飞鸽出海一、TikTok 的非法应用外追踪行为
这事儿得从头说起。
你用TikTok,对吧?你看视频,点赞,关注。你觉得,你关掉这个APP,它就跟你没关系了。但事实不是这样。TikTok在你不用它的时候,也在偷偷看你。
欧洲有个叫noyb的数字权利组织。他们发现了一件很吓人的事。他们帮一个用户去跟TikTok要他自己的个人数据。这个过程很费劲。用户要了好几次。TikTok一开始给的东西根本不全。
最后,TikTok才给了一份更详细的数据。数据里面有什么呢?有这个用户使用其他APP的记录。具体来说,是他用Grindr的记录。Grindr是一款男同性交友软件。
你想想这是什么概念。TikTok能看到你什么时候打开Grindr。它能看到你在上面有多活跃。通过这些信息,TikTok就能猜出你的性取向。它根本不需要你亲口告诉它。
这个行为是非法的。
欧盟有一部法律,叫GDPR。这部法律管得很严。根据GDPR第9条,性取向属于“特殊类别个人数据”。说白了,就是超级敏感的隐私。处理这种数据,必须得到用户本人明确的同意。用户必须清楚知道你要拿这个数据干什么,然后主动打勾确认。
但是,这次事件里,用户根本就没同意。TikTok是通过追踪他在其他APP上的行为,自己推断出来的。这就等于是在你家窗外装了个摄像头,偷看你的私生活。
noyb的律师说,很多科技公司都这么干。它们想知道你网上的一举一动。你买了什么,你跟谁说话,你喜欢什么。它们想给你画一个完整的像。这次Grindr的事情被发现,只是因为这个例子太极端了,正好被抓住了。
而且,TikTok一开始还想把这事藏起来。用户第一次要数据的时候,TikTok给的文件里根本没有这些内容。这是故意隐瞒。这也违反了GDPR第15条,那条法律规定了你的“访问权”。你有权知道企业掌握了你的哪些数据。
所以,核心问题就是:TikTok在你不知情、未同意的情况下,通过追踪你使用其他APP的行为,获取了你最敏感的隐私信息。
二、非法数据处理的协同方
TikTok能干成这事,不是它一个人。它有两个帮手。一个叫Grindr。另一个叫AppsFlyer。
我们来看看这三家公司是怎么合作的。
这是一个数据倒卖的链条。
第一步:Grindr收集数据。
你是Grindr的用户。你用它,就会产生数据。比如你什么时候登录,你看了谁的资料。这些都是你的活动数据。Grindr作为APP的运营方,首先拿到了这些数据。
第二步:Grindr把数据给AppsFlyer。
AppsFlyer是一家以色列公司。它的主业就是搞数据追踪和分析。它像一个数据中介。Grindr把从你这里收集到的数据,共享给了AppsFlyer。
第三步:AppsFlyer再把数据给TikTok。
AppsFlyer拿到数据后,又把这些数据传给了TikTok。这样一来,TikTok就知道了你在Grindr上的活动。
这个流程里,每一环都有问题。
| 公司 | 角色 | 问题出在哪 |
| Grindr | 数据来源 | 它没有合法理由把用户的敏感数据给别人。用户没同意。 |
| AppsFlyer | 数据中介 | 它也没有合法理由去接收和转手这些敏感数据。 |
| TikTok | 数据买家 | 它更没有合法理由去接收和处理这些从外部来的隐私数据。 |
根据GDPR第6条,处理任何个人数据都需要一个“合法依据”。合法的依据有几种,最常见的就是“用户同意”和“合法利益”。
我们来分析一下。
首先,用户同意。那个投诉的用户说得很清楚,他从来没有同意过Grindr或者AppsFlyer把他的数据给TikTok。所以这条路走不通。
然后,合法利益。公司有时候会说,我处理数据是为了公司运营的“合法利益”。但是,用这条规定是有前提的。前提是公司的利益,不能比用户的基本权利和自由更重要。
现在你告诉我,一个视频APP为了优化广告,去追踪用户的性取向,这个“合法利益”能比用户的隐私权更重要吗?显然不能。所以这条路也走不通。
结论就是,这三家公司的整个数据共享行为,从头到尾都没有合法依据。它们就是在用户看不见的地方,做了一笔非法的隐私交易。Grindr是卖家,AppsFlyer是中间商,TikTok是买家。而商品,就是用户的个人隐私。
三、数据访问请求的响应存在重大缺陷
现在我们来说说TikTok是怎么应付用户的。
法律规定,你有权问公司要一份你自己的数据副本。TikTok为了遵守这个规定,在APP里做了一个功能,叫**“下载你的数据”**。
听起来不错,对吧?但这里面全是套路。
第一,它给你的数据不完整。
那个用户就是用了这个工具。他下载了一份数据。但他发现里面信息很少,很多东西都没有。比如,关于他在TikTok之外的活动数据,文件里只是提了一句,但没有任何细节。
于是他只能写信去问TikTok。来来回回折腾了好几个月。最后TikTok才承认,那个下载工具给你的,只是我们认为**“最相关”**的数据。
这句话问题很大。什么叫“最相关”?这个标准是TikTok自己定的。它想给你看什么,就给你看什么。它不想让你知道的,就直接藏起来了。这根本不是法律要求的“提供完整的副本”。
而且,TikTok从来没有在那个下载功能的页面上告诉用户,这里下载的不是全部数据。它给用户的感觉就是,你点一下,就能拿到所有东西。这是一种系统性的误导。
第二,它给你的数据你根本看不懂。
后来,TikTok给用户补充了一些数据文件。但这些文件普通人根本没法看。
举个例子。文件里有一张Excel表格,叫“用户数据”。里面有一列,叫**“标头(header)”**。这一列下面,是一长串这样的东西:a:1:{s:11:”User-Agent”;s:218:”Mozilla/5.0(Linux;Android11;SM-A123)AppleWebKit/537.36(KHTML,likeGecko)Chrome/108.0.0.0MobileSafari/537.36″;}
这是什么?谁看得懂?
TikTok还“贴心”地给了一份术语表,用来解释这些东西。我们来看看它是怎么解释“标头”的:
“数据通过‘数据包’发送……‘标头’包含向TikTok系统上报数据的基本信息,例如时间……以下为该信息类别中包含的信息字符串示例”。
这个解释说了等于没说。“数据包”是什么?没解释。“例如”说明它给的信息不全。那一长串代码具体每个部分代表什么意思?完全没说。
GDPR第12条规定,企业提供给用户的信息,必须是**“简洁、透明、易懂且易于获取的形式”**。你给一堆代码,让一个不懂编程的用户自己去猜,这叫“易懂”吗?
这就好像你去银行要你的账单。结果银行扔给你一本会计专业的教科书,让你自己算。这完全是在设置障碍,故意不让你行使你的权利。
所以,TikTok在回应用户数据访问请求这件事上,存在两个大问题:
- 故意不给全:用一个有缺陷的工具糊弄用户。
- 故意让你看不懂:用专业术语和代码来为难用户。
这两个行为都严重违反了GDPR。
四、在奥地利提起相关投诉
面对这种情况,noyb组织决定采取行动。他们代表那名用户,在奥地利数据保护局(DSB)正式提起了两项投诉。
第一项投诉,只针对TikTok。
投诉的核心是,TikTok没有依法响应用户的数据访问请求。就是我们上面说的第三点。你提供不完整的数据,你提供看不懂的数据,这些都违反了GDPR第12条和第15条。
noyb要求监管机构命令TikTok,必须向用户提供所有缺失的信息,并且用普通人能看懂的方式来解释清楚。
第二项投诉,针对TikTok、AppsFlyer和Grindr三家公司。
这个投诉更严重。它指控这三家公司合伙进行非法的数据交易。
主要有三点违法行为:
- 处理数据没有合法依据:违反了GDPR第6条。我们前面分析过,它们既没有得到用户同意,也没有所谓的“合法利益”能站得住脚。
- 处理超级敏感数据:违反了GDPR第9条。它们处理了能推断出用户性取向的数据,但没有得到用户明确的同意。
- 违反数据最小化原则:违反了GDPR第5条。这条原则是说,你收集数据应该“够用就行”,不能无差别地大量收集。而TikTok大规模收集用户在APP外的活动数据,显然违反了这一点。
基于这些指控,noyb向监管机构提出了几个要求。
第一,展开调查。
要求监管机构彻底调查清楚这三家公司到底是怎么共享数据的,规模有多大,还有没有其他受害者。
第二,立刻停止违法行为。
要求监管机构命令这三家公司,立即停止这种非法的数据处理和共享。
第三,处以罚款。
这是最关键的一点。noyb建议监管机构根据GDPR第83条,对这几家公司处以罚款。而且投诉书里特意强调,罚款必须是**“有效、适度且具备惩戒性的”**。
这几个词很重要。对于TikTok这样的巨头,罚个几十万欧元可能根本不当回事。罚款必须足够重,重到能让它们感到痛,重到能让它们的管理层真正重视起来,才能防止它们以后再犯。
总而言之,这件事已经不是简单的隐私泄露了。它暴露了APP之间一个看不见的数据交易网络。你的数据在你不知道的情况下,可能已经被卖了好几手。这次投诉如果能成功,可能会成为一个重要的判例,对整个行业的潜规则都是一次打击。
