TikTok 再次推迟了在爱尔兰都柏林开设其在欧盟的第一个数据中心的时间表——称该设施现在预计要到明年才能全面投入使用。
自 2020 年以来,该视频共享社交网络一直在跟踪存储该地区欧盟、欧洲经济区和英国用户数据的计划。
这个爱尔兰数据中心最初计划于 2022 年初启动并运行。该时间表随后被推迟到2022 年底。现在它已经被踢到2023年。
目前,TikTok 用户数据保存在该地区以外的新加坡或美国。
当被问及这一漫长的延迟时,TikTok 的一位女发言人说:“我们最初宣布打算在 2020 年 8 月建立一个数据中心。持续的全球大流行带来的挑战对我们最初的时间表产生了重大影响。”
一个欧洲“透明度和问责中心”——TikTok 于2021 年 4 月宣布作为一个枢纽,外部专家可以在其中获取有关其在内容审核、安全和隐私等领域的平台实践的信息——自去年以来一直在虚拟运行,也在考虑到冠状病毒大流行,该公司表示,2022 年还将在爱尔兰开设一个实体中心。
由于其母公司北京字节跳动受到中国《互联网安全法》的约束,TikTok 多年来一直面临用户数据安全的担忧——自 2017 年以来,该法赋予中国共产党获取数据的广泛权力来自数字公司。
爱尔兰数据保护委员会 (DPC) 是 TikTok 的主要欧盟隐私监管机构,于2021 年 9 月宣布对该公司的数据处理活动进行两项调查,其中一项关注国际数据传输,另一项关注其对儿童数据的处理。尽管此后没有关于其调查进展的更新。 (我们已经询问了数据传输探测,如果我们得到 DPC 的回复,我们会更新。)
在 2013 年美国国家安全局举报人爱德华·斯诺登(Edward Snowden)揭露政府大规模监控计划如何从社交网络等消费者服务中提取数据之后,欧盟个人数据出口问题多年来一直深陷法律不确定性的泥潭。 ( Facebook 继续面临与其欧盟-美国数据传输合法性相关的长期不确定性数据传输投诉,例如,在2 月份向其发送了一份修订后的决定草案。)
虽然斯诺登的爆料集中在美国政府的大量数据拦截上,但从隐私的角度来看,中国政府对互联网的数字监控同样存在(并且可能甚至更多)问题。这使得 TikTok 作为中国拥有的社交网络,在数据安全和数据治理方面处于棘手的境地。
数据本地化已被提议作为互联网企业减少此类基于数据传输的法律风险的一种方式,并且——就欧盟而言——寻求遵守要求欧洲人的个人数据享有同等水平的数据保护的区域性数据保护规则。如果它出口到欧盟之外,就像它在欧盟内部一样,则有法律保障。
然而,像 TikTok 这样的全球社交网络不会在区域内使用防火墙,永远无法完全根据用户的来源区域存储数据。例如,欧盟的 TikTok 用户可能会评论美国 TikTok 用户的视频,反之亦然。这些数据将存储在哪里?
也就是说,可能存在这样一种情况,即在这些平台上发生的某些类型的国际数据流可以合理地声称其法律依据为欧盟法律下的所谓“必要传输”——例如用户之间故意发送的消息。
如果 TikTok 的大部分欧盟用户数据都存储在欧盟内部,当地隐私监管机构也可能会对剩余的数据出口采取更友好的态度。
TikTok 将其将该地区的欧盟用户数据本地化的计划描述为“欧洲数据治理战略”——强调其声称正在采取的其他措施,例如“严格限制”员工对个人数据的访问和最大限度地减少数据出口——因此出现成为它的希望。
同时,该公司正在关注欧盟监管机构最近对数据传输实施的担忧——例如发现与使用谷歌分析和条纹等产品有关的数据泄露的决定——通过指出全球产品需要一些数据流入为了能够很好地发挥作用。
“这种区域性的数据治理方法使我们能够与欧洲数据主权目标保持一致,”TikTok 在欧洲的隐私负责人 Elaine Fox 在今天的一篇博客文章中表示。 “与此同时,我们正在最大限度地减少该地区以外的数据流,从而使我们能够维持所需的全球互操作性,以确保我们这里的用户与我们 10 亿强大的社区保持联系——并享受全球产品的好处经验。”
将个人数据出口到欧盟之外并不违法。欧盟最高法院在其2020 年 7 月的裁决中为向所谓的第三国传输数据敞开了大门,该裁决使欧盟与美国的一项重大数据传输协议无效——称仍有可能使用标准合同条款等机制导出数据(TikTok 的 Fox 称该公司使用)——前提是满足目的地国家/地区人民信息充分保护的总体条件。
欧盟的欧洲数据保护委员会遵循该裁决,并就所谓的补充措施提供指导,数据控制者可以应用这些措施将保护水平提高到所需的法律标准。
尽管 TikTok 声称它正在采用多种此类措施来确保传输安全,但它并没有详细说明它正在做什么。 (这大概就是 DPC 将在其数据传输调查中评估的内容。)
Fox 写道:“如果需要将数据传输到该地区以外的地区,我们依赖从欧洲传输数据的批准方法,例如标准合同条款。” “我们还采用了一系列互补的技术、合同和组织措施,以便为这些转移提供与英国和欧洲经济区同等水平的数据保护。这意味着在实践中,任何个人数据都通过一套强大的物理和逻辑安全控制以及针对员工的各种政策和数据访问控制得到保护。”
可以说,TikTok 比美国的互联网服务更值得关注数据传输问题,因为中国根本不会获得欧盟的传输协议(无论是否通过了自己的数据保护制度;从地缘政治上讲,这是行不通的) ——而上个月,美国和欧盟高调宣布,他们就替代跨大西洋数据传输协议达成了政治协议。 (然而,采用可能需要几个月的时间。)
这意味着像 Facebook 这样的美国科技平台可以期待——至少——在他们继续传递数据的同时,在对欧盟-美国数据流的任何新的法律挑战可能再次解除该制度之前,再次延长宽限期。
作为一家中资实体,TikTok 将无法依赖这样的支持。
因此,毫不奇怪,视频共享服务在其博客文章的其他地方试图发挥其区域业务的经济价值,写道:“我们在该地区拥有数千名员工,致力于品牌和创作者参与、电子商务、货币化、音乐、隐私、产品、公共政策、研发以及信任和安全。我们已宣布在我们最重要的两个全球中心都柏林和伦敦设立常设办事处。我们正在进一步加强我们在法国、意大利和西班牙的当地领导团队,并正在扩大我们在比利时和荷兰等新市场的业务。”
不过,数据传输并不是 TikTok 在欧洲的唯一问题。
该社交网络在消费者保护方面也面临着额外的区域审查——在一系列投诉之后,欧盟委员会去年就其服务条款启动了正式对话。
在英国,该公司还因其处理儿童数据而面临隐私集体诉讼式诉讼。
来源: https://techcrunch.com/2022/04/07/tiktok-delays-ireland-data-center/