2025年5月2日

在调查将欧洲经济区用户数据转移到中国后，爱尔兰数据保护委员会对抖音罚款5.3亿欧元，并下令采取纠正措施。

爱尔兰数据保护委员会(Irish Data Protection Commission, DPC) 宣布了对TikTok Technology Limited （“TikTok”）进行调查后的最终决定。本次调查由DPC作为抖音的首席监管机构发起，以审查TikTok将EEA抖音平台用户的个人数据传输到中华人民共和国（“中国”）的合法性。此外，调查调查了向用户提供与此类传输相关的信息是否符合GDPR要求的抖音透明度要求。

该决定由数据保护专员Des Hogan博士和Dale Sunderland先生做出，并已通知TikTok，该决定发现TikTok违反了GDPR关于向中国传输欧洲经济区用户数据及其透明度要求。该决定包括总额为5.3亿欧元的行政罚款和一项命令，要求TikTok在6个月内使其处理符合规定。该决定还包括一项命令，如果在这段时间内没有遵守处理，则暂停抖音向中国转移。

根据GDPR第60条的要求，DPC于2025年2月21日向GDPR合作机制提交了一项决定草案。没有人反对DPC的决定草案。DPC感谢其同行的欧盟/欧洲经济区监管机构在此案中的合作和协助。

提交调查的错误信息

在整个调查过程中，TikTok通知DPC，它没有将欧洲经济区用户数据存储在中国的服务器上。然而，在2025年4月，抖音通知DPC，它在2025年2月发现的一个问题，即有限的欧洲经济区用户数据实际上存储在中国的服务器上，这与TikTok对调查的证据相反。抖音通知DPC，这一发现意味着TikTok向调查提供了不准确的信息。

副专员Doyle补充道

DPC将在适当时候公布完整的决定和进一步的相关信息。

欧盟境外数据传输法规

GDPR在整个欧洲经济区为个人数据提供了高水平的保护，并为个人提供了数据保护权。当个人数据传输到欧洲经济区之外时，这可能会阻碍个人行使权利的能力，并可能规避这种高度保护。因此，至关重要的是，在此类转让的情况下，GDPR确保的保护水平不应受到损害。因此，只有在遵守GDPR第五章规定的条件的情况下，才能进行个人数据的传输。这确保了在个人数据传输到第三国时，欧盟内部提供的高水平保护继续存在。

GDPR第45（1）条规定，将个人数据传输到第三国可能由欧盟委员会的决定授权，其大意是第三国、领土或该第三国内的一个或多个特定部门确保适当的保护水平（“充分性决定”）。

迄今为止，欧盟委员会已就安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、大韩民国、瑞士、英国、美国和乌拉圭做出了充分性决定。

根据GDPR，如果一个组织（“数据控制者”）打算将个人数据从欧盟/欧洲经济区以外转移到第三国，并且欧盟和该第三国之间没有充分性决定，则只有在符合GDPR（第五章）的其他适用条款（如标准合同条款）的情况下才能进行此类转移。这些规定使组织有责任核实、保证和证明该国的法律和惯例保证的保护水平与欧盟内部保障的保护水平基本相等。

https://www.dataprotection.ie/en/news-media/latest-news/irish-data-protection-commission-fines-tiktok-eu530-million-and-orders-corrective-measures-following