1 poin oleh GN⁺ 2023-09-17 | 1 komentar | Bagikan ke WhatsApp
  • Komisi Perlindungan Data Irlandia (DPC) menjatuhkan denda 345 juta euro kepada TikTok dengan alasan cara perusahaan menangani akun anak melanggar EU GDPR
  • Isu utamanya adalah akun usia 13–17 tahun secara default ditempatkan pada pengaturan publik saat proses pendaftaran, dan informasi yang cukup transparan tidak diberikan kepada pengguna anak
  • “family pairing” tidak memverifikasi apakah orang dewasa yang mengendalikan akun benar-benar orang tua atau wali, sehingga bahkan dapat membuka pengaturan pesan langsung untuk pengguna berusia 16 tahun ke atas
  • DPC menilai TikTok tidak cukup mempertimbangkan risiko pengguna di bawah 13 tahun masuk ke platform lalu ditempatkan pada pengaturan publik, tetapi tidak menganggap metode verifikasi usia itu sendiri sebagai pelanggaran GDPR
  • TikTok membantah dengan menyatakan bahwa penyelidikan hanya mencakup pengaturan pada 31 Juli 2020 hingga 31 Desember 2020, dan bahwa masalah tersebut sudah diperbaiki, termasuk mengubah akun usia 13–15 tahun menjadi privat secara default sejak 2021

Dasar denda 345 juta euro

  • TikTok dijatuhi denda 345 juta euro, sekitar 296 juta pound, karena melanggar hukum perlindungan data UE terkait penanganan akun anak
  • Komisi Perlindungan Data Irlandia (DPC), yang menangani regulasi TikTok di UE, menilai TikTok telah beberapa kali melanggar aturan GDPR
  • Intinya, TikTok dinilai gagal memberikan perlindungan yang memadai agar konten pengguna di bawah umur tidak terekspos secara publik

Risiko paparan akibat pengaturan publik default

  • DPC menilai pengguna usia 13–17 tahun diarahkan agar akun mereka diatur publik secara default saat proses pendaftaran
    • Pada akun publik, siapa pun dapat melihat konten akun atau meninggalkan komentar
    • Karena pengaturan ini, siapa pun dapat melihat konten media sosial yang diunggah pengguna tersebut
  • Usia minimum untuk menggunakan TikTok adalah 13 tahun
  • DPC juga menyoroti bahwa risiko pengguna di bawah 13 tahun mengakses platform lalu ditempatkan pada pengaturan publik tidak dipertimbangkan secara memadai

Kurangnya transparansi dan masalah family pairing

  • Kegagalan memberikan informasi yang transparan secara memadai kepada pengguna anak juga termasuk pelanggaran GDPR
  • “family pairing” memungkinkan orang dewasa mengendalikan pengaturan akun anak, tetapi tidak memverifikasi apakah orang dewasa yang terhubung benar-benar orang tua atau wali
  • Melalui pengaturan ini, orang dewasa yang mengakses akun anak dapat mengaktifkan fitur pesan langsung untuk pengguna berusia 16 tahun ke atas

Penilaian terhadap Duet·Stitch dan verifikasi usia

  • Duet dan Stitch adalah fitur yang memungkinkan pengguna menggabungkan konten dengan pengguna TikTok lain
  • DPC menyatakan fitur-fitur ini diaktifkan secara default untuk pengguna di bawah 17 tahun
  • Namun, DPC tidak menilai metode verifikasi usia TikTok itu sendiri sebagai pelanggaran GDPR

Tekanan regulasi tambahan setelah sanksi di Inggris

  • Keputusan ini muncul setelah TikTok didenda 12,7 juta pound oleh regulator data Inggris pada April 2023
    • Regulator Inggris menilai TikTok memproses data 1,4 juta anak di bawah 13 tahun secara ilegal yang menggunakan platform tanpa persetujuan orang tua
    • Saat itu, Komisioner Informasi menilai TikTok “hampir tidak melakukan apa pun” untuk memeriksa siapa yang menggunakan platform
  • TikTok menyatakan penyelidikan ini menargetkan pengaturan privasi dari 31 Juli 2020 hingga 31 Desember 2020, dan bahwa persoalan yang diajukan sudah diselesaikan
  • Sejak 2021, akun lama maupun baru untuk usia 13–15 tahun diatur privat secara default
    • Pada akun privat, hanya orang yang disetujui pengguna yang dapat melihat konten
  • TikTok menyatakan tidak setuju dengan besaran denda maupun keputusan tersebut, dan membantah bahwa kritik DPC berfokus pada fitur dan pengaturan dari tiga tahun lalu
  • TikTok juga menyatakan bahwa bahkan sebelum penyelidikan dimulai, mereka sudah membuat perubahan untuk menjadikan akun di bawah 16 tahun privat secara default

Intervensi Dewan Perlindungan Data Eropa

  • DPC mengakui bahwa dalam sebagian keputusannya, posisinya dibalik oleh European Data Protection Board
  • Akibatnya, DPC harus memasukkan penilaian yang diusulkan regulator Jerman
  • Penilaian tersebut menyatakan bahwa penggunaan dark pattern, yaitu desain situs web atau aplikasi yang menipu untuk mengarahkan pengguna ke tindakan atau pilihan tertentu, melanggar ketentuan GDPR tentang pemrosesan data pribadi yang adil

1 komentar

 
GN⁺ 2023-09-17
Komentar Hacker News
  • Mereka katanya tidak memverifikasi apakah orang dewasa yang mengontrol pengaturan akun anak di fitur “Family Pairing” benar-benar orang tua atau wali, tapi saya tidak tahu persis bagaimana TikTok seharusnya memverifikasi status orang tua itu.
    Apakah perusahaan teknologi lain juga diminta memverifikasi orang tua? Sepertinya hanya TikTok yang didenda karena alasan seperti ini.

  • Kalau kita bertepuk tangan untuk preseden seperti ini, rasanya kita akan menuju situasi ketika memakai situs web populer membutuhkan identitas pemerintah dan pembuktian jarak jauh.

    • Mungkin sekarang sudah saatnya mengurangi anonimitas.
      Sejak era 90-an ada anggapan bahwa internet anonim dan penguatan sinyal memberi dampak bersih positif, tetapi makin lama tampaknya makin kurang tepat.
      Kalau ingin menerbitkan sendiri secara anonim, silakan saja, tetapi bukan berarti ada hak yang dijamin untuk menggunakan salah satu dari lima platform raksasa.
      Kalau ini membuat platform besar terpecah, menurut saya itu juga dampak bersih positif.
    • Negara sudah memperbaiki kebiasaan porno saya dengan cara ini.
    • Sudah membaca artikelnya? Ini bukan kasus “tidak tahu usianya”, melainkan kasus ketika akun memiliki tanggal lahir di bawah umur yang disetel.
  • Saya baru-baru ini mulai memakai TikTok, dan meski dikatakan bahwa live stream membutuhkan 1.000 pengikut dan usia minimal 18 tahun, dalam praktiknya saya melihat banyak anak-anak melakukan live.
    Saya sempat heran mengapa mereka tidak menegakkan aturan mereka sendiri. Bisa jadi karena jumlah streamer terlalu banyak, tetapi satu orang khusus saja seharusnya cukup untuk menemukan remaja atau anak-anak yang sedang live.
    Jadi putusan ini tepat waktu.
    Namun saya bertanya-tanya mengapa anak usia 13–18 tahun harus dilarang streaming. Jika alasannya “orang mesum yang mengintai”, logika itu tidak berlaku untuk kontrol chat, jadi tidak jelas mengapa hanya berlaku di sini. Konten seksual tidak diizinkan di TikTok, dan meski perempuan berbikini bisa terlihat, di pantai umum di dunia nyata pun bahkan orang bertelanjang dada bisa terlihat. Apa alasan lainnya?

    • Alasan anak usia 13–18 tahun harus dilarang streaming adalah karena hubungan parasosial, terutama dengan audiens besar, punya dampak aneh bahkan bagi orang dewasa.
    • Yang satu adalah melihat perempuan bertelanjang dada di pantai, sedangkan yang lain adalah orang-orang asing anonim memberi imbalan kepada anak-anak agar makin mendekati pertunjukan seksual.
    • Anak-anak sangat rentan, dan hal seperti ini memberi dampak berbahaya pada mental mereka.
  • Ini awal yang baik, tetapi saya penasaran apakah undang-undang data UE akan mulai ditegakkan secara besar-besaran juga terhadap perusahaan Eropa, bukan hanya perusahaan internasional.

    • Itu juga ditegakkan terhadap perusahaan Eropa. Hanya saja karena bukan Big Tech, tidak masuk headline HN, dan hampir tidak ada orang di sini yang pernah mendengarnya.
      Perusahaan UE cenderung melihat perlindungan data dengan lebih hati-hati dan menanganinya dengan serius bahkan sebelum GDPR, jadi pelanggar berat juga lebih jarang ditemukan.
    • Sebenarnya penegakan memang terjadi sampai taraf tertentu, tetapi kebanyakan perusahaan UE menghindarinya sejak awal karena hampir tidak mengumpulkan data di luar yang diperlukan untuk menjalankan layanan.
      Setidaknya saat saya berurusan dengan layanan UE, kebijakan privasinya muat dalam beberapa lembar A4, hal-hal penting ada di depan, dan ditulis agar mudah dipahami. Bahkan bank pun tidak menyembunyikan apa yang mereka kumpulkan dan menjelaskan mengapa mereka mengumpulkannya.
      Sebaliknya, perusahaan asing cenderung bersikeras memakai kebijakan privasi yang sangat panjang sampai sulit dipahami, dan mencoba menggunakannya untuk menghindari hukum. Misalnya, halaman privasi Google nyaris berupa satu halaman raksasa yang berulang-ulang mengatakan “Google dapat mengumpulkan informasi tentang Anda”, tidak jelas data itu digunakan untuk apa, dan sangat bergantung pada halaman lain untuk penjelasan rinci. Orang rata-rata kemungkinan besar sudah kehilangan alurnya.
      Pada akhirnya, perusahaan asing merasa bisa melanggar hukum dan lolos, serta membuat penggunaan data sulit dilacak. Perusahaan Eropa pada umumnya benar-benar mematuhi hukum, sehingga preseden besar muncul terhadap raksasa teknologi asing.
    • Banyak perusahaan Eropa juga pernah didenda.
      Namun pada umumnya perusahaan Eropa menanggapinya jauh lebih serius daripada perusahaan multinasional. Kadang bahkan berlebihan, sampai-sampai meski sekarang sudah agak mereda, sesekali masih terlihat perusahaan yang memaksakan kebijakan data yang konyol karena keliru mengira itu diperlukan untuk kepatuhan.
    • Memangnya perlu? Perusahaan Eropa sudah lebih mungkin mematuhi hukum, dan kurang agresif dalam membengkokkan atau mengabaikannya. Sering kali karena orang-orang yang bekerja di sana lebih memahami hukum dan lebih fokus padanya.
      Sebaliknya, perusahaan Eropa biasanya lebih kecil sehingga dendanya juga lebih rendah, dan karena itu jarang masuk headline. Itulah mengapa kita jarang mendengar denda terhadap perusahaan Eropa meskipun tetap ada. Jujur saja, kita biasanya hanya mendengar denda yang sangat besar.
    • Lihat sendiri: https://www.enforcementtracker.com/
  • Untuk putusan satu negara, dendanya cukup besar. Sekitar 2,6% dari pendapatan tahunan, kira-kira setara 10 hari.

    • Denda itu untuk seluruh UE, hanya saja karena kantor pusat TikTok berada di Irlandia, otoritas Irlandia yang menanganinya.
    • Menurut artikel, lembaga Irlandia menegakkannya atas nama seluruh UE. Menurut saya ini adalah mekanisme one-stop shop yang dipakai perusahaan asing besar dan Twitter agar tidak didenda secara terpisah di tiap negara anggota. Tampaknya juga mencakup pengawasan yang lebih ketat.
      Saya sengaja menyebut Twitter, bukan X Corp, karena Musk dengan keputusan yang terkenal buruk memecat semua orang di Twitter Ireland yang menangani kepatuhan. Tampaknya salah satu persyaratannya adalah semua peluncuran fitur harus ditinjau oleh tim Irlandia agar tidak melanggar undang-undang data UE, tetapi Musk tidak melakukan itu untuk perubahan apa pun yang ia perkenalkan setelah akuisisi dengan utang.
  • Kapan para CEO rumahan berhenti berkata seperti “lol, x cuma remah-remah dibanding pendapatan y”? Memangnya 345 juta euro tumbuh di pohon?

    • Pendapatan tahun ini diperkirakan 13,2 miliar dolar AS.
  • Selain denda, mereka harus dimasukkan ke penalty box selama beberapa bulan. Misalnya dilarang beroperasi di yurisdiksi tersebut untuk jangka waktu tertentu.

  • Sebagai denda awal alih-alih pelarangan, ini awal yang bagus, dan ini juga arah yang terus saya minta.
    Jika mereka berulang kali melanggar privasi pengguna, dendanya harus dinaikkan sampai miliaran dolar. Sudah ada preseden pada Facebook.
    Tidak ada alasan bagi perusahaan besar untuk melakukan hal seperti ini lalu lolos, dan semua perusahaan media sosial dengan ratusan juta pengguna atau lebih harus didenda jika melanggar privasi pengguna seperti TikTok. Tidak boleh ada pengecualian atau alasan lagi.
    Pada akhirnya, saat mengacaukan privasi penggunanya sendiri, TikTok tidak berbeda dari Meta.

  • Dilihat dari skala keseluruhan, sepertinya ini bukan uang besar. Denda yang relatif lebih berat pun mungkin baik-baik saja, meski bisa jadi saya tidak tahu semua detailnya.

    • Setuju. Pada skala sebesar itu, denda seperti itu lebih mirip pajak sebagai biaya berbisnis.
      Saat sengketa hukumnya selesai, besar kemungkinan jumlahnya juga akan dipangkas jauh lebih kecil.
  • Uang itu pergi ke mana?

    • Sial. Ini cuma satu pertanyaan sederhana, tetapi sejauh ini sudah ada tiga jawaban yang saling bertentangan: “anggaran umum pemerintah”, “negara yang menjatuhkan denda”, dan “anggaran UE”.
      Kalau tidak tahu jawabannya, jangan mengarang fiksi lalu menyampaikannya seolah-olah fakta.
    • Masuk ke negara yang menjatuhkan denda. Dulu Meta ke Irlandia, Amazon ke Luksemburg.
    • Saya juga ingin tahu. Semua denda seperti ini pergi ke mana?
    • Masuk ke anggaran umum pemerintah.
    • Masuk ke anggaran UE https://en.wikipedia.org/wiki/Budget_of_the_European_Union