TikTok被指控持续向中国传输数据

挪威数据保护机构指控TikTok继续向中国传输用户个人数据，尽管此前欧盟已对其处以巨额罚款，并且跨境数据传输问题的监管压力不断升级。这一指控加深了长期以来的担忧，即欧洲用户的信息可能因北京广泛的安全与情报法律而暴露于中国国家监控之下。

挪威监管机构发出警告

挪威数据保护局（Datatilsynet）本周表示，TikTok已通知欧洲用户，其将继续把个人数据传输到中国，这引发了人们对隐私和法律合规的新一轮担忧。监管机构在一份书面声明中指出，TikTok向用户发出的通知证实，欧洲和挪威用户的信息将继续流向中国员工。

官员们警告称，这种数据传输存在重大风险，因为中国法律可能要求企业协助国家情报机构，从而迫使TikTok的中国母公司字节跳动在接到要求时交出数据。挪威当局强调，虽然很难预测中国当局是否会实际访问这些数据，但这种可能性在严格的欧洲隐私标准下已经敲响了警钟。

欧盟5.3亿欧元罚款定下基调

挪威的行动是在几个月前爱尔兰数据保护委员会（DPC）对TikTok处以5.3亿欧元（约6亿美元）罚款之后发生的。作为TikTok在欧盟的主要隐私监管机构，爱尔兰DPC裁定，2020年至2023年间，TikTok违反了《通用数据保护条例》（GDPR），将欧洲经济区（EEA）用户的个人数据非法传输至中国。

爱尔兰监管机构发现，TikTok未能充分解决中国反恐、反间谍、网络安全和国家情报法律可能导致中国当局访问数据的风险，这些法律与欧盟的隐私保护措施存在实质性差异。监管机构还批评TikTok缺乏透明度，指出TikTok没有向用户清楚说明其数据被传输到哪里以及谁可以访问，这是GDPR的关键要求。

远程访问、中国服务器和不准确的证据

爱尔兰DPC决定中一个特别敏感的细节是，部分欧洲用户的数据实际上被存储在中国的服务器上，这与TikTok此前在监管调查中的保证相矛盾。TikTok曾告诉DPC，EEA用户数据仅允许中国员工远程访问，但并未存储在那里，然而在2025年2月，TikTok承认发现有限数量的此类数据实际上被保存在中国服务器上。

DPC表示，对TikTok在之前的调查中提交了不准确信息感到“非常担忧”，并启动了新的调查，专门关注EEA用户个人数据向中国服务器的传输。此次新调查将审查数据的物理存储位置以及TikTok在第三方国家数据传输方面的透明度，监管机构正加大对企业的要求，要求其向用户提供清晰、可验证的跨境数据流动信息。

命令整改或停止传输

除了巨额罚款外，爱尔兰监管机构还命令TikTok在六个月内使其数据处理符合GDPR规定。如果未能做到，监管机构已表明可能会暂停TikTok向中国传输欧洲用户数据，从而切断中国员工对这些数据的常规访问。

欧洲监管机构强调，TikTok必须“验证、保证并证明”任何发送到中国的数据都享有与欧盟内部相当的保护，包括防范未经授权的国家访问。目前，TikTok在上诉期间继续传输数据，利用了法律挑战期间执法措施可以暂时暂停的事实。

TikTok的辩护：未向北京提供数据

TikTok否认其数据传输会使用户面临中国国家监控，坚称没有证据表明其向中国当局共享了欧洲用户信息。该公司表示，从未收到中国政府机构对欧盟用户数据的正式请求，也从未提供过此类信息，认为自己与其他全球科技公司相比受到了不公平的对待。

TikTok在公开声明中辩称，爱尔兰的决定主要涉及已被放弃的历史做法，并指出其已投入大量基础设施，以确保欧洲数据留在本地区。平台警告称，这一裁决可能对依赖全球分布式工程团队的跨国公司产生广泛影响，这些团队通常需要跨边界访问数据以维护和改进服务。

Project Clover：本地数据，全球关注

为了安抚欧洲政府，TikTok推出了“Project Clover”计划，这是一项数十亿欧元的投资，旨在将欧盟用户数据本地化存储在专门的区域数据中心。该公司表示，计划在欧盟投资约120亿欧元，欧盟用户的数据将在加强监管下存储和处理。

尽管如此，监管机构仍不认为仅本地存储就能解决问题，因为即使数据物理上存放在欧洲，中国员工仍可能远程访问。监管机构强调，GDPR关注的不仅是数据存放位置，还包括谁可以访问数据以及在何种法律框架下，这使得中国的国家安全法律成为争论的焦点。

挪威的担忧：中国法律与不确定的风险

挪威的投诉正是围绕数据位置、访问权限和外国法律框架之间的紧张关系。挪威数据保护局表示，TikTok的持续传输增加了中国法律可能迫使平台向北京当局共享欧洲用户信息的风险，即使这种情况尚未发生。

该局负责人托比亚斯·尤丁（Tobias Judin）警告称，这些做法可能对隐私产生严重后果，尽管监管机构无法预测未来数据将如何被使用。挪威官员指出，这个问题并非理论上的，鉴于中国2017年《国家情报法》要求组织和公民“支持、协助和配合”情报工作。

用户警告与公众意识提升

近几个月来，最明显的变化是欧洲用户收到了新一轮的App内通知，明确告知他们的数据可能被传输或访问自中国。隐私倡导者表示，这些披露是由于监管压力和法院要求，突显了TikTok此前在国际数据流动方面透明度不足的问题。

欧洲隐私网站GRC Report指出，监管机构已认定TikTok向中国的数据传输在GDPR下是非法的，但该公司在上诉期间仍在继续这一做法。这种持续的传输、正式警告和法律不确定性正在引发公众辩论，即TikTok是否值得信任来处理数百万欧洲用户的个人数据。

针对中国平台的投诉浪潮

TikTok并非唯一处于监管聚光灯下的中国关联平台。欧洲隐私组织noyb已对TikTok、速卖通（AliExpress）、SHEIN、Temu、微信（WeChat）和小米（Xiaomi）提起多项GDPR投诉，指控这些平台非法将欧盟个人数据传输到中国。这些投诉认为，许多服务未能为向隐私保护较弱的司法管辖区发送数据提供合法依据和充分保障。

这些协调一致的挑战凸显了欧洲执法的更大转变，从关注美国科技巨头的跨大西洋数据传输制度，转向直接针对中国公司和应用。监管机构越来越将中国的国家安全立法视为与欧盟基本权利和数据保护理念在结构上不相容，这使得设计标准合同条款或技术控制措施以满足GDPR要求变得复杂。

新的爱尔兰调查加大压力

2025年7月，爱尔兰DPC升级了对TikTok的审查，启动了新的欧盟范围调查，调查TikTok向中国传输欧洲用户数据的情况，原因是该公司承认部分EEA数据被存储在中国服务器上。此次调查将重新审视TikTok数据传输的范围、其先前向监管机构提供信息的准确性，以及用户是否被充分告知其数据存放位置和谁可以访问。

DPC还打算核实TikTok在第三方国家数据传输方面的透明度义务，这是早期执法行动中反复出现的弱点。此次新调查是在TikTok已就5.3亿欧元罚款提起上诉的情况下进行的，意味着该公司现在在欧洲多个法律战线上进行自我辩护。

欧盟与中国数据流动的试金石

TikTok案件的结果可能会为欧洲监管机构如何处理向中国的数据传输树立先例。法律专家指出，爱尔兰的决定明确发现，中国的国家安全和情报法律使得很难保证与欧盟内部“基本等同”的保护水平，这是GDPR对国际数据传输的核心标准。

如果法院维持这一推理，依赖中国工程团队或云基础设施的公司可能几乎不可能证明常规访问欧盟个人数据的合理性，无论技术保障如何。这可能会加速数据本地化、全球平台的碎片化以及沿地缘政治线划分的平行数字生态系统的趋势。

TikTok的平衡之举：业务、合规与信任

对TikTok而言，利害关系远不止监管罚款。欧洲是其最大的市场之一，估计在欧盟拥有1.5亿以上的活跃用户，失去高效处理这些用户数据的能力将影响运营和收入。同时，任何关于用户数据易受外国国家访问的感知都可能损害品牌，并引发政治上的禁令或强制剥离呼声，就像此前在美国和其他司法管辖区发生的情况一样。

该公司正试图通过法律上诉、基础设施投资（如Project Clover）和强调安全、独立及与监管机构合作的公开信息来应对这一困境。然而，挪威最新的指控表明，TikTok仍在进行有争议的数据传输，因此关于信任、透明度和主权的问题远未解决。

用户和监管机构的下一步

未来几个月，将密切关注以下几项发展：

• 对爱尔兰DPC5.3亿欧元罚款的法院挑战，这将测试欧盟监管机构在基于外国安全法律限制数据流向中国方面的权力。
• 新的爱尔兰调查关于存储在中方服务器上的EEA数据的结局，可能导致进一步制裁或对数据路由和访问控制的有约束力的命令。
• 其他欧洲监管机构可能采取的协调执法行动，包括挪威和荷兰，这些国家已警告用户TikTok仍在向中国发送数据。

对普通用户而言，这场争议提醒人们，与全球平台互动越来越多地涉及地缘政治和个人隐私的权衡。TikTok能否令人信服地证明其欧洲业务与中国的安全机构绝缘，将不仅决定其在欧洲的监管命运，也决定欧盟与中国数字关系的更广泛走向。