आयरलैंड के privacy regulator ने TikTok पर चीन को data transfer करने के मामले में 530 million euro का जुर्माना लगाया
(apnews.com)- EU के cross-border data transfer rules फिर से platform operations के लिए एक बड़े risk के रूप में उभरे हैं। इसी बीच, आयरलैंड की Data Protection Commission ने 4 साल की जांच के बाद TikTok पर 530 million euro (लगभग 600 million dollar) का जुर्माना लगाया
- मुख्य सवाल यह था कि क्या TikTok ने यह सत्यापित, सुनिश्चित और साबित किया कि चीन में कर्मचारियों की remote access के दायरे में आए यूरोपीय users के personal data को EU के बराबर सुरक्षा मिल रही थी
- उस समय की privacy policy में यह पर्याप्त रूप से नहीं बताया गया था कि data किस third country में transfer किया जा रहा है, और चीन-आधारित कर्मचारियों की remote access भी स्पष्ट रूप से नहीं समझाई गई थी
- TikTok ने कहा कि वह इस फैसले से सहमत नहीं है और appeal करेगा। कंपनी का कहना है कि मामला 2023 के मई तक की एक खास अवधि से जुड़ा है, और उसके बाद उसने Project Clover के तहत यूरोपीय data centers और independent oversight लागू किया
- GDPR यूरोपीय user data को EU के बाहर transfer करने की अनुमति देता है, लेकिन इसके लिए समान स्तर की सुरक्षा जरूरी है। बाद में यह सूचना देना कि कुछ data चीन के servers पर store किया गया था, अतिरिक्त regulatory action की वजह बन सकता है
530 million euro का जुर्माना और 6 महीने में सुधार का आदेश
- आयरलैंड की Data Protection Commission ने कहा कि TikTok का चीन को data transfer EU privacy rules का उल्लंघन था, और उस पर 530 million euro, यानी लगभग 600 million dollar का जुर्माना लगाया
- यह फैसला सितंबर 2021 में शुरू हुई 4 साल की जांच का नतीजा है, और TikTok को 6 महीने के भीतर नियमों का पालन सुनिश्चित करने का आदेश भी दिया गया है
- regulator का मानना है कि चीन को data transfer करने से यूरोपीय users पर surveillance risk बढ़ा
- TikTok का यूरोपीय headquarters Dublin में है, इसलिए आयरलैंड का regulator EU के 27 देशों में TikTok के लिए मुख्य privacy regulator की भूमिका निभाता है
चीन में remote access और EU-स्तर की सुरक्षा पर विवाद
- Deputy Commissioner Graham Doyle के मुताबिक, TikTok यह सत्यापित, सुनिश्चित और साबित नहीं कर सका कि चीन में कर्मचारियों की remote access के तहत आए यूरोपीय users के personal data को EU के समान स्तर की सुरक्षा मिल रही थी
- जांच में यह मुद्दा सामने आया कि चीन के anti-terrorism, anti-espionage, cybersecurity और national intelligence laws के कारण चीनी authorities को यूरोपीय users के personal data तक पहुंच मिल सकती है
- आयरलैंड के regulator ने माना कि ये चीनी कानून EU standards से मौलिक रूप से अलग हैं
privacy policy में transparency की समस्या
- TikTok को इस बात के लिए भी दंडित किया गया कि उसने users को पर्याप्त रूप से नहीं बताया कि उनका personal data कहां भेजा जा रहा है
- जांच के समय TikTok की privacy policy में उन third countries का नाम नहीं था जहां user data transfer किया जाता था, और उनमें China का नाम भी साफ तौर पर नहीं लिखा गया था
- बाद में policy update की गई, लेकिन उस समय यह भी नहीं बताया गया था कि Singapore और United States में stored personal data को China-आधारित कर्मचारी remote access के जरिए process करते हैं
TikTok की appeal की योजना और Project Clover
- TikTok ने कहा कि वह इस फैसले से सहमत नहीं है और appeal करेगा
- कंपनी का कहना है कि यह फैसला मई 2023 में समाप्त हुई एक खास अवधि पर केंद्रित है, और उसके बाद उसने data localization project Project Clover आगे बढ़ाया
- Project Clover में यूरोप में 3 data centers बनाने की योजना शामिल है
- TikTok में Europe public policy and government relations की प्रमुख Christine Grahn ने कहा कि Project Clover में industry के सबसे कड़े data protections में से कुछ शामिल हैं, और इसमें यूरोपीय cybersecurity company NCC Group की independent oversight भी शामिल है
- Grahn ने कहा कि TikTok को कभी भी चीनी authorities से यूरोपीय user data की मांग नहीं मिली, और उसने कभी यूरोपीय user data चीनी authorities को उपलब्ध नहीं कराया
GDPR के cross-border transfer standards और TikTok का पक्ष
- EU privacy rules General Data Protection Regulation के तहत यूरोपीय user data को EU के बाहर transfer किया जा सकता है, लेकिन इसके लिए समान स्तर की सुरक्षा सुनिश्चित करने वाले safeguards जरूरी हैं
- Grahn ने आयरलैंड के regulator की इस बात का कड़ा विरोध किया कि TikTok ने data transfer के लिए जरूरी assessment नहीं किया
- TikTok का कहना है कि उसने law firms और experts से सलाह ली, वही legal mechanisms इस्तेमाल किए जो यूरोप की हजारों कंपनियां करती हैं, और उसका approach EU rules के अनुरूप था
- Grahn ने कहा कि TikTok को singled out किया जा रहा है
चीन के servers पर storage की सूचना और अतिरिक्त कार्रवाई की समीक्षा
- TikTok की parent company ByteDance चीन-आधारित कंपनी है, इसी वजह से यूरोप में user personal data को handle करने के उसके तरीके की जांच होती रही है
- पश्चिमी अधिकारियों ने लंबे समय से चिंता जताई है कि चीन को transfer होने वाला user data TikTok को security risk बना सकता है
- आयरलैंड के regulator ने 2023 में बच्चों के personal data से जुड़े एक अलग मामले में भी TikTok पर सैकड़ों million euro का जुर्माना लगाया था
- इस जांच के दौरान TikTok ने कहा था कि वह यूरोपीय user data को चीन के servers पर store नहीं करता, लेकिन अप्रैल में उसने regulator को बताया कि फरवरी में पता चला था कि कुछ data वास्तव में चीन के servers पर stored था
- Graham Doyle ने कहा कि हाल की ये developments बहुत गंभीर हैं, और regulator यह समीक्षा कर रहा है कि क्या अतिरिक्त regulatory action जरूरी है
1 टिप्पणियां
Hacker News की रायें
‘massive’ कह रहे हैं, लेकिन किस पैमाने पर?
अब समय आ गया है कि हम कंपनियों पर उनके revenue के एक तर्कसंगत अनुपात के बराबर जुर्माना लगाने के आदी हो जाएं
सिर्फ TikTok का पिछले साल का वैश्विक revenue ही 20 अरब–26 अरब डॉलर अनुमानित है https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...
उस लेख के अनुसार TikTok ने 20 अरब डॉलर में से 10 अरब डॉलर सिर्फ अमेरिका में कमाए, इसलिए यूरोप के revenue की ऊपरी सीमा 10 अरब डॉलर है
यह Brazil और Indonesia जैसे बड़े बाजारों को हटाए बिना की गई गणना है, इसलिए वास्तविक यूरोपीय revenue काफी कम होने की संभावना है
53 करोड़ यूरो लगभग 60 करोड़ डॉलर है, इसलिए यह संबंधित 2024 revenue का कम से कम 6% है और असल में इससे काफी अधिक हो सकता है
नहीं पता कि यह गलत काम से होने वाले लाभ की भरपाई करने के लिए पर्याप्त बड़ा है या नहीं, लेकिन यह निश्चित रूप से हल्की-फुल्की सजा नहीं है
रकम के आधार पर देखें तो यह किसी एक मामले में लगे जुर्मानों में इतिहास के टॉप 20 के आसपास लगता है, और सिर्फ यूरोपीय privacy जुर्मानों में देखें तो टॉप 3 में है
ऐसी रकमों का आदी हो जाने से इसकी श्रेणी नहीं बदल जाती
ऐसे आंकड़े और आम हो जाएं, तब भी ये बहुत बड़ी रकम हैं, खासकर ऐसी रकम जो असल में आम होनी ही नहीं चाहिए
revenue का बड़ा हिस्सा costs में चला जाता है, इसलिए revenue के तर्कसंगत अनुपात पर जुर्माना लगाया जाए तो कंपनी को सीधे दिवालिया किया जा सकता है
अगर लक्ष्य व्यवहार बदलना है, तो यह वांछित परिणाम नहीं है
वैश्विक revenue 20 अरब डॉलर है और profit margin 20% मानें तो net profit 4 अरब डॉलर होगा, इसलिए यह जुर्माना वैश्विक net profit का 15% है
यह बहुत बड़ा जुर्माना है
साथ ही ऐसे regulations अस्पष्ट होते हैं और उनकी व्याख्या की काफी गुंजाइश होती है; कंपनियां और वकील ईमानदारी से मान सकते हैं कि वे अनुपालन कर रहे हैं, लेकिन judge अलग राय दे सकता है
अगर अलग-अलग देश वैश्विक revenue के आधार पर जुर्माना लगाएं, तो उसी कार्रवाई पर जुर्माने दोहराए जाने का जोखिम भी है, और अंत में यह व्यवहार बदलने के बजाय कंपनी को दिवालिया करने तक जा सकता है
आरोपों को ज्यों का त्यों मान लें तो China ने 4 साल तक EU नागरिकों के बड़े हिस्से की निगरानी की और आगे 6 महीने और जारी रख सकता है
उसके बाद भी वास्तव में रुकने की संभावना कम है, और अंत में प्रति पीड़ित कुछ डॉलर के स्तर का जुर्माना भर रह जाता है
अमेरिका भी इससे तेज नहीं चलता, और ज्यादातर दूसरे देश तो बिल्कुल नहीं चलते
नतीजतन कोई संभावित शत्रु देश अगर बस मजेदार videos और चिढ़ाने वाले soundtracks जोड़ दे, तो वह बहुत लंबे समय तक बिना बड़ी कीमत चुकाए विशाल surveillance operation चला सकता है
यह मौजूदा owners की हिस्सेदारी dilute करके खराब व्यवहार की सजा देने का तरीका होगा
सरकार co-owner बन जाए तो वह अंदर आ जाती है, और information requests या visibility बहुत बढ़ जाती है
खराब व्यवहार जारी रहे तो समय के साथ सरकार को control मिल जाता है
Tesla जैसी कंपनी, जिसका stock price बहुत ऊंचा है लेकिन profit कम है, वहां profit-ratio वाला जुर्माना ज्यादा मायने नहीं रख सकता
लेकिन shares के जरिए government control कंपनी और shareholders दोनों का ध्यान तेजी से खींचेगा
HN submission title में Є euro sign नहीं है
euro sign € है
उम्मीद है Dang इसे ठीक कर देगा
https://codepoints.net/U+0404
इस thread में निराशा और cynicism बहुत है, लेकिन लगता है कुछ गलतफहमियां इसे बढ़ा रही हैं
सबसे पहले, Ireland EU का हिस्सा है, और GDPR के one-stop shop system में जिस देश में EU headquarters होते हैं, वही पूरे EU के enforcement की अगुवाई करता है
कई बड़ी tech कंपनियों के EU headquarters Ireland में हैं, इसलिए जब Ireland regulator GDPR के तहत जुर्माना लगाता है, तो वह व्यावहारिक रूप से पूरे EU की ओर से enforcement कर रहा होता है
GDPR जुर्माने बहुत बड़े हो सकते हैं, और वैश्विक revenue के प्रतिशत या बड़े fixed amount में से जो ज्यादा हो, उसके आधार पर penalty लगा सकते हैं
इसलिए बड़ी कंपनियां भी इसका असर महसूस करती हैं
ऐसे जुर्माने सार्वजनिक और पारदर्शी रूप से घोषित होते हैं, इसलिए financial hit के साथ reputation hit भी होता है
publicity जानबूझकर रखी गई है ताकि जुर्माना चुपचाप business cost न बन जाए, बल्कि वास्तविक deterrent बने
यह भी स्पष्ट करना जरूरी है कि जुर्माने का पैसा कहां जाता है
यह सिर्फ Ireland की जेब में नहीं जाता, बल्कि व्यावहारिक रूप से EU budget में जाता है, और Ireland को आम तौर पर EU budget में जो contribution देना होता है, उससे offset हो जाता है
अगर अन्य EU देशों के लोगों का उल्लंघन हुआ है, तो वे देश भी जुर्माने का कुछ हिस्सा मांग सकते हैं
अंततः यह ऐसा ढांचा नहीं है जिसमें Ireland अकेले फायदा उठाता हो; कंपनियां वहां based हैं, इसलिए वह collection point बन जाता है
दिलचस्प है कि कुछ लोग कहते हैं जुर्माना बहुत कठोर है, और कुछ कहते हैं बहुत कमजोर
वास्तव में ऐसी penalties कंपनी के आकार और उल्लंघन की गंभीरता के अनुपात में, फिर भी सार्थक लगने के लिए design की गई हैं; उनका उद्देश्य कंपनी को नष्ट करना नहीं है, लेकिन वे किसी भी तरह नगण्य भी नहीं हैं
उसके बाद regulator उस maximum का X% वास्तविक fine के रूप में लगा सकता है
यह अलग-अलग EU member states द्वारा business आकर्षित करने के लिए जुर्माने बहुत कम रखने से बचाने का mechanism भी है
यह Ireland द्वारा अतीत में tax बहुत कम रखने वाली समस्या जैसे संदर्भ में है
जिस हिस्से पर दूसरे EU देश दावा नहीं करते, वह आखिरकार Ireland की जेब में ही जाता है
GDPR की बात आते ही यहां दर्जनों posts आ जाती हैं, और हमेशा इसी मुद्दे पर बहस दोहराई जाती है
यह कानून के भीतर चल रहा हो सकता है, लेकिन मेरे हिसाब से बड़ा खतरा data का बाहर जाना नहीं, बल्कि app algorithm में प्रभाव का प्रवेश है, और उसके परिणामस्वरूप users पर असर पड़ना है
@dang क्या आप शीर्षक में यह चिन्ह डाल सकते हैं? €
दो बातें जाननी हैं
पहली, क्या ऐसे जुर्माने सच में लागू होते हैं या फिर अनिश्चितकाल तक appeal में चले जाते हैं
दूसरी, जुर्माने का पैसा कहाँ जाता है
अगर संरचना ऐसी है कि TikTok पर Ireland में जुर्माना लगता है, तो सुनने में ऐसा लगता है कि जुर्माना Ireland सरकार को जाएगा, और यह अजीब है
अगर EU-भर के संदर्भ में जुर्माना तय किया जाता है लेकिन revenue सिर्फ Ireland ले जाए, तो व्यवस्था बिगड़ी हुई है
यानी यह tax जैसी बड़ी थैली में चला जाता है
EU सीधे law enforcement बहुत कम करता है, और अधिकांश काम national regulators करते हैं, इसलिए यह मोटे तौर पर अपेक्षित तरीका है
यह Apple मामले के उलट है, जहाँ EU ने Ireland सरकार पर इसलिए जुर्माना लगाया था कि उसने Apple से पर्याप्त tax नहीं वसूला था
हालांकि लगता है कि देशों के हिसाब से फर्क है, और Spain में कुछ असामान्य व्यवस्था दिखती है जहाँ data protection authority इसे सीधे अपने पास रखती है
शायद Ireland यही चाहता भी हो सकता है
Ireland एक छोटा market है, इसलिए TikTok को Ireland में 530 million euro का profit कमाने में बहुत लंबा समय लगेगा
ऐसे जुर्मानों से वसूले गए पैसे का 100% उन कंपनियों के privacy violation research और disclosure पर खर्च होना चाहिए
असल में, उन्हें अपनी निगरानी की लागत खुद चुकानी चाहिए
ये लोग बड़े पैमाने पर जो data collect करते हैं, वह आगे AI द्वारा कैसे misuse होगा, पता नहीं, और यह काफी डरावना है
उम्मीद है कि वह पैसा local लोगों के लिए हालात बेहतर करने में खर्च होगा
थोड़ा विषय से हटकर, लेकिन जिस सरकार ने जुर्माना लगाया है, वह उस पैसे का क्या करती है, यह जानना चाहूँगा
उदाहरण के लिए, क्या यह data privacy protection से जुड़ी activities या काम में funding के रूप में जाता है?
अधिकांश देशों में “bear tax” देने का मतलब यह नहीं होता कि वह पैसा भालुओं के extermination के लिए बने किसी बड़े घड़े में जाता है
इसलिए ऐसे जुर्माने आम तौर पर government spending के general fund में जाते हैं
UK में data breach fines enforcement agency के operating costs में इस्तेमाल होते हैं, और बची रकम state को वापस जाती है https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
EU budget खुद वास्तव में बदलता नहीं है, इसलिए व्यावहारिक रूप से यह “अधिक पैसा आ गया” वाली व्यवस्था नहीं है
शायद मैंने एक step skip कर दिया है, लेकिन यह जुर्माना Ireland-specific नहीं बल्कि पूरे EU का जुर्माना है, और मेरी याद में इसे EU को जमा किया जाता है
जब तक जिम्मेदार व्यक्तियों पर निजी तौर पर जुर्माना नहीं लगाया जाता, ऐसे जुर्माने बेकार हैं और उनका कोई असर नहीं होता