Các khoản phạt hành chính do cơ quan giám sát của Ireland áp dụng bao gồm khoản tiền phạt 485 triệu Euro vì vi phạm Điều 46 (1) GDPR liên quan đến tính hợp pháp của việc gửi dữ liệu về Trung Quốc, thứ hai là khoản tiền phạt 45 triệu Euro vì vi phạm Điều 13 (1)(f) liên quan đến việc thiếu minh bạch.
TikTok cũng được lệnh phải tuân thủ quy định xử lý dữ liệu trong vòng sáu tháng, đồng thời DPC có kế hoạch đình chỉ mọi hoạt động chuyển dữ liệu sang Trung Quốc nếu công ty không cập nhật chính sách kịp thời.
Các quan chức DPC chỉ ra rằng vấn đề không chỉ nằm ở vị trí đặt máy chủ, mà còn liên quan đến rủi ro khi Chính quyền Trung Quốc có thể truy cập dữ liệu của người dùng châu Âu theo luật trong nước về khủng bố và gián điệp, vi phạm các tiêu chuẩn của EU.
“Việc TikTok gửi dữ liệu cá nhân về Trung Quốc đã vi phạm quy định GDPR, vì TikTok không xác minh, đảm bảo và chứng minh rằng dữ liệu cá nhân của người dùng EEA, được nhân viên tại Trung Quốc truy cập từ xa và bảo vệ ở mức độ cơ bản tương đương với mức bảo vệ được đảm bảo trong EU”, Phó ủy viên DPC Graham Doyle cho biết.
Do không thực hiện các đánh giá cần thiết nên TikTok đã không giải quyết vấn đề Chính quyền Trung Quốc có thể tiếp cận dữ liệu cá nhân của người dân EEA theo luật chống khủng bố, chống gián điệp và các luật khác của Trung Quốc mà TikTok xác định là khác biệt đáng kể so với các tiêu chuẩn của EU.
DPC cho biết thêm rằng trong quá trình điều tra, TikTok đã tuyên bố họ không lưu trữ dữ liệu người dùng từ EEA trên các máy chủ đặt tại Trung Quốc. Tuy nhiên, vào tháng 4/2025, TikTok tiết lộ rằng họ đã phát hiện vào tháng 2/2025 rằng một số dữ liệu người dùng EEA đã được lưu trữ trên các máy chủ ở Trung Quốc, trái ngược với tuyên bố trước đó của công ty.
“DPC đang xem xét những diễn biến gần đây liên quan đến việc lưu trữ dữ liệu người dùng EEA trên các máy chủ ở Trung Quốc. Mặc dù TikTok đã thông báo cho DPC rằng dữ liệu hiện đã bị xóa, chúng tôi đang xem xét hành động quản lý tiếp theo nào có thể được bảo đảm, sau khi tham khảo ý kiến của các Cơ quan bảo vệ dữ liệu EU”, Doyle cho biết trong một tuyên bố.
TikTok sẽ kháng cáo quyết định của DPC
Trước các cáo buộc trên, bà Christine Grahn, Trưởng phòng Chính sách công và Quan hệ Chính phủ của TikTok tại châu Âu cho biết, công ty không đồng ý với quyết định của DPC và đang có kế hoạch kháng cáo.
“Theo Dự án Clover, TikTok đã triển khai các công nghệ nâng cao quyền riêng tư (PET) tiên tiến, chẳng hạn như mã hóa khi truy cập và quyền riêng tư khác biệt, để đảm bảo rằng dữ liệu không bị hạn chế sẽ được ẩn danh trước khi nhân viên tại Trung Quốc có thể truy cập. Điều quan trọng là các chuyên gia an ninh mạng tại Công ty bảo mật NCC Group (Vương quốc Anh) đã xác minh rằng các biện pháp bảo vệ này đang hoạt động như mong đợi”, Grahn cho biết.
Đây là khoản tiền phạt lớn thứ ba mà DPC áp dụng cho đến nay, sau khi cơ quan này đã đưa ra án phạt Amazon 746 triệu Euro vì hoạt động quảng cáo theo hành vi mục tiêu, cũng như phạt Facebook 1,2 tỷ Euro vì chuyển dữ liệu của người dùng EU sang Mỹ.
TikTok trước đây đã thừa nhận rằng nhân viên ở Trung Quốc có thể truy cập dữ liệu người dùng. Vào năm 2022, trong bản cập nhật chính sách bảo mật, công ty cho biết nhân viên tại các quốc gia nơi TikTok được phép hoạt động, bao gồm Trung Quốc, Brazil, Canada và Israel, được phép truy cập dữ liệu của người dùng để đảm bảo trải nghiệm của họ “nhất quán, thú vị và an toàn”.
Các nhà hoạch định chính sách và cơ quan quản lý phương Tây lo ngại việc TikTok chuyển dữ liệu người dùng có thể giúp Trung Quốc truy cập dữ liệu để do thám người dùng bằng ứng dụng. Theo luật pháp Trung Quốc, các công ty công nghệ được yêu cầu phải giao dữ liệu người dùng cho chính phủ nước này nếu được yêu cầu hỗ trợ “công tác tình báo”.
Trước đó, TikTok đã bị DPC phạt 345 triệu Euro (368 triệu USD) vì vi phạm quyền riêng tư của trẻ em khi xử lý dữ liệu của chúng, đồng thời sử dụng “dark patterns” trong quá trình đăng ký và khi đăng video, gây ảnh hưởng đến quyền riêng tư của người dùng.
