飞鸽出海一、问题与结论概述
荷兰的数据保护机构,在2025年12月16日,给TikTok用户发了个警告。
这事儿有点绕。警告不是荷兰人自己搞出来的。而是爱尔兰高等法院在一个月前判了一个案子。法院要求TikTok必须告诉所有欧洲用户一件事:你们的数据正在被传到欧盟外面,其中一个地方就是中国。
而且,爱尔兰的数据监管机构早就认定了,这么干是违反GDPR的。GDPR就是欧盟那个管数据隐私的法律,很严格。
所以,这个通知看起来简单,其实背后水很深。这是科技公司和欧洲监管机构的一场大仗。
我先说结论。法院让TikTok发这个通知,不是说“你告诉用户了,你就可以继续违法了”。根本不是这个意思。法院是在找一个平衡。一方面,如果马上禁止TikTok传数据,TikTok会损失很多钱,业务会乱套。另一方面,如果放任不管,我们这些用户的权利就有风险。
所以法院想了个办法。先暂停执行那个禁令,但是,你TikTok必须给所有用户发通知,把这事儿说清楚。这样,用户就能在知情的情况下,自己决定还要不要用。这叫“风险缓释”。说白了,就是个临时的补丁,不是给TikTok开的绿灯。
荷兰那边呢,他们抓住了这个机会。他们对外宣传的重点是:大家注意了,TikTok还在往中国传你们的数据,而且监管机构已经认定这是违法的。他们借此机会公开提醒普通人和各个公司,你们自己好好想想,还要不要用这个App。
二、案件背景:何以出现“通知”这一司法条件
要搞懂这个通知是怎么来的,咱们得回到爱尔兰的法庭上看看。
这事儿的起点,是爱尔兰的数据保护委员会(DPC)。它是TikTok在欧洲的主要监管者。从2021年开始,DPC就对TikTok展开了调查。调查的核心问题只有一个:TikTok把欧洲用户的数据传到中国,有没有提供和欧盟内部一样的保护水平?
调查搞了三年多。到了2025年4月,DPC出了最终结论。结论说,TikTok确实违法了。第一,它没有保证数据传输到中国后能得到同等级别的保护,这违反了GDPR第46条。第二,它也没有把数据传输的事情清楚地告诉用户,这又违反了GDPR第13条。
所以,DPC就给TikTok开了罚单,还下了两个命令。一个是暂停传输令,一个是纠正令。意思就是,别再这么干了,赶紧改。
TikTok当然不服。它马上就上诉了。根据当地法律,上诉期间,罚款可以先不交。但是,那两个命令不会自动停止。所以TikTok必须去高等法院申请,请求法院暂时叫停这两个命令。
于是,就有了高等法院的这场权衡。
TikTok在法庭上说,要是立刻执行命令,它的损失会“严重且不可弥补”。比如,可能要花掉几十亿欧元,整个业务都要大调整。它还强调自己搞了个“三叶草项目”,花大价钱在欧洲建数据中心,就是为了保护用户数据。
但是,DPC的观点也很明确。他们说,你们在这儿谈钱,那边可是1.59亿欧洲用户的基本权利在持续面临风险。
最后,法院同意了TikTok的请求,暂停了DPC的命令。法官的逻辑是这样的:执行命令对TikTok造成的损失,是马上就能看到的,而且数额巨大。而对用户权利构成的风险,他认为是“有限的”和“暂时的”。在最终判决出来之前,先暂停命令,对各方造成的总体不公平是最小的。
就在这个时候,为了把这个“暂时的风险”降到最低,法院加上了“用户通知”这个条件。法官说,他担心用户并不知道DPC已经认定TikTok违法了。虽然发个通知不能把违法的事变合法。但是,如果用户是在了解了所有情况之后,还愿意继续用,那法院的担忧就会少很多。
三、高等法院对”通知”的法理定位:不是合规替代,而是暂停令风险缓释
所以要明白,法院设计的这个“通知”,根本不是为了让TikTok合规。它只是一个在暂停执行禁令期间,用来缓解风险的工具。
法院的裁决里有两个关键条件,是并列的:
第一个条件,是时间。这个暂停期要尽可能短。法院要求TikTok保证,抓紧时间推进上issau程序,最晚要在2026年3月前开庭审理。这样,风险暴露的时间就不会太长。
第二个条件,就是通知。TikTok必须用清楚的语言告诉所有用户,DPC对它做了什么决定。当然,也可以加上自己正在上诉,法院也同意暂停执行了。
这两个条件合在一起,就是法院的风险控制方案。一个是从时间上压缩风险,一个是从信息上对冲风险。最终目的,就是为了在临时阶段,实现一个对各方都最公平的结果。
所以,这个通知改变不了事情的本质。跨境数据传输要合法,就必须满足GDPR第46条那个“实质等同保护”的门槛。这个门槛一点没变。通知只是一个程序上的补救措施。
四、通知“为什么必须做”:法院对风险可控性的核心叙事
法院为什么非要加这么一个通知条件?
其实,法院也承认用户的基本权利有风险。但是他判断,这个风险在短期内是可控的。他认为,暂时不执行禁令,不会对整个GDPR体系造成大的冲击。
同时,他把“用户知情”当成了一个很重要的变量。
他发现,DPC的裁决里就有一条,说TikTok没有充分告知用户数据传输的情况。这本身就是个问题。现在,DPC又认定了它的传输行为违法。那用户就更应该知道了。
法院的逻辑很简单。第一步,我现在允许你(TikTok)在上诉期间继续传数据。第二步,但是,我必须确保用户不是傻乎乎地被蒙在鼓里。第三步,所以,我必须给你加上一个条件,让你去告诉所有用户真相。
这样一来,用户就知道现在是什么状况,知道其中的争议和风险。在这个基础上,用户继续使用平台的行为,就变成了一种“知情”下的选择。这大大缓解了法院的担忧。
这就是为什么“发通知”不是一个可有可無的建议,而是被写进判决书里的一条硬性命令。这是法院为了让自己的“暂停”决定站得住脚,打下的一个重要基础。
五、荷兰 AP 的态度:把”通知”转化为对公众与组织的风险提示窗口
爱尔兰法院下了判决,荷兰的监管机构(AP)马上就行动了。他们没有去强调“法院允许TikTok暂时继续传输数据”,而是换了个角度,把这件事变成了一个对公众的风险警告。
荷兰AP的说法很直接。他们告诉公众:TikTok会给你发一个通知。通知里会说,你的数据正在被传到中国这些欧盟外的国家。而且,通知里还必须告诉你,监管机构认为这么做是违法的。
他们的核心信息是:虽然法院暂时叫停了“执行”,但是DPC那个“裁决”本身,也就是认定TikTok违法的那个结论,是依然有效的。
这就等于在说:虽然警察暂时没来抓人,但这事儿的案底还在,性质没变。
荷兰AP还具体分析了他们担心的点:
- 数据收集太多:TikTok收集的数据范围很广。你看过什么,点过什么赞,你在哪儿,你通讯录里有谁,它都知道。
- 年轻用户容易受影响:很多年轻人对数据风险的认识不够,更容易受到伤害。
- 欧盟外的法律环境不一样:AP指出,在中国这样的国家,个人数据保护的规则和欧盟不同。数据一旦传出去,用户就很难再控制它的用途了。
为了让大家知道怎么做,荷兰AP还给出了具体的行动指南。我把它整理了一下:
| 你是谁? | 你应该怎么做? |
| 个人用户 | 1. 先读通知:别直接划掉,仔细看看TikTok发来的通知和它的隐私政策。 |
| 2. 再查设置:打开App的隐私设置,看看你给了它哪些权限,比如摄像头、麦克风、位置信息。 | |
| 3. 然后想一想:了解这些情况后,问问自己,还要不要继续用这个App。 | |
| 4. 最后要小心:在上面发东西要注意,别发任何敏感的个人信息。 | |
| 用TikTok的组织(特别是政府) | 1. 做风险评估:必须做一个数据保护影响评估(DPIA)。评估里要明确写上“监管机构已裁定其数据传输违法”这个事实。 |
| 2. 判断是否负责:认真考虑一下,继续用TikTok,对你的受众来说,是不是一个负责任的选择。政府机构应该带头。 | |
| 3. 如果要用,就说清楚:如果你们评估后还是决定要用,那就要对公众说清楚你们的决定,以及可能带来的风险。 |
你看,荷兰AP的策略很清楚。他们利用法院的判决,把一个法律事件,转化成了一次大规模的公众风险教育。
六、结论:临时休战下的深远影响
目前这个局面,说白了,就是一场临时休战。真正的问题一个都还没解决。
用户收到的通知,和荷兰监管机构的警告,其实是一回事的两个方面。通知,是法院从细节入手,通过信息透明,把一点点权力交还给个人。警告,是监管机构从大局着眼,向全社会拉响系统性风险的警报。
这背后,最核心的法律问题是:TikTok搞的那个“三叶草项目”,到底管不管用?它采取的那些数据本地化措施,到底能不能达到GDPR要求的“实质等同”的保护水平?
这个问题,现在没人能回答。
所有人都在等爱尔兰法院的最终判决。那个判决,将不只是决定TikTok在欧洲的命运。它会成为一个标杆。所有想在欧洲做生意,又需要把数据传回总部的跨国科技公司,都会盯着这个案子。
这个判决,将为“数据跨境”这件事,定下一个影响深远的规矩。
