9月15日,爱尔兰数据保护组织DPC公布了对TikTok的3.45亿欧元的罚款,之后也引起了数据合规圈的广泛关注,DPC的调查发现TikTok违反了GDPR Articles 5(1)(c), 5(1)(f), 12(1), 13(1)(e), 24(1), 25(1) and 25(2),而在EDPB(欧洲数据保护委员会)8月就此事作出具有约束力的决定后,又增加了一项违反Article 5(1)(a)的行为。EDPB的决定报告有126页,原文可以在EDPB官网下载。
事后TikTok在欧洲的隐私负责人Elaine Fox在回应DPC的时候,主要异议点在于处罚金额上,她认为这些问题发生在2020年期间,TikTok在2021年初都已经解决了,处罚不应该这么高。
这里我们不去关注争议点,来看看处罚的合规点,上面提到了TikTok的违规点,GDPR Articles 5(1)(c), 5(1)(f), 12(1), 13(1)(e), 24(1), 25(1) ,25(2) and Article 5(1)(a),这里面Articles 5讲的都是处理个人信息的原则,Artices 12、Artices 13讲的是主体权利,Artices 24讲的是数据控制者责任,Artices 25讲的是PbD,这些仅是处罚引用的条款,我们从报告中可以看进一步的说明。
报告中说明,这次委员会重点关注的是两个弹窗设计,青少年注册和发布视频时候的弹窗交互。先说明这里为什么不用未成年人或者儿童这类翻译,实际上这次EDPB调查分别关注了children<13岁的年龄门(age gate)和children(aged 13-17)的产品交互问题,最后报告里面提及问题的主要在children(aged 13-17)的产品交互问题上,青少年更符合中国语境。
上图是之前TikTok注册时的弹窗以及发布视频的弹窗,对于青少年的保护上,EDPB认为没有做到默认隐私,报告中也说明TikTok在2021年初做了隐私改造,包括:
- 在注册的时候关闭公开视频选项,默认私人视频,只允许审核后的用户查看
- 16岁以下用户禁用Duet和Stitch功能,16岁、17岁发送的视频,只有16岁或者17岁的朋友能够Duet和Stitch
- 16岁以下用户的视频只有朋友能评论,其他人无法评论
- 16岁、17岁用户的视频下载功能默认关闭
- 向他人推荐该账户,16岁以下禁用
这些改造内容值得我们国内的公司在处理未成年人数据时参考,除了上面说到的两处,报告中对于TikTok很多隐私处理层面都有分析包括告知措辞分析,值得仔细读一读。
报告地址:https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-decisions_en
内容援引:Ireland's DPC issues 345M euro TikTok children's privacy fine (iapp.org)
阅读原文:TikTok被罚3.5亿欧元,你应该知道以下几点