2025年5月，爱尔兰数据保护委员会（DPC）对Tik Tok开出5.3亿欧元（约合人民币43.66亿元）的天价罚单，创下欧盟《通用数据保护条例》（GDPR）实施以来的又一高额处罚记录。

此次处罚直指Tik Tok向中国传输欧洲用户数据的行为，认定其违反GDPR关于数据跨境传输和透明度的规定。

这不仅是一次普通的监管处罚，更折射出全球数字治理中日益激烈的“数据主权”之争。

图源：网络

01

数据传输合规性遭受质疑

DPC的调查始于2021年9月，重点审查Tik Tok将欧洲经济区用户数据传输至中国的合法性。

调查发现，尽管Tik Tok声称通过标准合同条款（SCCs）保障数据安全，但未能证明中国法律环境下的数据保护水平与欧盟《通用数据保护条例》基本等效。

同时，爱尔兰数据保护委员会特别指出，TikTok未能充分评估中国法律和惯例对在中国处理的欧盟用户个人数据提供何种程度的保护，这不仅直接影响了TikTok选择适当保障措施和补充措施的能力，还导致TikTok无法验证和保证中欧基本等同的保护水平。

更严重的是，TikTok在调查过程中曾否认将欧盟用户数据存储在中国服务器，却在2025年4月承认部分数据确实存在中国境内，这一前后矛盾的说法进一步加剧了监管机构的质疑。

02

透明度缺陷与整改压力

除数据传输问题外，TikTok还因透明度不足被罚4500万欧元。

调查显示，在2020年7月至2022年12月期间，TikTok的隐私政策未明确告知用户其数据可能被传输至中国并由中国员工远程访问，违反了GDPR的披露要求。虽然TikTok在2022年更新了隐私政策，但前期违规行为仍被追溯处罚。

为确保数据安全和用户隐私，DPC要求TikTok在6个月内完成整改，否则将面临数据传输禁令。

值得注意的是，这已是TikTok在欧盟遭遇的第二笔巨额罚款——2023年其曾因儿童数据处理问题被罚3.45亿欧元，显示出欧盟监管的持续高压态势。

03

地缘政治阴影下的合规困境

面对处罚，TikTok表示将提起上诉，并强调其已投入120亿欧元实施“三叶草计划”，在爱尔兰和挪威建设数据中心以实现欧洲用户数据本地化存储。

然而，监管机构认为，只要字节跳动作为中国母公司存在，就无法排除中国法律要求其提供数据的风险。

这种不信任背后是更深层的“数字主权”博弈：欧盟通过GDPR和《数字市场法案》等强化监管自主权，美国则以国家安全为由施压TikTok剥离业务，各方都在争夺数据治理的主导权。

对TikTok而言，罚款只是表面损失，更大的挑战在于如何在中西方监管夹缝中建立可持续的合规模式。

图源：网络

对出海企业而言，建立本地化数据存储、完善透明度机制、主动参与监管对话将成为生存必修课。

这场风波也预示着一个趋势：在数字时代，数据不仅是商业资产，更是国家战略资源，谁掌握了数据治理权，谁就将赢得未来竞争的主导权。

文章来源：跨境蓝海Pro