TikTok 5.3亿欧元处罚启示：欧盟个人数据回传国内的合规路径分析（上）

摘要：

2025年4月30日，爱尔兰数据保护委员会（“DPC”）正式作出针对TikTok Technology Limited（“TikTok”）的处罚决定，认定TikTok在中国境内远程访问欧洲经济区（“EEA”）用户的个人数据的过程违反《通用数据保护条例》（“GDPR”），并处以5.3亿欧元罚款。这项决定对于中国企业出海欧盟具有重要的警示意义，也为之后中国企业将欧盟数据回传国内提供合规指导。因此，本文将分为上下两篇，上篇将着重介绍DPC处罚决定的背景，并分析GDPR下跨境传输个人数据的合规要求；下篇将分析DPC对TikTok处以罚款的依据及理由，并总结对中国企业的数据合规启示。

2025年4月30日，DPC正式作出针对TikTok的处罚决定，认定TikTok在中国境内远程访问EEA用户的个人数据的过程违反GDPR，并处以5.3亿欧元罚款。这项决定是欧盟首次对欧盟个人数据传输至中国作出处罚决定，也是欧盟首次对个人数据“远程访问”问题进行认定，对中国企业出海欧盟提供了重要的合规指引。 ¹本文将围绕DPC处罚决定，分析GDPR下跨境传输个人数据的合规要求，并总结分析对中国企业的合规启示。

一、DPC处罚决定背景及范围

DPC此次调查缘起于法国监管机构的协助调查请求及荷兰市场信息研究基金会的投诉。在与TikTok沟通过程中，DPC获知TikTok位于中国境内的工作人员会访问TikTok EEA用户的个人数据，以便提供平台运营相关的支持服务。2021年3月26日，TikTok应DPC要求，提交了其针对中国的数据传输评估及其他相关文件。

2021年9月，DPC依职权启动对TikTok的调查。根据决定书，DPC处罚决定仅针对TikTok在2020年7月29日至2023年5月17日期间，中国公司员工通过远程访问方式对EEA用户数据进行访问的情形。由于TikTok直至2025年4月才向DPC披露中国服务器确有存储EEA用户数据的情形，因此DPC强调，此次处罚决定限于远程访问的情形，后续将继续调查在中国服务器存储用户数据的情况。

二、GDPR下跨境传输个人数据的合规框架

（一）  境外远程访问 EEA用户个人数据构成数据跨境传输

调查过程中，TikTok主张EEA用户个人数据在新加坡、美国等中国境外国家存储，远程访问不会导致个人数据在中国境内存储。该等远程访问是为了技术支持、研发、运营需求而进行的临时访问，相关个人数据仍然在中国境外被隔离保存。

然而，DPC直接援引欧盟数据保护委员会（“EDPB”）指南强调，从EEA外的第三国远程访问数据本身就构成数据传输。DPC认为，虽然相关个人数据未在中国存储，但中国员工在远程访问中国境外存储的EEA用户个人数据过程中，在中国的设备端形成暂时处理，这本身就属于GDPR第4条所规定的数据处理。

同时，DPC指出，TikTok的跨境传输是系统性、重复性、持续性存在，而非临时访问。DPC认为，TikTok进行的数据传输涉及中国集团执行的一系列大规模且复杂的任务，而这些任务对TikTok平台的运营十分重要。并且，当远程访问是为了特定业务目的授权时，授权最长达12个月，考虑到TikTok受欢迎程度，涉及个人数据的数量也十分庞大，DPC认为这些因素都需要被综合考量。

因此，DPC认为，TikTok中国员工从中国境内远程访问存储于中国境外的EEA用户个人数据构成数据传输，应适用GDPR有关数据传输的相关规定。

（二）DPC 在决定中明确个人数据跨境传输合规框架

1. GDPR下个人数据跨境传输的合规路径

GDPR的立法目的之一是为了保护《欧盟基本权利宪章》规定的两项基本权利——即第7条规定的隐私权和第8条规定的数据保护权。在此基础上，GDPR在EEA范围内，为数据主体提供高水平保护。因此，对于转移至EEA范围外的数据，GDPR规定了数据出口方的合规义务，以保证数据主体可以受到与欧盟同等高水平的保护。

GDPR提供了三种个人数据跨境传输的合规路径：一是充分性决定，即对于欧盟委员会认定存在充分数据保护水平的第三国，可以任意传输个人数据，而中国不适用充分性决定；二是提供适当保障措施，在GDPR列举的措施中，对于中国企业具有普遍适用性的是SCCs（标准合同条款）；三是特定情形下豁免。

本案中，TikTok采用SCC传输工具。但需要明确的是，SCC并非签署即完成合规义务的灵丹妙药，数据出口方必须保证数据主体实际上受到基本等同于欧盟的保护水平，这是GDPR及监管机构关注的重点，也体现在此次TikTok的处罚决定中。

2.  个人数据传输前必须开展数据跨境传输影响评估

DPC明确，数据出口方在通过SCC传输数据前，必须开展数据跨境传输影响评估（“TIA”），对第三国的法律及司法实践进行充分评估，以确认是否会影响SCC的有效性，如果可能影响SCC的有效性，那么其必须采取额外保护措施，以保证达到同等保护水平。

欧盟法院在Schrems II判决中指出，在评估是否能达到同等保护水平时，必须考虑：（1）数据出口方和数据接收方间的合同条款；（2）与第三国公权力机构访问转移的个人数据相关的法律框架。欧盟法院明确，由于第三国公权力机构并非SCC当事方，SCC条款无法约束该第三国公权力机构。因此，数据出口方在评估时必须特别关注与该第三国公权力机构访问转移的个人数据相关方面，并在评估时特别考量：（a）法治、对人权和基本自由的尊重、相关立法及实施情况、数据保护规则、职业规则、安全措施以及对个人数据主体有效的行政及司法救济途径；（b）是否存在一个或多个第三国或国际组织的独立监管机构并能有效运作；（c）相关第三国或国际组织是否已作出国际承诺，特别是关于个人数据保护方面。

欧盟法院明确，尤其在第三国法律允许公权力机构干预数据主体权利的情况下，SCC可能不足以确保对传输至该国的个人数据提供同等保护水平，数据出口方需要采取进一步补充性措施，以确保数据主体能获得基本等同于欧盟的保护水平。同时，数据出口方必须对其开展的评估内容及采取的措施记录在案，并在监管机构要求时提交相关文件以供查阅。

从DPC处罚决定来看，在通过SCC传输个人数据前，数据出口方开展的TIA必须包括：（1）对第三国法律及司法实践的充分评估，尤其与公权力机构访问个人数据相关的规定及执行情况、司法实践、独立监督机构设立及运行情况、救济途径等；（2）SCC是否能够确保数据主体获得欧盟同等水平保护，尤其需评估第三国公权力机构访问个人数据是否符合欧盟关于必要性与比例性标准，如无法确保，应确定并论证补充保障措施；（3）形成结论，证明采取的措施能够确保数据主体获得欧盟同等水平保护；（4）留存文档记录。

3.  履行评估义务的主体为数据出口方

调查过程中，TikTok提出，数据出口方未在先履行评估义务，并不必然导致个人数据传输违反GDPR规定，而应由DPC进行评估。如果数据出口方未能在传输数据前充分证实个人数据传输符合GDPR第46条要求，那么应当由DPC开展相关评估，DPC只有在评估认为SCC无法被遵守的情况下，才能作出暂停数据传输的命令。

对此，DPC明确，根据GPDR及Schrems II判决，开展跨境传输评估是数据出口方的责任，数据出口方在传输个人数据前，有义务首先确认并保证基本等同的保护水平，在此基础上再进行个人数据传输。DPC负责调查个人数据传输的合法性，而强调数据出口方的评估义务并非免除DPC的调查责任，相反，DPC在调查中已经多次给TikTok机会陈述其确认并保证传输的个人数据受到基本等同于欧盟的保护水平。因此，DPC未接受TikTok提出的评估责任倒置的主张。

(点击下载完整版《跨境争议解决刊物》第39期）

Footnote

1. Simmons & Simmons. Irish Data Protection Commission Fines TikTok €530 Million[EB/OL]. Simmons & Simmons Publications, 2025-05-07. https://www.simmons-simmons.com/en/publications/cmaet4gdu00q0uqvg957rtvfu/irish-data-protection-commission-fines-tiktok-530-million.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.