Otoritas perlindungan data Irlandia mendenda TikTok €530 juta atas transfer data ke Tiongkok
(apnews.com)- Di tengah aturan transfer data lintas batas Uni Eropa yang kembali mencuat sebagai risiko operasional platform, Data Protection Commission Irlandia menjatuhkan denda €530 juta kepada TikTok setelah penyelidikan selama 4 tahun
- Pokok persoalannya adalah apakah TikTok telah memverifikasi, menjamin, dan membuktikan bahwa data pribadi pengguna Eropa yang dapat diakses dari jarak jauh oleh karyawan di Tiongkok mendapat perlindungan yang pada dasarnya setara dengan yang berlaku di EU
- Pada saat itu, kebijakan pemrosesan data pribadi tidak cukup memberi tahu ke negara ketiga mana data ditransfer, dan juga tidak menjelaskan secara jelas akses jarak jauh oleh personel yang berbasis di Tiongkok
- TikTok tidak setuju dengan keputusan tersebut dan berencana mengajukan banding, serta menegaskan bahwa periode yang dipermasalahkan adalah periode tertentu hingga Mei 2023 dan setelah itu mereka memperkenalkan pusat data Eropa serta pengawasan independen melalui Project Clover
- GDPR mengizinkan pemindahan data pengguna Eropa ke luar EU, tetapi mensyaratkan tingkat perlindungan yang setara, dan pemberitahuan terlambat bahwa sebagian data disimpan di server Tiongkok dapat berujung pada tindakan regulasi tambahan
Denda €530 juta dan perintah perbaikan dalam 6 bulan
- Data Protection Commission Irlandia menjatuhkan denda €530 juta, sekitar $600 juta, kepada TikTok dengan alasan transfer data ke Tiongkok melanggar aturan privasi EU
- Keputusan ini merupakan hasil penyelidikan 4 tahun yang dimulai pada September 2021, dan TikTok juga diperintahkan untuk mematuhi aturan dalam waktu 6 bulan
- Regulator menilai transfer data ke Tiongkok telah mengekspos pengguna Eropa pada risiko pengawasan
- Karena kantor pusat TikTok di Eropa berada di Dublin, otoritas pengawas Irlandia berperan sebagai regulator privasi utama TikTok di 27 negara anggota EU
Akses jarak jauh dari Tiongkok dan perdebatan soal perlindungan setara EU
- Deputy Commissioner Graham Doyle menilai TikTok gagal memverifikasi, menjamin, dan membuktikan bahwa data pribadi pengguna Eropa yang diakses dari jarak jauh oleh karyawan di Tiongkok memperoleh tingkat perlindungan yang pada dasarnya setara dengan EU
- Dalam penyelidikan, kemungkinan otoritas Tiongkok mengakses data pribadi pengguna Eropa menjadi isu utama karena undang-undang Tiongkok terkait antiterorisme, anti-spionase, keamanan siber, dan intelijen negara
- Otoritas pengawas Irlandia menilai undang-undang Tiongkok tersebut berbeda secara substansial dari standar EU
Masalah transparansi dalam kebijakan privasi
- TikTok juga dikenai sanksi karena tidak cukup memberi tahu pengguna ke mana data pribadi mereka dikirim
- Saat penyelidikan berlangsung, kebijakan privasi TikTok tidak menyebutkan negara ketiga tempat data pengguna ditransfer, dan Tiongkok pun tidak disebut secara eksplisit
- Kebijakan itu kemudian diperbarui, tetapi pada saat itu juga tidak menjelaskan bahwa data pribadi yang disimpan di Singapore dan United States diproses melalui akses jarak jauh oleh personel yang berbasis di Tiongkok
Rencana banding TikTok dan Project Clover
- TikTok tidak setuju dengan keputusan ini dan berencana mengajukan banding
- Perusahaan membantah dengan menyatakan bahwa keputusan ini berfokus pada periode tertentu yang berakhir pada Mei 2023, dan setelah itu mereka menjalankan proyek lokalisasi data Project Clover
- Project Clover mencakup rencana membangun 3 pusat data di Eropa
- Christine Grahn, kepala kebijakan publik dan hubungan pemerintah TikTok di Eropa, menjelaskan bahwa Project Clover memiliki sebagian perlindungan data paling ketat di industri dan mencakup pengawasan independen dari perusahaan keamanan siber Eropa NCC Group
- Grahn menyatakan TikTok tidak pernah menerima permintaan data pengguna Eropa dari otoritas Tiongkok, dan juga tidak pernah memberikan data pengguna Eropa kepada otoritas Tiongkok
Standar transfer lintas batas GDPR dan bantahan TikTok
- Di bawah aturan privasi EU, General Data Protection Regulation, data pengguna Eropa dapat dipindahkan ke luar EU, tetapi diperlukan pengamanan yang menjamin tingkat perlindungan yang sama
- Grahn dengan tegas menolak penilaian regulator Irlandia bahwa TikTok tidak melakukan evaluasi yang diperlukan untuk transfer data
- TikTok menyatakan mereka telah meminta saran dari firma hukum dan para ahli, menggunakan mekanisme hukum yang sama dengan yang dipakai ribuan perusahaan di Eropa, dan menilai pendekatan mereka sesuai dengan aturan EU
- Grahn mengatakan TikTok sedang disorot secara tidak adil
Pemberitahuan penyimpanan di server Tiongkok dan tinjauan tindakan tambahan
- TikTok telah diselidiki terkait cara mereka menangani data pribadi pengguna di Eropa karena perusahaan induknya, ByteDance, berbasis di Tiongkok
- Para pejabat Barat telah berulang kali menyuarakan kekhawatiran bahwa TikTok menimbulkan risiko keamanan terkait data pengguna yang ditransfer ke Tiongkok
- Otoritas pengawas Irlandia juga pernah menjatuhkan denda ratusan juta euro kepada TikTok pada 2023 dalam penyelidikan terpisah soal data pribadi anak-anak
- Dalam penyelidikan ini, TikTok mengatakan tidak menyimpan data pengguna Eropa di server Tiongkok, tetapi baru pada April memberi tahu regulator bahwa sebagian data ternyata memang disimpan di server Tiongkok, berdasarkan temuan pada Februari
- Graham Doyle mengatakan perkembangan terbaru ini dipandang sangat serius dan sedang ditinjau apakah diperlukan tindakan regulasi tambahan
1 komentar
Komentar Hacker News
Disebut ‘massive’, berdasarkan standar apa?
Sudah saatnya kita terbiasa mengenakan denda kepada perusahaan sebesar proporsi pendapatan yang wajar
Pendapatan global TikTok tahun lalu saja diperkirakan 20–26 miliar dolar AS https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...
Menurut artikel tersebut, dari 20 miliar dolar AS itu TikTok menghasilkan 10 miliar dolar AS hanya di AS, sehingga batas atas pendapatan Eropa adalah 10 miliar dolar AS
Karena angka itu belum mengecualikan pasar besar seperti Brasil dan Indonesia, pendapatan Eropa sebenarnya kemungkinan jauh lebih rendah
530 juta euro setara sekitar 600 juta dolar AS, jadi minimal 6% dari pendapatan 2024 yang relevan, dan bisa saja jauh lebih tinggi dalam praktiknya
Saya tidak tahu apakah sebesar itu cukup untuk menetralkan keuntungan dari kecurangan, tetapi jelas ini bukan hukuman ringan
Dari sisi nominal, ini tampaknya berada kira-kira di 20 besar denda untuk satu perkara sepanjang sejarah, dan jika hanya melihat denda privasi Eropa, termasuk 3 besar
Menjadi terbiasa dengan jumlah seperti ini tidak mengubah kategorinya
Bahkan jika angka seperti ini makin umum, tetap saja sangat besar, terutama karena angka sebesar ini memang seharusnya tidak menjadi hal biasa
Sebagian besar pendapatan keluar sebagai biaya, jadi jika denda dikenakan sebagai proporsi pendapatan yang wajar, perusahaan bisa saja langsung dibuat bangkrut
Jika tujuannya mengubah perilaku, itu bukan hasil yang diinginkan
Jika pendapatan global 20 miliar dolar AS dan margin laba diasumsikan 20%, laba bersihnya 4 miliar dolar AS, sehingga denda ini setara 15% dari laba bersih global
Ini denda yang sangat besar
Selain itu, regulasi semacam ini ambigu dan sangat terbuka untuk interpretasi, sehingga meskipun perusahaan dan pengacaranya sungguh-sungguh yakin sudah mematuhinya, hakim bisa saja menilai berbeda
Jika tiap negara mengenakan denda berdasarkan pendapatan global, ada risiko denda berlapis untuk tindakan yang sama, dan ujung-ujungnya bisa bukan perubahan perilaku melainkan kebangkrutan perusahaan
Jika tuduhannya diterima apa adanya, China telah mengawasi sejumlah besar warga UE selama 4 tahun dan masih bisa terus melakukannya 6 bulan lagi
Setelah itu pun kecil kemungkinan mereka benar-benar berhenti, dan pada akhirnya dendanya hanya beberapa dolar per korban
AS juga tidak bergerak lebih cepat, dan sebagian besar negara lain sama sekali tidak bergerak
Akibatnya, negara yang berpotensi bermusuhan bisa menjalankan operasi pengawasan raksasa untuk waktu lama tanpa konsekuensi besar, selama diselipi video lucu dan soundtrack yang menyebalkan
Caranya dengan mendilusi kepemilikan pemilik lama untuk menghukum perilaku buruk
Jika pemerintah menjadi salah satu pemilik, mereka masuk ke dalam perusahaan, dan permintaan informasi maupun visibilitas akan jauh lebih besar
Jika perilaku buruk terus berlanjut, seiring waktu pemerintah akan memperoleh kendali
Untuk perusahaan seperti Tesla, yang harga sahamnya sangat tinggi tetapi labanya rendah, denda berbasis rasio laba mungkin tidak terlalu berarti
Namun kendali pemerintah lewat saham akan dengan cepat menarik perhatian perusahaan maupun para pemegang sahamnya
Є pada judul kiriman HN bukan simbol euro
Simbol euro adalah €
Semoga Dang memperbaikinya
https://codepoints.net/U+0404
Ada banyak frustrasi dan sinisme di thread ini, tetapi tampaknya beberapa kesalahpahaman ikut memperbesarnya
Pertama, Irlandia adalah bagian dari UE, dan dalam sistem one-stop shop GDPR, negara tempat kantor pusat UE berada memimpin penegakan untuk seluruh UE
Karena banyak raksasa teknologi memiliki kantor pusat UE di Irlandia, ketika regulator Irlandia menjatuhkan denda berdasarkan GDPR, pada dasarnya mereka menegakkannya atas nama seluruh UE
Denda GDPR bisa sangat besar, dan sanksi dapat didasarkan pada mana yang lebih tinggi antara persentase pendapatan global atau nominal tetap yang besar
Jadi bahkan perusahaan besar pun akan merasakan dampaknya
Denda seperti ini diumumkan secara publik dan transparan, sehingga selain pukulan finansial juga ada pukulan reputasi
Publisitas itu memang disengaja agar denda menjadi pencegah nyata, bukan sekadar biaya operasional yang sunyi
Perlu juga dijelaskan ke mana denda itu mengalir
Uang itu tidak semata-mata masuk ke kantong Irlandia; secara praktis masuk ke anggaran UE, dan dikompensasikan terhadap kontribusi yang biasanya harus dibayar Irlandia ke anggaran UE
Jika warga negara UE lain mengalami pelanggaran, negara-negara tersebut juga dapat meminta bagian dari denda
Jadi pada akhirnya ini bukan struktur yang membuat Irlandia mendapat keuntungan sendirian; Irlandia menjadi titik pemungutan karena perusahaan-perusahaan tersebut berbasis di sana
Menariknya, ada yang mengatakan denda ini terlalu keras, sementara yang lain mengatakan terlalu lemah
Pada kenyataannya, sanksi seperti ini dirancang agar proporsional dengan ukuran perusahaan dan tingkat pelanggaran, namun tetap terasa berarti; tujuannya bukan menghancurkan perusahaan, tetapi juga jelas bukan sesuatu yang remeh
Setelah itu regulator dapat mengenakan X% dari maksimum tersebut sebagai denda aktual
Ini juga merupakan mekanisme untuk mencegah negara anggota UE menetapkan denda terlalu rendah demi menarik bisnis
Konteksnya mirip dengan masalah Irlandia yang dulu mengenakan pajak terlalu rendah
Untuk bagian yang tidak diminta oleh negara UE lain, pada akhirnya bisa dibilang masuk ke kantong Irlandia
Setiap kali GDPR dibahas, ada puluhan tulisan di sini, dan perdebatan soal bagian ini selalu berulang
Mungkin saja ini bergerak dalam koridor hukum, tetapi menurut saya ancaman yang lebih besar bukan data yang keluar, melainkan pengaruh yang masuk ke algoritma aplikasi, dan dampaknya terhadap pengguna
@dang Bisakah simbol ini dimasukkan ke judul? €
Ada dua hal yang membuat saya penasaran
Pertama, apakah denda seperti ini benar-benar dieksekusi, atau justru berujung pada banding tanpa batas waktu
Kedua, ke mana denda itu pergi
Jika strukturnya TikTok didenda di Irlandia, terdengar seolah dendanya masuk ke pemerintah Irlandia, dan itu aneh
Kalau dendanya dihitung dalam konteks seluruh UE tetapi pendapatannya hanya diambil Irlandia, berarti strukturnya rusak
Jadi masuk ke kantong besar yang sama seperti pajak
UE hampir tidak melakukan penegakan hukum secara langsung, dan sebagian besar dilakukan oleh regulator nasional, jadi secara umum ini pola yang bisa diperkirakan
Ini kebalikan dari kasus Apple; saat itu UE menjatuhkan denda kepada pemerintah Irlandia karena dianggap tidak memungut pajak yang cukup dari Apple
Namun tampaknya berbeda-beda di tiap negara, dan Spanyol terlihat memiliki struktur yang agak tidak biasa, di mana otoritas perlindungan data menyimpannya langsung
Mungkin itu juga yang diinginkan Irlandia
Irlandia adalah pasar kecil, jadi TikTok akan membutuhkan waktu sangat lama untuk menghasilkan laba 530 juta euro di Irlandia
100% uang yang dipulihkan dari denda seperti ini seharusnya digunakan untuk penelitian dan pengungkapan pelanggaran privasi oleh perusahaan-perusahaan tersebut
Pada dasarnya, mereka harus membayar sendiri biaya pengawasan atas diri mereka
Kita tidak tahu bagaimana data yang mereka kumpulkan secara masif akan disalahgunakan oleh AI di masa depan, dan itu cukup menakutkan
Saya berharap uang itu dipakai untuk memperbaiki keadaan bagi warga setempat
Sedikit melenceng dari topik, tetapi saya penasaran bagaimana pemerintah yang menjatuhkan denda menggunakan uang itu
Misalnya, apakah dana itu masuk untuk aktivitas atau pekerjaan terkait perlindungan privasi data?
Di kebanyakan negara, meskipun Anda membayar “pajak beruang”, uang itu tidak masuk ke gentong besar khusus untuk pemberantasan beruang
Jadi denda seperti ini biasanya masuk ke sumber dana umum belanja pemerintah
Di Inggris, denda pelanggaran data digunakan untuk biaya operasional lembaga penegak, dan sisanya dikembalikan ke negara https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
Anggaran UE itu sendiri tidak benar-benar berubah, jadi secara praktis ini bukan struktur yang membuat “uang bertambah”
Sepertinya ada satu tahap yang terlewat, tetapi denda ini bukan khusus Irlandia, melainkan denda untuk seluruh UE, dan seingat saya dibayarkan ke UE
Selama denda tidak dikenakan kepada individu yang bertanggung jawab, denda seperti ini tidak berguna dan tidak berdampak