TikTok横扫欧洲——“最严个资法”GDPR怎样审视中国互联网巨头？

TikTok上的悲剧

2021年1月20日晚，意大利西西里岛上的一户五口之家突然陷入混乱。10岁的大女儿Antonella，在浴室中失去意识，无法动弹。她脖子上拴着腰带，跟毛巾支架钩一块，手机就在旁边，里面TikTok软件开着，正录制这次“窒息挑战”的视频。家人惊慌失措，急忙尝试心脏按摩和人工呼吸，无济于事。第二天，医院宣布小女孩脑死亡，救治失败。

时钟拨回事故前一个月，意大利数据隐私监管机构GPDP点名TikTok，指责用户注册年龄容易作弊，认为系统默认用户内容公开欠妥。2020年12月22日，监管机构正式开启调查，限TikTok30天内给予回应。

30天的限期快到，监管者未收到企业回复，却等来这场命案。“10岁儿童沉迷社交网络导致意外死亡”，新闻本身悲怆，令人警醒，意大利乃至整个欧洲舆论一片哗然。TikTok成为众矢之的。

中国互联网巨头字节跳动的社交APP——抖音国际版本TikTok，在美国受挫后深耕欧洲，爆火同时，深陷儿童保护和数据隐私争议。欧盟、丹麦、英国和法国分别于2020年6月12日、6月30日、7月3日、9月2日，先后启动TikTok涉嫌违反欧盟《通用资料保护规范》（简称 GDPR）的调查。

2021年1月22日，意大利数据隐私监管机构发布紧急公告，要求TikTok整改：若无法确定用户年龄，平台无权处理相关数据，禁令直至2月15日结束。GDPR规定，16岁以上的用户可自主授权信息收集，不同国家，法律设置各异，“数码自主”年龄最低可降至13岁。

2020年12月，一位12岁的英国女孩向TikTok提起诉讼，随后得到英国前儿童事务专员朗菲尔德（Anne Longfield）的支持提起集体诉讼，指控TikTok处理青少年用户的数据，但无法保证足够的安全措施、透明度、监护人同意或合法权益等条件，违反英国和欧盟的数据保护法。诉讼案要求TikTok删除所有儿童用户的个人信息，若诉讼成功，损害赔偿可高达数十亿英镑。

虽然TikTok面临的道德谴责和法律敲打加码升级，但未妨碍业绩在欧洲蒸蒸日上。

2020年9月，TikTok欧洲用户突破1亿大关，紧追美国用户人数，其中英国用户1700万、法国1100万、德国1100万、意大利共计980万、西班牙820万……据彭博社报导，法国、意大利和西班牙TikTok未成年用户占比最高，皆为33%。欧洲消费者组织（BEUC）整理各国媒体报导称：2020年，法国45%低于13岁儿童自称使用TikTok；2020年，英国8岁到15岁儿童半数使用TikTok；2019年，捷克11到12岁年龄段的儿童最热衷使用TikTok；2019年，挪威32%10到11岁儿童使用TikTok。

10岁的Antonella便曾是TikTok华丽数据背后，默默无闻但又渴望关注的一员。她长黑发，大眼睛，两颊肉乎乎的，两年前使用父母手机，在不同的社交平台，注册十来个账户。她爱跳爱唱，热衷化粧和发型视频，梦想有天成为美容师。用她爸爸的话说，“TikTok和Youtube就是她的整个世界”。她十岁生日那天，收到父母赠送的礼物——人生中第一部智能手机。2020年新冠疫情席卷欧洲，隔离在家，TikTok担任陪伴和联系外界的双重角色。

一年前，她发布慢回弹玩具制作教程，在Youtube上仍能被看到。视频里，她手持道具，举到镜头前正面定住，方便观众看清，一举一动，同视频化粧博主，别无二致。视频模仿痕迹重，动作标准划一，透露着老练，配上她稚嫩的面颊，有着说不出的怪异。

死前几分钟，Antonella曾在TikTok软件，浏览多条“窒息挑战”的视频。二三十年来，类似“窒息挑战”的危险游戏，在西方青少年中风靡。玩家借助外力憋气，大脑缺氧暂时昏迷，在挑战极限中寻找快感。专家和家长频出警告，仍无法阻止游戏从线下转线上，尤其在以挑战赛成名的TikTok平台上“开枝散叶”。

没人想到，小孩子下意识的模仿，会带来致命危险。

2021年2月9日至4月21日，TikTok要求1250万意大利用户确认年龄，后删除50万个违规账户，其中40万人宣称低于13岁，另通过检测工具，确认另14万人隐瞒真实年龄。TikTok保证，如发现13岁以下儿童开设账户，会在48小时内删除，不排除采用人工智能等技术，排查审核。

GDPR推行“一站式”管理，涉事企业总部所在国的监管机构，拥有监管权限。TikTok欧洲总部位于爱尔兰，意大利监管机构本无权施令，此次行动的法理支撑，或源于GDPR第66条，即紧急状况之下，国家监管机构有权采取“紧急程序”，进行干预，但持续时间不得超过3个月。

Antonella葬礼在家乡巴勒莫 （Palerme）的教堂举行，那天下着小雨，市长和数名议员都来到现场。她幼小的躯体，静静地躺在白棺里，棺外众人“为小姑娘鼓掌告别”。有人为她放飞气球，也有人在网上为她设立纪念页面。虚拟世界里，哀悼活动未曾停歇。

“她想成为女王，成为TikTok的明星，她成功了。”Antonella的父亲接受媒体采访时若有所思，缓缓说道。

算法下，儿童的安全未来

中国独创商业模式——直播“打赏”，乘TikTok全球化“东风”，一路“西进”。2017年起，中国境内讨论甚广的“青少年打赏”乱象，几年后在西方国家原貌上演。2020年9月，法国消费者保护协会——“6000万消费者”发布调查报导，揭露TikTok网红诱青少年打赏和转账骗局。

报导中提到，一个13岁的法国小男孩，除了打赏，还使用Paypal给TikTok网红波诺瓦·舍瓦里尔（Benoît Chevalier）转账数百欧，希望对方在直播中给他的账号打广告，以增加粉丝。有次被父母发现，转账冻结，后遭舍瓦里尔威胁。这名坐拥400多万粉丝的法国网红甚至携朋友，跑到小男孩家里要钱。

抖音和TikTok为姊妹公司，功能相似但有所不同。两个平台需一定粉丝， 才可开通直播，收获粉丝打赏礼物实现变现，抖音粉丝直播门槛为5万人，TikTok开直播只需1000粉丝。双方共享同一套结算模式，即流通货币购买抖音币，通过抖音币购买虚拟礼物：在抖音，一抖音币为0.1元；TikTok平台上，一抖音币约为0.015欧（约为0.12元）。此外，抖音平台对主播抽取45%到70%抽成，TikTok平台抽成也在50%左右。

打赏乱象频发，坐收渔利的TikTok平台，应担负怎样的责任？“6000万消费者”追问下，TikTok语焉不详，仅回复已采取相应措施，未做具体解释。

TikTok规定，使用者年龄长于18岁，才有权打赏，可用户自报年龄，平台本身不会核实，导致13岁以下低龄儿童，在TikTok平台甚是活跃。“欧洲青少年宠儿”的标签之于TikTok，如同一把双刃剑，保护儿童和追逐暴利位于天平两端，在找寻平衡的路上，摇摆不定、凶险颇多。

2021年2月16日，欧洲消费者组织（BEUC）代表瑞典、德国和法国等15个成员协会，向欧盟委员会（European Commission）提出投诉，称“TikTok违反了多项欧盟消费者权利，未能使儿童免受隐藏广告和不适当内容的侵害” 。该组织发布两份报告，分别从消费者保护法和数据隐私法两方面，详细解读TikTok的“违规”操作；同时向三个欧洲组织——欧盟的“消费者保护合作组织（CPC）及欧盟委员会、欧洲视听服务监管组织（European Regulators Group for Audiovisual ）和欧洲数据保护委员会，邮寄公开信。

欧洲消费者组织投诉第二条便针对TikTok的打赏政策，即“TikTok用户可购买硬币来买虚拟礼物，平台规定里涉及不公平且误导性条款”。欧洲消费者组织根据消费法，分门别类列举TikTok平台使用合同漏洞。例如TikTok称自己“无论在任何情况下，拥有全权修改，管理和控制硬币和礼物之间汇率的绝对权利，且无需对使用者负责”。但《欧盟不平等合同条令》明确规定，任何合同若授予交易方单方面、且无需正当理由便进行修改的绝对权力，都是不公平的。

“TikTok提供服务，但也得遵循所在地法律。在欧洲，不是任何行为都被允许”，法国数据保护律师吉拉尔·阿斯（Gérard Haas）阿斯告诉端传媒。

“TikTok若非法收集儿童信息，会有法律制裁。但现在小孩子上网不设防，主动公开大量个人信息。有时还真难全都怪到TikTok头上。”发出这一感慨的是法国企业家丹尼尔·贾斯曼（Daniel Jasmin）。贾斯曼曾多次创业，如今专注低龄儿童网络素养项目，创立“社交网络学校”，通过益智趣味游戏，提高低龄儿童网络保护能力。

法国初中开设受网络素养课程，但幼儿园和小学在这块的教育，则是空白。贾斯曼向端传媒表示：“小孩在社交网络诞生，本身就是其中的一部分。父母每天沉迷社交网络，小孩‘鹦鹉学舌’，也想进去看看。说得夸张一点，他们在娘胎时，已成为社交网络的互动因子。”

这也意味着，社交原住民从小便受到网络暴力困扰。

欧盟资助的“欧洲儿童上网研究网络”，曾在19个国家做调研，2020年发布最新报告发现：11%到45%的9到11岁儿童每天登陆社交网络；7%到45%的9到16岁儿童在网上遭遇过导致自己不开心、不舒服或担惊受怕的经历。

法国Youtube视频博主“鼠王”（Le Roi des Rats）是名社交网络观察者和批评家，拥有139万粉丝，因高质量视频和批判性思维，在法国青少年和主流媒体中，拥有极高声誉。2018年底至今，他共计发布3个揭露TikTok阴暗面的调查性视频，尤其指出TikTok平台上存在的“诱骗打赏”、“多恋童癖”和“儿童软色情”等乱象，向TikTok问责，共计收获近800万次观看量。

2021年1月，法国女权协会“放肆者”（Les effronté-e-s）依托调查视频，发起集体请愿，要求TikTok修改算法、提高家长监控功能效率，并增加内容审核人力物力。协会在公告中表示：“一方面，TikTok平台发布青少年甚至幼儿的性感视频，引恋童犯罪分子出动；另一方面，青少年容易在平台上过早接触色情内容。”

字节跳动2012年诞生之初，便依托推荐算法原理，在中国科技丛林迅速突围。2020年，迫于美国压力，TikTok首次公布“推荐”板块的基本运行机制——基于机器学习的人工智能，通过分析用户互动、视频声影信息以及账户语言国家设置，向用户推荐视频。

2020年2月，英国在线视频编辑工具Veed.io团队依托自身内容创作和人工智能视频工具开发双重优势，深度解读TikTok算法推荐。Veed.io指出TikTok视频启动后，用户同内容的互动将作为样本被追踪评估，互动指标不同，评分等级不尽相同，用户内容获得的内容推荐奖励同样不同。粗略估算，重复观看率、完成率、分享、评论和点赞五个指标，代表的推荐分值分别是10分、8分、6分、4分和2分。

随着人工智能发展，在东西社会，算法的伦理性皆成讨论焦点。算法不只是一种技术，仅反应人类人性的镜子，算法也会变成精心设计的“陷阱”，最终同普世价值为敌。

2019年德国之声报导，德国媒体NetzPolitik.org曾取得一份TikTok审查员培训手册，其中显示面部畸形者、自闭症、唐氏综合症，甚至同性恋和超重人群，均被列入“特殊人士”名单，审核员会加以标注，根据算法进行限制。2021年，法国电视2台播放的TikTok调查报导中，采访到一名TikTok欧洲区前内容审核员。他提到TikTok有意限制政治性内容，“起初连国家领导人出现的视频都被限流”。

法国电台知名记者索尼娅·德维利埃（Sonia Devillers）2018年浏览TikTok视频时，便曾注意到里面的年轻女孩各个长发、大胸、短身T恤、漫画腰和翘臀，跳起舞来扭臀甩胸，并感慨说，这是“一代被克隆的年轻人”。

整齐划一的外貌审美背后，算法起了怎样的作用？之后又会带来怎样的危害？目前GPDP条款不涉及算法内容推荐，不过第22条“自动化的个人决策，包括用户画像”规定：“完全依靠自动化处理——包括用户画像——对数据主体做出具有法律影响或类似严重影响的决策时，数据主体有权反对此类决策。”

欧盟2020年推出《人工智能白皮书》，于2021年4月份欧盟于提交人工智能监管法案，强调使用人工智能技术时，确保算法透明度和审计检测，欲为算法的野蛮生长画上句号。

“洪水猛兽”还是“酷超年轻”？TikTok在欧洲引发的争议仍将继续。贾斯曼作为创业者，对新风潮兴致勃勃，“现在年轻人，一分钟内就能把事情讲清楚，这很厉害的”。作为父亲，他则让自己的孩子们尽可能晚地接触智能手机，不然“他们早早便对屏幕上瘾”。

当TikTok遇上GDPR

在数据保护层面，儿童的年龄为何事关重要？GDPR第6条详细列明在六种情况之下，机构及企业应当有权处理用户的个人数据，当中包括得到当事人的同意；履行与当事人的合约或为这合约作准备；依从法律责任；保护当事人或另一人的重要利益，而当事人无能力给予同意；执行为公众利益而进行的工作或行使赋予数据控制者的正式权力；及为合法利益为目的。

不过，在最后一种情况中，条例又特别申明，儿童的权利会得到特别的保护，当其权利被侵害，机构不能用合法利益为申辩理由。在GDPR第8条，又进一步限制关于儿童数据的处理，任何16岁以下的儿童（或部分欧盟成员国定为13岁，这也是最低门槛），其同意必须由负有父母责任的人士给予或授权。

换言之，在欧盟内，儿童在下载并使用TikTok时，其同意应是由其父母给予的，而13岁以下的儿童，更加是不可能使用TikTok的服务。这也是为什么TikTok要保证，如发现13以下儿童开设账户，会在48小时内删除。

涉及儿童的不幸案例，在舆论容易得到共识，对监管机构而言，也因为年龄限制是硬性而明确的，在执法时它们就更容易，不需要卷入企业是否有权处理数据的争议中。TikTok这个用户年龄层偏低的平台，就成为众矢之的。在2021年7月22日，荷兰的执法机构，又再因为TikTok涉嫌违法儿童数据保护被罚725,000欧元。

在这数据就是资产的年代，TikTok当然不会放弃处理儿童数据。“开始进军国际市场时，我们许多母公司的员工也被发往不同市场帮助开荒。”曾在字节跳动母公司任职的安利（化名）从事市场推广工作，当时不只是她的领域，无论是数据分析师、系统工程师等，也有人被遣往不同的市场，帮助当地分公司启动新市场。

“但来到2020年末，分公司也极速执行本土化政策。不单是内容、市场推广上的分别，在市场推广部门，如德国等的分部，只会聘用熟知本地市场的人。在演算法上，不同市场也已经堆叠出不同的演算法去分配内容。母公司会提供发展的大方向，但如何在地区应用，就是地区办公室的工作了。”

如果因为要符合GDPR而不再处理儿童的数据，对这有效的演算法自然有巨大影响。不过，也因为TikTok不单真正打进国际市场，在不同市场也保留经营上的独立性。这也意味著TikTok走出了一条其他社媒平台Facebook、Instagram等公司都未摸索出来的路径。

安利说：“公司内部的方向，是让地区分公司建立出一定的独立性，以应付日后突如其来的规管。”她认为，这是字节跳动与其他国际及中国科技企业不同的地方，没有其他中国社交媒体公司，像TikTok般在欧美成功建构在地的生态圈，同时，与以美国为主的国际企业相比，字节跳动面对的是更复杂的国际局势 。

“像在美国已建立的TAC，现在也搬到欧洲来，虽然形式上相同，但其实际操作上，也是根据地区的要求变化吧。”她指的TAC，即透明度及问责中心（Transparency and Accountability Centre），字节跳动于2020年先于美国建立类似的中心，用途是让外来的专家观查TikTok团队的日常运作，包括员工如何根据内容指南，审查以自动化技术标记出来的内容。

“当初美国中心建立时，主要是要回应美国对TikTok内容审查的关注。而在欧洲的中心，无论政府使用什么理由去规管，它也尽量以公开透明的姿态去回应。那不单符合合规的要求，是更进一步，尝试得到其他国家的信任。”她说。由于COVID-19疫情关系，TikTok在欧洲的透明度及问责中心暂时仍只在网上运作，计划在2022年，于爱尔兰总部加设欧洲的实体中心。

根据多伦多大学Citizen Lab的研究，TikTok与抖音两个程序在收集数据时，都合理地得到用户的同意，这点在GDPR合规上非常重要。在关键词审查中，TikTok也没有限制研究机构测试的所有字眼。即使抖音有使用动态代码加载（Dynamic code loading, DCL）、服务器端搜寻审查（Server-side search censorship）等技术构成一定程度的数据安全隐患，不过，这不影响TikTok在欧洲的合规程序。

那到底在数据保护层面，相比美国科技巨擎GAFAM（谷歌、苹果、脸书、亚马逊和微软），TikTok有何不同？数据保护律师阿斯听到这个问题有些茫然：“GAFAM有的问题，TikTok都有，在处理个人数据上没什么不同。TikTok若不遵守欧洲法律，同样得受罚。”

同GAFAM一样，TikTok在中国“被墙”，数据储存首选美国，欧洲总部选在“避税天堂”，在欧洲本土设立数据储存中心，甚至招兵买马发展业务，都倾向GAFAM出身的高管。

无论东西，互联网巨头疯狂开采“数据石油”，迫于压力，半推半就推出用户隐私政策。就像是举办了一场“选丑”比赛，结果往往是，没有最“丑”，只有更“丑”。阿斯强调：“只不过TikTok是个中国公司，仅此而已。”

跨国社交媒体数据的“跨国属性”

宏观来说，数据保护法在欧盟不只是用作保护用户的数据，更与反竞争法相互补足，令执法机构有更大权力去规管企业。由于Google、Facebook、TikTok这类以流量、数据为主要资产的企业手握不对称份量的数据，只有通过结合数据保护法、反竞争法等法则，监管机构才有能力去监管企业，以保护一般的消费者。

GDPR已执行逾两年，非欧盟国家企业在欧盟境内的业务面对极大挑战。一般企业面对的难题，主要是如何取得用户共识、用户相关数据保安等。但跨国的社交媒体公司更大的难度在于如何传送数据，以及保持演算法继续有效。尤其当数据需要传送到欧盟境外，GDPR带来的限制就更大。

因为GDPR的推行，以及人权律师施雷姆斯（Maximilian Schrems）发起的两起针对facebook欧洲分公司的诉讼，欧盟走向更为保护用户数据的方向。Schrems II案的判决，裁定欧美当时用作交换数据的“Privacy Shield”框架不通用，但判决仍提供另一可能性：企业在合约中加入“标准合约条款”（Standard Contractual Clauses, SCC），有机会提供一个表面有效的合约机制，去符合欧盟标准的合规程序。但是，SCC始终只是企业之间的合约机制，而不是国家之间的机制，换言之，国家层面的决定仍有机会影响SCC的应用。

Schrems I与Schrems II案的争议点在于facebook有否在欧盟国家收集的用户数据运回美国，如有的话，这又是否违反GDPR？对Facebook而言，答案是明显的，它过去有把数据运回美国，而且只要美国政府认为涉及国家安全事宜，就有权力取得美国企业在海外收集的数据，这点也是欧盟与美国在数据保护上的角力。

在这个背景下，来自中国的字节跳动在美国、欧洲已有一定规模，也有大量本土的用户，也就不得不面对这问题：到底它在欧洲的用户数据，是否有被运回中国的服务器？

Schrems II案发生在2020年，到了2021年的6月4日，欧盟终于采用实质的SCC执行方案。欧洲执行委员会的公义专员（Commissioner for Justice）雷恩代尔（Didier Reynders）表示，他们尝试在完全符合GDPR的情况下，添加透明度和问责的要素，“公司的任务，是看看他们会否只使用SCC，或采取额外的保护措施，如加密和匿名化个人数据。”

解读雷恩代尔的话，即是指在欧洲执行委员会层面，SCC将会被接纳。在SCC的框架下，用户数据可以传送到美国及其他国家。而加密及保持透明度的责任，就落在企业身上。雷恩代尔表示，这行动的最终目的，是避免Schrems III的出现。

2021年6月1日，刚好在SCC方案公布前，德国多个联邦的执法机构，包括巴伐利亚、柏林、布兰登堡、汉堡、下萨克森等，共同公布将会推行“全国审核”，以执行Schrems II的判决。这些执法机构将会选择性向企业发放问卷，问题会关于应征系统、内部数据处理、追踪、电邮及网站寄存等。

曾在字节跳动母公司任职的安利就认为，新推出的SCC方案是可以预期的。“SCC是欧盟与美国之间的一个折衷方案，否则抖音就阴差阳错地成为先行者了。”安利说，“如果没有SCC，其他平台也可能要与抖音一样，把不同的市场分隔开，尽量满足不同市场的法规要求。内容是媒体的核心，而不同市场的内容，也是分隔开。这其实就是过往所谓的中国模式吧。”

正如雷恩代尔所言，新的SCC的方案，是为了避免Schrems III的出现。但真的能避免吗？GDPR要企业先向用户索取收集数据的同意，因此，如今不同网站会设计出复杂难明的Cookie Banner，尝试令用户同意交出数据。在2021年5月31日，Schrems所属组织Noyb发动超过五百宗投诉，指不同网站上Cookie Banner索取同意的方法不符合GDPR。

新的SCC标准，在维权上其实又走了回头路，因为它让美国政府有空间操作，不用在法律层面上加强对个体数据的保护，这个做法，理论上也可以伸引到欧盟与中国等其他国家的数据交换上。

中国的社交媒体能否继续在欧美世界立足？如今的国际市场门槛变得更高。无论是服务器设立、不同地区合规部门的设立，也加大了进入不同市场的成本。即使有足够资源，也需要面对政治上的风险，而这也是TikTok要让不同地区的分公司显得独立的主因之一。

中国科技企业全球化大潮中，TikTok因GDPR触雷并非个案。中国涉外律师曾磊针对“数据本地化”曾撰写文章举例，2018年5月25日，小米旗下智能灯具品牌Yeelight宣布因未能满足GDPR要求，一度暂停在欧服务；2018年12月10日，共享单车摩拜涉嫌违反GDPR，遭德国监管机构调查。

TikTok数据隐私保护条款明确写到，TikTok所收集信息，可与字节跳动集团子公司共享。大国博弈时代，TikTok是否与中国政府共享数据，字节跳动对此无法回避。这一推断目前缺少确凿证据，未被证实。此外，从被俄罗斯情报部门利用干预美国大选、剑桥分析数据丑闻，Facebook多起政治丑闻在先，TikTok初出茅庐，引发的数据争议，小巫见大巫，在欧洲舆论场，尚未掀起多大波澜。

法国数据保护律师阿斯向端传媒坦言：“年轻人太爱TikTok，归根结底，孩子的安全问题，才是TikTok面临的最大挑战”。

本刊載內容版權為端傳媒或相關單位所有， 未經端傳媒編輯部授權，請勿轉載或複製，否則即為侵權。