TikTok 昨天为欧洲用户宣布了一项即将到来的隐私政策变更——欧洲首次将中国列为几个第三国之一, “某些”公司员工可以远程访问用户数据以执行其声称的“重要任务” ” 功能——根据欧盟通用数据保护条例 (GDPR) 对平台向中国的数据出口进行了长达一年多的调查,比预期的进展提前了几个月。
GDPR 对视频共享平台向中国传输数据的合法性的调查由爱尔兰数据保护委员会 (DPC) 领导,该委员会是 TikTok 在该地区的主要隐私监管机构,该委员会在一年前开始调查。 DPC 今天告诉 TechCrunch,它预计其 TikTok 数据传输调查将在未来几个月内进入下一阶段——决定草案将在明年第一季度发送给其他欧盟 DPA 进行审查。
这种“第 60 条”审查过程可能导致确认爱尔兰的决定草案——然后,在相对较短的时间内,允许发布最终决定(根据过去的调查时间表判断,可能在明年年中之前) .然而,如果其他欧盟监管机构对爱尔兰的决定草案提出异议,调查将不得不转向“第 65 条”争议解决程序——这可能会在欧盟监管机构寻求共识的情况下发布最终决定之前再延长几个月的时间。
目前尚不清楚 TikTok 宣布的隐私政策调整是否与这项总体 GDPR 调查有关。即将到来的更改(将于 12 月 2 日生效)还包括有关平台如何收集用户位置信息的更新,因此他们不会完全专注于数据传输。
但披露访问欧洲用户数据的中国工作人员也可能是一种不那么微妙的尝试,以先发制人对其数据传输的监管执法——并试图通过指出已经采取的改善其数据传输的步骤来减轻未来的打击。欧洲用户的透明度。 (不过,这并不是与数据导出相关的唯一潜在监管问题。)
TikTok 的一位发言人拒绝评论其更新的隐私政策是否与 GDPR 调查有任何关联——称由于调查仍在进行中,因此无法这样做。
然而,在宣布更新的博客文章中,该公司声称这些变化“包括提高我们在欧洲以外共享用户信息的透明度”。
这是值得注意的,因为透明度是 GDPR 的一项关键原则——而违反透明度原则可能会导致严厉的处罚(例如去年 Meta 拥有的 WhatsApp 被罚款 2.67 亿美元,此前爱尔兰主导的调查发现了一系列违反透明度的行为)。
当然,声称你是透明的和实际上是透明的不一定是一回事。因此值得注意的是,TikTok 更新后的隐私政策似乎将关键信息(例如员工可以远程访问欧洲用户数据的第三国的完整列表以及出于何种具体原因)分散在许多可折叠菜单和超链接中在整个政策中,因此要求用户点击,点击多个链接,基本上在更大的数据泥潭中寻找相关的情报,以便拼凑出他们数据正在发生的事情的全面视图(而不是清楚地表达和整理所有内容)一个单一的、易于理解的视图……)。
所以,如果 TikTok 真的在这里为透明而努力,它看起来仍然有工作要做。
TikTok 还在进行中的一项工作:在该地区存储欧洲用户数据的数据本地化项目——今年早些时候,它宣布再次推迟(至 2023 年)。
问题是,如果 TikTok 打算继续允许位于没有欧盟充分性协议的第三国的员工确认他们具有与欧盟基本相同的数据保护标准,则可以远程访问欧洲用户的信息,那么对其国际数据传输的合法性提出质疑很可能会持续下去。
除中国外,TikTok 的隐私政策还将巴西、马来西亚、菲律宾、新加坡和美国(与欧盟仅就新的数据传输协议 atm 达成初步协议)列为员工可以远程访问欧洲用户数据的国家,而无需充分性协议的封面——说它依赖标准合同条款 (SCC) 进行这些转让。
但是,正如EDPB 关于数据传输的指南所指出的,每次向第三国的传输都必须单独评估,有些可能在法律上是不可能的,即使采取了补充措施。因此,这些转让中的每一项都需要经受监管审查。
鉴于有如此多的第三国转移,TikTok 的欧洲数据本地化项目只能——至少目前——被视为公关活动。和/或试图讨好当地监管机构,希望他们对正在进行的数据出口持更友好的态度。除非或直到它停止向第三国出口数据并找到一种方法来完全阻止其在中国的母公司实体访问任何欧洲用户的明文数据。
TikTok 的发言人拒绝就其未来可能必须根据这些挑战进一步调整其数据传输的计划发表评论,但他指出了其博客文章——该文章将其在欧洲的数据治理方法描述为“专注于限制数据传输的数量”。员工可以访问欧洲用户数据,最大限度地减少该地区以外的数据流,并在本地存储欧洲用户数据”。
TikTok 更广泛的问题是,由于中国政府有权访问其用户持有的商业平台/服务的数据的能力——其国内有国家安全法,因此它面临着整个西方世界更广泛的监管审查。超越通常标准合同保护的国家/地区。
它的平台还收集了大量的用户数据——这只会引发人们对其能否被重新用作国家监控甚至“软实力”外国影响行动的数据蜜罐的担忧。
虽然它对用户的跟踪和分析在欧洲引发了进一步的具体监管难题——在隐私和消费者保护方面——这对其运作方式施加了一些限制。
例如,在意大利 DPA 正式警告——以及 DPC 的一些后续“接触”——关于取消同意的计划后,TikTok最近同意冻结对其运行定向广告所依赖的法律基础的一项有争议的更改(并声称拥有投放定向广告的合法权益)。因此,即使它试图保护其业务免受更广泛的地缘政治相关安全问题的影响,它的分析和广告定位模型也面临着许多方面的挑战。
欧洲的 TikTok 隐私更新确认中国员工可以访问数据,因为 GDPR 调查仍在继续由Natasha Lomas最初发表在TechCrunch上
原文: https://techcrunch.com/2022/11/03/tiktok-privacy-policy-update-china/