تیک‌تاک به دلیل ارسال غیرقانونی داده‌های کاربران اروپایی به چین جریمه شد

کمیسیون حفاظت از داده‌های ایرلند (‏DPC‏) مالک تیک‌تاک یعنی شرکت چینی ‏ByteDance‏ ‏را به دلیل نقض قوانین حریم خصوصی اتحادیه اروپا، به پرداخت ۵۳۰ میلیون یورو معادل ‏‏۶۰۲ میلیون دلار محکوم و جریمه کرد. این نهاد نظارتی اعلام کرده که تیک‌تاک داده‌های ‏کاربران اروپایی را به چین ارسال کرده، بدون اینکه بتواند تضمین کند این اطلاعات از ‏دسترسی نهادهای نظارتی دولت چین در امان مانده‌اند.‏

ماه گذشته گزارش شده بود که ‏DPC‏ در حال آماده شدن برای صدور این جریمه سنگین است ‏که حالا به‌عنوان سومین جریمه بزرگ در تاریخ نقض مقررات ‏GDPR‏ (مقررات عمومی ‏حفاظت از داده‌ها) تأیید شده است. از آنجا که دفتر مرکزی تیک‌تاک در اروپا در کشور ایرلند ‏قرار دارد، مسئولیت اجرای مقررات ‏GDPR‏ درباره این پلتفرم بر عهده کمیسیون حفاظت از ‏داده‌های ایرلند است. این نهاد همچنین اعلام کرد که تیک‌تاک شفافیت کافی را در ‏اطلاع‌رسانی به کاربران نداشته است. علاوه بر جریمه، تیک‌تاک شش ماه فرصت دارد تا ‏تمامی انتقالات غیرقانونی داده‌ها را متوقف کند.‏

تیک‌تاک در جریان این تحقیق چهار ساله ادعا کرده بود که داده‌های کاربران منطقه اقتصادی ‏اروپا را در سرورهای چین ذخیره نمی‌کند. با این حال، ماه گذشته به ‏DPC‏ اطلاع داده که در ‏ماه فوریه متوجه شده بخشی از داده‌ها در چین ذخیره شده‌اند، موضوعی که با ادعاهای ‏قبلی‌اش مغایرت دارد.‏

گراهام دویل، معاون کمیسیون حفاظت از داده‌ها گفت: «‏DPC‏ این تحولات اخیر درباره ذخیره ‏داده‌های کاربران در چین را بسیار جدی تلقی می‌کند. با اینکه تیک‌تاک گفته این داده‌ها اکنون ‏حذف شده‌اند، ما در حال بررسی اقدامات نظارتی احتمالی دیگر در مشورت با دیگر نهادهای ‏حفاظت از داده در اتحادیه اروپا هستیم.»‏

این نهاد نظارتی تأکید کرد که بین سال‌های ۲۰۲۰ تا ۲۰۲۲، تیک‌تاک به کاربران اطلاع ‏نداده بود که داده‌هایشان به چین منتقل می‌شود. تیک‌تاک تنها از سال ۲۰۲۲ و با به‌روزرسانی ‏سیاست حریم خصوصی‌اش، الزامات شفافیت را رعایت کرده است. با این حال، به دلیل نقض ‏مقررات شفافیت، مبلغ ۴۵ میلیون یورو جریمه شده و به دلیل انتقال داده‌ها به چین نیز ۴۸۵ ‏میلیون یورو دیگر جریمه شده است.‏

دویل افزود: «انتقال داده‌های شخصی کاربران اروپایی به چین توسط تیک‌تاک ناقض ‏GDPR‏ ‏است، زیرا این شرکت نتوانست تضمین و اثبات کند که داده‌های کاربران منطقه اقتصادی ‏اروپا که توسط کارکنان در چین دسترسی‌پذیر بوده‌اند، سطح حفاظتی معادل با استانداردهای ‏اتحادیه اروپا داشته‌اند. تیک‌تاک همچنین ارزیابی‌های لازم درباره قوانین ضدتروریسم و ‏ضدجاسوسی چین که با استانداردهای اتحادیه اروپا متفاوت هستند، انجام نداده بود.»‏

تیک‌تاک در بیانیه‌ای اعلام کرده که با این حکم مخالف است و قصد دارد به طور کامل ‏درخواست تجدیدنظر دهد. این شرکت مدعی شده که هیچ مقام چینی تاکنون درخواستی برای ‏دسترسی به داده‌های کاربران اروپایی نداشته و چنین اطلاعاتی هم در اختیار دولت چین قرار ‏نگرفته است.‏

تیک‌تاک همچنین گفته تصمیم ‏DPC‏ به پروژه‌ای به نام ‏Project Clover‏ توجه کافی نکرده ‏است، پروژه‌ای که شامل تدابیر امنیتی جدیدی مانند ایجاد مراکز داده در اروپا برای ذخیره ‏محلی اطلاعات است. کریستین گراهن، مدیر سیاست‌گذاری عمومی و روابط دولتی تیک‌تاک ‏در اروپا گفت: «تصمیم ‏DPC‏ تنها به بازه‌ای مشخص از چند سال پیش مربوط می‌شود، پیش ‏از پیاده‌سازی پروژه ‏Clover‏ در سال ۲۰۲۳، و بازتاب‌دهنده تدابیر امنیتی فعلی نیست.» با ‏این حال، ‏DPC‏ اعلام کرده که تغییرات جاری مربوط به این پروژه را نیز در نظر گرفته ‏است.‏

این نخستین بار نیست که شرکت ‏ByteDance‏ توسط ‏DPC‏ جریمه می‌شود. در سال ۲۰۲۳ ‏نیز به دلیل عدم محافظت کافی از داده‌های کاربران ۱۳ تا ۱۷ سال، با جریمه‌ای ۳۶۸ میلیون ‏دلاری مواجه شده بود. همچنین، اتحادیه اروپا تحقیقات دیگری نیز درباره تیک‌تاک در دست ‏دارد؛ از جمله عدم جلوگیری از دخالت خارجی در انتخابات، نگرانی درباره تأیید سن ‏کاربران و الگوریتم‌های اعتیادآور، و همچنین ارائه نشدن گزارش ارزیابی ریسک پیش از ‏عرضه نسخه ‏TikTok Lite‏ در فرانسه و اسپانیا.‏