- Komisi Perlindungan Data Irlandia (DPC) menjatuhkan denda 345 juta euro kepada TikTok dengan alasan cara perusahaan menangani akun anak melanggar EU GDPR
- Isu utamanya adalah akun usia 13–17 tahun secara default ditempatkan pada pengaturan publik saat proses pendaftaran, dan informasi yang cukup transparan tidak diberikan kepada pengguna anak
- “family pairing” tidak memverifikasi apakah orang dewasa yang mengendalikan akun benar-benar orang tua atau wali, sehingga bahkan dapat membuka pengaturan pesan langsung untuk pengguna berusia 16 tahun ke atas
- DPC menilai TikTok tidak cukup mempertimbangkan risiko pengguna di bawah 13 tahun masuk ke platform lalu ditempatkan pada pengaturan publik, tetapi tidak menganggap metode verifikasi usia itu sendiri sebagai pelanggaran GDPR
- TikTok membantah dengan menyatakan bahwa penyelidikan hanya mencakup pengaturan pada 31 Juli 2020 hingga 31 Desember 2020, dan bahwa masalah tersebut sudah diperbaiki, termasuk mengubah akun usia 13–15 tahun menjadi privat secara default sejak 2021
Dasar denda 345 juta euro
- TikTok dijatuhi denda 345 juta euro, sekitar 296 juta pound, karena melanggar hukum perlindungan data UE terkait penanganan akun anak
- Komisi Perlindungan Data Irlandia (DPC), yang menangani regulasi TikTok di UE, menilai TikTok telah beberapa kali melanggar aturan GDPR
- Intinya, TikTok dinilai gagal memberikan perlindungan yang memadai agar konten pengguna di bawah umur tidak terekspos secara publik
Risiko paparan akibat pengaturan publik default
- DPC menilai pengguna usia 13–17 tahun diarahkan agar akun mereka diatur publik secara default saat proses pendaftaran
- Pada akun publik, siapa pun dapat melihat konten akun atau meninggalkan komentar
- Karena pengaturan ini, siapa pun dapat melihat konten media sosial yang diunggah pengguna tersebut
- Usia minimum untuk menggunakan TikTok adalah 13 tahun
- DPC juga menyoroti bahwa risiko pengguna di bawah 13 tahun mengakses platform lalu ditempatkan pada pengaturan publik tidak dipertimbangkan secara memadai
Kurangnya transparansi dan masalah family pairing
- Kegagalan memberikan informasi yang transparan secara memadai kepada pengguna anak juga termasuk pelanggaran GDPR
- “family pairing” memungkinkan orang dewasa mengendalikan pengaturan akun anak, tetapi tidak memverifikasi apakah orang dewasa yang terhubung benar-benar orang tua atau wali
- Melalui pengaturan ini, orang dewasa yang mengakses akun anak dapat mengaktifkan fitur pesan langsung untuk pengguna berusia 16 tahun ke atas
Penilaian terhadap Duet·Stitch dan verifikasi usia
- Duet dan Stitch adalah fitur yang memungkinkan pengguna menggabungkan konten dengan pengguna TikTok lain
- DPC menyatakan fitur-fitur ini diaktifkan secara default untuk pengguna di bawah 17 tahun
- Namun, DPC tidak menilai metode verifikasi usia TikTok itu sendiri sebagai pelanggaran GDPR
Tekanan regulasi tambahan setelah sanksi di Inggris
- Keputusan ini muncul setelah TikTok didenda 12,7 juta pound oleh regulator data Inggris pada April 2023
- Regulator Inggris menilai TikTok memproses data 1,4 juta anak di bawah 13 tahun secara ilegal yang menggunakan platform tanpa persetujuan orang tua
- Saat itu, Komisioner Informasi menilai TikTok “hampir tidak melakukan apa pun” untuk memeriksa siapa yang menggunakan platform
- TikTok menyatakan penyelidikan ini menargetkan pengaturan privasi dari 31 Juli 2020 hingga 31 Desember 2020, dan bahwa persoalan yang diajukan sudah diselesaikan
- Sejak 2021, akun lama maupun baru untuk usia 13–15 tahun diatur privat secara default
- Pada akun privat, hanya orang yang disetujui pengguna yang dapat melihat konten
- TikTok menyatakan tidak setuju dengan besaran denda maupun keputusan tersebut, dan membantah bahwa kritik DPC berfokus pada fitur dan pengaturan dari tiga tahun lalu
- TikTok juga menyatakan bahwa bahkan sebelum penyelidikan dimulai, mereka sudah membuat perubahan untuk menjadikan akun di bawah 16 tahun privat secara default
Intervensi Dewan Perlindungan Data Eropa
- DPC mengakui bahwa dalam sebagian keputusannya, posisinya dibalik oleh European Data Protection Board
- Akibatnya, DPC harus memasukkan penilaian yang diusulkan regulator Jerman
- Penilaian tersebut menyatakan bahwa penggunaan dark pattern, yaitu desain situs web atau aplikasi yang menipu untuk mengarahkan pengguna ke tindakan atau pilihan tertentu, melanggar ketentuan GDPR tentang pemrosesan data pribadi yang adil
1 komentar
Komentar Hacker News
Mereka katanya tidak memverifikasi apakah orang dewasa yang mengontrol pengaturan akun anak di fitur “Family Pairing” benar-benar orang tua atau wali, tapi saya tidak tahu persis bagaimana TikTok seharusnya memverifikasi status orang tua itu.
Apakah perusahaan teknologi lain juga diminta memverifikasi orang tua? Sepertinya hanya TikTok yang didenda karena alasan seperti ini.
https://techcrunch.com/2022/09/05/instagram-gdpr-fine-childr...
Kalau kita bertepuk tangan untuk preseden seperti ini, rasanya kita akan menuju situasi ketika memakai situs web populer membutuhkan identitas pemerintah dan pembuktian jarak jauh.
Sejak era 90-an ada anggapan bahwa internet anonim dan penguatan sinyal memberi dampak bersih positif, tetapi makin lama tampaknya makin kurang tepat.
Kalau ingin menerbitkan sendiri secara anonim, silakan saja, tetapi bukan berarti ada hak yang dijamin untuk menggunakan salah satu dari lima platform raksasa.
Kalau ini membuat platform besar terpecah, menurut saya itu juga dampak bersih positif.
Saya baru-baru ini mulai memakai TikTok, dan meski dikatakan bahwa live stream membutuhkan 1.000 pengikut dan usia minimal 18 tahun, dalam praktiknya saya melihat banyak anak-anak melakukan live.
Saya sempat heran mengapa mereka tidak menegakkan aturan mereka sendiri. Bisa jadi karena jumlah streamer terlalu banyak, tetapi satu orang khusus saja seharusnya cukup untuk menemukan remaja atau anak-anak yang sedang live.
Jadi putusan ini tepat waktu.
Namun saya bertanya-tanya mengapa anak usia 13–18 tahun harus dilarang streaming. Jika alasannya “orang mesum yang mengintai”, logika itu tidak berlaku untuk kontrol chat, jadi tidak jelas mengapa hanya berlaku di sini. Konten seksual tidak diizinkan di TikTok, dan meski perempuan berbikini bisa terlihat, di pantai umum di dunia nyata pun bahkan orang bertelanjang dada bisa terlihat. Apa alasan lainnya?
Ini awal yang baik, tetapi saya penasaran apakah undang-undang data UE akan mulai ditegakkan secara besar-besaran juga terhadap perusahaan Eropa, bukan hanya perusahaan internasional.
Perusahaan UE cenderung melihat perlindungan data dengan lebih hati-hati dan menanganinya dengan serius bahkan sebelum GDPR, jadi pelanggar berat juga lebih jarang ditemukan.
Setidaknya saat saya berurusan dengan layanan UE, kebijakan privasinya muat dalam beberapa lembar A4, hal-hal penting ada di depan, dan ditulis agar mudah dipahami. Bahkan bank pun tidak menyembunyikan apa yang mereka kumpulkan dan menjelaskan mengapa mereka mengumpulkannya.
Sebaliknya, perusahaan asing cenderung bersikeras memakai kebijakan privasi yang sangat panjang sampai sulit dipahami, dan mencoba menggunakannya untuk menghindari hukum. Misalnya, halaman privasi Google nyaris berupa satu halaman raksasa yang berulang-ulang mengatakan “Google dapat mengumpulkan informasi tentang Anda”, tidak jelas data itu digunakan untuk apa, dan sangat bergantung pada halaman lain untuk penjelasan rinci. Orang rata-rata kemungkinan besar sudah kehilangan alurnya.
Pada akhirnya, perusahaan asing merasa bisa melanggar hukum dan lolos, serta membuat penggunaan data sulit dilacak. Perusahaan Eropa pada umumnya benar-benar mematuhi hukum, sehingga preseden besar muncul terhadap raksasa teknologi asing.
Namun pada umumnya perusahaan Eropa menanggapinya jauh lebih serius daripada perusahaan multinasional. Kadang bahkan berlebihan, sampai-sampai meski sekarang sudah agak mereda, sesekali masih terlihat perusahaan yang memaksakan kebijakan data yang konyol karena keliru mengira itu diperlukan untuk kepatuhan.
Sebaliknya, perusahaan Eropa biasanya lebih kecil sehingga dendanya juga lebih rendah, dan karena itu jarang masuk headline. Itulah mengapa kita jarang mendengar denda terhadap perusahaan Eropa meskipun tetap ada. Jujur saja, kita biasanya hanya mendengar denda yang sangat besar.
Untuk putusan satu negara, dendanya cukup besar. Sekitar 2,6% dari pendapatan tahunan, kira-kira setara 10 hari.
Saya sengaja menyebut Twitter, bukan X Corp, karena Musk dengan keputusan yang terkenal buruk memecat semua orang di Twitter Ireland yang menangani kepatuhan. Tampaknya salah satu persyaratannya adalah semua peluncuran fitur harus ditinjau oleh tim Irlandia agar tidak melanggar undang-undang data UE, tetapi Musk tidak melakukan itu untuk perubahan apa pun yang ia perkenalkan setelah akuisisi dengan utang.
Kapan para CEO rumahan berhenti berkata seperti “lol, x cuma remah-remah dibanding pendapatan y”? Memangnya 345 juta euro tumbuh di pohon?
Selain denda, mereka harus dimasukkan ke penalty box selama beberapa bulan. Misalnya dilarang beroperasi di yurisdiksi tersebut untuk jangka waktu tertentu.
Sebagai denda awal alih-alih pelarangan, ini awal yang bagus, dan ini juga arah yang terus saya minta.
Jika mereka berulang kali melanggar privasi pengguna, dendanya harus dinaikkan sampai miliaran dolar. Sudah ada preseden pada Facebook.
Tidak ada alasan bagi perusahaan besar untuk melakukan hal seperti ini lalu lolos, dan semua perusahaan media sosial dengan ratusan juta pengguna atau lebih harus didenda jika melanggar privasi pengguna seperti TikTok. Tidak boleh ada pengecualian atau alasan lagi.
Pada akhirnya, saat mengacaukan privasi penggunanya sendiri, TikTok tidak berbeda dari Meta.
Dilihat dari skala keseluruhan, sepertinya ini bukan uang besar. Denda yang relatif lebih berat pun mungkin baik-baik saja, meski bisa jadi saya tidak tahu semua detailnya.
Saat sengketa hukumnya selesai, besar kemungkinan jumlahnya juga akan dipangkas jauh lebih kecil.
Uang itu pergi ke mana?
Kalau tidak tahu jawabannya, jangan mengarang fiksi lalu menyampaikannya seolah-olah fakta.