Ủy ban Bảo vệ Dữ liệu Ireland (DPC), cơ quan quản lý quyền riêng tư hàng đầu của TikTok tại Liên minh châu Âu (EU), vừa ra quyết định phạt nền tảng video ngắn này số tiền lên tới 530 triệu Euro (khoảng 580 triệu USD). Lý do được đưa ra là TikTok đã vi phạm Quy định bảo vệ dữ liệu chung (GDPR) của EU liên quan đến việc truyền dữ liệu cá nhân của người dùng châu Âu sang Trung Quốc.
Vi phạm quy tắc truyền dữ liệu và thông tin sai lệch
Theo DPC, cuộc điều tra tập trung vào giai đoạn từ tháng 9/2021 đến tháng 5/2023 cho thấy TikTok đã không thực hiện đầy đủ các nghĩa vụ theo GDPR trong việc "xác minh, đảm bảo và chứng minh" rằng dữ liệu người dùng châu Âu được chuyển đến Trung Quốc nhận được mức độ bảo vệ tương đương như luật pháp EU yêu cầu.
Nghiêm trọng hơn, DPC còn phát hiện nền tảng thuộc sở hữu của ByteDance (Trung Quốc) đã cung cấp thông tin không chính xác trong quá trình điều tra. Ban đầu, TikTok khẳng định không lưu trữ dữ liệu người dùng Khu vực Kinh tế châu Âu (EEA) tại Trung Quốc, nhưng sau đó lại thừa nhận một lượng dữ liệu hạn chế đã được phép lưu trữ ở đó. Phó ủy viên DPC Graham Doyle nhận định đây là vấn đề nghiêm trọng. Bên cạnh án phạt tiền, DPC yêu cầu TikTok phải tuân thủ đúng quy trình xử lý dữ liệu trong vòng 6 tháng, nếu không có thể đối mặt với lệnh đình chỉ hoàn toàn việc chuyển dữ liệu sang Trung Quốc.
TikTok phản bác, viện dẫn Dự án Clover
Phản ứng lại quyết định này, TikTok tuyên bố không đồng ý và sẽ kháng cáo. Bà Christine Grahn, Giám đốc chính sách công của TikTok tại châu Âu, cho rằng phán quyết đã không tính đến các nỗ lực bảo vệ dữ liệu mà công ty đã triển khai, đặc biệt là sáng kiến "Project Clover" trị giá 12 tỷ Euro được triển khai từ năm 2023. Dự án này bao gồm việc xây dựng các trung tâm dữ liệu tại châu Âu và áp dụng các biện pháp kiểm soát, giám sát bởi bên thứ ba nhằm tăng cường bảo vệ dữ liệu người dùng khu vực.
"Quyết định chỉ tập trung vào một giai đoạn từ nhiều năm trước... và không phản ánh các biện pháp bảo vệ hiện có," bà Grahn nói. Bà cũng tái khẳng định TikTok chưa bao giờ nhận được yêu cầu cung cấp dữ liệu người dùng châu Âu từ chính phủ Trung Quốc và chưa bao giờ giao dữ liệu đó cho họ.
Đây là lần thứ hai TikTok bị DPC phạt nặng. Năm 2023, nền tảng này từng bị phạt 345 triệu Euro vì vi phạm luật riêng tư liên quan đến xử lý dữ liệu trẻ em. Vấn đề an toàn dữ liệu người dùng TikTok và khả năng truy cập từ Trung Quốc luôn là mối lo ngại lớn của các nhà lập pháp phương Tây, đặc biệt sau khi chính sách quyền riêng tư năm 2022 của TikTok thừa nhận nhân viên tại Trung Quốc có thể truy cập dữ liệu người dùng toàn cầu. Vụ phạt này diễn ra chỉ ít ngày sau khi EC cũng phạt nặng Apple và Meta vì vi phạm Đạo luật Thị trường Kỹ thuật số (DMA), cho thấy sự quyết liệt của EU trong việc siết chặt quản lý các Big Tech.
Vi phạm quy tắc truyền dữ liệu và thông tin sai lệch
Theo DPC, cuộc điều tra tập trung vào giai đoạn từ tháng 9/2021 đến tháng 5/2023 cho thấy TikTok đã không thực hiện đầy đủ các nghĩa vụ theo GDPR trong việc "xác minh, đảm bảo và chứng minh" rằng dữ liệu người dùng châu Âu được chuyển đến Trung Quốc nhận được mức độ bảo vệ tương đương như luật pháp EU yêu cầu.
Nghiêm trọng hơn, DPC còn phát hiện nền tảng thuộc sở hữu của ByteDance (Trung Quốc) đã cung cấp thông tin không chính xác trong quá trình điều tra. Ban đầu, TikTok khẳng định không lưu trữ dữ liệu người dùng Khu vực Kinh tế châu Âu (EEA) tại Trung Quốc, nhưng sau đó lại thừa nhận một lượng dữ liệu hạn chế đã được phép lưu trữ ở đó. Phó ủy viên DPC Graham Doyle nhận định đây là vấn đề nghiêm trọng. Bên cạnh án phạt tiền, DPC yêu cầu TikTok phải tuân thủ đúng quy trình xử lý dữ liệu trong vòng 6 tháng, nếu không có thể đối mặt với lệnh đình chỉ hoàn toàn việc chuyển dữ liệu sang Trung Quốc.
TikTok phản bác, viện dẫn Dự án Clover
Phản ứng lại quyết định này, TikTok tuyên bố không đồng ý và sẽ kháng cáo. Bà Christine Grahn, Giám đốc chính sách công của TikTok tại châu Âu, cho rằng phán quyết đã không tính đến các nỗ lực bảo vệ dữ liệu mà công ty đã triển khai, đặc biệt là sáng kiến "Project Clover" trị giá 12 tỷ Euro được triển khai từ năm 2023. Dự án này bao gồm việc xây dựng các trung tâm dữ liệu tại châu Âu và áp dụng các biện pháp kiểm soát, giám sát bởi bên thứ ba nhằm tăng cường bảo vệ dữ liệu người dùng khu vực.
"Quyết định chỉ tập trung vào một giai đoạn từ nhiều năm trước... và không phản ánh các biện pháp bảo vệ hiện có," bà Grahn nói. Bà cũng tái khẳng định TikTok chưa bao giờ nhận được yêu cầu cung cấp dữ liệu người dùng châu Âu từ chính phủ Trung Quốc và chưa bao giờ giao dữ liệu đó cho họ.
Đây là lần thứ hai TikTok bị DPC phạt nặng. Năm 2023, nền tảng này từng bị phạt 345 triệu Euro vì vi phạm luật riêng tư liên quan đến xử lý dữ liệu trẻ em. Vấn đề an toàn dữ liệu người dùng TikTok và khả năng truy cập từ Trung Quốc luôn là mối lo ngại lớn của các nhà lập pháp phương Tây, đặc biệt sau khi chính sách quyền riêng tư năm 2022 của TikTok thừa nhận nhân viên tại Trung Quốc có thể truy cập dữ liệu người dùng toàn cầu. Vụ phạt này diễn ra chỉ ít ngày sau khi EC cũng phạt nặng Apple và Meta vì vi phạm Đạo luật Thị trường Kỹ thuật số (DMA), cho thấy sự quyết liệt của EU trong việc siết chặt quản lý các Big Tech.
