TikTok被罚3.5亿欧元，你应该知道以下几点

9月15日，爱尔兰数据保护组织DPC公布了对TikTok的3.45亿欧元的罚款，之后也引起了数据合规圈的广泛关注，DPC的调查发现TikTok违反了GDPR Articles 5(1)(c), 5(1)(f), 12(1), 13(1)(e), 24(1), 25(1) and 25(2)，而在EDPB（欧洲数据保护委员会）8月就此事作出具有约束力的决定后，又增加了一项违反Article 5(1)(a)的行为。EDPB的决定报告有126页，原文可以在EDPB官网下载。

事后TikTok在欧洲的隐私负责人Elaine Fox在回应DPC的时候，主要异议点在于处罚金额上，她认为这些问题发生在2020年期间，TikTok在2021年初都已经解决了，处罚不应该这么高。

这里我们不去关注争议点，来看看处罚的合规点，上面提到了TikTok的违规点，GDPR Articles 5(1)(c), 5(1)(f), 12(1), 13(1)(e), 24(1), 25(1) ,25(2) and Article 5(1)(a)，这里面Articles 5讲的都是处理个人信息的原则，Artices 12、Artices 13讲的是主体权利，Artices 24讲的是数据控制者责任，Artices 25讲的是PbD，这些仅是处罚引用的条款，我们从报告中可以看进一步的说明。

报告中说明，这次委员会重点关注的是两个弹窗设计，青少年注册和发布视频时候的弹窗交互。先说明这里为什么不用未成年人或者儿童这类翻译，实际上这次EDPB调查分别关注了children<13岁的年龄门（age gate）和children（aged 13-17）的产品交互问题，最后报告里面提及问题的主要在children（aged 13-17）的产品交互问题上，青少年更符合中国语境。

上图是之前TikTok注册时的弹窗以及发布视频的弹窗，对于青少年的保护上，EDPB认为没有做到默认隐私，报告中也说明TikTok在2021年初做了隐私改造，包括：

1. 在注册的时候关闭公开视频选项，默认私人视频，只允许审核后的用户查看

2. 16岁以下用户禁用Duet和Stitch功能，16岁、17岁发送的视频，只有16岁或者17岁的朋友能够Duet和Stitch

3. 16岁以下用户的视频只有朋友能评论，其他人无法评论

4. 16岁、17岁用户的视频下载功能默认关闭

5. 向他人推荐该账户，16岁以下禁用

这些改造内容值得我们国内的公司在处理未成年人数据时参考，除了上面说到的两处，报告中对于TikTok很多隐私处理层面都有分析包括告知措辞分析，值得仔细读一读。

报告地址：https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-decisions_en

内容援引：Ireland's DPC issues 345M euro TikTok children's privacy fine (iapp.org)

阅读原文：TikTok被罚3.5亿欧元，你应该知道以下几点