1 poin oleh GN⁺ 2025-05-04 | 1 komentar | Bagikan ke WhatsApp
  • Di tengah aturan transfer data lintas batas Uni Eropa yang kembali mencuat sebagai risiko operasional platform, Data Protection Commission Irlandia menjatuhkan denda €530 juta kepada TikTok setelah penyelidikan selama 4 tahun
  • Pokok persoalannya adalah apakah TikTok telah memverifikasi, menjamin, dan membuktikan bahwa data pribadi pengguna Eropa yang dapat diakses dari jarak jauh oleh karyawan di Tiongkok mendapat perlindungan yang pada dasarnya setara dengan yang berlaku di EU
  • Pada saat itu, kebijakan pemrosesan data pribadi tidak cukup memberi tahu ke negara ketiga mana data ditransfer, dan juga tidak menjelaskan secara jelas akses jarak jauh oleh personel yang berbasis di Tiongkok
  • TikTok tidak setuju dengan keputusan tersebut dan berencana mengajukan banding, serta menegaskan bahwa periode yang dipermasalahkan adalah periode tertentu hingga Mei 2023 dan setelah itu mereka memperkenalkan pusat data Eropa serta pengawasan independen melalui Project Clover
  • GDPR mengizinkan pemindahan data pengguna Eropa ke luar EU, tetapi mensyaratkan tingkat perlindungan yang setara, dan pemberitahuan terlambat bahwa sebagian data disimpan di server Tiongkok dapat berujung pada tindakan regulasi tambahan

Denda €530 juta dan perintah perbaikan dalam 6 bulan

  • Data Protection Commission Irlandia menjatuhkan denda €530 juta, sekitar $600 juta, kepada TikTok dengan alasan transfer data ke Tiongkok melanggar aturan privasi EU
  • Keputusan ini merupakan hasil penyelidikan 4 tahun yang dimulai pada September 2021, dan TikTok juga diperintahkan untuk mematuhi aturan dalam waktu 6 bulan
  • Regulator menilai transfer data ke Tiongkok telah mengekspos pengguna Eropa pada risiko pengawasan
  • Karena kantor pusat TikTok di Eropa berada di Dublin, otoritas pengawas Irlandia berperan sebagai regulator privasi utama TikTok di 27 negara anggota EU

Akses jarak jauh dari Tiongkok dan perdebatan soal perlindungan setara EU

  • Deputy Commissioner Graham Doyle menilai TikTok gagal memverifikasi, menjamin, dan membuktikan bahwa data pribadi pengguna Eropa yang diakses dari jarak jauh oleh karyawan di Tiongkok memperoleh tingkat perlindungan yang pada dasarnya setara dengan EU
  • Dalam penyelidikan, kemungkinan otoritas Tiongkok mengakses data pribadi pengguna Eropa menjadi isu utama karena undang-undang Tiongkok terkait antiterorisme, anti-spionase, keamanan siber, dan intelijen negara
  • Otoritas pengawas Irlandia menilai undang-undang Tiongkok tersebut berbeda secara substansial dari standar EU

Masalah transparansi dalam kebijakan privasi

  • TikTok juga dikenai sanksi karena tidak cukup memberi tahu pengguna ke mana data pribadi mereka dikirim
  • Saat penyelidikan berlangsung, kebijakan privasi TikTok tidak menyebutkan negara ketiga tempat data pengguna ditransfer, dan Tiongkok pun tidak disebut secara eksplisit
  • Kebijakan itu kemudian diperbarui, tetapi pada saat itu juga tidak menjelaskan bahwa data pribadi yang disimpan di Singapore dan United States diproses melalui akses jarak jauh oleh personel yang berbasis di Tiongkok

Rencana banding TikTok dan Project Clover

  • TikTok tidak setuju dengan keputusan ini dan berencana mengajukan banding
  • Perusahaan membantah dengan menyatakan bahwa keputusan ini berfokus pada periode tertentu yang berakhir pada Mei 2023, dan setelah itu mereka menjalankan proyek lokalisasi data Project Clover
  • Project Clover mencakup rencana membangun 3 pusat data di Eropa
  • Christine Grahn, kepala kebijakan publik dan hubungan pemerintah TikTok di Eropa, menjelaskan bahwa Project Clover memiliki sebagian perlindungan data paling ketat di industri dan mencakup pengawasan independen dari perusahaan keamanan siber Eropa NCC Group
  • Grahn menyatakan TikTok tidak pernah menerima permintaan data pengguna Eropa dari otoritas Tiongkok, dan juga tidak pernah memberikan data pengguna Eropa kepada otoritas Tiongkok

Standar transfer lintas batas GDPR dan bantahan TikTok

  • Di bawah aturan privasi EU, General Data Protection Regulation, data pengguna Eropa dapat dipindahkan ke luar EU, tetapi diperlukan pengamanan yang menjamin tingkat perlindungan yang sama
  • Grahn dengan tegas menolak penilaian regulator Irlandia bahwa TikTok tidak melakukan evaluasi yang diperlukan untuk transfer data
  • TikTok menyatakan mereka telah meminta saran dari firma hukum dan para ahli, menggunakan mekanisme hukum yang sama dengan yang dipakai ribuan perusahaan di Eropa, dan menilai pendekatan mereka sesuai dengan aturan EU
  • Grahn mengatakan TikTok sedang disorot secara tidak adil

Pemberitahuan penyimpanan di server Tiongkok dan tinjauan tindakan tambahan

  • TikTok telah diselidiki terkait cara mereka menangani data pribadi pengguna di Eropa karena perusahaan induknya, ByteDance, berbasis di Tiongkok
  • Para pejabat Barat telah berulang kali menyuarakan kekhawatiran bahwa TikTok menimbulkan risiko keamanan terkait data pengguna yang ditransfer ke Tiongkok
  • Otoritas pengawas Irlandia juga pernah menjatuhkan denda ratusan juta euro kepada TikTok pada 2023 dalam penyelidikan terpisah soal data pribadi anak-anak
  • Dalam penyelidikan ini, TikTok mengatakan tidak menyimpan data pengguna Eropa di server Tiongkok, tetapi baru pada April memberi tahu regulator bahwa sebagian data ternyata memang disimpan di server Tiongkok, berdasarkan temuan pada Februari
  • Graham Doyle mengatakan perkembangan terbaru ini dipandang sangat serius dan sedang ditinjau apakah diperlukan tindakan regulasi tambahan

1 komentar

 
GN⁺ 2025-05-04
Komentar Hacker News
  • Disebut ‘massive’, berdasarkan standar apa?
    Sudah saatnya kita terbiasa mengenakan denda kepada perusahaan sebesar proporsi pendapatan yang wajar
    Pendapatan global TikTok tahun lalu saja diperkirakan 20–26 miliar dolar AS https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...

    • Agar cukup menyakitkan hingga perusahaan mengubah perilakunya, denda tidak harus berupa sebagian dari pendapatan global, melainkan harus cukup lebih besar daripada keuntungan yang diperoleh dari tindakan ilegal
      Menurut artikel tersebut, dari 20 miliar dolar AS itu TikTok menghasilkan 10 miliar dolar AS hanya di AS, sehingga batas atas pendapatan Eropa adalah 10 miliar dolar AS
      Karena angka itu belum mengecualikan pasar besar seperti Brasil dan Indonesia, pendapatan Eropa sebenarnya kemungkinan jauh lebih rendah
      530 juta euro setara sekitar 600 juta dolar AS, jadi minimal 6% dari pendapatan 2024 yang relevan, dan bisa saja jauh lebih tinggi dalam praktiknya
      Saya tidak tahu apakah sebesar itu cukup untuk menetralkan keuntungan dari kecurangan, tetapi jelas ini bukan hukuman ringan
    • Sepertinya bisa dibandingkan dengan denda-denda lain
      Dari sisi nominal, ini tampaknya berada kira-kira di 20 besar denda untuk satu perkara sepanjang sejarah, dan jika hanya melihat denda privasi Eropa, termasuk 3 besar
      Menjadi terbiasa dengan jumlah seperti ini tidak mengubah kategorinya
      Bahkan jika angka seperti ini makin umum, tetap saja sangat besar, terutama karena angka sebesar ini memang seharusnya tidak menjadi hal biasa
    • Kalau boleh sedikit mengoreksi, seharusnya dilihat sebagai sebagian dari laba bersih, bukan pendapatan
      Sebagian besar pendapatan keluar sebagai biaya, jadi jika denda dikenakan sebagai proporsi pendapatan yang wajar, perusahaan bisa saja langsung dibuat bangkrut
      Jika tujuannya mengubah perilaku, itu bukan hasil yang diinginkan
      Jika pendapatan global 20 miliar dolar AS dan margin laba diasumsikan 20%, laba bersihnya 4 miliar dolar AS, sehingga denda ini setara 15% dari laba bersih global
      Ini denda yang sangat besar
      Selain itu, regulasi semacam ini ambigu dan sangat terbuka untuk interpretasi, sehingga meskipun perusahaan dan pengacaranya sungguh-sungguh yakin sudah mematuhinya, hakim bisa saja menilai berbeda
      Jika tiap negara mengenakan denda berdasarkan pendapatan global, ada risiko denda berlapis untuk tindakan yang sama, dan ujung-ujungnya bisa bukan perubahan perilaku melainkan kebangkrutan perusahaan
    • Yang lebih buruk daripada kecilnya nominal adalah waktu yang dibutuhkan
      Jika tuduhannya diterima apa adanya, China telah mengawasi sejumlah besar warga UE selama 4 tahun dan masih bisa terus melakukannya 6 bulan lagi
      Setelah itu pun kecil kemungkinan mereka benar-benar berhenti, dan pada akhirnya dendanya hanya beberapa dolar per korban
      AS juga tidak bergerak lebih cepat, dan sebagian besar negara lain sama sekali tidak bergerak
      Akibatnya, negara yang berpotensi bermusuhan bisa menjalankan operasi pengawasan raksasa untuk waktu lama tanpa konsekuensi besar, selama diselipi video lucu dan soundtrack yang menyebalkan
    • Ada gagasan bahwa alih-alih denda, pemerintah seharusnya mengambil saham perusahaan tersebut
      Caranya dengan mendilusi kepemilikan pemilik lama untuk menghukum perilaku buruk
      Jika pemerintah menjadi salah satu pemilik, mereka masuk ke dalam perusahaan, dan permintaan informasi maupun visibilitas akan jauh lebih besar
      Jika perilaku buruk terus berlanjut, seiring waktu pemerintah akan memperoleh kendali
      Untuk perusahaan seperti Tesla, yang harga sahamnya sangat tinggi tetapi labanya rendah, denda berbasis rasio laba mungkin tidak terlalu berarti
      Namun kendali pemerintah lewat saham akan dengan cepat menarik perhatian perusahaan maupun para pemegang sahamnya
  • Є pada judul kiriman HN bukan simbol euro
    Simbol euro adalah

    • Simbol itu ditambahkan saat judul diubah, dan sekarang saya tidak bisa lagi mengedit judulnya
      Semoga Dang memperbaikinya
    • Hari ini saya belajar: Є adalah U+0404 Cyrillic Capital Letter Ukrainian Ie
      https://codepoints.net/U+0404
    • Selain itu, simbol € bukan prefiks yang diletakkan di depan seperti $, melainkan sufiks yang diletakkan setelah nominal
  • Ada banyak frustrasi dan sinisme di thread ini, tetapi tampaknya beberapa kesalahpahaman ikut memperbesarnya
    Pertama, Irlandia adalah bagian dari UE, dan dalam sistem one-stop shop GDPR, negara tempat kantor pusat UE berada memimpin penegakan untuk seluruh UE
    Karena banyak raksasa teknologi memiliki kantor pusat UE di Irlandia, ketika regulator Irlandia menjatuhkan denda berdasarkan GDPR, pada dasarnya mereka menegakkannya atas nama seluruh UE
    Denda GDPR bisa sangat besar, dan sanksi dapat didasarkan pada mana yang lebih tinggi antara persentase pendapatan global atau nominal tetap yang besar
    Jadi bahkan perusahaan besar pun akan merasakan dampaknya
    Denda seperti ini diumumkan secara publik dan transparan, sehingga selain pukulan finansial juga ada pukulan reputasi
    Publisitas itu memang disengaja agar denda menjadi pencegah nyata, bukan sekadar biaya operasional yang sunyi
    Perlu juga dijelaskan ke mana denda itu mengalir
    Uang itu tidak semata-mata masuk ke kantong Irlandia; secara praktis masuk ke anggaran UE, dan dikompensasikan terhadap kontribusi yang biasanya harus dibayar Irlandia ke anggaran UE
    Jika warga negara UE lain mengalami pelanggaran, negara-negara tersebut juga dapat meminta bagian dari denda
    Jadi pada akhirnya ini bukan struktur yang membuat Irlandia mendapat keuntungan sendirian; Irlandia menjadi titik pemungutan karena perusahaan-perusahaan tersebut berbasis di sana
    Menariknya, ada yang mengatakan denda ini terlalu keras, sementara yang lain mengatakan terlalu lemah
    Pada kenyataannya, sanksi seperti ini dirancang agar proporsional dengan ukuran perusahaan dan tingkat pelanggaran, namun tetap terasa berarti; tujuannya bukan menghancurkan perusahaan, tetapi juga jelas bukan sesuatu yang remeh

    • Standar persentase pendapatan global perusahaan atau nominal tetap yang besar, mana yang lebih tinggi, adalah untuk menetapkan denda maksimum
      Setelah itu regulator dapat mengenakan X% dari maksimum tersebut sebagai denda aktual
      Ini juga merupakan mekanisme untuk mencegah negara anggota UE menetapkan denda terlalu rendah demi menarik bisnis
      Konteksnya mirip dengan masalah Irlandia yang dulu mengenakan pajak terlalu rendah
    • Jika Irlandia membayar kontribusi lebih sedikit sebesar x, secara praktis itu hampir sama dengan menghasilkan uang sebesar x
      Untuk bagian yang tidak diminta oleh negara UE lain, pada akhirnya bisa dibilang masuk ke kantong Irlandia
    • Akan sangat membantu jika ada sumber rujukan tentang detail aliran denda ini
      Setiap kali GDPR dibahas, ada puluhan tulisan di sini, dan perdebatan soal bagian ini selalu berulang
  • Mungkin saja ini bergerak dalam koridor hukum, tetapi menurut saya ancaman yang lebih besar bukan data yang keluar, melainkan pengaruh yang masuk ke algoritma aplikasi, dan dampaknya terhadap pengguna

  • @dang Bisakah simbol ini dimasukkan ke judul?

    • Є yang itu harus dihapus
  • Ada dua hal yang membuat saya penasaran
    Pertama, apakah denda seperti ini benar-benar dieksekusi, atau justru berujung pada banding tanpa batas waktu
    Kedua, ke mana denda itu pergi
    Jika strukturnya TikTok didenda di Irlandia, terdengar seolah dendanya masuk ke pemerintah Irlandia, dan itu aneh
    Kalau dendanya dihitung dalam konteks seluruh UE tetapi pendapatannya hanya diambil Irlandia, berarti strukturnya rusak

    • Di Inggris, regulator yang mengenakan denda menyetorkan hampir seluruhnya ke Consolidated Fund, kecuali sebagian untuk pemulihan biaya
      Jadi masuk ke kantong besar yang sama seperti pajak
      UE hampir tidak melakukan penegakan hukum secara langsung, dan sebagian besar dilakukan oleh regulator nasional, jadi secara umum ini pola yang bisa diperkirakan
      Ini kebalikan dari kasus Apple; saat itu UE menjatuhkan denda kepada pemerintah Irlandia karena dianggap tidak memungut pajak yang cukup dari Apple
    • Perlu dikoreksi jika saya salah, tetapi uang itu pada akhirnya mengalir ke seluruh anggaran UE, sehingga mirip seperti penduduk UE menerima pengembalian yang sangat kecil dari pajak mereka
      Namun tampaknya berbeda-beda di tiap negara, dan Spanyol terlihat memiliki struktur yang agak tidak biasa, di mana otoritas perlindungan data menyimpannya langsung
    • Kalau ini benar-benar denda milik Irlandia saja, TikTok bisa saja keluar dari negara itu dan tidak membayar dendanya
      Mungkin itu juga yang diinginkan Irlandia
      Irlandia adalah pasar kecil, jadi TikTok akan membutuhkan waktu sangat lama untuk menghasilkan laba 530 juta euro di Irlandia
    • https://www.enforcementtracker.com/
  • 100% uang yang dipulihkan dari denda seperti ini seharusnya digunakan untuk penelitian dan pengungkapan pelanggaran privasi oleh perusahaan-perusahaan tersebut
    Pada dasarnya, mereka harus membayar sendiri biaya pengawasan atas diri mereka
    Kita tidak tahu bagaimana data yang mereka kumpulkan secara masif akan disalahgunakan oleh AI di masa depan, dan itu cukup menakutkan

  • Saya berharap uang itu dipakai untuk memperbaiki keadaan bagi warga setempat

  • Sedikit melenceng dari topik, tetapi saya penasaran bagaimana pemerintah yang menjatuhkan denda menggunakan uang itu
    Misalnya, apakah dana itu masuk untuk aktivitas atau pekerjaan terkait perlindungan privasi data?

    • Pajak sangat jarang diikat untuk tujuan tertentu
      Di kebanyakan negara, meskipun Anda membayar “pajak beruang”, uang itu tidak masuk ke gentong besar khusus untuk pemberantasan beruang
      Jadi denda seperti ini biasanya masuk ke sumber dana umum belanja pemerintah
      Di Inggris, denda pelanggaran data digunakan untuk biaya operasional lembaga penegak, dan sisanya dikembalikan ke negara https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
    • Di UE, itu berarti negara-negara anggota akan membayar sedikit lebih sedikit ke anggaran pada tahun berikutnya
      Anggaran UE itu sendiri tidak benar-benar berubah, jadi secara praktis ini bukan struktur yang membuat “uang bertambah”
      Sepertinya ada satu tahap yang terlewat, tetapi denda ini bukan khusus Irlandia, melainkan denda untuk seluruh UE, dan seingat saya dibayarkan ke UE
  • Selama denda tidak dikenakan kepada individu yang bertanggung jawab, denda seperti ini tidak berguna dan tidak berdampak

    • Selain itu, jika dendanya lebih kecil daripada uang yang dihasilkan, itu bukan denda melainkan biaya operasional