TikTok 被罚 5.3 亿欧元，数据跨境传输合规警钟敲响

2025 年 5 月 2 日，一则重磅消息在互联网行业掀起轩然大波：TikTok 因向中国传输欧洲经济区（EEA）用户个人数据，被爱尔兰数据保护委员会（DPC）处以 5.3 亿欧元罚款，并被要求 6 个月内整改数据处理行为，否则将暂停其向中国的数据传输。这一事件犹如一记警钟，为全球范围内的数据跨境传输合规问题敲响了警讯。

此次 DPC 对 TikTok 的调查，主要聚焦于数据传输合法性与透明度两大关键问题。在数据传输合法性方面，《通用数据保护条例》（GDPR）规定，当个人数据传输至 EEA 以外地区时，必须确保接收国能提供与欧盟基本等效的数据保护水平。TikTok Ireland 有义务评估中国法律是否达标，但 DPC 认定其未能验证、保障并证明所采取的补充措施及标准合同条款（SCCs）的有效性。

TikTok 虽主张远程访问传输不受相关法律和实践约束，但 DPC 参考其提供的对中国法律的评估，认为《反恐怖主义法》《反间谍法》《网络安全法》及《国家情报法》等，阻碍了对中国数据保护水平的 “等效” 认定。TikTok 未能充分评估这些法律对 EEA 用户数据保护的影响，进而影响其选择合适的保障措施，违反了 GDPR 第 46 条第 1 款。

在透明度方面，GDPR 要求数据控制者向数据主体说明个人数据传输至第三国的情况。TikTok 2025 年版 EEA 隐私政策存在明显漏洞，既未明确包括中国在内的数据接收国家，也未解释数据传输的具体处理方式。虽然后续在 2022 年 12 月更新的政策符合要求，但 DPC 仍认定其在 2025 年 7 月 29 日至 2022 年 12 月 1 日期间违反了 GDPR 第 13 条第 1 款 (f) 项。最终，这两项违规行为分别让 TikTok 面临 4500 万欧元和 4.85 亿欧元的罚款。

这一处罚对 TikTok 自身产生了多方面的影响。从经济角度看，5.3 亿欧元的巨额罚款无疑是沉重的财务负担，可能影响其在全球市场的进一步拓展与业务布局。在用户信任层面，TikTok 需要花费大量精力重新赢回 EEA 地区用户的信任，毕竟数据安全关乎用户隐私，是用户选择使用平台的重要考量因素。

从更广泛的行业视角而言，TikTok 被罚事件给众多涉及数据跨境传输的企业敲响了警钟。随着全球数字化进程加速，数据跨境流动日益频繁，各国对数据保护的监管也愈发严格。不同国家和地区的数据保护法规存在差异，企业在开展跨境业务时，稍有不慎就可能触碰法律红线。

以欧盟 GDPR 为例，其对数据保护的要求细致且严格，涵盖数据主体权利、数据处理规则、数据跨境传输规范等多个方面。企业不仅要了解这些规定，更要确保在实际操作中严格遵守。此次 TikTok 事件为其他企业提供了宝贵的经验教训，促使它们重新审视自身的数据跨境传输策略与合规措施。

对于中国企业而言，随着国际化步伐加快，越来越多的企业开展跨境业务，数据跨境传输成为常态。TikTok 事件提醒中国企业，在拓展海外市场时，必须高度重视当地的数据保护法规。一方面，要深入研究目标市场的数据保护法律要求，建立健全的数据合规管理体系；另一方面，在与海外分支机构或合作伙伴进行数据交互时，要确保数据传输的合法性与安全性，避免因违规而遭受巨额罚款和声誉损失。

TikTok 因数据跨境传输问题被罚款的事件，为整个互联网行业和相关企业上了一堂生动的数据合规课。在数据驱动发展的时代，数据安全与合规是企业可持续发展的基石。只有严守法规红线，加强数据管理与保护，企业才能在全球市场竞争中稳健前行。