TikTok 因未能保護兒童資料被歐盟罰款 3.79 億美元
概述
經過漫長的調查,TikTok 終於被認定違反了歐盟的《一般資料保護規範》(GDPR),尤其是在處理兒童資料方面的問題。愛爾蘭資料保護委員會(DPC)於今天發布的決定中,譴責這個影片分享平臺,並對其開出了 3.45 億歐元(約 3.79 億美元)的罰款。DPC 還要求 TikTok 在三個月內將其非法資料處理帶入合規狀態。總而言之,TikTok 被發現違反了 GDPR 的以下 8 條規定:5(1)(a)、5(1)(c)、5(1)(f)、24(1)、25(1)、25(2)、12(1)和 13(1)(e),即違反了資料處理的合法性、公平性和透明度;資料最小化;資料安全;控制者的責任;按設計和預設進行資料保護;和資料主體(包括未成年人)有權接收有關資料處理的明確通知以及接收有關其個人資料接收者的訊息。這是一個相當長的違規清單。
訊息不透明,預設設定不安全
調查結果沒有發現 TikTok 在年齡取證方面的違規行為,這一點一直是其與多個地區監管機構的爭端焦點。但是愛爾蘭資料保護委員會指出,決定確實記錄了 TikTok 違反了 GDPR 的 24(1)條款,因為 TikTok 沒有在考慮到 13 歲以下使用者獲得平臺存取許可權時正確地實施適當的技術和組織措施,預設的帳戶設定允許任何人(在或者離開 TikTok 上)檢視這些使用者釋出的社交媒體內容。DPC 指出,TikTok 在此時實施的設定使得兒童使用者能夠透過註冊流程以使他們的帳戶預設為公共帳戶。DPC 指出:"這意味著,例如,釋出到兒童帳戶的影片預設為公開,預設開放評論,預設啟用“Duet”和“Stitch”功能。"該組織還指出,兒童帳戶還可以與未經取證的非兒童使用者“配對”,透過所謂的“家庭配對”功能。然而 TikTok 沒有核實該使用者是否實際上是兒童使用者的父母或監護人。非兒童使用者可以使用此功能為 16 歲以上的兒童使用者啟用直接訊息功能。DPC 的調查結果顯示,TikTok 對兒童使用者的約束較為寬鬆。
TikTok 的回應
對於這一決定,TikTok 的一位發言人發表了以下宣告:"我們尊重地不同意這一決定,特別是對於課以的罰款數額有異議。DPC 的批評集中在三年前的功能和設定上,而我們在調查開始之前就已經進行了改變,例如將所有 16 歲以下的帳戶預設設定為私人。"TikTok 還告訴我們,鑑於這一處罰,它正在考慮今後的下一步行動,因此該平臺有可能在愛爾蘭提起法律上訴。在其網站上發表的一份更詳盡的回應中,TikTok 歐洲隱私負責人 Elaine Fox 詳細介紹了在 DPC 展開調查之前,該公司為解決安全問題所採取的措施,例如將 13 至 15 歲使用者的帳戶預設設為私人。她還聲稱,在 2021 年,TikTok 成為了首家(並且仍然是唯一一家)主要平臺公開披露其刪除的疑似未成年帳戶數量。她寫道:"我們在每季度的《社區準則執行報告》中公開發布這一訊息。在 2023 年首三個月內,我們在全球範圍內刪除了近 1700 萬這樣的帳戶。"她補充道:"年齡取證是整個行業的挑戰。 我們將繼續與監管機構和其他專家合作,找到進一步增強我們的努力以使未成年使用者遠離平臺的新解決方案。"據報導,TikTok 在歐洲聯盟地區擁有超過 1.34 億月活躍使用者。
對保護兒童的關注
愛爾蘭資料保護委員會兩年前展開了兩個調查,以當時對 TikTok 處理資料和兒童訊息的態度提出擔憂的其他歐盟資料保護機構和消費者保護組織的壓力。同年,義大利的資料保護機構針對 TikTok 的兒童安全問題採取了緊急行動。這次幹預導致該平臺重新核對了該國每位使用者的年齡,並清除了超過 50 萬個無法證實不屬於 13 歲以下未成年人的帳戶。在此期間,歐盟消費者保護機構還對隱私和兒童安全問題提出了一系列警示。但愛爾蘭資料保護委員會宣布展開調查之前,仍過了數個月的時間。對於 DPC 的反應,該機構的專員海倫·迪克森(Helen Dixon)在今年早些時候的歐洲議會聽證會上受到了一些敵對問題的提問。歐盟議員還對監管機構的做法提出了更廣泛的擔憂,懷疑愛爾蘭資料保護委員會是否能夠有效執行對主要科技平臺的 GDPR 執法工作。迪克森對此作出了堅定的辯護,堅稱愛爾蘭資料保護委員會在執行 GDPR 方面有著繁忙的工作。
結論和建議
這次對 TikTok 的罰款是 GDPR 中對兒童保護問題進行監管的最新一例。在歐洲隱私監管機構近年來發起的訴訟中,涉及兒童保護問題的懲罰一直佔據著重要地位。儘管達到的數額仍達不到當前最高的 GDPR 罰款額,即 Meta 非法資料轉移案中的 12 億歐元罰款,但對於 TikTok 來說這仍然是一筆巨大的罰款。據報導,TikTok 的資料轉移仍在歐盟受到調查,故此這次的罰款可能只是冰山一角。在這種情況下,TikTok 需要加固對資料保護和兒童安全的重視,並確保其平臺的預設設定和功能符合 GDPR 的要求。此外父母和監護人也應該對兒童在社交媒體平臺上的活動給予更多關注和監管,避免他們的兒童被曝光於不適當的內容和風險之中。GDPR 的這一罰款案例提醒了所有科技公司,尤其是那些面向年輕使用者的平臺,在資料處理和兒童保護方面必須謹慎行事。
延伸閱讀
- TikTok 將自動標記在 DALL·E 3 等平臺上生成的 AI 內容
- Ofcom 將推動在新的網路兒童安全守則中,加固年齡取證、篩選和其他 40 項檢查
- Brandywine Realty Trust 表示資料已在勒索軟體攻擊中被竊取
- LockBit 的幕後主謀被起訴:我們從中學到了什麼?
- 特斯拉 CEO 為人工智慧新創公司籌集 60 億美元,TikTok 是否在逃避蘋果的傭金?
- TikTok 擴充套件高級廣告位置,美國禁令或成變故
- 美國聯合健康集團 CEO 表示:“也許三分之一的美國公民受到最近的駭客攻擊影響”
- 披露螢幕截圖顯示 TikTok 繞過蘋果應用商店傭金
- Twitch 推出類似 TikTok 的發現功能,適用於所有使用者
- 瑞碧公司迎來好訊息,TikTok 卻遇到壞訊息,早期新創公司則是中性訊息
