หน่วยงานกำกับดูแลข้อมูลส่วนบุคคลของไอร์แลนด์ ปรับ TikTok 530 ล้านยูโร กรณีโอนข้อมูลไปจีน
(apnews.com)- ท่ามกลางที่กฎ การโอนข้อมูลข้ามพรมแดน ของ EU กลับมาเป็นความเสี่ยงสำคัญต่อการดำเนินงานของแพลตฟอร์มอีกครั้ง คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์หรือ Data Protection Commission ได้สั่งปรับ TikTok เป็นเงิน 530 ล้านยูโร (ราว 600 ล้านดอลลาร์) หลังการสอบสวนนาน 4 ปี
- ประเด็นสำคัญคือ TikTok ได้ ตรวจสอบ·รับประกัน·พิสูจน์ แล้วหรือไม่ว่า ข้อมูลส่วนบุคคลของผู้ใช้ในยุโรปซึ่งพนักงานในจีนเข้าถึงจากระยะไกลนั้น ได้รับการคุ้มครองในระดับที่เทียบเท่า EU อย่างแท้จริง
- ในเวลานั้น นโยบายความเป็นส่วนตัวไม่ได้แจ้งอย่างเพียงพอว่าข้อมูลถูกโอนไปยัง ประเทศที่สาม ใดบ้าง และไม่ได้อธิบายอย่างชัดเจนถึงการเข้าถึงจากระยะไกลโดยบุคลากรที่อยู่ในจีน
- TikTok ไม่เห็นด้วยกับคำตัดสินและมีแผนอุทธรณ์ โดยโต้แย้งว่าช่วงเวลาที่เป็นประเด็นคือช่วงเฉพาะก่อนเดือนพฤษภาคม 2023 และหลังจากนั้นได้เริ่ม Project Clover เพื่อนำศูนย์ข้อมูลในยุโรปและการกำกับดูแลอิสระมาใช้
- GDPR อนุญาตให้โอนข้อมูลผู้ใช้ในยุโรปออกนอก EU ได้ แต่ต้องมีระดับการคุ้มครองที่เทียบเท่ากัน และการแจ้งภายหลังว่ามีข้อมูลบางส่วนถูกเก็บไว้บนเซิร์ฟเวอร์ในจีน อาจนำไปสู่มาตรการกำกับดูแลเพิ่มเติม
ปรับ 530 ล้านยูโร พร้อมคำสั่งแก้ไขภายใน 6 เดือน
- Data Protection Commission ของไอร์แลนด์ ระบุว่าการโอนข้อมูลไปจีนของ TikTok ละเมิดกฎข้อมูลส่วนบุคคลของ EU และสั่งปรับ 530 ล้านยูโร หรือราว 600 ล้านดอลลาร์
- คำตัดสินครั้งนี้เป็นผลจากการสอบสวน 4 ปี ที่เริ่มในเดือนกันยายน 2021 และ TikTok ยังได้รับคำสั่งให้ปฏิบัติตามกฎภายใน 6 เดือน
- หน่วยงานกำกับดูแลเห็นว่าการโอนข้อมูลไปจีนทำให้ผู้ใช้ในยุโรปเผชิญความเสี่ยงจากการสอดส่อง
- เนื่องจากสำนักงานใหญ่ในยุโรปของ TikTok ตั้งอยู่ที่ดับลิน หน่วยงานกำกับดูแลของไอร์แลนด์จึงทำหน้าที่เป็นหน่วยงานกำกับดูแลข้อมูลหลักของ TikTok ใน EU ทั้ง 27 ประเทศ
ข้อถกเถียงเรื่องการเข้าถึงจากระยะไกลในจีนและการคุ้มครองระดับ EU
- Deputy Commissioner Graham Doyle เห็นว่า TikTok ไม่สามารถ ตรวจสอบ·รับประกัน·พิสูจน์ ได้ว่า ข้อมูลส่วนบุคคลของผู้ใช้ยุโรปที่พนักงานในจีนเข้าถึงจากระยะไกล ได้รับการคุ้มครองในระดับที่เทียบเท่า EU อย่างแท้จริง
- ในการสอบสวน ประเด็นสำคัญคือความเป็นไปได้ที่ทางการจีนจะเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ยุโรป เนื่องจากกฎหมายต่อต้านการก่อการร้าย การต่อต้านจารกรรม ความมั่นคงไซเบอร์ และข่าวกรองแห่งชาติของจีน
- หน่วยงานกำกับดูแลของไอร์แลนด์ตัดสินว่ากฎหมายจีนเหล่านี้ แตกต่างอย่างมีนัยสำคัญ จากมาตรฐานของ EU
ปัญหาความโปร่งใสของนโยบายความเป็นส่วนตัว
- TikTok ถูกลงโทษเพิ่มเติมจากการที่ไม่ได้แจ้งผู้ใช้อย่างเพียงพอว่าข้อมูลส่วนบุคคลถูกส่งไปที่ใด
- ระหว่างการสอบสวน นโยบายความเป็นส่วนตัวของ TikTok ไม่ได้ระบุประเทศที่สามที่ข้อมูลผู้ใช้ถูกโอนไป และไม่ได้ระบุชื่อ จีน ไว้อย่างชัดเจน
- แม้นโยบายดังกล่าวจะถูกอัปเดตในภายหลัง แต่ในเวลานั้นก็ยังไม่ได้อธิบายว่าข้อมูลส่วนบุคคลที่จัดเก็บใน Singapore และ United States ถูกเข้าถึงจากระยะไกลและประมวลผลโดยบุคลากรในจีน
แผนอุทธรณ์ของ TikTok และ Project Clover
- TikTok ไม่เห็นด้วยกับคำตัดสินครั้งนี้ และมีแผนจะ อุทธรณ์
- บริษัทโต้แย้งว่าคำตัดสินนี้มุ่งเน้นไปที่ช่วงเวลาเฉพาะซึ่งสิ้นสุดในเดือนพฤษภาคม 2023 และหลังจากนั้นได้ผลักดันโครงการจัดเก็บข้อมูลในท้องถิ่นอย่าง Project Clover
- Project Clover รวมถึงแผนสร้าง ศูนย์ข้อมูล 3 แห่ง ในยุโรป
- Christine Grahn หัวหน้าฝ่ายนโยบายสาธารณะและความสัมพันธ์ภาครัฐของ TikTok Europe อธิบายว่า Project Clover มีมาตรการคุ้มครองข้อมูลที่เข้มงวดที่สุดส่วนหนึ่งในอุตสาหกรรม และรวมถึงการกำกับดูแลอิสระโดยบริษัทความมั่นคงไซเบอร์ยุโรป NCC Group
- Grahn ระบุว่า TikTok ไม่เคยได้รับคำขอข้อมูลผู้ใช้ยุโรปจากทางการจีน และไม่เคยมอบข้อมูลผู้ใช้ยุโรปให้แก่ทางการจีน
เกณฑ์การโอนข้อมูลออกนอกเขตภายใต้ GDPR และคำโต้แย้งของ TikTok
- ภายใต้กฎข้อมูลส่วนบุคคลของ EU หรือ General Data Protection Regulation ข้อมูลผู้ใช้ยุโรปสามารถโอนไปนอก EU ได้ แต่ต้องมีมาตรการคุ้มครองที่รับประกันระดับการคุ้มครองที่เทียบเท่ากัน
- Grahn คัดค้านอย่างหนักต่อข้อสรุปของหน่วยงานกำกับดูแลไอร์แลนด์ที่ระบุว่า TikTok ไม่ได้ทำการประเมินที่จำเป็นสำหรับการโอนข้อมูล
- TikTok ระบุว่าได้ขอคำแนะนำจากสำนักงานกฎหมายและผู้เชี่ยวชาญ ใช้กลไกทางกฎหมายแบบเดียวกับที่บริษัทหลายพันแห่งในยุโรปใช้ และยืนยันว่าแนวทางของบริษัทสอดคล้องกับกฎของ EU
- Grahn ระบุว่า TikTok กำลังถูก singled out
การแจ้งเรื่องการเก็บข้อมูลบนเซิร์ฟเวอร์จีนและการพิจารณามาตรการเพิ่มเติม
- TikTok ถูกสอบสวนเกี่ยวกับวิธีการจัดการข้อมูลส่วนบุคคลของผู้ใช้ในยุโรปมาโดยตลอด เนื่องจากบริษัทแม่อย่าง ByteDance เป็นบริษัทที่มีฐานอยู่ในจีน
- เจ้าหน้าที่ตะวันตกได้แสดงความกังวลมาอย่างต่อเนื่องว่า TikTok ก่อให้เกิดความเสี่ยงด้านความมั่นคงที่เกี่ยวข้องกับข้อมูลผู้ใช้ที่ถูกส่งไปจีน
- หน่วยงานกำกับดูแลของไอร์แลนด์เคยสั่งปรับ TikTok หลายร้อยล้านยูโรมาแล้วในการสอบสวนแยกต่างหากเกี่ยวกับข้อมูลส่วนบุคคลของเด็กเมื่อปี 2023
- ระหว่างการสอบสวนครั้งนี้ TikTok เคยระบุว่าไม่ได้จัดเก็บข้อมูลผู้ใช้ยุโรปไว้บนเซิร์ฟเวอร์ในจีน แต่เพิ่งแจ้งหน่วยงานกำกับดูแลในเดือนเมษายนว่า จากสิ่งที่ค้นพบในเดือนกุมภาพันธ์ มีข้อมูลบางส่วนถูกจัดเก็บไว้บนเซิร์ฟเวอร์ในจีนจริง
- Graham Doyle ระบุว่ามองพัฒนาการล่าสุดนี้อย่างจริงจังอย่างยิ่ง และกำลังพิจารณาว่าจำเป็นต้องมีมาตรการกำกับดูแลเพิ่มเติมหรือไม่
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
เรียกว่า ‘massive’ นี่ ตามมาตรฐานไหน กัน?
ถึงเวลาแล้วที่เราควรชินกับการปรับบริษัทเป็นสัดส่วนที่สมเหตุสมผลของรายได้
แค่รายได้ทั่วโลกของ TikTok ปีที่แล้วก็ประเมินกันว่าอยู่ที่ 20,000–26,000 ล้านดอลลาร์ https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...
ตามบทความนั้น TikTok ทำเงิน 10,000 ล้านดอลลาร์จากทั้งหมด 20,000 ล้านดอลลาร์ในสหรัฐฯ เพียงประเทศเดียว ดังนั้นเพดานรายได้จากยุโรปคือ 10,000 ล้านดอลลาร์
นี่ยังคำนวณโดยตัดตลาดใหญ่ ๆ อย่างบราซิลและอินโดนีเซียออกไปด้วย ดังนั้นรายได้จากยุโรปจริง ๆ น่าจะต่ำกว่านั้นมาก
530 ล้านยูโรอยู่ที่ประมาณ 600 ล้านดอลลาร์ จึงเท่ากับอย่างน้อย 6% ของรายได้ปี 2024 ที่เกี่ยวข้อง และในความเป็นจริงอาจสูงกว่านั้นมาก
ไม่รู้ว่าขนาดนี้ใหญ่พอจะชดเชยผลประโยชน์จากการทุจริตได้หรือไม่ แต่แน่นอนว่าไม่ใช่ การลงโทษเบาหวิว
ถ้าวัดตามจำนวนเงิน ดูเหมือนจะอยู่ประมาณ 20 อันดับแรก ของค่าปรับจากคดีเดียวตลอดกาล และถ้าดูเฉพาะค่าปรับด้านข้อมูลส่วนบุคคลในยุโรปก็อยู่ราว 3 อันดับแรก
การที่เราชินกับตัวเลขระดับนี้ไม่ได้ทำให้การจัดประเภทเปลี่ยนไป
ต่อให้ตัวเลขแบบนี้พบได้บ่อยขึ้น ก็ยังเป็นเงินจำนวนมหาศาลอยู่ดี โดยเฉพาะอย่างยิ่งเป็นจำนวนที่แต่เดิมไม่ควรจะพบได้บ่อย
รายได้ส่วนใหญ่ไหลออกไปเป็นต้นทุน ดังนั้นถ้าปรับเป็นสัดส่วนที่สมเหตุสมผลของรายได้ ก็อาจทำให้บริษัทล้มละลายได้เลย
หากเป้าหมายคือการเปลี่ยนพฤติกรรม นั่นไม่ใช่ผลลัพธ์ที่ต้องการ
ถ้ารายได้ทั่วโลกอยู่ที่ 20,000 ล้านดอลลาร์ และสมมติอัตรากำไร 20% กำไรสุทธิคือ 4,000 ล้านดอลลาร์ ดังนั้นค่าปรับนี้คือ 15% ของกำไรสุทธิทั่วโลก
เป็นค่าปรับที่มหาศาลมาก
นอกจากนี้ กฎระเบียบแบบนี้ยังคลุมเครือและตีความได้กว้าง ต่อให้บริษัทกับทนายเชื่อโดยสุจริตว่าปฏิบัติตามแล้ว ผู้พิพากษาก็อาจตัดสินต่างออกไปได้
หากแต่ละประเทศใช้รายได้ทั่วโลกเป็นฐานในการปรับ ก็มีความเสี่ยงที่จะถูกปรับซ้ำซ้อนจากการกระทำเดียวกัน และสุดท้ายอาจนำไปสู่การทำให้บริษัทล้มละลายแทนที่จะเกิดการเปลี่ยนพฤติกรรม
ถ้ารับข้อกล่าวหาตามตัวอักษร จีนได้เฝ้าติดตามพลเมือง EU จำนวนมากเป็นเวลา 4 ปี และยังทำต่อไปได้อีก 6 เดือน
หลังจากนั้นก็มีโอกาสน้อยที่จะหยุดจริง ๆ และสุดท้ายก็จบลงด้วยค่าปรับระดับไม่กี่ดอลลาร์ต่อเหยื่อหนึ่งคน
สหรัฐฯ ก็ไม่ได้เคลื่อนไหวเร็วไปกว่านี้ และประเทศอื่น ๆ ส่วนใหญ่แทบไม่เคลื่อนไหวเลย
ผลคือประเทศคู่แข่งที่อาจเป็นปรปักษ์สามารถดำเนินปฏิบัติการเฝ้าระวังขนาดใหญ่ได้ยาวนานโดยแทบไม่ต้องจ่ายราคาสูง แค่แทรกวิดีโอตลก ๆ กับซาวด์แทร็กน่ารำคาญเข้าไป
เป็นวิธีลงโทษพฤติกรรมแย่ ๆ ด้วยการทำให้สัดส่วนถือหุ้นของเจ้าของเดิมเจือจางลง
เมื่อรัฐบาลกลายเป็นเจ้าของร่วม ก็จะเข้าไปอยู่ข้างใน และการขอข้อมูลหรือการมองเห็นภาพรวมจะเพิ่มขึ้นมาก
หากพฤติกรรมแย่ ๆ ยังดำเนินต่อไป เมื่อเวลาผ่านไป รัฐบาลก็จะได้อำนาจควบคุม
สำหรับบริษัทอย่าง Tesla ที่ราคาหุ้นสูงมากแต่กำไรต่ำ ค่าปรับคิดเป็นสัดส่วนของกำไรอาจไม่มีความหมายมากนัก
แต่การให้รัฐบาลควบคุมผ่านหุ้นจะดึงความสนใจของทั้งบริษัทและผู้ถือหุ้นได้อย่างรวดเร็ว
ตัว Є ในหัวข้อที่ส่งขึ้น HN ไม่ใช่สัญลักษณ์ยูโร
สัญลักษณ์ยูโรคือ €
หวังว่า Dang จะช่วยแก้ให้
https://codepoints.net/U+0404
ในเธรดนี้มีทั้งความหงุดหงิดและความเหนื่อยหน่ายแบบประชดประชันอยู่มาก แต่ดูเหมือนว่าความเข้าใจผิดบางอย่างจะทำให้มันหนักขึ้น
ก่อนอื่น Ireland เป็นส่วนหนึ่งของ EU และภายใต้ระบบ one-stop shop ของ GDPR ประเทศที่มีสำนักงานใหญ่ EU ตั้งอยู่จะเป็นผู้นำการบังคับใช้ในนามของทั้ง EU
บริษัทเทคโนโลยียักษ์ใหญ่หลายแห่งมีสำนักงานใหญ่ EU อยู่ใน Ireland ดังนั้นเมื่อหน่วยงานกำกับดูแลของ Ireland สั่งปรับตาม GDPR โดยพฤตินัยก็คือการบังคับใช้แทนทั้ง EU
ค่าปรับ GDPR อาจสูงมาก และสามารถลงโทษโดยอิงจากสัดส่วนของรายได้ทั่วโลกหรือจำนวนคงที่ขนาดใหญ่ แล้วแต่จำนวนใดสูงกว่า
ดังนั้นแม้แต่บริษัทใหญ่ก็รู้สึกถึงผลกระทบได้
ค่าปรับแบบนี้ประกาศอย่างเปิดเผยและโปร่งใส จึงเกิดผลกระทบต่อชื่อเสียงควบคู่กับผลกระทบทางการเงิน
ความเปิดเผยนี้ถูกออกแบบมาเพื่อให้ค่าปรับเป็นแรงยับยั้งจริง ๆ ไม่ใช่ต้นทุนการทำธุรกิจแบบเงียบ ๆ
ต้องชี้แจงด้วยว่าเงินค่าปรับไปที่ไหน
มันไม่ได้เข้ากระเป๋า Ireland อย่างเดียว แต่ในทางปฏิบัติจะเข้า งบประมาณของ EU และถูกหักล้างกับเงินสมทบที่ปกติ Ireland ต้องจ่ายให้งบประมาณ EU
หากประชาชนในประเทศ EU อื่นถูกละเมิด ประเทศเหล่านั้นก็สามารถขอส่วนแบ่งของค่าปรับได้
สุดท้ายแล้วนี่ไม่ใช่โครงสร้างที่ Ireland ได้ประโยชน์อยู่ฝ่ายเดียว แต่เป็นเพียงจุดจัดเก็บเพราะบริษัทต่าง ๆ ตั้งฐานอยู่ที่นั่น
น่าสนใจที่บางคนบอกว่าค่าปรับรุนแรงเกินไป ขณะที่บางคนบอกว่าอ่อนเกินไป
ในความเป็นจริง มาตรการลงโทษแบบนี้ถูกออกแบบมาให้ได้สัดส่วนกับขนาดของบริษัทและระดับการละเมิด พร้อมทั้งให้รู้สึกว่ามีความหมาย จุดประสงค์ไม่ใช่เพื่อทำลายบริษัท แต่ก็ไม่ใช่ระดับที่ไม่มีอะไรเลยเช่นกัน
จากนั้นหน่วยงานกำกับดูแลจึงสามารถกำหนดค่าปรับจริงเป็น X% ของเพดานนั้นได้
นี่เป็นกลไกเพื่อหลีกเลี่ยงไม่ให้ประเทศสมาชิก EU แต่ละประเทศตั้งค่าปรับต่ำเกินไปเพื่อดึงดูดธุรกิจด้วย
เป็นบริบทคล้ายกับปัญหาที่ Ireland เคยเก็บภาษีน้อยเกินไปในอดีต
ในส่วนที่ประเทศ EU อื่นไม่ได้ร้องขอ ท้ายที่สุดก็เท่ากับเข้ากระเป๋า Ireland อยู่ดี
ทุกครั้งที่มีเรื่อง GDPR ที่นี่จะมีโพสต์ขึ้นมาหลายสิบอัน และมักถกเถียงประเด็นนี้ซ้ำ ๆ เสมอ
อาจเป็นสิ่งที่ดำเนินไปภายใต้กฎหมายก็ได้ แต่ผมมองว่าภัยคุกคามที่ใหญ่กว่าคือไม่ใช่การที่ข้อมูลไหลออกไปข้างนอก แต่คือการที่มีอิทธิพลเข้ามาใน อัลกอริทึม ของแอป และผลลัพธ์คือการส่งอิทธิพลต่อผู้ใช้
@dang ใส่สัญลักษณ์นี้ในชื่อเรื่องได้ไหม? €
มีสองเรื่องที่สงสัย
อย่างแรก คือค่าปรับแบบนี้ถูกบังคับใช้จริงหรือไม่ หรือจะนำไปสู่การอุทธรณ์แบบไม่มีกำหนด
อย่างที่สอง คือเงินค่าปรับไปอยู่ที่ไหน
ถ้าโครงสร้างคือ TikTok ถูกปรับใน Ireland ก็ฟังดูเหมือนเงินค่าปรับจะเข้ารัฐบาล Ireland ซึ่งแปลก
ถ้าคำนวณค่าปรับในบริบทของ EU ทั้งหมด แต่รายได้มีแค่ Ireland ที่ได้ไป โครงสร้างนี้ก็พังแล้ว
ก็เหมือนเข้ากระเป๋าใบใหญ่เดียวกับภาษี
EU แทบไม่ได้บังคับใช้กฎหมายโดยตรง และส่วนใหญ่ให้หน่วยงานกำกับดูแลของแต่ละประเทศดำเนินการ ดังนั้นโดยรวมจึงเป็นวิธีที่คาดเดาได้
กรณีนี้ตรงข้ามกับกรณี Apple ตอนนั้น EU ปรับรัฐบาล Ireland ด้วยเหตุผลว่าเก็บภาษีจาก Apple ไม่เพียงพอ
อย่างไรก็ตาม ดูเหมือนจะแตกต่างกันไปตามแต่ละประเทศ และ Spain ดูเหมือนจะมีโครงสร้างที่ค่อนข้างพิเศษ คือหน่วยงานกำกับดูแลข้อมูลส่วนบุคคลถือเงินไว้เอง
บางทีนี่อาจเป็นสิ่งที่ Ireland ต้องการก็ได้
Ireland เป็นตลาดขนาดเล็ก TikTok คงต้องใช้เวลานานมากกว่าจะทำกำไร 530 ล้านยูโรใน Ireland ได้
เงิน 100% ที่ได้คืนจากค่าปรับแบบนี้ควรถูกนำไปใช้กับ การวิจัยและเปิดเผยการละเมิดข้อมูลส่วนบุคคล ของบริษัทเหล่านั้น
เท่ากับบังคับให้พวกเขาจ่ายค่าใช้จ่ายในการตรวจสอบตนเอง
เราไม่อาจรู้ได้ว่าข้อมูลที่พวกเขารวบรวมในวงกว้างจะถูก AI นำไปใช้ในทางที่ผิดอย่างไรในอนาคต และมันค่อนข้างน่ากลัว
หวังว่าเงินนั้นจะถูกใช้เพื่อปรับปรุงสถานการณ์ให้ดีขึ้นสำหรับคนในพื้นที่
ออกนอกประเด็นเล็กน้อย แต่สงสัยว่ารัฐบาลที่สั่งปรับเอาเงินนั้นไปใช้อย่างไร
ตัวอย่างเช่น เงินจะถูกนำไปสนับสนุนกิจกรรมหรืองานที่เกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคล หรือไม่?
ในประเทศส่วนใหญ่ ต่อให้จ่าย “ภาษีหมี” เงินนั้นก็ไม่ได้ไหลลงโถใบใหญ่ที่ใช้สำหรับกำจัดหมีโดยเฉพาะ
ดังนั้นค่าปรับแบบนี้มักจะเข้ากองทุนทั่วไปสำหรับการใช้จ่ายของรัฐบาล
ในสหราชอาณาจักร ค่าปรับจากการละเมิดข้อมูลถูกใช้เป็นค่าใช้จ่ายดำเนินงานของหน่วยงานบังคับใช้ และเงินที่เหลือจะกลับคืนรัฐ https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
งบประมาณ EU เองไม่ได้เปลี่ยนแปลงจริง ๆ ดังนั้นโดยเนื้อแท้จึงไม่ใช่โครงสร้างที่ “มีเงินเพิ่มขึ้น”
อาจเหมือนข้ามไปหนึ่งขั้น แต่ค่าปรับนี้ไม่ใช่ของ Ireland โดยเฉพาะ แต่เป็นค่าปรับของ EU ทั้งหมด และเท่าที่จำได้จะจ่ายให้ EU
ตราบใดที่ไม่ปรับผู้รับผิดชอบเป็นรายบุคคล ค่าปรับแบบนี้ก็ไร้ประโยชน์และ ไม่มีผลกระทบ