ТикТок снова в ударе: штраф за кражу данных пользователей
TikTok оштрафован на 602 миллиона долларов за незаконную передачу данных пользователей из Европы в Китай.
Ирландская комиссия по защите данных (DPC) наложила штраф в размере 530 миллионов евро (602 миллиона долларов) на владельца TikTok компанию ByteDance за нарушение законов о конфиденциальности Европейского Союза. Регулятор заявил, что TikTok отправлял данные пользователей из Европы в Китай, не гарантируя, что информация защищена от слежки со стороны правительства.
В прошлом месяце сообщалось, что DPC собирается оштрафовать TikTok на такую сумму — это третий по величине штраф за нарушение Общего регламента о защите данных (GDPR). Регулятор подтвердил это в пятницу.
DPC, который занимается соблюдением GDPR в отношении TikTok (европейская штаб-квартира находится в Ирландии), также установил, что платформа не была достаточно прозрачной для пользователей. Вместе со штрафом DPC дал TikTok шесть месяцев на прекращение всех незаконных передач данных.
TikTok на протяжении четырехлетнего расследования утверждал, что не хранит данные пользователей из Европейской экономической зоны на серверах в Китае. Однако в прошлом месяце он сообщил DPC, что в феврале узнал, что "ограниченные данные пользователей из ЕЭЗ" хранились там и признал, что это противоречит ранее озвученной информации регуляторам.
"DPC серьезно воспринимает эти последние события относительно хранения данных пользователей из ЕЭЗ на серверах в Китае," - заявил заместитель комиссара DPC Грэм Дойл в заявлении. "Хотя TikTok сообщил DPC, что данные теперь удалены, мы рассматриваем, какие дополнительные регуляторные меры могут быть необходимы, в консультативном порядке с нашими коллегами из европейских органов по защите данных."
DPC сообщил, что в период с 2020 по 2022 год TikTok не информировал пользователей о том, что их данные передаются в Китай. Регулятор утверждает, что TikTok выполнил требования по прозрачности в 2022 году после обновления своей политики конфиденциальности. Тем не менее, нарушение правил прозрачности привело к штрафу в размере 45 миллионов евро. Передача данных в Китай привела к штрафу в размере 485 миллионов евро.
"Передача личных данных TikTok в Китай нарушила GDPR, поскольку TikTok не проверил, не гарантировал и не продемонстрировал, что личные данные пользователей из ЕЭЗ, дистанционно доступные сотрудниками в Китае, имели уровень защиты, эквивалентный тому, который гарантирован внутри ЕС," - сказал Дойл. "В результате того, что TikTok не провел необходимые оценки, он не устранил потенциальный доступ китайских властей к личным данным пользователей из ЕЭЗ в соответствии с китайскими анти-террористическими, контрразведывательными и другими законами, которые TikTok признал значительными расхождениями с нормами ЕС."
TikTok в своем заявлении выразил несогласие с этим решением и планирует обжаловать его в полной мере. Он утверждает, что китайские власти никогда не запрашивали данные пользователей из Европы и что он никогда не передавал такую информацию властям страны.
Платформа также утверждает, что DPC не учел полностью проект Clover в своем решении. Эта инициатива касается мер по защите конфиденциальности, таких как создание европейских дата-центров для хранения данных на месте. Решение DPC "сосредоточено на определенном периоде из прошлого, до реализации Clover в 2023 году и не отражает тех мер предосторожности, которые сейчас действуют," - сказала Кристин Грэн, директор по общественной политике и правительственным связям TikTok в Европе. Однако DPC заявил, что "учел продолжающиеся изменения" в рамках проекта Clover при вынесении решения.
Это не первый раз, когда DPC штрафует Bytedance. В 2023 году он наложил штраф в размере 368 миллионов долларов после того, как установил, что TikTok не обеспечил защиту данных пользователей в возрасте от 13 до 17 лет. Регуляторы ЕС продолжают расследования TikTok относительно того, нарушил ли он обязательства по предотвращению иностранного вмешательства в выборы; проверки возраста и проблемы зависимостного алгоритма; и предполагаемая неспособность представить отчет об оценке рисков перед запуском TikTok Lite во Франции и Испании.
Ирландская комиссия по защите данных, известная как DPC, накатила на TikTok штраф в размере 602 миллионов долларов — это почти такая же сумма, которую некоторые получают за "окончательный отчет о планах по улучшению" своих бизнес-процессов. Восхитительное совпадение, не правда ли? Как будто регулятор обнаружил, что у TikTok есть секреты, так же как у печенья в детской руке — то есть, все об этом знают, но никто не говорит в лицо.
Мир вдруг узнал, что данные пользователей из Европы переходят через границы, как туристы в сезон отпусков — и все, кажется, оказались в Китае. Защитники конфиденциальности, разумеется, зашевелились и поставили TikTok на наказуемый уровень, создав иллюзию бурного служения закону. Кому, как не ирландцам, знать о необходимости хранения данных пользователей, когда за углом именно их омывает тихий Гемс, готовый усмотреть в этом направлении дополнительные выгоды.
Итак, данные, которые TikTok реабилитировал почти как Квазимодо, вернулись и призвали регуляторы к ответу. Прозрачность изменений — модное словосочетание для встречи с обязательствами, которые Zoom-совет собирается обсудить на следующий раз. А TikTok решительно продолжит обжаловать этот приговор, клянясь честностью и законопослушностью.
Тем не менее, TikTok, вероятно, опередит DPC в деле о соблюдении защиты данных юного поколения, хоть времени остаётся всё меньше. Все эти разбирательства будто ведут к тому, что у ByteDance и TikTok огромный арсенал лоббистов — просто чтобы напомнить вам, что есть дружба между компаниями и правительствами. Как мило, что вся эта сертификация безопасности осталась на непроверенной территории, где каждый курьер может стать носителем секретов, как с говорящей моделью.
Кристин Грэн уже успела сообщить, что проекты Clover — заведомо легитимные и всесторонне оценённые. Но в этом пакете для раскрытия нарушений остаётся вопрос: Пока вы получаете 602 миллиона долларов, кто на самом деле смотри на этот неравноправный чудак?