プライバシー ポリシーの変更の通知 発表した 昨日、TikTok がヨーロッパのユーザー向けに — 中国を、「特定の」会社の従業員がリモートでユーザー データにアクセスして、「重要な」機能であると主張するものを実行できるいくつかの第三国の 1 つとして初めて挙げた — 数か月が経過したこれは、ブロックの一般データ保護規則 (GDPR) に基づくプラットフォームの中国へのデータ輸出に関する 1 年以上にわたる調査で予想される動きに先んじています。
ビデオ共有プラットフォームの中国へのデータ転送の合法性に関する GDPR 調査は、アイルランドのデータ保護委員会 (DPC) によって主導されています。これは、この地域における TikTok の主要なプライバシー規制当局であり、1 年余り前に調査が開始されました。 DPCは本日TechCrunchに対し、TikTokデータ転送の調査が今後数か月で次の段階に進むことを期待していると語った.
この「第 60 条」の審査プロセスは、アイルランドの決定草案の承認につながる可能性があります。これにより、比較的短期間で、最終決定が発行される可能性があります (過去の調査スケジュールから判断すると、来年半ばまでになる可能性があります)。 . しかし、他のEU規制当局がアイルランドの決定草案に異議を唱えた場合、調査は「第65条」の紛争解決プロセスに移行する必要があります。ブロックの規制当局が合意を求めているため、最終決定が下される前にプロセスにさらに何ヶ月もかかる可能性があります.
TikTok によるプライバシー ポリシーの微調整の発表が、この包括的な GDPR 調査に関連しているかどうかは明らかではありません。 12月2日から適用される予定の変更には、プラットフォームがユーザーの位置情報を収集する方法に関する更新も含まれているため、ユーザーはデータ転送に完全に集中することはありません.
しかし、ヨーロッパのユーザーデータにアクセスしている中国のスタッフの開示は、データ転送に対する規制執行を先取りするためのそれほど微妙な試みではない可能性もあります.ヨーロッパのユーザー。 (ただし、データのエクスポートに対する規制上の懸念の潜在的な問題はそれだけではありません。)
TikTok の広報担当者は、更新されたプライバシー ポリシーが GDPR の調査に何らかの形で関連しているかどうかについてコメントすることを拒否しました。
ただし、 ブログ投稿 アップデートを発表した同社は、この変更には「ヨーロッパ以外でユーザー情報を共有する方法の透明性が向上する」と主張しています。
透明性は GDPR の重要な原則であるため、これは注目に値します。一方で、透明性原則の違反は厳しい罰則につながる可能性があります (昨年、アイルランド主導の調査で一連の透明性違反が発見された後、Meta 所有の WhatsApp に 2 億 6,700 万ドルの罰金が科されたなど)。 )。
自分が透明であると主張し、 実際にいる もちろん、透明である必要はありません。 したがって、TikTok の更新されたプライバシー ポリシーは、従業員がヨーロッパのユーザーのデータにリモートでアクセスできる国の完全なリストや具体的な理由など、主要な情報を細分化しているように見えることは注目に値します。これにより、ユーザーはクリックして複数のリンクをたどり、基本的には大量のデータの中で関連する情報を探して、データで何が起こっているかを包括的に把握する必要があります (すべてを明確に表現して 1 つにまとめるのではなく) 、消化しやすいビュー)。
したがって、TikTokが本当にここで撮影している透明性については、まだやるべきことがあるようです.
また、TikTokの作業はまだ進行中です。ヨーロッパのユーザーのデータをこの地域に保存するためのデータローカリゼーションプロジェクトです。今年初めに、再び延期されたと発表しました(2023年まで).
つまり、TikTok が、EU 十分性協定のない国に所在する従業員が、ブロックと本質的に同等のデータ保護基準を持っていることを確認して、ヨーロッパのユーザーの情報にリモート アクセスできるようにすることを継続する場合、その国際的なデータ転送の合法性に関する疑問が生じます。持続する可能性があります。
中国だけでなく、TikTok のプライバシー ポリシーでは、従業員がヨーロッパのユーザー データにリモート アクセスできる国として、ブラジル、マレーシア、フィリピン、シンガポール、および米国 (現時点では EU との間で新たなデータ転送契約について予備的な合意しか結ばれていない) が挙げられています。適切な合意をカバーすることなく、これらの移転について標準的な契約条項(SCC)に依存していると述べています。
しかし、データ転送に関する EDPB のガイダンスが指摘しているように、第三国への各転送は個別に評価する必要があり、補足的な措置が適用されたとしても、法的に不可能な場合があります。 したがって、これらの転送のすべてが規制当局の精査に耐える必要があります。
第三国への転送が非常に多いことを考えると、TikTok のヨーロッパ データ ローカリゼーション プロジェクトは、少なくとも現時点では、PR 活動と見なすことしかできません。 および/または、進行中のデータエクスポートに対してより親切な見方をしてくれることを期待して、地元の規制当局に好意を示す試み. 第三国へのデータ輸出を停止し、中国の親会社がヨーロッパのユーザーのデータに平文でアクセスできないように完全にファイアウォールする方法を見つけない限り、またはそれまで.
TikTokの広報担当者は、これらの課題に照らしてデータ転送をさらに適応させる必要があるかもしれない将来の計画についてコメントすることを拒否しましたが、彼はそのことを指摘しました ブログ投稿 — ヨーロッパでのデータ ガバナンスへのアプローチは、「ヨーロッパのユーザー データにアクセスできる従業員の数を制限し、地域外へのデータ フローを最小限に抑え、ヨーロッパのユーザー データをローカルに保存することに重点を置いている」と説明しています。
TikTok のより広範な問題は、国家安全保障法が本拠地にあり、商業プラットフォーム/サービスがユーザーに保持しているデータにアクセスする中国国家の能力に付随するセキュリティ上の懸念の結果として、より一般的に西側世界全体でダイヤルアップされた規制精査に直面していることです。通常の標準的な契約上の保護を無効にする国。
そのプラットフォームはまた、非常に多くのユーザーデータを収集します。これは、国家の監視や「ソフトパワー」の外国の影響力のためのデータハニーポットとして再利用される可能性についての懸念を助長するだけです.
ユーザーの追跡とプロファイリングは、プライバシーと消費者保護の側面で、ヨーロッパでさらに特定の規制上の問題を引き起こしますが、それは操作方法にいくつかの制限を適用しています.
たとえば、TikTok は最近、イタリアの DPA からの正式な警告の後、ターゲティング広告を実行するために依存している法的根拠に対する物議を醸す変更を凍結することに同意しました。ターゲティング広告を実行する正当な利益を主張する)。 そのため、同社のプロファイリングと広告ターゲティング モデルは、地政学的に関連する広範なセキュリティ上の懸念からビジネスを守ろうとしているにもかかわらず、多くの面で課題に直面しています。