信息化觀察網(wǎng)

本文來自微信公眾號“安全學(xué)習(xí)那些事兒”。

2023年9月15日，雖然已經(jīng)過去了很長時間，但TikTok最終還是被認(rèn)定在處理兒童數(shù)據(jù)方面違反了歐盟《通用數(shù)據(jù)保護條例》(GDPR)。根據(jù)愛爾蘭數(shù)據(jù)保護委員會(DPC)今天發(fā)布的決定，該視頻共享平臺受到了譴責(zé)，并被處以3.45億歐元(約合3.79億美元)的罰款。它還被勒令在三個月內(nèi)完成整改，使其違規(guī)數(shù)據(jù)處理符合規(guī)定。

TikTok被認(rèn)定違反了GDPR的以下八項條款：第5(1)(a)條;第5(1)(c)條;第5(1)(f)條;第24(1)條;第25(1)條;第25(2)條;第12(1)條;以及第13(1)(e)條--也就是違反了數(shù)據(jù)處理的合法性、公平性和透明度;數(shù)據(jù)最小化;數(shù)據(jù)安全;控制者的責(zé)任;設(shè)計和默認(rèn)的數(shù)據(jù)保護;以及數(shù)據(jù)主體(包括未成年人)收到有關(guān)數(shù)據(jù)處理的明確通知的權(quán)利;以及收到有關(guān)其個人數(shù)據(jù)接收者的信息的權(quán)利。因此，這是一份相當(dāng)詳盡的違規(guī)清單。

該決定并沒有發(fā)現(xiàn)TikTok在年齡驗證方法上存在違規(guī)行為，而這一直是TikTok在一些地區(qū)監(jiān)管機構(gòu)面前的一個熱點，但愛爾蘭監(jiān)管機構(gòu)指出，該決定記錄了違反GDPR第24(1)條的行為--因為它發(fā)現(xiàn)TikTok沒有實施適當(dāng)?shù)募夹g(shù)和組織措施，因為它沒有適當(dāng)考慮到13歲以下兒童訪問該平臺所帶來的某些風(fēng)險，因為默認(rèn)賬戶設(shè)置允許任何人(無論是否在TikTok上)查看這些用戶發(fā)布的社交媒體內(nèi)容。

TikTok在此時實施的設(shè)置被發(fā)現(xiàn)使兒童用戶在注冊過程中，其賬戶默認(rèn)設(shè)置為公開。DPC指出："這也意味著，例如，發(fā)布到兒童用戶賬戶上的視頻默認(rèn)為公開視頻，評論默認(rèn)為公開評論，'Duet'和'Stitch'功能默認(rèn)為啟用。"

兒童賬戶還可以通過所謂的"家庭配對"功能與未經(jīng)驗證的非兒童用戶"配對"，但TikTok并未驗證該用戶是否真的是兒童用戶的父母或監(jiān)護人。根據(jù)DPC的調(diào)查結(jié)果，非兒童用戶可以使用該功能向16歲以上的兒童用戶發(fā)送直接消息--"從而使該功能對兒童用戶的要求不那么嚴(yán)格"。