Praėjusį antradienį „TikTok“ Airijos teisme pradėjo gintis dėl to, kaip tvarko europiečių privatumą ir asmens duomenis. Ši byla gali tapti precedentu, nulemsiančiu, kaip Europoje veikiančios Kinijos kapitalo įmonės turės derinti veiklą su Pekino žvalgybos ir priežiūros teisės aktais.

Populiarioji socialinių tinklų platforma susidūrė su Airijos Duomenų apsaugos komisija (DPC) – viena įtakingiausių Europos privatumo priežiūros institucijų, prižiūrinčia ir kitas technologijų milžines, tokias kaip „Meta“, „X“ ir „Google“.

Ginčo esmė – ar „TikTok“ gali perduoti Europos vartotojų asmens duomenis į Kiniją. „TikTok“, priklausanti Pekine įsikūrusiai „ByteDance“, teisme ginčija praėjusiais metais Airijos reguliuotojo skirtą 530 mln. eurų baudą. Tuomet pareigūnai nustatė, kad Kinijoje dirbantys darbuotojai turėjo prieigą prie europiečių duomenų, tačiau įmonė esą nesugebėjo „patikrinti, užtikrinti ir įrodyti“, kad duomenys buvo tinkamai apsaugoti.

DPC siekia, kad „TikTok“ sustabdytų duomenų srautus į Kiniją, jei nebus įrodyta, jog vartotojų informacija yra apsaugota nuo Pekino plataus masto stebėsenos ir žvalgybos įstatymų poveikio.

Byla laikoma reikšmingu Europos Bendrojo duomenų apsaugos reglamento (BDAR) išbandymu – ypač dėl to, kaip reglamentas saugo europiečius tuomet, kai jų duomenys perduodami į Kiniją. Tai vyksta Europos Sąjungai patiriant tarptautinį spaudimą ir iš naujo vertinant prekybinius ryšius su Pekinu, nepaisant seniai išsakytų saugumo nuogąstavimų dėl Kinijos valdžios vykdomos duomenų kontrolės.

Teisininkai antradienį susirinko į Dublino teismą, kur prasidėjo intensyvus, apie 10 dienų truksiantis nagrinėjimas. Jo metu bus aiškinamasi, kaip interpretuoti Kinijos teisės aktų ribas ir vertinti „TikTok“ duomenų tvarkymo praktiką.

„Šio sprendimo pasekmės yra milžiniškos, net ir tokiai labai didelei organizacijai kaip „TikTok“, – teisme sakė įmonės vyresnysis advokatas Paulas Gallagheris, nurodęs, kad reikalavimų įgyvendinimas galėtų kainuoti iki 5 mlrd. eurų.

Jei teisėjai palaikytų DPC poziciją, „TikTok“ galiausiai gali tekti visiškai atsieti Europos veiklą nuo Kinijos, kad galėtų toliau teikti paslaugas žemyno vartotojams. Tai įvyktų praėjus vos keliems mėnesiams po to, kai įmonė pertvarkė savo veiklą Jungtinėse Valstijose ir ją perkelė į naują programėlę, kontroliuojamą investuotojų grupės, kuriai vadovauja „Oracle“, taip pat fondai „Silver Lake“ ir „MGX“, siekiant sumažinti ilgalaikius JAV duomenų saugumo nuogąstavimus.

„TikTok“ yra skaičiavusi, kad DPC reikalavimų įgyvendinimas kainuotų milijardus ir pareikalautų perkelti tūkstančius darbuotojų iš Kinijos į kitas šalis.

Airijos reguliuotojas baudą skyrė pernai gegužę, kai nustatė, jog platforma negalėjo užtikrinti, kad 159 mln. mėnesinių vartotojų Europoje duomenys būtų saugūs nuo „problemiškų“ Kinijos stebėsenos įstatymų taikymo.

„Visa tai – apie tai, ką „TikTok“ vadina aktualiais įstatymais, ir ką DPC vadina probleminiais įstatymais. Mes nemanome, kad jie problemiški, nes manome, kad jie netaikomi. DPC mano, kad jie problemiški, nes mano, kad jie taikomi“, – teisme aiškino P. Gallagheris, anksčiau ėjęs ir Airijos generalinio prokuroro pareigas.

Ši bauda buvo viena didžiausių, kurias Airijos priežiūros institucija skyrė nuo 2018 metų, kai pradėjo aktyviai taikyti BDAR.

Sprendimą lėmė ilgamečiai saugumo ir privatumo institucijų tyrimai, Vakarų valstybėms vis dažniau vertinant „TikTok“ kaip galimą grėsmę.

„TikTok“ priklauso „ByteDance“, o Kinijoje dirbantys darbuotojai nuotoliniu būdu gali pasiekti dalį Europos vartotojų duomenų, saugomų už Kinijos ribų. Tyrimo metu Airijos reguliuotojui pateiktuose paaiškinimuose „TikTok“ nurodė, kad Kinijoje esantys darbuotojai gali matyti tokią informaciją kaip vartotojų vardai, paskyrų turėtojų duomenys, sąveikos ir veiklos informacija bei kiti asmens duomenys.

Įmonė tvirtino neketinanti rinkti jautrių duomenų, tačiau jie „gali būti surinkti atsitiktinai arba įkelti“ pačių vartotojų. Taip pat teigta, kad darbuotojams reikalinga „ribota ir apribota“ prieiga tyrimų, saugumo, analitikos ir kitoms paslaugoms.

„TikTok“ laikosi pozicijos, kad Kinijos teisė netaikoma duomenims, kurie saugomi už Kinijos ribų, ir tvirtina niekada negavusi prašymo perduoti duomenų Pekino institucijoms.

2023 metais įmonė pradėjo plataus masto kampaniją, siekdama sumažinti Europos politikų susirūpinimą. Tuomet ji pristatė „Project Clover“ – 12 mlrd. eurų planą, kuriuo numatyta duomenis saugoti Europoje, o priežiūrą patikėti Europos saugumo bendrovei. Ši iniciatyva priminė JAV kryptį, kur 2020 metais buvo pristatytas „Project Texas“, žadėjęs panašias kontrolės priemones.

Vis dėlto šie žingsniai politikų neįtikino. Europos Sąjunga 2023 metais uždraudė „TikTok“ savo pareigūnų telefonuose, o vėliau panašių ribojimų ėmėsi ir daugelis Europos valstybių.

Ši byla taip pat išryškina Europos spragą: duomenų srautai į Kiniją iki šiol buvo menkai tikrinami. Europos Sąjunga ilgus metus ginčijosi su JAV institucijomis dėl to, kaip apsaugoti europiečių duomenis nuo masinės stebėsenos programų, apie kurias 2013 metais paviešino informatorius Edwardas Snowdenas.

Europos Sąjungos ir JAV sudaryti duomenų perdavimo susitarimai ne kartą buvo panaikinti Europos aukščiausiojo teismo būtent dėl stebėsenos rizikų. Tačiau dėl duomenų perdavimo į Kiniją iki šiol buvo nedaug bylų, kurios realiai patikrintų, kaip įmonės apsaugo europiečių informaciją, kai ji gali tapti prieinama Pekino priežiūros institucijoms.

Po sprendimo skirti baudą „Tarptautinės privatumo profesionalų asociacijos“ tyrimų direktorius Joe Jonesas teigė, kad tai reiškia, jog duomenų srautams į Kiniją „veržiasi kilpa“.

„Daugiau nei dešimtmetį turėjome ES ir Jungtinės Karalystės, ES ir JAV ginčus bei ilgas istorijas dėl duomenų srautų. Tai pirmas kartas, kai matome ką nors reikšmingo dėl kitos šalies už transatlantinio trikampio ribų – ir tai yra Kinija“, – sakė J. Jonesas.