TikTok涉数据回传中国的5.3亿欧元罚款案的几点初步观察

文/李汶龙

处罚全文尚未正式发布，评论空间有限，讨论难免零散。不过本案案情复杂、跨度漫长，可以先行铺垫几点，为后续讨论搭个架子。

一、第二只靴子终于落了地，更重更大的一支

2021年，DPC同期启动两项针对TikTok的调查，其中之一关于儿童保护，已经于2023年9月作出3.45亿欧元的处罚，TikTok声明未表示上诉。但此次不同。可以说，DPC第二份处罚有多个名头：

• 刷新了欧盟对中国企业开出的最大罚款纪录

• 也是数据跨境议题上欧盟首次作出非针对美国企业的处罚

• 根据我的不完全统计，这应该是GDPR有史以来时间跨度最长的第一次调查

当然，严格意义上，TikTok并非是在中国注册的企业，而且也不是第一次受到GDPR违规的处罚。2023年同期，TikTok同样因为儿童保护问题被英国信息专员办公室ICO处罚了1270万磅，算是开了先河。

二、与Meta12亿欧元相比有何不同？

从数据跨境的角度来看，此次处罚是紧随Meta12亿欧元的史上最高罚单（目前Meta正在进行上诉）与Meta的12亿欧元处罚不同的地方在于，对于Meta提出的整改要求主要是合规方案细节的修补，例如更新SCC，附加EDPB以及欧盟法院要求的“补充措施”，实施与开展传输影响评估TIA，以及在新框架获批之前，暂停高风险传输。但是TikTok的情况会更加复杂。在中欧就政府访问个人数据的问题上无法达成共识的情况下，只能通过强行严格限制中国团队远程访问的方式展开。总之，TikTok案中执法视角更关注在公共部门处理相关的风险，而Meta案更多还是在评估GDPR设定的法律机制，尤其是SCC的“适足性”上。对于TikTok而言，至少在没有看到判决之前，SCC+TIA+附加措施并不能解决当下问题。除此之外，Meta与TikTok案在一些细节上还有些不同，例如

• 针对DPC数据传输是DPC在2021年主动发起的，而Meta案件主要是noyb投诉驱动

• 一站式机制上，Meta案最后因为监管机关间无法达成协议最终由EDPB发布有约束力的决议解决纠纷，但TikTok的案中相关监管机关完全没有提出异议（有些令人意外），因此最终由牵头监管机关按照其提议进行处罚

• TikTok案的关注点主要是放在远程访问的场景之下，相较于Meta案而言场景更为聚焦。但是案件本身的普适性会有所降低，因为不是所有企业都有能力在海外搭建机房，传输的情景如何评估风险治理和管控可能无法通过本案进行延展。

三、GDPR执法的中国转向

从GDPR整体执法轨迹来看，过去数年欧盟的关注点始终集中在美国科技巨头GAFAM身上，而TikTok自2021年即被立案调查却迟迟未见结论，恰恰反映出监管重心当时尚未转移。但进入2024–2025年，情况出现明显变化：中国科技企业，尤其是以DeepSeek为代表的新一代人工智能基础模型企业，其快速发展和技术输出潜力逐渐引起欧盟高度关注，TikTok案正是在此背景下加速发布。因此，GDPR执法重心出现了结构性转向：中国企业不再处于豁免区，而是开始步入欧盟数据治理体制的前沿火线。

具有有戏剧性的是，本案原本可能仍将被延宕，但noyb在2025年初通过“跨法域集中投诉”的策略性布局，将TikTok与多家中国背景企业一并投诉至欧盟各监管机构，所涉核心问题均指向数据回传中国，引发巨大舆论与监管压力。值得玩味的是，DPC在2月21日正式提出本案处罚草案的时间点，恰好距离noyb发起集体投诉约一个月，这一罕见的同步动态几乎可以视作DPC被“将了一军”。更早之前，已有媒体提前放出风声，暗示DPC的最终裁决即将公布，这种操作在GDPR执法历史中也并不多见。

四、针对TikTok合规苛责在何处？

尽管判决全文尚未公开，不宜对法律适用细节妄加推断，但已有信息表明，TikTok至少在两个关键方面遭到DPC指责，亦即本案争议的核心所在。其一，是明确的违规项目。

根据DPC发布的声明，TikTok在2021年隐私政策中未能充分披露个人数据可能被传输至中国，且在监管问询阶段，未能提供准确、全面的信息。此外，TikTok极可能是基于标准合同条款SCC开展数据跨境（具体表现为中国团队对欧洲用户数据的远程访问），但是否同步建立了充分的补充保障措施、是否进行了合法有效的跨境传输评估TIA，这些尚待判决全文揭示。但从DPC语气可推测，其认为TikTok未能满足“实质等同保护”下的最低合规门槛。此外还有问询信息提供有误的drama，此前先例当中并未出现，不知DPC将会如何应对。

其二是制度层面的指责。DPC在声明中强调：

DPC对TikTok的追责，并不仅仅止于企业自身是否尽到注意义务，而是进一步质疑是否能提供任何真实有效的保障机制。

这就牵涉到一个极为棘手的问题：TikTok是否可能通过组织措施（如远程访问限制）与法律论证（如法律适用范围、数据实际调用路径）说服DPC其风险较低？ TikTok或许试图论证，在远程访问的情景下并不构成迫切威胁，但DPC未必会买账。与其说DPC在评估和否定TikTok的“个案补救方案”，不如说它对整个制度背景表达了根本性的不信任。

这一裁决正值noyb发起对六家中国企业策略投诉之后（见前文《聊聊noyb针对中国互联网企业的这波发难》），其共同议题恰恰围绕对中国法律环境的不确定性，特别是对政府访问权限缺乏明确边界、程序透明性不足、法律适用模糊以及外国数据主体在中国权利行使机制缺位等问题的系统质疑。因此，即便TikTok案中尚未完全展开此类讨论，也可以预见，在noyb未来推动的诉讼中，制度信任与法律对等性的争议将不可避免地全面爆发。TikTok案只是冰山一角，其背后的执法逻辑，很可能预示着欧盟对中国数据制度系统性风险认知的正式确立。

五、TikTok的整改原早于处罚

本次DPC的处罚可谓“翻旧账”，调查时间跨越三年，从2021年启动到2025年裁决落地，而TikTok事实上早已开始主动应对。从2023年3月启动的Clover项目起，TikTok在欧洲的数据本地化重构已经持续超过两年。与其说这是一场合规响应，不如说是一场围绕“政治可接受性”的架构重写：面对欧盟近年来高呼的“数字主权”口号，TikTok选择以物理基础设施和组织隔离的方式应对。

处罚决定中，DPC要求TikTok在六个月内完成整改措施。但根据TikTok官方声明，这些“重构性”措施在Clover框架下其实早已启动。例如，TikTok在2023年已在爱尔兰都柏林落地第一个本地数据中心，并宣布2024年底前启动欧洲数据向挪威迁移的第二阶段。2024年秋季，TikTok也明确提出将包括英国与瑞士在内的欧盟周边国家数据一并纳入本地托管范畴。TikTok还邀请NCC集团作为独立外部监督方，对整个数据迁移与存储过程进行实时审计，以此在政治和监管层面塑造可信合规的形象。随着爱尔兰与挪威数据中心全面上线，该问题在法律层面应可逐步收敛。DPC此次处罚虽带有追责性质，但某种程度上也象征着一项延迟兑现的政治验收：TikTok未必真正赢得了制度信任，却至少用基础设施表达了妥协诚意。在技术无法消除制度不信任的前提下，“物理隔离”成为默认选项。

六、TikTok的5亿罚金对其他出海企业是否有借鉴意义？

TikTok此次遭遇的高额罚款，是否对其他中国出海企业具备可复制的借鉴意义？尽管TikTok在合规应对中展现出极强的资源调动能力——建设本地数据中心、引入第三方审计、重构访问权限体系——但对于绝大多数中小型出海企业而言，这种“基础设施式合规”无从效仿。

更尖锐的问题在于：TikTok案之后，中国企业是否仍能依托SCC这一GDPR认可的合法传输机制开展欧盟业务？答案目前尚不明朗。值得注意的是，DPC此次处罚所针对的数据处理行为发生在Clover计划之后，因此它并未否定本地建站和封闭管理这一路线本身。DPC此次是将矛头指向TikTok自身的合规不力，还是更深层地质疑整个中国法律制度在数据保护上的“不可等同性”。如果DPC的裁决最终落脚在对TikTok尽职义务的评估之上，那么对于其他出海企业而言，仍能保有一定的合规腾挪空间，即在SCC基础上，通过补充措施（加密、访问控制、独立监督）达成最低可接受的风险阈值。如果DPC实质上是以制度本身判罚，那么无论企业采取何种技术手段，恐怕都无法满足欧盟“实质等同”的保护要求。此时，问题已不再是合同义务与技术防护的层面，而是升级为跨制度信任断裂下的政策冲突。当数据流动跨越的不只是物理边界，更是制度鸿沟时，企业自身的尽职努力可能并不足以获得监管谅解。SCC能否继续作为中国出海企业的合规底盘，将取决于欧盟是否还愿意接受“个案实质评估”的逻辑，而非“一刀切”的制度定性——这也将是noyb后续诉讼和欧中数据谈判的关键博弈点。

七、回应处罚，哪些是需要在国家层面作出回应？

即便建立了数据中心，并且确保所设立的流程、技术、人员都能尽职，是否就能保证合规？仍然未必。数据跨境是一个复杂的法律问题，同时涉及到私有领域企业的合规，国家之间数据保护制度的互任，以及由欧盟创设关于政府访问私有部门数据的限制和救济。此外还有一个国际法面向，当涉及到数据主体权利救济时，第三国的法律能否提供对等的保障、救济和权利，即便是建立了类似于GDPR规范的基础之上。

GDPR框架下数据跨境合规本身是一个复杂的议题，而且近年来几次主要的争端，围绕Schrems展开，都是关于政府访问企业个人数据，也即公共部门数据处理正当性和合法性的议题。比如在隐私盾被Shrems II推翻的案件中，实际上欧盟法院对于隐私盾用于私有部门数据跨境传输并没有质疑，第三代环大西洋数据隐私保护框架的变动主要都是在公共部门数据处理中提供程序限制（基于比例原则），以及在个人主张权利时提供救济（在司法部下设立了数据保护法庭，但因为川普再度上任开除了PCLOB几位成员可能会再度被废除）。

整体来说，中国当下在数据和AI治理方面在强调国际领导力和合作，有不少事情可以跟随这个旋律进行推动。具体而言，有以下几个面向可以着力：

（一）需要对广义数字相关立法进行“法典化”，倒不必一定形成法典，但是需基于类似思路对概念、逻辑、理论进行一番对齐工作。尤其是涉及国家安全、反恐、情报收集与个人信息保护领域交叉的部分。而这非常有赖于组织学术资源和力量进行前期的规范谱系和论证，提供足够的法律确定性。此前修订个人信息保护法、国家安全法等罚金基准是实现处罚一致性和合理性等问题。但于此相比，形成不同法律条文之间的融贯性则是一个更艰巨的工作，有赖于不同法律部门学者之间的通力合作，以及跨法域之间的思考和研究。

（二）通过规范升级形成“对等保护”叙事。究竟在狭义法律之外如何形成融贯合理、符合法治原则的规范链条，实际上仍然缺乏讨论和论证，也需要在立法侧有所推动。

（三）将个人信息保护法进行国际化，无论是对其中适用范围进行措辞进行调整（涵盖外国人利益），还是出台相关细则明确外国人行使权利的救济渠道和机制，目前仅在个人信息保护法文本层面没有足够的法律确定性，需要进一步的落地机制推动，确保在渠道和程序上，中国法律不会被认为存在不平等对待的情形。

八、TikTok案后续走向

随着一站式机制的结束，本案程序性阶段已告一段落：DPC提出处罚草案后，未收到其他成员国监管机构的反对意见，因而无需启动EDPB协调程序，裁决即生效。TikTok已在24小时内通过官方声明表态将提起上诉，这意味着接下来的程序将转入爱尔兰国内司法体系。

TikTok需在收到正式处罚决定后的28天内，向爱尔兰高等法院提起司法审查，请求撤销或变更DPC的裁定，并可同步申请中止决定的执行，直到法院作出最终判决。若高等法院驳回TikTok的请求，后者仍可继续向爱尔兰最高法院提起上诉。诉讼过程中，若法院在解释GDPR相关条文（如第44条及第46条的跨境传输要求）方面存有疑问，可依《欧盟运作条约》第267条将问题提交欧盟法院进行预先裁定。

这一诉讼路径，几乎是此前Meta案的镜像。2023年DPC对Meta开出12亿欧元罚单后，Meta同样迅速发布声明宣布上诉，但迄今未见实质性的司法审查程序进展。一方面，TikTok若能在司法程序中成功削弱DPC关于“缺乏等同保护”的认定，或将为其他在欧运营的中国企业提供抗辩路径；另一方面，若爱尔兰法院选择将核心问题提交欧盟法院（如如何评估第三国法律下的公共部门数据访问风险），则将把本案从技术合规问题正式引向欧中数据主权博弈的制度主战场。无论最终结果如何，可以确定的是，TikTok案将不会因处罚落地而划上句号，而是开启一段长周期、高关注度的跨国合规诉讼进程。其意义早已超出个案得失，而将直接影响中国企业在欧数据治理空间的制度想象边界。

九、DPC处罚五亿，TikTok就得交五亿吗？未必。

首先，司法程序的介入可能随时对处罚金额进行修改或撤销。TikTok已明确表示将上诉，这意味着案件将进入爱尔兰高等法院甚至最高法院的司法审查阶段，结果可能包括部分减免、缓期执行，甚至完全推翻。因此，DPC的“喊价”与国家实际“到账”，往往是两条时间轴上节奏迥异的故事线。

即便裁决不变，罚金的实际回收率也极其有限。根据我对2018年以来DPC十大罚金的比对分析（不含TikTok本案），可以发现一个非常明确的图景：大型科技企业的巨额罚款几乎都尚未回收。总额约为33.9亿欧元的八起大案（Meta、WhatsApp、LinkedIn等），目前回收为零。很多连走到执行程序的机会都没有。 例如，对Meta开出的4.05亿欧元罚款自2022年9月判决以来已近三年毫无进展；WhatsApp 2021年9月被罚2.25亿欧元也接近四年仍未收回。Meta和Twitter早年间还有缴纳的倾向，但近3年间所有高额罚款几乎都还在路上。自2020年开始进入执行阶段的罚金，总体回收率仅约为0.72%，而真正进入国库的罚金则集中在一些金额较小、没有司法抗辩的公共部门和公益机构，回收率高达70.6%。

说到底，高额罚款也只是一个监管叙事。财政和执行层面，罚款决议只是拖入另一场长周期博弈的起点。未来数年，该案是否进入实际回收程序，将高度取决于爱尔兰法院的司法评估、欧盟法院的法律解释，以及TikTok自身在欧洲运营战略的调整。而在此之前，DPC能否看到这5亿，仍然是个未知数。

原文始发于微信公众号（数据法盟）：TikTok涉数据回传中国的5.3亿欧元罚款案的几点初步观察