Ngày 2/5/2025, Ủy ban Bảo vệ Dữ liệu Ireland (DPC) đã ra quyết định phạt TikTok 530 triệu euro (tương đương 601 triệu USD) vì vi phạm Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR). Lý do chính là việc TikTok chuyển dữ liệu người dùng từ Khu vực Kinh tế châu Âu (EEA) sang Trung Quốc mà không tuân thủ các yêu cầu minh bạch và bảo vệ dữ liệu nghiêm ngặt theo luật.
Theo DPC, TikTok đã vi phạm Điều 46(1) của GDPR khi không thể chứng minh rằng dữ liệu cá nhân của người dùng EEA nhận được mức độ bảo vệ tương đương như trong khối EU. Cơ quan này cho biết công ty không cung cấp được các biện pháp bảo đảm phù hợp và đã bỏ qua những rủi ro liên quan đến khả năng tiếp cận dữ liệu của các cơ quan chính phủ Trung Quốc theo luật chống khủng bố và chống gián điệp – những điều luật bị đánh giá là “khác biệt nghiêm trọng” so với tiêu chuẩn bảo vệ dữ liệu của EU.
Ngoài khoản tiền phạt, TikTok bị yêu cầu phải đưa quy trình xử lý dữ liệu của mình vào trạng thái tuân thủ trong vòng 6 tháng, đồng thời đình chỉ mọi hoạt động chuyển dữ liệu sang Trung Quốc trong thời gian đó.
Cuộc điều tra dẫn đến án phạt này bắt đầu từ tháng 9/2021 và tập trung vào việc TikTok xử lý dữ liệu cá nhân và liệu công ty có thực hiện đầy đủ các biện pháp kiểm soát khi chuyển dữ liệu đến quốc gia thứ ba hay không. Trong quá trình điều tra, TikTok đã cung cấp thông tin không chính xác, khẳng định rằng họ không lưu trữ dữ liệu người dùng EEA tại các máy chủ đặt ở Trung Quốc. Tuy nhiên, đến tháng 2/2025, công ty mới tiết lộ rằng một lượng dữ liệu giới hạn đã thực sự được lưu tại Trung Quốc – điều được DPC xem là một vấn đề nghiêm trọng.
TikTok sau đó cho biết dữ liệu này đã được xóa, song DPC đang cân nhắc thực hiện thêm các biện pháp quản lý, đồng thời tham vấn với các cơ quan bảo vệ dữ liệu khác trong EU.
Phản hồi trước quyết định trên, bà Christine Grahn – Giám đốc chính sách công và quan hệ chính phủ của TikTok tại châu Âu – cho biết phán quyết của DPC không phản ánh đúng những biện pháp bảo mật hiện tại của công ty, đặc biệt là không tính đến Dự án Clover – một sáng kiến an ninh dữ liệu trị giá hàng tỷ euro nhằm đảm bảo dữ liệu người dùng châu Âu được lưu trữ và xử lý tại địa phương. Bà cũng khẳng định TikTok chưa từng nhận yêu cầu cung cấp dữ liệu từ chính phủ Trung Quốc và cũng chưa từng chuyển giao dữ liệu cho bất kỳ cơ quan nào tại đây.
Đây là lần thứ hai TikTok bị xử phạt vì vi phạm GDPR. Trước đó vào tháng 9/2023, nền tảng này từng bị DPC phạt 345 triệu euro vì không tuân thủ quy định về quyền riêng tư trong việc xử lý dữ liệu cá nhân của trẻ em.
Vụ việc mới nhất tiếp tục làm dấy lên những lo ngại kéo dài về việc dữ liệu người dùng châu Âu có thể bị truy cập bởi chính phủ nước ngoài, đặc biệt trong bối cảnh các quy định của EU – như Đạo luật Thị trường Kỹ thuật số (DMA) và GDPR – đang được thực thi ngày càng nghiêm ngặt với các tập đoàn công nghệ toàn cầu.
