欧洲议会的欧洲议会议员利用爱尔兰数据保护专员海伦·迪克森 (Helen Dixon) 罕见的亲自出席的机会,批评该集团大多数大型科技公司的主要隐私监管机构调查视频共享社交媒体平台需要多长时间抖音。
这种担忧是对《通用数据保护条例》(GDPR) 的执行跟不上主要数字平台的使用步伐的更广泛担忧的最新表现。
早在2021 年 9 月,爱尔兰数据保护委员会 (DPC) 就 TikTok 业务的各个方面展开了两项调查:一项侧重于其对儿童数据的处理;另一个关注数据传输到该平台母公司所在的中国。两者都尚未得出结论。尽管儿童数据查询在现阶段沿着 GDPR 执法轨道看起来相对先进——爱尔兰已于去年 9 月将其提交给其他欧盟监管机构进行审查。
Per Dixon 表示,关于 TikTok 儿童数据案件的最终决定将于今年晚些时候出炉。
英国的数据保护监管机构——现在在欧盟以外运作——已经在这方面采取了一些执法行动,并在去年秋天发布了 TikTok 滥用儿童数据的临时调查结果。 ICO上个月继续发布调查的最终决定,当时它处以约 1570 万美元的罚款。 (不过,值得注意的是,它缩小了罚款金额并缩小了最终决定的范围,放弃了 TikTok 非法使用特殊类别数据的临时调查结果——将调查范围降级归咎于资源限制。)
在今天邀请爱尔兰数据保护专员专门讨论 TikTok 的欧洲议会公民自由委员会 (LIBE) 的发言中,Dixon 表示预计今年将对 TikTok 儿童数据调查做出决定,并提到正如她告诉欧洲议会议员的那样,该公司:“2023 年将是 GDPR 在 DPC 大规模调查基础上执行的更重要的一年。”
她建议的其他大规模案件将导致今年作出决定,包括对(TechCrunch 的母公司)雅虎(姓氏誓言)的一项非常长期的调查,该调查由 DPC 于 2019 年 8 月启动——她指出这是目前也处于第 60 条阶段。
她补充说,“紧随其后的还有许多进一步的大规模调查”,但没有详细说明她指的是哪些案件。
爱尔兰仍未决定对大型科技公司进行大量调查——尤其是对谷歌的广告技术( 2019 年 5 月开始)和位置跟踪( 2020 年 2 月)的主要调查,仅举两例。 (前者导致 DPC 因不作为而被起诉。)这两个案件今天都不值得 Dixon 点名,因此很可能——对谷歌来说幸运的是——不会在今年完成。
由于许多跨国科技公司选择将其地区总部设在该国(该国还提供低于许多其他欧盟成员国适用的企业税率),爱尔兰在 GDPR 对大型科技公司的执法方面发挥着巨大的作用。因此,为什么议员们如此热衷于听取 Dixon 的意见,并让她对监管的执行并没有让平台巨头在任何有效的时间框架内承担责任的担忧做出回应。
从今天的表现可以清楚地看出一件事:爱尔兰的数据保护专员并没有来安抚她的批评者。相反,狄克逊将分配给她的大部分时间用于开场白,以对 DPC 的“繁忙的 GDPR 执法”进行强有力的辩护,正如她所说的那样——通过声称拒绝对其执法记录的攻击,这与多年的批判性分析相反(由 noyb、BEUC 和爱尔兰公民自由委员会等权利团体提出,其法律分析和侵权调查结果被审查其决定草案的其他监管机构“在所有情况下普遍接受”。
“DPC 与其他监管机构之间的分歧 [are] 主要局限于边缘的边缘问题,”她还辩称 – 再次抨击她所说的“一些评论员在许多跨境案件中发表的叙述”在被征收高额罚款的情况下,DPC 被迫由其在欧盟的其他监管机构采取更严厉的执法行动”,她声称这是“不准确的”。
回到当天的 TikTok 话题,她向欧洲议会议员介绍了数据传输决定的最新状态——透露“决定草案的初稿”现在正由公司提交“最终提交”。 GDPR 的程序轨道意味着爱尔兰必须将其决定草案提交给其他相关数据保护机构进行审查(并有机会提出异议)。因此,在本次调查中做出最终决定之前,可能还有相当长的路要走。
Dixon 没有说明 TikTok 数据传输调查需要多长时间才能进入下一步(又名第 60 条),这会启动一个融入 GDPR 的合作机制,这本身可以使调查时间表增加几个月。但值得注意的是,DPC 对决定草案时间表的近期预期略有落后——早在去年 11 月,它就告诉 TechCrunch,预计将在 2023 年第一季度向第 60 条提交决定草案。
自欧洲法院于 2020 年 7 月作出具有里程碑意义的裁决以来,将欧洲用户的数据出口到所谓的第三国(欧盟以外),这些国家与欧盟缺乏高水平的数据充分性协议,一直受到越来越严格的审查。当时,除了推翻欧盟与美国的一项旗舰数据传输协议外,欧盟法官还明确表示,数据保护当局必须仔细审查另一种机制(称为标准合同条款)的使用情况,以便逐案传输到第三国——这意味着不能假定此类数据导出是安全的。
而且,就在昨天,爱尔兰终于出台了一项重要的 GDPR 数据传输决定——可能提供了对 TikTok 在欧盟的数据传输可能即将实施的那种执法的尝试——Facebook 被发现违反了要求当欧洲人的信息被带到美国时,欧洲人的信息将受到与欧盟法律相同的保护。
Facebook 的母公司 Meta 被勒令在六个月内暂停非法数据流动,并因系统性违反规则手册而被处以创纪录的 12 亿欧元罚款。与此同时,Meta 表示将对该决定提出上诉,并寻求暂停执行暂停令。
任何人都在猜测,这样的决定何时会针对 TikTok 向中国的数据传输做出决定——中国对数字监控的担忧肯定不亚于美国——但自由民主党的 MEP Moritz Körner 是 LIBE 的几个成员之一委员会欧洲议会议员对 GDPR 对另一家数据挖掘、数据传输广告技术巨头实施的时间长度提出异议。
“很高兴今天得知你们正处于 [TikTok] 调查的最后阶段,但四年多过去了!”他在向爱尔兰专员提问时强调。 “这是我们数百万公民正在使用的应用程序——包括儿童和年轻人……所以我的问题是欧洲的数据保护是否足够快,过去四年发生了什么?”
海盗党欧洲议会议员帕特里克·布雷耶 (Patrick Breyer) 对狄克逊发表了更为尖锐的评论。他首先指出她去年拒绝与委员会会面——据报道,当时她反对被要求与隐私活动家 Max Schrems 一起出席会议,Max Schrems 就 DPC 的执法程序展开了现场法律诉讼。 Meta 的数据传输——他建议这将是她为 DPC 的执法记录辩护的合适论坛,而不是专门针对 TikTok 的听证会。然后,他继续抨击 DPC 对 TikTok 运营的调查范围狭窄——提出了比监管机构显然要调查的更广泛的问题——例如 TikTok 跟踪和分析用户的合法性。
“听说你们正在调查与 TikTok 相关的只是儿童数据和向中国的数据传输——这只解决了关于该服务和这个应用程序的批评和争论的一小部分,”他争辩道。 “一方面,使用 TikTok 伴随着普遍的第一方和第三方跟踪我们的每一个动作或基于强制同意的每一次点击,这对于使用和提供该服务并不是必需的。已发现这种无处不在的跟踪既对我们的隐私构成威胁,对某些官员而言也对国家安全构成威胁。你认为这些内容是免费提供的并且有效吗?”
“其次,据报道该应用程序使用过多的权限和设备信息收集,包括每小时检查我们的位置、设备映射、外部存储访问、访问我们的联系人、第三方应用程序数据收集,这些都不是应用程序运行所必需的。你会采取行动保护我们免受这些侵犯我们隐私的行为吗?”布雷耶继续说道。 “如果你像这样保持不活跃,就像你多年来一样,你知道这将继续质疑你 [监督] 爱尔兰社交媒体公司的能力,并将导致 [政府对服务的更彻底禁令像 TikTok],这也不符合行业的利益。因此,我呼吁你们扩大调查范围并加快调查速度,并涵盖所有这些无处不在的跟踪和过度监视的问题。”
另一位欧洲议会议员、基督教民主联盟的卡罗林·布劳恩斯伯格-莱因霍尔德也谈到了 TikTok 禁令的问题——比如印度政府在 2020 年实施的禁令——但显然不太担心该平台可能会被区域性禁令比布雷耶还多,因为她想知道狄克逊正在考虑“超出罚款范围”的是什么? “数据保护在欧盟非常重要,所以当我们没有关于数据返回中国后如何处理的信息时,为什么我们允许 TikTok 将数据发送回中国?”她想知道。
LIBE 委员会的欧洲议会议员还向狄克逊询问了欧洲数据保护委员会 (EDPB) 在 2020 年初成立的 TikTok 特别工作组的情况,此前人们对其数据收集做法相关的隐私和安全问题提出了担忧.
此类工作组通常专注于协调 GDPR 的应用,以防数据处理者并非主要设在欧盟成员国。但到 2020 年 12 月,TikTok 继续获得爱尔兰的主要机构地位,这意味着数据保护调查现在将通过爱尔兰作为 GDPR 的主要机构进行。这种修订后的监督结构很可能导致 EDPB TikTok 工作组解散,因为 GDPR 包含既定的合作机制,尽管 Dixon 没有就这一点对 MEP 做出明确回应。
作为 TikTok 在欧盟的主要隐私监管机构,LIBE 委员会今天向爱尔兰发出的明确信息归结为一个简单的问题:执法在哪里?
就她而言,Dixon 试图回避最近一连串的批评——拒绝指责(和暗示)不作为,辩称 DPC 花在处理 TikTok 查询上的时间长度是必要的,因为它正在审查多少材料。
她还试图将跨境 GDPR 执法描述为“共享”决策,因为通过该法规的一站式机制强加的结构使有关当局循环审查牵头当局的决定草案——也指这个过程作为“委员会的决定”。她的观点是,集体决策不可避免地需要更长的时间。
“我确实想向你们保证,我们正在尽快开展工作,”她在会议期间的某一时刻告诉欧洲议会议员。 “我们在爱尔兰数据保护委员会拥有 200 多名专家。我们正在招聘更多人。我们有意识地扭转这些决定……我们在去年 10 月将该决定草案转交给了我们的有关当局。现在将近一年后,我们才能做出最终决定。这是 GDPR 规定的委员会决策形式,这确实需要时间。”
在 TikTok 数据传输调查的案例中,狄克逊依靠欧洲法院下达的要求,即监管机构逐案审查合法性,以此证明她所暗示的是一种谨慎的、事实筛选的方法。
“法院要求我们在得出结论之前查看任何特定转移的具体情况和事实背景,因此虽然对某些人来说答案似乎很明显,但这不是我们必须参与的过程。我们必须根据具体情况逐案处理。这就是我们现在所做的,并向 TikTok 提交了我们决定的初稿,”她争辩道。
“正如我在开场白中所说,我们远非不活跃,”她还断言,然后又对 DPC 的记录进行了激烈的辩护——声称:“无论如何,我们都是欧盟数据保护法最积极的执行者.去年在欧盟/欧洲经济区和英国实施的所有执法行动中,有三分之二是由爱尔兰数据保护委员会实施的,这是可验证的事实。”
在回答委员会的另一个问题时,关于 DPC 如果发现 TikTok 违反了 GDPR 将采取何种制裁措施,Dixon 强调它有“我们可以应用的一系列纠正措施,包括禁止数据处理”,而不仅仅是罚款。
“在任何调查中,当我们结束侵权调查时,对于适用和有效的措施将是什么,我们持开放态度——所以,我可以向你保证,我们在 [TikTok] 案中考虑的地方我们已经得出结论——儿童数据现在与我们的同僚一起——我们已经研究了与该调查相关的一系列可用措施,”她告诉欧洲议会议员。
DPC 可能会(或可能不会)选择对违反 GDPR 的行为处以罚款的问题尤为热门——因为它已成为上述元数据传输执法中的一个关键细节。
在 Meta transfers 案中,Dixon和 DPC 不想因为影响数亿欧洲人的多年违规行为对这家科技巨头征收任何罚款。然而,它被迫在最终决定中包括罚款,以执行 EDPB 的一项具有约束力的决定——该决定已命令它处以 GDPR 规定的最高可能金额的 20% 至 100% 的罚款(即 4%年收入)。如果爱尔兰选择了较低的标准——将罚款定为 Meta 年收入的 1% 左右。
在她今天对欧洲议会议员的讲话中,Dixon 为 DPC 不提议对 Meta 的非法传输进行罚款的决定进行了辩护——但她没有就其采取这种立场的原因提供实质性论据。
“我相信你会知道,DPC 恭敬地不同意罚款的提议。我们认为,如果要在这一领域做出有意义的改变,就需要暂停转会。没有行政罚款可以保证所需的那种改变,”她告诉欧洲议会议员,提供了一个稻草人的论点来捍卫想要在没有任何经济制裁的情况下让 Meta 离开,这似乎暗示 GDPR 的执行存在一个非此即彼的等式——即纠正措施或惩罚——当非常明确地,法规允许两者时(并且,实际上,打算执法是对未来违法行为的劝阻)。因此,EDPB 做出具有约束力的决定,要求爱尔兰对 Meta 如此系统和长期违反 GDPR 的行为处以巨额罚款。
Dixon 没有详细说明选择不对 Meta 罚款的理由,而是转向她自己的攻击——针对 EDPB——通过观察,在 DPC 担任牵头的案件中,董事会的“所有”具有约束力的决定监管机构受到欧盟法院的废止程序的约束,然后(有点尖酸地)补充说:“因此,CJEU,而不是 EDPB,将对法律的正确解释和适用拥有最终决定权。 ”
社会民主党议员比尔吉特·西佩尔 (Birgit Sippel) 接受了狄克逊 (Dixon) 的说法,她暗示 DPC 在罚款问题上一再缺乏明确性——并指出爱尔兰专员在今天对欧洲议会议员的讲话中没有“明确回答”为什么罚款未能对 Meta 的数据传输提出任何惩罚。
狄克逊到那个时候再也回不来了。
在她的提问中,Sippel 还想知道 TikTok 是否在配合 DPC 的调查——或者 DPC 是否有足够的权限从中获取信息以进行适当的监督。对此 Dixon 表示,公司正在配合这两项调查,同时指出 TikTok “不时”要求延长提交截止日期,她暗示通常会批准,因为她认为考虑到提交的数量,这是值得的涉及的材料 – 但它提供了另一个小的一瞥,让人们了解 GDPR 执行时间线蠕变的骨头。
当被要求回应欧洲议会议员在 LIBE 委员会听证会上表达的观点时,一位 TikTok 发言人告诉我们:“我们欢迎数据保护专员承认TikTok一直与监管机构合作并做出回应。作为一家公司,我们随时可以与立法者和监管机构会面,以解决任何问题。”
在关于狄克逊今天出现在委员会面前的新闻稿中,DPC 写道:
数据保护委员会(“DPC”)今天很高兴应邀在欧洲议会的公民自由、司法和内政委员会(“LIBE 委员会”)面前发表其首次演讲。该演讲恰逢《通用数据保护条例》(“GDPR”)实施五周年,涵盖了广泛的主题,包括 DPC 在过去五年的广泛执法工作以及目前正在进行的一些大规模调查;特别是与 TikTok 相关的那些。
数据保护专员海伦·迪克森 (Helen Dixon) 今天的讲话建立在 DPC 和 LIBE 委员会在去年 9 月 LIBE 代表团访问 DPC 办公室后持续积极参与的基础上。欢迎有机会强调 DPC 迄今为止的成功执法工作,Dixon 专员反思了与 LIBE 委员会合作的建设性和有用性,“因为我们每个人,从各自的职权范围内,追求公平有效地执行数据保护法和基本权利的保护。”
狄克逊专员也很高兴回答出席会议的欧洲议会议员提出的问题,并进一步阐明 DPC 工作的性质和规模。
TikTok 在欧洲的主要隐私监管机构从欧洲议会议员那里取暖 作者: Natasha Lomas最初发表于TechCrunch
原文: https://techcrunch.com/2023/05/23/tiktok-helen-dixon-libe-committee/