کمیسیون حفاظت از دادههای ایرلند (DPC) مالک تیکتاک یعنی شرکت چینی ByteDance را به دلیل نقض قوانین حریم خصوصی اتحادیه اروپا، به پرداخت ۵۳۰ میلیون یورو معادل ۶۰۲ میلیون دلار محکوم و جریمه کرد. این نهاد نظارتی اعلام کرده که تیکتاک دادههای کاربران اروپایی را به چین ارسال کرده، بدون اینکه بتواند تضمین کند این اطلاعات از دسترسی نهادهای نظارتی دولت چین در امان ماندهاند.
ماه گذشته گزارش شده بود که DPC در حال آماده شدن برای صدور این جریمه سنگین است که حالا بهعنوان سومین جریمه بزرگ در تاریخ نقض مقررات GDPR (مقررات عمومی حفاظت از دادهها) تأیید شده است. از آنجا که دفتر مرکزی تیکتاک در اروپا در کشور ایرلند قرار دارد، مسئولیت اجرای مقررات GDPR درباره این پلتفرم بر عهده کمیسیون حفاظت از دادههای ایرلند است. این نهاد همچنین اعلام کرد که تیکتاک شفافیت کافی را در اطلاعرسانی به کاربران نداشته است. علاوه بر جریمه، تیکتاک شش ماه فرصت دارد تا تمامی انتقالات غیرقانونی دادهها را متوقف کند.
تیکتاک در جریان این تحقیق چهار ساله ادعا کرده بود که دادههای کاربران منطقه اقتصادی اروپا را در سرورهای چین ذخیره نمیکند. با این حال، ماه گذشته به DPC اطلاع داده که در ماه فوریه متوجه شده بخشی از دادهها در چین ذخیره شدهاند، موضوعی که با ادعاهای قبلیاش مغایرت دارد.
گراهام دویل، معاون کمیسیون حفاظت از دادهها گفت: «DPC این تحولات اخیر درباره ذخیره دادههای کاربران در چین را بسیار جدی تلقی میکند. با اینکه تیکتاک گفته این دادهها اکنون حذف شدهاند، ما در حال بررسی اقدامات نظارتی احتمالی دیگر در مشورت با دیگر نهادهای حفاظت از داده در اتحادیه اروپا هستیم.»
این نهاد نظارتی تأکید کرد که بین سالهای ۲۰۲۰ تا ۲۰۲۲، تیکتاک به کاربران اطلاع نداده بود که دادههایشان به چین منتقل میشود. تیکتاک تنها از سال ۲۰۲۲ و با بهروزرسانی سیاست حریم خصوصیاش، الزامات شفافیت را رعایت کرده است. با این حال، به دلیل نقض مقررات شفافیت، مبلغ ۴۵ میلیون یورو جریمه شده و به دلیل انتقال دادهها به چین نیز ۴۸۵ میلیون یورو دیگر جریمه شده است.
دویل افزود: «انتقال دادههای شخصی کاربران اروپایی به چین توسط تیکتاک ناقض GDPR است، زیرا این شرکت نتوانست تضمین و اثبات کند که دادههای کاربران منطقه اقتصادی اروپا که توسط کارکنان در چین دسترسیپذیر بودهاند، سطح حفاظتی معادل با استانداردهای اتحادیه اروپا داشتهاند. تیکتاک همچنین ارزیابیهای لازم درباره قوانین ضدتروریسم و ضدجاسوسی چین که با استانداردهای اتحادیه اروپا متفاوت هستند، انجام نداده بود.»
تیکتاک در بیانیهای اعلام کرده که با این حکم مخالف است و قصد دارد به طور کامل درخواست تجدیدنظر دهد. این شرکت مدعی شده که هیچ مقام چینی تاکنون درخواستی برای دسترسی به دادههای کاربران اروپایی نداشته و چنین اطلاعاتی هم در اختیار دولت چین قرار نگرفته است.
تیکتاک همچنین گفته تصمیم DPC به پروژهای به نام Project Clover توجه کافی نکرده است، پروژهای که شامل تدابیر امنیتی جدیدی مانند ایجاد مراکز داده در اروپا برای ذخیره محلی اطلاعات است. کریستین گراهن، مدیر سیاستگذاری عمومی و روابط دولتی تیکتاک در اروپا گفت: «تصمیم DPC تنها به بازهای مشخص از چند سال پیش مربوط میشود، پیش از پیادهسازی پروژه Clover در سال ۲۰۲۳، و بازتابدهنده تدابیر امنیتی فعلی نیست.» با این حال، DPC اعلام کرده که تغییرات جاری مربوط به این پروژه را نیز در نظر گرفته است.
این نخستین بار نیست که شرکت ByteDance توسط DPC جریمه میشود. در سال ۲۰۲۳ نیز به دلیل عدم محافظت کافی از دادههای کاربران ۱۳ تا ۱۷ سال، با جریمهای ۳۶۸ میلیون دلاری مواجه شده بود. همچنین، اتحادیه اروپا تحقیقات دیگری نیز درباره تیکتاک در دست دارد؛ از جمله عدم جلوگیری از دخالت خارجی در انتخابات، نگرانی درباره تأیید سن کاربران و الگوریتمهای اعتیادآور، و همچنین ارائه نشدن گزارش ارزیابی ریسک پیش از عرضه نسخه TikTok Lite در فرانسه و اسپانیا.