是否可能削弱SCCs的有效性。TikTok评估认为，即便通过SCCs传输，中国法律与实践提供的保护水平与欧盟要求仍存在一定差异，需采取额外保护措施。但基于属地原则，中国主管机关无权强制要求提供在中国境外存储的数据，而相关EEA个人数据均存储于境外，因此，基于SCCs与其采取的补充措施，EEA个人数据主体实际上受到基本等同于欧盟的保护水平。

然而，DPC在初步决定草案中，认为TikTok未能充分履行评估义务，具体而言，DPC认为TikTok未能说明在中国法律框架与欧盟标准之间存在差异的背景下，其主张的属地原则如何发挥作用，并且TikTok的报告亦未以清晰的方式阐明其所承认存在于中国法律框架中的缺陷。在初步决定草案中，DPC明确提出两点问题：一是《反恐怖主义法》《反间谍法》《网络安全法》《国家情报法》等法律可能具有域外效力，中国主管机关据此可能有权要求披露本案传输与远程访问的EEA个人数据；二是TikTok未能充分论证属地原则如何阻止前述法律适用于本案EEA个人数据，包括其未能论证前述法律不适用于负责处理个人数据的中国实体及员工，以及在中国境内人员通过技术手段远程访问境外存储个人数据时，属地原则如何适用。

针对DPC的初步决定草案，TikTok在递交的补充材料中，区分“审判管辖权”及“执行管辖权”，并主张只有二者同时存在时，中国主管机关才能强制要求中国实体及员工披露远程访问的EEA个人数据。TikTok主张，根据中国法律规定，对于在境外发生的行为，只有在其与中国存在特定联系，并且侵害中国或中国公民合法权益的情况下，才落入“审判管辖权”中，而EEA个人数据系其在与中国无关联的业务中收集，且仅涉及在中国境外居住的个人，故中国主管机关只有在极其例外的情形下才对本案传输的EEA个人数据具有“审判管辖权”。而无论如何，中国主管机关对于存储在境外的个人数据均不具有“执行管辖权”，其要求提供该等个人数据必须遵循司法协助程序或其他外交渠道的法定要求。因此，TikTok认为，中国实体在任何情形下均有权不提供远程访问的EEA个人数据。

为支持其主张，TikTok提交三份专家意见：一是许可教授的专家报告，报告中称针对本案传输数据情况而言，即便中国主管机关在例外情况下具有审判管辖权，其也不享有强制要求中国实体或其员工披露其通过远程方式访问、存储于境外的EEA个人数据的单方行政权力，而应当通过与相关国家合作机制取得。实践中也未见中国主管机关强制要求披露境外存储的个人数据的情况；二是方达律师事务所的专家报告，确认TikTok的2022年12月TIA报告第二章对于中国法律陈述准确，并认为此后中国法的修订并不影响该结论；三是高伟绅律师事务所的专家报告，其从执业经验角度称，未遇见中国主管机关强制要求中国主体披露存储于境外的个人数据，包括远程访问该等数据的情形。

对此，DPC认为其在初步决定草案中指出的第二项问题仍然存在，TikTok仍未能说明属地原则如何阻止相关法律适用于在中国境内处理的EEA个人数据。DPC指出，TikTok的论证过程聚焦在存储于境外的个人数据，却忽视了远程访问时EEA个人数据在中国境内被处理这一事实。远程访问过程中，数据处理主体是中国司法管辖范围内的中国实体及其员工，相关EEA个人数据在位于中国境内的计算机系统出现并被处理，而TikTok未论证此种情形下中国主管机关是否仍需“域外执行管辖权”才能获取个人数据，亦未论证相关法律如何适用于此类通过远程访问在中国境内处理的EEA个人数据。

而对于在中国境内处理的EEA个人数据，DPC认为，TikTok在评估中虽然指出中国法律规定与欧盟保护要求之间的差异，但是未能论证此类差异的本质及范围，亦未能论证此类差异对在中国境内处理的EEA个人数据的具体影响。

综上，DPC认定TikTok未能充分履行评估义务，未能论证属地原则如何适用于在中国境内通过远程访问方式处理的EEA个人数据，亦未能充分论证中国法律与欧盟保护要求之间的差异，导致TikTok无法核实其采取的保障措施能够确保其提供与欧盟同等水平保护。

（二）DPC 认为由于TikTok 未能充分履行评估义务，其也无法证明采取的补充措施能够提供与欧盟同等保护水平。

对于TikTok采取的额外保护措施，DPC重申评估义务的重要性，认为由于TikTok未能充分评估中国法律与欧盟保护要求之间的差异，导致其无法选择合适的补充措施，也无法核实所采取的补充措施是否能达到与欧盟同等保护水平。在逐项审查TikTok采取的补充措施后，DPC认为其采取的补充措施也不足以阻止中国主管机关在相关法律支持下访问EEA个人数据的潜在风险，不足以确保相关数据主体获得与欧盟同等水平保护。

此外，TikTok在调查过程中还主张，在评估第三国法律规定及实践对数据主体权利的影响时，应当考虑公权力机构在实践中进行干预的可能性，该等可能性应基于客观因素进行认定，如数据进口方的实践经验、相关司法实践、传输的数据对该国公权力机构是否具有相关性等。如果这种潜在风险是假设性的或极不可能的，那么这种风险则可以被忽略。TikTok认为，基于本案事实及其采取的补充措施，中国主管机关要求获取EEA个人数据是极不可能的，因此其采取的补充措施足以保障与欧盟同等保护水平。

DPC认为TikTok提出的“风险导向主张”一定程度上可以接受，如果数据控制者在评估后认为相关风险是“假设性的”或“极不可能实现”的，这可能与其选择适当的补充措施，以核实、保障并证明其实现与欧盟同等保护水平相关。但是，具体到TikTok上，DPC认为由于其未能论证属地原则是否适用于在中国境内处理的EEA个人数据，也未能充分评估中国法律与欧盟要求之间的差异，因此TikTok未能证明中国主管机关要求访问EEA个人数据的风险是极不可能的，其主张无法成立。

（三）DPC 认为TikTok违反告知义务。

DPC审查了TikTok的《2021 EEA隐私政策》，并认定其未能满足GDPR第13条规定的透明度义务。该条要求数据控制者向用户提供关于其个人数据向第三国转移的相关信息。DPC认为，《2021 EEA隐私政策》中的告知不够充分，既未列明用户的个人数据被转移至哪些第三国，也未告知用户其被存储于新加坡和美国的数据可以被中国境内人员远程访问。DPC进一步确认，仅笼统表述个人数据将“被转移至EEA之外”并不满足GDPR的要求。告知文件应当列明数据将被发送至的法域名称，以便用户能够理解其数据在何处以及以何种方式被处理，并据此决定是否使用相关服务。

在调查过程中，TikTok于2022年对其隐私政策进行了修订，明确披露出“China”字眼，DPC认为该版本符合GDPR第13条要求。DPC最终认定TikTok违反透明度义务的期间为2020年7月至2022年12月，并就该项违法对TikTok处以4500万欧元罚款。

二、对中国企业的数据合规启示

（一）远程访问 EEA个人数据同样需遵循 GDPR规定。

DPC在处罚决定中已经明确，通过远程访问的形式处理存储在境外的EEA个人数据，除评估数据存储所在国的法律环境外，还需评估远程访问所在国的法律环境。在远程访问的情形下，虽然EEA个人数据存储在境外，但在远程访问时，相关个人数据在远程访问所在国被处理，仍构成GDPR下的跨境传输，因此仍需遵循GDPR下的合规框架。

（二）企业在跨境传输个人数据前，需充分履行评估义务。

从TikTok处罚决定可以看出，跨境传输EEA个人数据前开展充分的评估是合规的重要前提，并且评估义务的履行主体在数据出口方。数据出口方的评估义务与其之后采取的补充措施之间具有密切的联系，如果未能充分履行评估义务，将直接导致监管机构质疑相关主体是否有能力选择合适的补充措施，以保障达到欧盟同等保护水平。

虽然对TikTok的处罚决定贯彻了欧盟的高保护标准，但DPC在处罚决定中并未完全否决将EEA个人数据回传至中国的可能性。DPC认可，在具体情形下，如果能够证明中国主管机关访问相关个人数据的可能性极低，可以用于证明达到欧盟同等保护水平，但该等可能性仍建立在充分评估的基础上。因此，中国企业在出海过程中，应高度重视数据跨境前的评估义务，确保评估内容清晰、明确，从“形式合规”思维转向“实质合规”思维。

点击下载完整版 《跨境争议解决刊物》第42期

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.