本文来自微信公众号“安全学习那些事儿”。
2023年9月15日,虽然已经过去了很长时间,但TikTok最终还是被认定在处理儿童数据方面违反了欧盟《通用数据保护条例》(GDPR)。根据爱尔兰数据保护委员会(DPC)今天发布的决定,该视频共享平台受到了谴责,并被处以3.45亿欧元(约合3.79亿美元)的罚款。它还被勒令在三个月内完成整改,使其违规数据处理符合规定。
TikTok被认定违反了GDPR的以下八项条款:第5(1)(a)条;第5(1)(c)条;第5(1)(f)条;第24(1)条;第25(1)条;第25(2)条;第12(1)条;以及第13(1)(e)条--也就是违反了数据处理的合法性、公平性和透明度;数据最小化;数据安全;控制者的责任;设计和默认的数据保护;以及数据主体(包括未成年人)收到有关数据处理的明确通知的权利;以及收到有关其个人数据接收者的信息的权利。因此,这是一份相当详尽的违规清单。
该决定并没有发现TikTok在年龄验证方法上存在违规行为,而这一直是TikTok在一些地区监管机构面前的一个热点,但爱尔兰监管机构指出,该决定记录了违反GDPR第24(1)条的行为--因为它发现TikTok没有实施适当的技术和组织措施,因为它没有适当考虑到13岁以下儿童访问该平台所带来的某些风险,因为默认账户设置允许任何人(无论是否在TikTok上)查看这些用户发布的社交媒体内容。
TikTok在此时实施的设置被发现使儿童用户在注册过程中,其账户默认设置为公开。DPC指出:"这也意味着,例如,发布到儿童用户账户上的视频默认为公开视频,评论默认为公开评论,'Duet'和'Stitch'功能默认为启用。"
儿童账户还可以通过所谓的"家庭配对"功能与未经验证的非儿童用户"配对",但TikTok并未验证该用户是否真的是儿童用户的父母或监护人。根据DPC的调查结果,非儿童用户可以使用该功能向16岁以上的儿童用户发送直接消息--"从而使该功能对儿童用户的要求不那么严格"。