天价！Tiktok被欧盟罚款3.7亿美元？！

当地时间2023年9月15日，爱尔兰数据保护委员会 (DPC) 宣布，对 TikTok 的调查已达成最终决定，并处以 3.45 亿欧元的罚款，以解决涉嫌违反欧盟《通用数据保护条例》（GDPR）的问题，同时还命令TikTok在三个月内将其违规数据处理行为合规。

调查旨在审查TikTok在2020年7月31日至2020年12月31日期间是否遵守了GDPR下与TikTok平台上的儿童用户相关的个人数据处理有关的义务，具体包括：

• 某些TikTok平台的设置，包括默认公开设置以及与“Family Pairing”功能相关的设置；
• 注册过程中的年龄验证。

调查发现，在这段时间内，TikTok的隐私设置包括对平台上的儿童用户默认设置为公开，这意味着所有13岁至17岁的儿童发布的内容默认情况下对任何人都可见，包括不在平台上的人。

家庭配对功能允许父母和监护人链接父母和子账户，但发现该功能存在缺陷，使无法验证自己身份为父母或监护人的非儿童用户能够与年满16岁或以上的未成年人配对他们的账户。这意味着非儿童用户可以为儿童用户启用直接消息功能，从而使儿童用户面临重大风险。

此外，DPC还发现TikTok在向儿童用户提供有关平台使用的充分透明性方面存在不足，这使得儿童用户难以理解TikTok的隐私惯例，并且使用了“黑暗模式”来推动他们选择降低隐私保护的平台设置。

总的来说，TikTok被发现违反了GDPR的以下八条款：5(1)(a)；5(1)(c)；5(1)(f)；24(1)；25(1)；25(2)；12(1)和13(1)(e)——也就是违反了数据处理的合法性、公平性和透明性；数据最小化；数据安全；控制者的责任；数据保护设计和默认；以及数据主体（包括未成年人）有权明确清晰地接收关于数据处理的信息和接收其个人数据的接收者的信息。

在德国隐私机构和意大利监管机构不同意爱尔兰的初步调查结果后，欧洲数据保护委员会(European Data Protection Board，EDPB)介入了此次调查。

在具有约束力的决定中，欧洲数据保护委员会（EDPB）分析了TikTok在向13至17岁儿童展示的两个弹出通知中所采取的设计做法：注册弹出和视频发布弹出。分析发现，这两个弹出通知都未能以客观和中立的方式向用户呈现选项。

在注册弹出中，儿童被引导选择右侧标有“跳过”的按钮，以选择公开账户，这将对儿童在平台上的隐私产生联动效应，例如使其他儿童创建的视频内容的评论可见。

在视频发布弹出中，儿童被引导点击右侧以粗体、较深颜色显示的“立即发布”按钮，而不是较浅的“取消”按钮。希望将其帖子设为私密的用户需要先选择“取消”，然后寻找隐私设置以切换到“私密账户”。因此，用户被鼓励选择默认为公开的设置，TikTok使他们更难以做出有利于保护个人数据的选择。此外，不同选项的后果对于儿童用户来说并不清楚。EDPB确认，控制者不应该让数据主体难以调整其隐私设置和限制处理。

EDPB还评估了TikTok在2020年7月31日至12月31日期间实施的年龄验证措施是否符合数据保护设计要求（GDPR第25（1）条”PbD“）。EDPB对TikTok在此期间采取的年龄验证措施的有效性表示严重怀疑，特别是考虑到大量受影响的儿童所面临的风险的严重性。EDPB发现TikTok为防止13岁以下儿童访问平台而部署的年龄限制措施很容易被绕过，并且在用户获得访问权限后采取的措施没有得到足够系统的应用。但EDPB表示，由于在合作过程中缺乏足够的信息，特别是关于技术现状的信息，来最终评估TikTok在此期间是否符合GDPR第25（1）条的规定。

EDPB 主席 Anu Talus 表示：“社交媒体公司有责任避免以不公平的方式向用户（尤其是儿童）提供选择，特别是如果这种呈现会促使人们做出侵犯其隐私利益的决定。”

TikTok 发言人摩根·埃文斯 (Morgan Evans) 表示：“我们不同意这一决定，尤其是罚款的数额。” “EDPB的批评主要集中在三年前的功能和设置上，而我们在调查开始之前就对其进行了更改。”