抖音欧洲被罚5.3亿欧元:中国员工“看了一眼”,代价为何如此沉重?
“数据存在美国和新加坡,中国团队只是远程看了一下。”
这句话,值5.3亿欧元。
一、基本案情:5.3亿欧元,欧洲史上第四大GDPR罚单
2025年4月30日,爱尔兰数据保护委员会(Data Protection Commission,DPC)就其对TikTok Technology Limited历时数年的调查作出最终裁决。
裁决内容如下:
罚款€530,000,000,分两部分:€485,000,000用于违反GDPR第46(1)条(跨境传输保护缺失),€45,000,000用于违反第13(1)(f)条(隐私政策透明度不足)
整改令:6个月内将数据处理操作纳入GDPR第五章合规,否则暂停对中国的全部数据传输
TikTok对爱尔兰数据保护委员会于 2025 年4月30日作出的《Inquiry into TikTok Technology Limited in respect of transfers of personal data to China》(调查编号 IN-21-9-2,下称“DPC 最终决定”)不服,上诉至爱尔兰高等法院。
2026 年 6 月 3 日,爱尔兰高等法院作出《TikTok Technology Limited and TikTok Information Technologies UK Limited v Data Protection Commission》判决,案号 Record No. 2025/248 MCA,判决编号 [2026] IEHC 347:维持 DPC 关于第46条和第13条的违法认定,也确认 DPC 作出罚款决定的基础成立,但金额需待后续判决处理;但法院认为,DPC 在评估暂停传输令和整改令时,没有充分处理第三份许教授中国法意见和Project Clover技术措施,因此拟撤销纠正命令,并将“应作出何种纠正命令”发回 DPC 重新考虑。
至此,欧盟GDPR生效以来第四大罚款决定,也是针对中国企业迄今金额最高的数据合规执法案例,尘埃落定。
没有黑客,没有未授权的第三方访问,本案争议焦点不是传统意义上的数据泄露,而是TikTok在中国的工程师和运营人员通过远程访问方式处理了存储在新加坡和美国服务器上的欧洲经济区(EEA)用户数据。
二、法律分析
争议焦点一:远程访问是否构成数据跨境传输?
GDPR第四章及第五章将“数据传输至第三国”定义为向欧盟/欧洲经济区以外的国家转移个人数据。TikTok的抗辩理由是:数据的物理存储地在新加坡和美国,并未转移至中国,不构成跨境传输。
DPC的认定截然相反。DPC指出,中国境内的员工通过远程访问处理欧洲用户数据,其本质是在中国法律管辖范围内处理欧洲用户的个人数据,数据处理发生地,而非数据存储地,才是判断"传输"的核心要素。
这一认定意味着:对于任何在中国设有研发或运营团队的跨国企业,只要这些团队能访问境外用户数据,就可能构成GDPR意义上的跨境传输,须满足全部合规要求。
争议焦点二:标准合同条款(SCCs)为何不满足合规要求?
对于向无充分性认定国家传输数据的情形,企业通常采用欧盟标准合同条款(SCCs)作为数据传输机制,TikTok亦使用了SCCs。但GDPR第46(1)条的要求不止于此,企业须核实、保证并证明SCCs及其补充措施,能够确保目标国的个人数据保护水平与欧盟“本质等同”(essentially equivalent)。
DPC逐一审查了TikTok提交的中国法律评估材料,认定以下中国法律与欧盟标准存在实质性偏差:
《中华人民共和国反恐怖主义法》
《中华人民共和国反间谍法》
《中华人民共和国网络安全法》
《中华人民共和国国家情报法》第七条(“任何组织和公民都应当依法支持、协助和配合国家情报工作”)
最后一条尤为关键,在此法律框架下,中国境内的TikTok员工理论上无法拒绝配合国家情报机构,这使得欧洲用户数据在被中国员工访问时,面临无法通过合同机制弥补的制度性风险。SCCs是合同,无法对抗主权法律,这是本案确立的核心命题。
争议焦点三:Project Clover技术措施能否替代法律合规?
TikTok自2022年起推进欧洲数据本地化项目(Project Clover,三叶草项目),承诺将欧洲用户数据存储于欧洲境内服务器,并建立独立的安全审查机制。
DPC明确指出:即便考虑Project Clover的进展,处罚和整改令依然成立。技术架构的改变,不能追溯性地为过去的法律违规行为开脱,也不能自动证明当前的处理操作已达到合规标准。技术合规与法律合规,必须同步推进,不能互相替代。
红牌警告:TikTok在调查中提供的“不准确信息”
本案有一个在技术上独立、但严重影响TikTok信誉的情节。在DPC历时多年的调查过程中,TikTok持续向DPC表示,欧洲用户数据未存储在中国境内服务器上。然而,2025年4月(距DPC发出最终裁决仅数周)TikTok主动通报:其在2025年2月发现,确有少量欧洲用户数据被存储于中国境内服务器,与此前向DPC陈述的内容相悖。
DPC以审慎措辞表示:“正在认真对待这一进展,正在与欧盟同行数据保护机构协商,考虑是否采取进一步监管行动。”
四、合规启示:出海企业的四道必答题
第一题:谁在访问用户数据?在哪里访问?
将中国工程师或运营团队对境外用户数据的访问,纳入正式的数据传输机制管理。访问路径、访问权限、访问日志,需要有清晰的文档记录。
第二题:SCCs + 传输影响评估,二者缺一不可
签署SCCs后,必须同步完成传输影响评估(Transfer Impact Assessment,TIA),对目标国(包括中国)的法律环境进行实质性分析,并将分析结论书面化。评估若无法支撑"本质等同保护"的结论,需要引入补充措施或重新设计数据架构。
第三题:隐私政策是否告知了数据传输的真实情况?
TikTok2021年隐私政策被单独处以€45,000,000罚款,原因是:既未列明数据传输目标国(包括中国),也未说明中国团队远程访问数据的处理操作。出海产品的隐私政策,需要明确列出所有数据传输目标国家及对应的处理场景。
第四题:监管调查中,是否保持了完全诚实?
无论出于何种原因——法律策略、信息核实不充分,还是技术上的真实遗漏——对监管机构提供不准确信息,都是最高风险操作。主动披露、及时纠错,是唯一正确的处理路径。
五、结语
结构性调整加剧,没有完美答案。这个案件之所以超越了一般GDPR处罚的意义,在于它触及了一个结构性命题:在中国法律体系下运营的企业,处理欧洲用户数据,面临欧盟监管机构难以接受的制度性风险。不是因为企业的恶意,而是因为两套法律体系对国家权力边界的根本性分歧。
这不是一个可以靠签几份合同、写几页政策、建几个数据中心就彻底解决的问题。它要求出海企业在战略层面认真面对:用户数据主权与商业运营效率之间,如何找到监管可接受的平衡点?
5.3亿欧元是欧盟给出的这道题的分值。答卷,每家出海企业都要自己交。
法条引用:
GDPR(EU 2016/679)第13(1)(f)条、第46(1)条、第五章
爱尔兰数据保护委员会最终裁决,2025年5月2日,案件编号IN-18-12-2(TikTok Technology Limited)
《中华人民共和国国家情报法》第七条
来源:爱尔兰DPC官方公告