TikTok橫掃歐洲——「最嚴個資法」GDPR怎樣審視中國互聯網巨頭？

TikTok上的悲劇

2021年1月20日晚，意大利西西里島上的一戶五口之家突然陷入混亂。10歲的大女兒Antonella，在浴室中失去意識，無法動彈。她脖子上拴着腰帶，跟毛巾支架鈎一塊，手機就在旁邊，裏面TikTok軟件開着，正錄製這次「窒息挑戰」的視頻。家人驚慌失措，急忙嘗試心臟按摩和人工呼吸，無濟於事。第二天，醫院宣布小女孩腦死亡，救治失敗。

時鐘撥回事故前一個月，意大利數據隱私監管機構GPDP點名TikTok，指責用戶註冊年齡容易作弊，認為系統默認用戶內容公開欠妥。2020年12月22日，監管機構正式開啟調查，限TikTok30天內給予回應。

30天的限期快到，監管者未收到企業回覆，卻等來這場命案。「10歲兒童沉迷社交網絡導致意外死亡」，新聞本身悲愴，令人警醒，意大利乃至整個歐洲輿論一片譁然。TikTok成為眾矢之的。

中國互聯網巨頭字節跳動的社交APP——抖音國際版本TikTok，在美國受挫後深耕歐洲，爆火同時，深陷兒童保護和數據隱私爭議。歐盟、丹麥、英國和法國分別於2020年6月12日、6月30日、7月3日、9月2日，先後啟動TikTok涉嫌違反歐盟《通用資料保護規範》（簡稱 GDPR）的調查。

2021年1月22日，意大利數據隱私監管機構發布緊急公告，要求TikTok整改：若無法確定用戶年齡，平台無權處理相關數據，禁令直至2月15日結束。GDPR規定，16歲以上的用戶可自主授權信息收集，不同國家，法律設置各異，「數碼自主」年齡最低可降至13歲。

2020年12月，一位12歲的英國女孩向TikTok提起訴訟，隨後得到英國前兒童事務專員朗菲爾德（Anne Longfield）的支持提起集體訴訟，指控TikTok處理青少年用戶的數據，但無法保證足夠的安全措施、透明度、監護人同意或合法權益等條件，違反英國和歐盟的數據保護法。訴訟案要求TikTok刪除所有兒童用戶的個人信息，若訴訟成功，損害賠償可高達數十億英鎊。

雖然TikTok面臨的道德譴責和法律敲打加碼升級，但未妨礙業績在歐洲蒸蒸日上。

2020年9月，TikTok歐洲用戶突破1億大關，緊追美國用戶人數，其中英國用戶1700萬、法國1100萬、德國1100萬、意大利共計980萬、西班牙820萬……據彭博社報導，法國、意大利和西班牙TikTok未成年用戶佔比最高，皆為33%。歐洲消費者組織（BEUC）整理各國媒體報導稱：2020年，法國45%低於13歲兒童自稱使用TikTok；2020年，英國8歲到15歲兒童半數使用TikTok；2019年，捷克11到12歲年齡段的兒童最熱衷使用TikTok；2019年，挪威32%10到11歲兒童使用TikTok。

10歲的Antonella便曾是TikTok華麗數據背後，默默無聞但又渴望關注的一員。她長黑髮，大眼睛，兩頰肉乎乎的，兩年前使用父母手機，在不同的社交平台，註冊十來個賬戶。她愛跳愛唱，熱衷化粧和髮型視頻，夢想有天成為美容師。用她爸爸的話說，「TikTok和Youtube就是她的整個世界」。她十歲生日那天，收到父母贈送的禮物——人生中第一部智能手機。2020年新冠疫情席捲歐洲，隔離在家，TikTok擔任陪伴和聯繫外界的雙重角色。

一年前，她發布慢回彈玩具製作教程，在Youtube上仍能被看到。視頻裏，她手持道具，舉到鏡頭前正面定住，方便觀眾看清，一舉一動，同視頻化粧博主，別無二致。視頻模仿痕跡重，動作標準劃一，透露着老練，配上她稚嫩的面頰，有着說不出的怪異。

死前幾分鐘，Antonella曾在TikTok軟件，瀏覽多條「窒息挑戰」的視頻。二三十年來，類似「窒息挑戰」的危險遊戲，在西方青少年中風靡。玩家藉助外力憋氣，大腦缺氧暫時昏迷，在挑戰極限中尋找快感。專家和家長頻出警告，仍無法阻止遊戲從線下轉線上，尤其在以挑戰賽成名的TikTok平台上「開枝散葉」。

沒人想到，小孩子下意識的模仿，會帶來致命危險。

2021年2月9日至4月21日，TikTok要求1250萬意大利用戶確認年齡，後刪除50萬個違規賬戶，其中40萬人宣稱低於13歲，另通過檢測工具，確認另14萬人隱瞞真實年齡。TikTok保證，如發現13歲以下兒童開設賬戶，會在48小時內刪除，不排除採用人工智能等技術，排查審核。

GDPR推行「一站式」管理，涉事企業總部所在國的監管機構，擁有監管權限。TikTok歐洲總部位於愛爾蘭，意大利監管機構本無權施令，此次行動的法理支撐，或源於GDPR第66條，即緊急狀況之下，國家監管機構有權採取「緊急程序」，進行干預，但持續時間不得超過3個月。

Antonella葬禮在家鄉巴勒莫 （Palerme）的教堂舉行，那天下着小雨，市長和數名議員都來到現場。她幼小的軀體，靜靜地躺在白棺裏，棺外眾人「為小姑娘鼓掌告別」。有人為她放飛氣球，也有人在網上為她設立紀念頁面。虛擬世界裏，哀悼活動未曾停歇。

「她想成為女王，成為TikTok的明星，她成功了。」Antonella的父親接受媒體採訪時若有所思，緩緩說道。

算法下，兒童的安全未來

中國獨創商業模式——直播「打賞」，乘TikTok全球化「東風」，一路「西進」。2017年起，中國境內討論甚廣的「青少年打賞」亂象，幾年後在西方國家原貌上演。2020年9月，法國消費者保護協會——「6000萬消費者」發布調查報導，揭露TikTok網紅誘青少年打賞和轉賬騙局。

報導中提到，一個13歲的法國小男孩，除了打賞，還使用Paypal給TikTok網紅波諾瓦·舍瓦里爾（Benoît Chevalier）轉賬數百歐，希望對方在直播中給他的賬號打廣告，以增加粉絲。有次被父母發現，轉賬凍結，後遭舍瓦里爾威脅。這名坐擁400多萬粉絲的法國網紅甚至攜朋友，跑到小男孩家裏要錢。

抖音和TikTok為姊妹公司，功能相似但有所不同。兩個平台需一定粉絲， 才可開通直播，收穫粉絲打賞禮物實現變現，抖音粉絲直播門檻為5萬人，TikTok開直播只需1000粉絲。雙方共享同一套結算模式，即流通貨幣購買抖音幣，通過抖音幣購買虛擬禮物：在抖音，一抖音幣為0.1元；TikTok平台上，一抖音幣約為0.015歐（約為0.12元）。此外，抖音平台對主播抽取45%到70%抽成，TikTok平台抽成也在50%左右。

打賞亂象頻發，坐收漁利的TikTok平台，應擔負怎樣的責任？「6000萬消費者」追問下，TikTok語焉不詳，僅回覆已採取相應措施，未做具體解釋。

TikTok規定，使用者年齡長於18歲，才有權打賞，可用戶自報年齡，平台本身不會核實，導致13歲以下低齡兒童，在TikTok平台甚是活躍。「歐洲青少年寵兒」的標籤之於TikTok，如同一把雙刃劍，保護兒童和追逐暴利位於天平兩端，在找尋平衡的路上，搖擺不定、兇險頗多。

2021年2月16日，歐洲消費者組織（BEUC）代表瑞典、德國和法國等15個成員協會，向歐盟委員會（European Commission）提出投訴，稱「TikTok違反了多項歐盟消費者權利，未能使兒童免受隱藏廣告和不適當內容的侵害」 。該組織發布兩份報告，分別從消費者保護法和數據隱私法兩方面，詳細解讀TikTok的「違規」操作；同時向三個歐洲組織——歐盟的「消費者保護合作組織（CPC）及歐盟委員會、歐洲視聽服務監管組織（European Regulators Group for Audiovisual ）和歐洲數據保護委員會，郵寄公開信。

歐洲消費者組織投訴第二條便針對TikTok的打賞政策，即「TikTok用戶可購買硬幣來買虛擬禮物，平台規定裏涉及不公平且誤導性條款」。歐洲消費者組織根據消費法，分門別類列舉TikTok平台使用合同漏洞。例如TikTok稱自己「無論在任何情況下，擁有全權修改，管理和控制硬幣和禮物之間匯率的絕對權利，且無需對使用者負責」。但《歐盟不平等合同條令》明確規定，任何合同若授予交易方單方面、且無需正當理由便進行修改的絕對權力，都是不公平的。

「TikTok提供服務，但也得遵循所在地法律。在歐洲，不是任何行為都被允許」，法國數據保護律師吉拉爾·阿斯（Gérard Haas）阿斯告訴端傳媒。

「TikTok若非法收集兒童信息，會有法律制裁。但現在小孩子上網不設防，主動公開大量個人信息。有時還真難全都怪到TikTok頭上。」發出這一感慨的是法國企業家丹尼爾·賈斯曼（Daniel Jasmin）。賈斯曼曾多次創業，如今專注低齡兒童網絡素養項目，創立「社交網絡學校」，通過益智趣味遊戲，提高低齡兒童網絡保護能力。

法國初中開設受網絡素養課程，但幼兒園和小學在這塊的教育，則是空白。賈斯曼向端傳媒表示：「小孩在社交網絡誕生，本身就是其中的一部分。父母每天沉迷社交網絡，小孩『鸚鵡學舌』，也想進去看看。說得誇張一點，他們在孃胎時，已成為社交網絡的互動因子。」

這也意味着，社交原住民從小便受到網絡暴力困擾。

歐盟資助的「歐洲兒童上網研究網絡」，曾在19個國家做調研，2020年發布最新報告發現：11%到45%的9到11歲兒童每天登陸社交網絡；7%到45%的9到16歲兒童在網上遭遇過導致自己不開心、不舒服或擔驚受怕的經歷。

法國Youtube視頻博主「鼠王」（Le Roi des Rats）是名社交網絡觀察者和批評家，擁有139萬粉絲，因高質量視頻和批判性思維，在法國青少年和主流媒體中，擁有極高聲譽。2018年底至今，他共計發布3個揭露TikTok陰暗面的調查性視頻，尤其指出TikTok平台上存在的「誘騙打賞」、「多戀童癖」和「兒童軟色情」等亂象，向TikTok問責，共計收穫近800萬次觀看量。

2021年1月，法國女權協會「放肆者」（Les effronté-e-s）依託調查視頻，發起集體請願，要求TikTok修改算法、提高家長監控功能效率，並增加內容審核人力物力。協會在公告中表示：「一方面，TikTok平台發布青少年甚至幼兒的性感視頻，引戀童犯罪分子出動；另一方面，青少年容易在平台上過早接觸色情內容。」

字節跳動2012年誕生之初，便依託推薦算法原理，在中國科技叢林迅速突圍。2020年，迫於美國壓力，TikTok首次公布「推薦」板塊的基本運行機制——基於機器學習的人工智能，通過分析用戶互動、視頻聲影信息以及賬戶語言國家設置，向用戶推薦視頻。

2020年2月，英國在線視頻編輯工具Veed.io團隊依託自身內容創作和人工智能視頻工具開發雙重優勢，深度解讀TikTok算法推薦。Veed.io指出TikTok視頻啟動後，用戶同內容的互動將作為樣本被追蹤評估，互動指標不同，評分等級不盡相同，用戶內容獲得的內容推薦獎勵同樣不同。粗略估算，重複觀看率、完成率、分享、評論和點讚五個指標，代表的推薦分值分別是10分、8分、6分、4分和2分。

隨着人工智能發展，在東西社會，算法的倫理性皆成討論焦點。算法不只是一種技術，僅反應人類人性的鏡子，算法也會變成精心設計的「陷阱」，最終同普世價值為敵。

2019年德國之聲報導，德國媒體NetzPolitik.org曾取得一份TikTok審查員培訓手冊，其中顯示面部畸形者、自閉症、唐氏綜合症，甚至同性戀和超重人群，均被列入「特殊人士」名單，審核員會加以標註，根據算法進行限制。2021年，法國電視2台播放的TikTok調查報導中，採訪到一名TikTok歐洲區前內容審核員。他提到TikTok有意限制政治性內容，「起初連國家領導人出現的視頻都被限流」。

法國電台知名記者索尼婭·德維利埃（Sonia Devillers）2018年瀏覽TikTok視頻時，便曾注意到裏面的年輕女孩各個長髮、大胸、短身T恤、漫畫腰和翹臀，跳起舞來扭臀甩胸，並感慨說，這是「一代被克隆的年輕人」。

整齊劃一的外貌審美背後，算法起了怎樣的作用？之後又會帶來怎樣的危害？目前GPDP條款不涉及算法內容推薦，不過第22條「自動化的個人決策，包括用戶畫像」規定：「完全依靠自動化處理——包括用戶畫像——對數據主體做出具有法律影響或類似嚴重影響的決策時，數據主體有權反對此類決策。」

歐盟2020年推出《人工智能白皮書》，於2021年4月份歐盟於提交人工智能監管法案，強調使用人工智能技術時，確保算法透明度和審計檢測，欲為算法的野蠻生長畫上句號。

「洪水猛獸」還是「酷超年輕」？TikTok在歐洲引發的爭議仍將繼續。賈斯曼作為創業者，對新風潮興致勃勃，「現在年輕人，一分鐘內就能把事情講清楚，這很厲害的」。作為父親，他則讓自己的孩子們儘可能晚地接觸智能手機，不然「他們早早便對屏幕上癮」。

當TikTok遇上GDPR

在數據保護層面，兒童的年齡為何事關重要？GDPR第6條詳細列明在六種情況之下，機構及企業應當有權處理用戶的個人數據，當中包括得到當事人的同意；履行與當事人的合約或為這合約作準備；依從法律責任；保護當事人或另一人的重要利益，而當事人無能力給予同意；執行為公眾利益而進行的工作或行使賦予數據控制者的正式權力；及為合法利益為目的。

不過，在最後一種情況中，條例又特別申明，兒童的權利會得到特別的保護，當其權利被侵害，機構不能用合法利益為申辯理由。在GDPR第8條，又進一步限制關於兒童數據的處理，任何16歲以下的兒童（或部分歐盟成員國定為13歲，這也是最低門檻），其同意必須由負有父母責任的人士給予或授權。

換言之，在歐盟內，兒童在下載並使用TikTok時，其同意應是由其父母給予的，而13歲以下的兒童，更加是不可能使用TikTok的服務。這也是為什麼TikTok要保證，如發現13以下兒童開設賬戶，會在48小時內刪除。

涉及兒童的不幸案例，在輿論容易得到共識，對監管機構而言，也因為年齡限制是硬性而明確的，在執法時它們就更容易，不需要捲入企業是否有權處理數據的爭議中。TikTok這個用戶年齡層偏低的平台，就成為眾矢之的。在2021年7月22日，荷蘭的執法機構，又再因為TikTok涉嫌違法兒童數據保護被罰725,000歐元。

在這數據就是資產的年代，TikTok當然不會放棄處理兒童數據。「開始進軍國際市場時，我們許多母公司的員工也被發往不同市場幫助開荒。」曾在字節跳動母公司任職的安利（化名）從事市場推廣工作，當時不只是她的領域，無論是數據分析師、系統工程師等，也有人被遣往不同的市場，幫助當地分公司啟動新市場。

「但來到2020年末，分公司也極速執行本土化政策。不單是內容、市場推廣上的分別，在市場推廣部門，如德國等的分部，只會聘用熟知本地市場的人。在演算法上，不同市場也已經堆疊出不同的演算法去分配內容。母公司會提供發展的大方向，但如何在地區應用，就是地區辦公室的工作了。」

如果因為要符合GDPR而不再處理兒童的數據，對這有效的演算法自然有巨大影響。不過，也因為TikTok不單真正打進國際市場，在不同市場也保留經營上的獨立性。這也意味著TikTok走出了一條其他社媒平台Facebook、Instagram等公司都未摸索出來的路徑。

安利說：「公司內部的方向，是讓地區分公司建立出一定的獨立性，以應付日後突如其來的規管。」她認為，這是字節跳動與其他國際及中國科技企業不同的地方，沒有其他中國社交媒體公司，像TikTok般在歐美成功建構在地的生態圈，同時，與以美國為主的國際企業相比，字節跳動面對的是更複雜的國際局勢 。

「像在美國已建立的TAC，現在也搬到歐洲來，雖然形式上相同，但其實際操作上，也是根據地區的要求變化吧。」她指的TAC，即透明度及問責中心（Transparency and Accountability Centre），字節跳動於2020年先於美國建立類似的中心，用途是讓外來的專家觀查TikTok團隊的日常運作，包括員工如何根據內容指南，審查以自動化技術標記出來的內容。

「當初美國中心建立時，主要是要回應美國對TikTok內容審查的關注。而在歐洲的中心，無論政府使用什麼理由去規管，它也盡量以公開透明的姿態去回應。那不單符合合規的要求，是更進一步，嘗試得到其他國家的信任。」她說。由於COVID-19疫情關係，TikTok在歐洲的透明度及問責中心暫時仍只在網上運作，計劃在2022年，於愛爾蘭總部加設歐洲的實體中心。

根據多倫多大學Citizen Lab的研究，TikTok與抖音兩個程式在收集數據時，都合理地得到用戶的同意，這點在GDPR合規上非常重要。在關鍵詞審查中，TikTok也沒有限制研究機構測試的所有字眼。即使抖音有使用動態代碼加載（Dynamic code loading, DCL）、伺服器端搜尋審查（Server-side search censorship）等技術構成一定程度的數據安全隱患，不過，這不影響TikTok在歐洲的合規程序。

那到底在數據保護層面，相比美國科技巨擎GAFAM（谷歌、蘋果、臉書、亞馬遜和微軟），TikTok有何不同？數據保護律師阿斯聽到這個問題有些茫然：「GAFAM有的問題，TikTok都有，在處理個人數據上沒什麼不同。TikTok若不遵守歐洲法律，同樣得受罰。」

同GAFAM一樣，TikTok在中國「被牆」，數據儲存首選美國，歐洲總部選在「避税天堂」，在歐洲本土設立數據儲存中心，甚至招兵買馬發展業務，都傾向GAFAM出身的高管。

無論東西，互聯網巨頭瘋狂開採「數據石油」，迫於壓力，半推半就推出用戶隱私政策。就像是舉辦了一場「選醜」比賽，結果往往是，沒有最「醜」，只有更「醜」。阿斯強調：「只不過TikTok是個中國公司，僅此而已。」

跨國社交媒體數據的「跨國屬性」

宏觀來說，數據保護法在歐盟不只是用作保護用戶的數據，更與反競爭法相互補足，令執法機構有更大權力去規管企業。由於Google、Facebook、TikTok這類以流量、數據為主要資產的企業手握不對稱份量的數據，只有通過結合數據保護法、反競爭法等法則，監管機構才有能力去監管企業，以保護一般的消費者。

GDPR已執行逾兩年，非歐盟國家企業在歐盟境內的業務面對極大挑戰。一般企業面對的難題，主要是如何取得用戶共識、用戶相關數據保安等。但跨國的社交媒體公司更大的難度在於如何傳送數據，以及保持演算法繼續有效。尤其當數據需要傳送到歐盟境外，GDPR帶來的限制就更大。

因為GDPR的推行，以及人權律師施雷姆斯（Maximilian Schrems）發起的兩起針對facebook歐洲分公司的訴訟，歐盟走向更為保護用戶數據的方向。Schrems II案的判決，裁定歐美當時用作交換數據的「Privacy Shield」框架不通用，但判決仍提供另一可能性：企業在合約中加入「標準合約條款」（Standard Contractual Clauses, SCC），有機會提供一個表面有效的合約機制，去符合歐盟標準的合規程序。但是，SCC始終只是企業之間的合約機制，而不是國家之間的機制，換言之，國家層面的決定仍有機會影響SCC的應用。

Schrems I與Schrems II案的爭議點在於facebook有否在歐盟國家收集的用戶數據運回美國，如有的話，這又是否違反GDPR？對Facebook而言，答案是明顯的，它過去有把數據運回美國，而且只要美國政府認為涉及國家安全事宜，就有權力取得美國企業在海外收集的數據，這點也是歐盟與美國在數據保護上的角力。

在這個背景下，來自中國的字節跳動在美國、歐洲已有一定規模，也有大量本土的用戶，也就不得不面對這問題：到底它在歐洲的用戶數據，是否有被運回中國的伺服器？

Schrems II案發生在2020年，到了2021年的6月4日，歐盟終於採用實質的SCC執行方案。歐洲執行委員會的公義專員（Commissioner for Justice）雷恩代爾（Didier Reynders）表示，他們嘗試在完全符合GDPR的情況下，添加透明度和問責的要素，「公司的任務，是看看他們會否只使用SCC，或採取額外的保護措施，如加密和匿名化個人數據。」

解讀雷恩代爾的話，即是指在歐洲執行委員會層面，SCC將會被接納。在SCC的框架下，用戶數據可以傳送到美國及其他國家。而加密及保持透明度的責任，就落在企業身上。雷恩代爾表示，這行動的最終目的，是避免Schrems III的出現。

2021年6月1日，剛好在SCC方案公布前，德國多個聯邦的執法機構，包括巴伐利亞、柏林、布蘭登堡、漢堡、下薩克森等，共同公布將會推行「全國審核」，以執行Schrems II的判決。這些執法機構將會選擇性向企業發放問卷，問題會關於應徵系統、內部數據處理、追蹤、電郵及網站寄存等。

曾在字節跳動母公司任職的安利就認為，新推出的SCC方案是可以預期的。「SCC是歐盟與美國之間的一個折衷方案，否則抖音就陰差陽錯地成為先行者了。」安利說，「如果沒有SCC，其他平台也可能要與抖音一樣，把不同的市場分隔開，盡量滿足不同市場的法規要求。內容是媒體的核心，而不同市場的內容，也是分隔開。這其實就是過往所謂的中國模式吧。」

正如雷恩代爾所言，新的SCC的方案，是為了避免Schrems III的出現。但真的能避免嗎？GDPR要企業先向用戶索取收集數據的同意，因此，如今不同網站會設計出複雜難明的Cookie Banner，嘗試令用戶同意交出數據。在2021年5月31日，Schrems所屬組織Noyb發動超過五百宗投訴，指不同網站上Cookie Banner索取同意的方法不符合GDPR。

新的SCC標準，在維權上其實又走了回頭路，因為它讓美國政府有空間操作，不用在法律層面上加強對個體數據的保護，這個做法，理論上也可以伸引到歐盟與中國等其他國家的數據交換上。

中國的社交媒體能否繼續在歐美世界立足？如今的國際市場門檻變得更高。無論是伺服器設立、不同地區合規部門的設立，也加大了進入不同市場的成本。即使有足夠資源，也需要面對政治上的風險，而這也是TikTok要讓不同地區的分公司顯得獨立的主因之一。

中國科技企業全球化大潮中，TikTok因GDPR觸雷並非個案。中國涉外律師曾磊針對「數據本地化」曾撰寫文章舉例，2018年5月25日，小米旗下智能燈具品牌Yeelight宣布因未能滿足GDPR要求，一度暫停在歐服務；2018年12月10日，共享單車摩拜涉嫌違反GDPR，遭德國監管機構調查。

TikTok數據隱私保護條款明確寫到，TikTok所收集信息，可與字節跳動集團子公司共享。大國博弈時代，TikTok是否與中國政府共享數據，字節跳動對此無法迴避。這一推斷目前缺少確鑿證據，未被證實。此外，從被俄羅斯情報部門利用干預美國大選、劍橋分析數據醜聞，Facebook多起政治醜聞在先，TikTok初出茅廬，引發的數據爭議，小巫見大巫，在歐洲輿論場，尚未掀起多大波瀾。

法國數據保護律師阿斯向端傳媒坦言：「年輕人太愛TikTok，歸根結底，孩子的安全問題，才是TikTok面臨的最大挑戰」。

本刊載內容版權為端傳媒或相關單位所有， 未經端傳媒編輯部授權，請勿轉載或複製，否則即為侵權。