Duy Linh
Writer
Ủy ban Bảo vệ Dữ liệu (DPC) đã chính thức mở cuộc điều tra đối với TikTok Technology Limited sau khi phát hiện dữ liệu cá nhân của người dùng trong Khu vực Kinh tế Châu Âu (EEA) bị chuyển và lưu trữ tại các máy chủ ở Trung Quốc.
Cuộc điều tra xuất phát từ những mâu thuẫn trong kết luận của một cuộc rà soát trước đó, kết thúc vào ngày 30 tháng 4 năm 2025. TikTok từng khẳng định rằng dữ liệu người dùng EEA chỉ được truy cập từ xa tại Trung Quốc và không lưu trữ vật lý tại các máy chủ địa phương. Tuy nhiên, đến tháng 4 năm 2025, TikTok đã thông báo rằng vào tháng 2 cùng năm, họ phát hiện dữ liệu người dùng EEA đã thực sự bị lưu trữ tại máy chủ ở Trung Quốc.
Thông tin mới này khiến DPC lo ngại sâu sắc vì có thể vi phạm quy định về minh bạch và trách nhiệm giải trình theo Quy định bảo vệ dữ liệu chung (GDPR). DPC đã tổ chức tham vấn với các cơ quan giám sát khác trong EU để thảo luận về biện pháp tiếp theo.
Cuộc điều tra hiện tại được tiến hành theo mục 110 của Đạo luật Bảo vệ Dữ liệu 2018, do Ủy viên Tiến sĩ Des Hogan và ông Dale Sunderland đứng đầu. TikTok đã được thông báo về cuộc điều tra này vào đầu tuần.
DPC cũng sẽ xem xét việc TikTok tuân thủ Điều 5(2) về trách nhiệm giải trình; Điều 13(1)(f) về minh bạch thông tin với người dùng khi chuyển dữ liệu ra nước ngoài; Điều 31 về nghĩa vụ hợp tác với cơ quan giám sát; và các yêu cầu khác trong Chương V.
Hiện tại, Trung Quốc không nằm trong danh sách các quốc gia được EU công nhận đạt “mức bảo vệ đầy đủ” theo Điều 45(1) GDPR – khác với Nhật Bản, Hàn Quốc hay Vương quốc Anh. Do đó, TikTok buộc phải sử dụng các biện pháp thay thế như Điều khoản hợp đồng tiêu chuẩn (SCC) hoặc Quy tắc ràng buộc doanh nghiệp (BCR) để bảo đảm tính hợp pháp của việc chuyển dữ liệu.
Các cơ chế này yêu cầu TikTok phải đánh giá pháp luật và thực tế tại quốc gia tiếp nhận, đảm bảo không gây phương hại đến quyền riêng tư của người dùng. Điều này bao gồm cả đánh giá rủi ro và áp dụng biện pháp bổ sung – như được nêu trong học thuyết Schrems II.
DPC nhấn mạnh rằng việc truy cập từ xa hoặc lưu trữ ngoài ý muốn tại các khu vực pháp lý không phù hợp có thể gây rủi ro như giám sát trái phép hay cản trở việc thực thi các quyền truy cập hoặc xóa dữ liệu của người dùng EEA.
Cuộc điều tra có thể trở thành tiền lệ về cách các nền tảng toàn cầu xử lý dữ liệu xuyên biên giới. Vụ việc này là lời cảnh báo rõ ràng cho các công ty công nghệ về trách nhiệm với người dùng và sự cần thiết của tính minh bạch trong kỷ nguyên số.
Đọc chi tiết tại đây: https://gbhackers.com/dpc-investigates-tiktok/
Cuộc điều tra xuất phát từ những mâu thuẫn trong kết luận của một cuộc rà soát trước đó, kết thúc vào ngày 30 tháng 4 năm 2025. TikTok từng khẳng định rằng dữ liệu người dùng EEA chỉ được truy cập từ xa tại Trung Quốc và không lưu trữ vật lý tại các máy chủ địa phương. Tuy nhiên, đến tháng 4 năm 2025, TikTok đã thông báo rằng vào tháng 2 cùng năm, họ phát hiện dữ liệu người dùng EEA đã thực sự bị lưu trữ tại máy chủ ở Trung Quốc.
Thông tin mới này khiến DPC lo ngại sâu sắc vì có thể vi phạm quy định về minh bạch và trách nhiệm giải trình theo Quy định bảo vệ dữ liệu chung (GDPR). DPC đã tổ chức tham vấn với các cơ quan giám sát khác trong EU để thảo luận về biện pháp tiếp theo.
Cuộc điều tra hiện tại được tiến hành theo mục 110 của Đạo luật Bảo vệ Dữ liệu 2018, do Ủy viên Tiến sĩ Des Hogan và ông Dale Sunderland đứng đầu. TikTok đã được thông báo về cuộc điều tra này vào đầu tuần.
Trọng tâm cuộc điều tra và quy định liên quan
Mục tiêu chính là đánh giá liệu TikTok có tuân thủ Chương V của GDPR, quy định về việc chuyển dữ liệu cá nhân đến các quốc gia bên ngoài EEA hay không. Theo quy định này, việc chuyển dữ liệu chỉ được chấp thuận nếu quốc gia nhận dữ liệu có mức bảo vệ tương đương với tiêu chuẩn của EU.DPC cũng sẽ xem xét việc TikTok tuân thủ Điều 5(2) về trách nhiệm giải trình; Điều 13(1)(f) về minh bạch thông tin với người dùng khi chuyển dữ liệu ra nước ngoài; Điều 31 về nghĩa vụ hợp tác với cơ quan giám sát; và các yêu cầu khác trong Chương V.
Hiện tại, Trung Quốc không nằm trong danh sách các quốc gia được EU công nhận đạt “mức bảo vệ đầy đủ” theo Điều 45(1) GDPR – khác với Nhật Bản, Hàn Quốc hay Vương quốc Anh. Do đó, TikTok buộc phải sử dụng các biện pháp thay thế như Điều khoản hợp đồng tiêu chuẩn (SCC) hoặc Quy tắc ràng buộc doanh nghiệp (BCR) để bảo đảm tính hợp pháp của việc chuyển dữ liệu.
Các cơ chế này yêu cầu TikTok phải đánh giá pháp luật và thực tế tại quốc gia tiếp nhận, đảm bảo không gây phương hại đến quyền riêng tư của người dùng. Điều này bao gồm cả đánh giá rủi ro và áp dụng biện pháp bổ sung – như được nêu trong học thuyết Schrems II.
DPC nhấn mạnh rằng việc truy cập từ xa hoặc lưu trữ ngoài ý muốn tại các khu vực pháp lý không phù hợp có thể gây rủi ro như giám sát trái phép hay cản trở việc thực thi các quyền truy cập hoặc xóa dữ liệu của người dùng EEA.
Cuộc điều tra có thể trở thành tiền lệ về cách các nền tảng toàn cầu xử lý dữ liệu xuyên biên giới. Vụ việc này là lời cảnh báo rõ ràng cho các công ty công nghệ về trách nhiệm với người dùng và sự cần thiết của tính minh bạch trong kỷ nguyên số.
Đọc chi tiết tại đây: https://gbhackers.com/dpc-investigates-tiktok/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
