10 月 2 日，爱尔兰 DPC 公开的 194 页判决书，终于把 TikTok 那张 5.3 亿欧元的天价罚单扒得明明白白。不少商家刷到新闻只当是 "平台的瓜"，但转头就收到了 TikTok Shop 的合规预警 —— 这张罚单早就和你的店铺绑定了。毕竟欧洲 1.75 亿用户里，30% 是未成年人，随便踩一个合规坑，可能就是 "商品下架 + 罚款" 的双重打击。

这张欧盟 GDPR 史上第三大罚单，不是 "一口价"，而是 DPC 按违规事实精准拆分的：

图片来源于Freevacy

1. 4.85 亿欧：远程看数据也算 "跨境传输"

这是罚款的大头，核心问题出在 "数据处理地" 上。TikTok 一直说欧洲用户数据存在新加坡、美国服务器，但 DPC 调查发现，中国员工每月远程访问这些数据超 20 万次，只要在境内设备上看一眼、缓存一下，就被认定为 "向中国传输数据"。

更要命的是，TikTok 自己都承认，中国法律赋予的政府数据调取权，和欧盟的保护标准存在 "五大核心差异"。简单说，这些数据没法享受和欧盟境内一样的保护，直接踩了 GDPR 第 46 条的红线。

图片来源于Maynardnexsen

2. 4500 万欧：隐私政策藏着 "猫腻"

2020 年到 2022 年的两年多里，TikTok 的隐私政策只模糊说 "数据可能给关联公司"，从没告诉 1.59 亿欧洲用户 "中国团队能访问数据"。判决书里提到，超 80% 用户以为数据只在欧盟境内处理，这种行为直接违反了 GDPR 的透明度要求。

图片来源于Maynardnexsen

这张罚单绝非偶然，TikTok 的 3 个操作相当于 "主动送分"，也给商家提了醒：

1. 迷信 "存储地合规"，忽略 "处理地风险"

一直觉得 "数据存境外就安全"，却忘了远程访问会让数据 "临时落地"。更严重的是，DPC披露15% 的中国员工能绕开审计访问数据，并且2023 年欧盟还因“儿童隐私保护不力”对TikTok罚款3.45亿欧元。

2. 防护措施 "纸面上好看"

爱尔兰数据保护委员会认为中方虽已实施加密措施，但仍有 23% 的密钥访问缺乏审计记录，主密钥管理状况混乱，试图以 "标准合同条款" 敷衍了事，DPC 直接指出：此类条款抵抗不了中国法律的强制调取要求，仅属于 "形式上的合规"。

3. 隐瞒事实错失整改机会

调查初期相关方面坚称"中国境内未储存欧洲数据"，直至2025 年 4 月才承认 "有少量数据存了数月"，这种 "隐瞒撒谎行为" 导致处罚直接上浮 15%。

为了过关，TikTok 启动了 "三叶草计划"，但这些整改动作会直接影响你的运营：

1. 砸 120 亿建欧洲数据中心

图片来源于Nccgroup

TikTok已经在爱尔兰建了数据中心，芬兰的还在修，但目前只能覆盖 30% 用户数据。原本中国团队负责的 24 小时故障排查、算法优化，要转给欧洲本地团队，客服处理周期可能从 4 小时拖到 12 小时，店铺后台响应也可能延迟。

2. 对商家合规 "下死命令"

7 月密集发了 3 份指南，最关键的是这条：向欧盟卖带电产品的商家，8 月 18 日前必须完成电池 EPR 注册，没合规的直接下架商品。现在没整改的商家，商品下架率已达 89%，补注册还要多花 500 欧元加急费。

3. 数据导出严控，私域运营难了

第三方工具导出欧洲用户数据的成功率只剩 17%，平台明确禁止把数据传到中国。以前靠导出数据做私域的商家，只能改用官方工具了。

04

—

商家应该注意什么？

1. 数据收集“砍多余项”，警惕未成年人数据

只留发货地址、物流手机号等必需信息，删掉“生日”“兴趣标签”等。收集超5项非必要信息的商家，被投诉概率是别人的3.2倍。特别提醒，收集欧洲未成年人数据需监护人单独同意，否则最高罚全球年营业额的4%。

2. 隐私提示改“大白话”，模糊表述会触发风控

别用“关联公司”等模糊词，在店铺首页加“一句话声明”，清晰披露中国公司无权访问，可提升用户信任度，躲开平台封控。

3. 资质注册“赶早不赶晚”，德国按品牌单独办

欧盟电池法已生效，德国要求按品牌注册，如卖3个品牌蓝牙耳机，就得办3个EPR注册号，且须通过授权代表绑定，8月18日失效。注册周期2 - 3个月，未办的赶紧找第三方服务商加急，卖电子设备、包装商品的，WEEE注册、包装法也得同步办。

4.工具换“官方版”，第三方60%已被封禁

第三方数据工具因不符合“本地化要求”，封禁率超60%，赶紧改用TikTok官方API接口和“商品优化工具”。广告投放要换谷歌认证的CMP工具，否则个性化广告无法推，曝光量降超50%。

05

—

结语

TikTok 花 120 亿整改，本质是为过去的合规漏洞买单。对商家来说，现在不是 "要不要合规"，而是 "晚合规一天少赚多少钱"。与其等罚单找上门，不如现在花 1 小时自查：数据删干净了吗？EPR 注册号传了吗？隐私提示改了吗？