数据保护组织 noyb 指控 TikTok 通过第三方追踪公司 AppsFlyer 非法追踪用户在其他应用(如交友软件 Grindr)中的活动。此举涉嫌在未经用户同意的情况下,共享包括性取向在内的敏感个人数据,违反了欧盟《通用数据保护条例》(GDPR)。此外,TikTok 被指未能完整回应用户的数据访问请求。基于这些指控,noyb 已提起投诉,要求停止违法行为并处以罚款。
跨应用非法追踪
一份用户数据访问请求意外揭示了 TikTok 的追踪行为。数据显示,该用户使用 Grindr 的活动信息被发送给了 TikTok,这可能暴露了用户的性取向和私生活。这类信息属于受 GDPR 第 9 条特别保护的敏感数据,只有在极少数情况下才能处理。
- 追踪范围广泛: TikTok 不仅知道用户使用了哪些应用,还了解他们在应用内的具体操作,例如将商品加入购物车。
- 数据来源: 这些数据很可能是通过以色列追踪公司 AppsFlyer 从 Grindr 等应用传递给 TikTok 的。
- 严重侵犯隐私: 这种跨应用的数据收集使用户的线上活动被完整画像,其中涉及性取向等极端敏感的信息。
“像许多美国同行一样,TikTok 越来越多地从其他应用和来源收集数据。这使得这款中国应用能够全面了解人们的在线活动。” —— noyb 数据保护律师 Kleanthi Sardeli
数据处理的“共犯”
TikTok 能够获取这些敏感信息,离不开 AppsFlyer 和 Grindr 的协助。AppsFlyer 可能充当了数据中介,从 Grindr 接收用户的敏感数据,再将其传递给 TikTok。
问题在于,无论是 AppsFlyer 还是 Grindr,都没有依据 GDPR 第 6(1) 条获得与第三方(如 TikTok)共享个人数据的有效法律基础,更不用说共享 GDPR 第 9(1) 条所定义的敏感数据。整个过程中,用户 从未同意 过此类数据共享。
不完整的数据访问回应
当用户要求获取其个人数据副本时,TikTok 并未提供全部信息。
- 误导性工具: TikTok 将用户引导至一个“下载工具”,但后来承认该工具仅包含其认为“最相关”的数据,而非全部个人数据。
- 信息缺失: 即使用户反复要求补充,TikTok 仍未提供关于哪些数据被处理及其目的的完整信息。
- 违反法规: 这种做法明显违反了 GDPR 第 12 条和第 15 条,该法规要求公司以完整且易于理解的方式提供数据副本。
已提起的投诉
针对上述问题,noyb 已向奥地利数据保护机构(DSB)提起两项投诉。
- 第一项投诉: 针对 TikTok,指控其对用户的数据访问请求作出不完整的回应。
- 第二项投诉: 针对 TikTok、AppsFlyer 和 Grindr,涉及未经授权处理应用外数据、缺乏数据共享的法律依据以及违反 GDPR 第 9(1) 条。
noyb 要求监管机构责令相关公司停止非法数据处理、向用户提供缺失的信息,并处以 “有效、相称且具有威慑力”的罚款,以防止未来发生类似违规行为。