数据合规｜从TikTok的罚单看走出去企业数据合规的重要性

引言

01 事件回顾

2021年爱尔兰监管机构就字节跳动旗下TikTok展开调查，其调查的内容为1）TikTok对未成年用户的数据处理是否符合欧盟的严格保护规定；和2）部分欧洲用户的数据可能会被在中国的工程师或维护人员访问[1]。经过长时间的调查，2023年9月欧洲监管机构就前述第一项调查事项向TikTok开出3.45亿欧元的罚单。收到罚单后，10月17日TikTok表示已经向欧盟普通法院提起上诉。目前对TikTok前述第二项调查仍在进行中。

关于TikTok提起上诉，TikTok和欧洲监管机构并没有对外做出进一步的表示，但此次的罚单及后续的上诉结果都可以给走出去企业在数据合规方面更多的警示和指引。

02 欧洲监管机构调查和处罚依据

欧洲监管机构目前对企业涉及数据及隐私保护违规行为的调查和处罚依据是欧盟于2018年5月25日生效的《通用数据保护规则》（General Data Protection Regulation)(GDPR)，其取代了欧盟之前的数据保护指引，对欧盟各国有效。同时2018年7月6日GDPR也被纳入欧洲经济区协议，适用于冰岛，挪威和列支敦士登[2]。本次对TikTok启动调查和处罚的依据就是GDPR。虽然它早在2018年就已经生效，但其生效后欧盟监管机构的一系列调查和大额罚单都就可以看出欧洲监管机构对数据保护的力度，也使企业意识到对外投资时数据合规的重要性。

当然欧洲监管机构对数据及隐私保护的规范性文件并不仅限于GDPR，欧盟也早就提出他们将进一步完善和发布一揽子数据法案，其中就包括了2023年对大型平台生效的数字服务法。所以对外投资企业在企业出海过程中也需要投入更多精力，这必将进一步加大企业合规的风险和成本，但同时也可能给部分企业带来机遇。

03 数据合规关注问题

（1）简单的用户同意是否足够？

我国近期在数据合规法律法规体系方面的频繁立法、立规都体现了我国管理机构对个人信息保护以及数据传输方面的注重。企业在其应用软件等收集用户信息的平台上，为了符合法律法规规定要求个人用户在使用平台时对数据的收集、使用予以同意。企业这类应对方案从形式上确实可以符合目前法律法规的要求，即在收集用户信息尤其是敏感信息时需要获得个体单独的同意。但当企业用同一套或者近似流程用于其境外企业时，可能会有不同的结果，尤其在针对特定人群时需要更加谨慎。

就如TikTok这次收到罚单为例，无论是字节跳动还是其在境外的公司，他们都拥有完备和专业的技术、法律和合规团队、合理的内部政策、及时应对突发事件的能力，但从罚单分析，其主要问题集中在未成年用户信息处于“开放”状态，实质在于企业没有对这类信息进行“加密”处理。我们当然希望TikTok在上诉中可以拿出充分的证据证明自己的合规性，并获得有利的裁定。

但对于其他走出去企业而言，在企业数据合规搭建时，不能简单的认为个人同意可以“一劳永逸”，企业系统内部、每个程序模块都需要根据当地的数据保护规则进行设计。

（2）企业如何完成或完善数据合规全球布局和合规风险应对？

无论企业是首次在境外投资且企业需要在当地收集、使用、处理、传输所获取的信息，还是已在当地完成了商业布局，企业都需要充分的了解当地数据合规要求；评估企业目前数据处理流程、技术能力、培训能力；评估在当地收集数据的范围、要求、期间、对收据被收集方的影响等。

当然，数据合规会因为企业商业目的、投资的国家或地区、自身后台技术算法架构、收集数据的范围、使用数据的方式、对数据的保护能力不同而不同。企业在初期就应当在境内数据合规专家和当地数据合规专家的共同协助下完成数据合规体系的搭建和布局。

另外，各国、各经济区的数据法规都是一个不断发展和变化的动态过程，这也要求企业在数据合规的工作中建立持续、长久的监测和应对方案。

数据合规不是一个单一的、固化的合规行为，它是一个流动的、交叉的合规活动，也是一个线上和线下交互的技术活动。而随着企业越来越信息化、市场化，无论在境内还是境外对数据收集和处理的要求都会变的更多，数据合规在企业整体的合规管理体系中也将变得越来越重要。

本文参考资料：

[1] Bloomberg L.P., TikTok Faces EU Data Probes Into Children's Safety, China Link

[2] Westlaw Practical Law Data Privacy & Cybersecurity, Data Processor Obligations Under the GDPR