重新定义数据主权的TikTok裁决
2025年5月,爱尔兰数据保护委员会对TikTok处以530百万欧元的GDPR罚款,原因是其在没有足够保障的情况下将欧盟用户数据转移至中国。
这项罚款现在是迄今为止第二大单独的GDPR罚款,仅次于2023年爱尔兰DPC对Meta处以的12亿欧元罚款,后者因非法将欧盟数据转移至Facebook的美国服务器而被罚。这两个案例共同建立了一个明确的执法模式:没有足够保障的跨境数据转移是优先执法领域,DPC将施加迫使行为改变的规模罚款。
截至2025年,累计530百万欧元的GDPR罚款(GDPR.eu执法跟踪器),GDPR执法不再是背景合规风险——它是监管机构积极施加的业务成本。
TikTok案件的实际裁决
TikTok案件主要不是关于安全实践或数据泄露,而是关于数据位置和国际数据转移的法律基础。
TikTok的欧盟业务在可被中国员工访问的服务器上存储和处理欧盟用户数据。GDPR第44-46条限制将数据转移至没有欧盟充分性决定的国家,除非有特定的法律机制。中国没有欧盟充分性决定。TikTok声称已实施足够的技术措施的论点未被接受。
结构性教训是:“我们的服务器在欧盟”并不足够,如果数据可以被欧盟以外的人员访问,或者如果组织受制于与GDPR相冲突的国家法律的影响。
这与评估SaaS供应商的组织直接相关。一个声称“我们在欧盟托管”的供应商,但其母公司在美国总部,或者其支持人员从欧盟以外访问,可能面临与TikTok相同的监管挑战——他们的客户也可能面临类似问题。
累计情况:530百万欧元的GDPR罚款
| 执法行动 | 罚款 | 年份 | 理由 |
|---|---|---|---|
| Meta (Facebook) — DPC | €1.2B | 2023 | 非法的欧盟-美国转移 |
| TikTok — DPC | €530M | 2025 | 欧盟-中国转移 |
| Amazon — CNPD卢森堡 | €746M | 2021 | 广告定位 |
| WhatsApp — DPC | €225M | 2021 | 透明度失败 |
| Google — CNIL法国 | €150M | 2022 | Cookie同意 |
截至2025年累计的530百万欧元反映了GDPR执法的成熟:监管机构已从建立先例转向对违规类别的系统性执法。数据转移违规现在是最高罚款类别,反映了监管优先事项。
德国医疗保健问题
GDPR第44-46条在所有行业中同样适用,但某些行业面临超出GDPR的额外主权数据要求。
德国医疗保健:社会法典第五卷(SGB V)限制健康数据处理在德国控制的系统内。使用在都柏林托管的云匿名化工具的德国健康保险公司——虽然技术上属于欧盟——如果该工具的运营商是非德国实体且可能与德国法律冲突,仍可能不符合SGB V。
瑞士银行:瑞士银行保密法(银行法第47条)禁止向未经授权的方披露客户信息,包括未获得明确客户同意的云服务提供商。通过任何云工具处理的瑞士私人银行客户数据——即使是欧盟托管的——可能触发银行保密义务。
德国公共部门:BfDI(联邦数据保护专员)指导限制政府机构数据仅限于政府控制的基础设施。在商业云提供商的欧盟服务器上托管的匿名化工具不满足此要求。
这些案例表明,GDPR合规是底线,而不是上限。对于受监管行业和公共部门组织,主权数据要求通常施加超出托管地点的额外限制。
充分性决定的现状
GDPR的国际转移框架依赖于欧盟委员会对被认为提供等效数据保护的国家发布“充分性决定”。当前的充分性现状:
拥有充分性决定的国家:安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、曼岛、日本、泽西岛、新西兰、韩国、瑞士、英国、乌拉圭、美国(数据隐私框架——在Schrems II无效后恢复)
没有充分性的国家:中国、印度、俄罗斯、巴西、大部分亚太地区、大部分中东和北非地区、大部分非洲
在政治谈判后,数据隐私框架(欧盟-美国)已恢复,但仍然在法律上受到质疑。隐私倡导者已经发出基于美国监视法的法律挑战信号,这些法律使其前身(Schrems I中的安全港,Schrems II中的隐私保护)无效。
依赖欧盟-美国数据隐私框架作为其美国托管数据处理法律基础的组织应有应急计划,以应对再次无效的情况。
数据主权要求如何转化为工具选择
来自TikTok、Meta及其背后的监管框架的累计情况为SaaS工具选择创建了合规保障的层次结构:
第1级 — 欧盟托管:数据在物理位于欧盟的服务器上处理和存储。这满足了不需要主权级别保护的数据的基本GDPR要求。
第2级 — 欧盟运营商:供应商的控制实体位于欧盟,并不受非充分国家法律的约束。这解决了TikTok问题,即欧盟托管与母实体的中国法律暴露相结合。
第3级 — 零知识架构:即使供应商遭到攻击、被执法机关强迫或被外国政府要求提供数据,他们也无法访问明文数据,因为加密密钥仅由客户持有。这解决了即使是完全GDPR合规的供应商也会收到法律要求的情况。
第4级 — 本地处理:数据根本不离开组织自己的基础设施。处理发生在本地硬件或政府控制的系统上。这是唯一完全满足德国SGB V、瑞士银行保密、BfDI公共部门要求及类似主权数据要求的方法。
对GDPR DPIAs的实际影响
根据GDPR第35条,对于高风险处理要求的数据保护影响评估(DPIAs)必须在与第三国处理者共享数据时包括转移影响评估。根据TikTok裁决,基于云的匿名化工具的DPIAs需要明确解决:
-
母公司管辖权:供应商的母公司是否受法律(CLOUD法案、中国网络安全法等)的约束,这可能要求提供欧盟客户数据?
-
支持人员访问:非充分国家的支持或工程人员是否在正常操作中访问欧盟客户数据?
-
转移的法律基础:适用于任何数据流向非充分国家的特定GDPR第46条机制是什么(SCCs、BCRs、例外)?
-
泄露影响分析:如果供应商遭到攻击或被迫提供数据,哪些欧盟客户数据将被暴露?
对于使用基于云的匿名化工具的组织,这些问题有具体的答案,必须记录。TikTok裁决表明,“我们有合同”并不足够,如果这些合同未经过充分性评估。
这对2026年采购的意义
在TikTok裁决之后,审查SaaS供应商的数据处理工具的DPO们提出的问题比以前更具体:
- 服务器在哪里?(欧盟?)
- 母公司注册在哪里?(欧盟?美国?其他?)
- 非欧盟员工是否可以访问欧盟客户数据?
- 哪种法律适用于执法数据请求?
- 是否有零知识架构,或者供应商是否持有加密密钥?
- 是否有本地处理选项?
这些问题的答案——而不是DPA签名的存在——决定了在后TikTok监管环境中实际的数据主权合规性。
anonym.legal的网络平台使用基于欧盟的Hetzner数据中心,采用零知识架构——服务器从不接收未加密的客户数据,全面的服务器泄露仅产生AES-256-GCM密文。对于要求仅本地处理的组织,桌面应用程序在设备上处理所有数据,没有外部网络通信。
来源: