Если вы пользуетесь VPN (а вы, скорее всего, пользуетесь) и однажды, с включенным сервером где-нибудь в Польше, зашли в TikTok, то смогли увидеть вот такое уведомление: «Передача данных пользователей из ЕЭЗ в Китай: новости о решении Ирландской комиссии по защите данных». Звучит страшно, да? Данные пользователей?! В Китай?!
Подождите, а почему, когда я выключаю VPN и захожу в приложение, такого уведомления нет? Почему в «польском» или «немецком» интернете нас пугают китайской угрозой, а в российском — всё тихо и спокойно? Значит ли отсутствие предупреждения, что наши данные в безопасности, или всё как раз наоборот?
Если вам тоже стало интересно, чем таким нагрешил TikTok в Европе и почему в России он не нагрешил, а также, какие законы о защите персональных данных действуют в ЕЭЗ, а какие в России — читайте эту статью.
Знакомьтесь: TikTok, GDPR и Ирландская комиссия по защите данных
Для начала познакомим вас с главными участниками этой истории: вспомним, когда и кем был основан TikTok и почему он стал настолько популярным, разберёмся, что это за Комиссия по защите данных и каким Общим регламентом она руководствуется, а также объясним, о каких пользователях стран ЕЭЗ идёт речь и при чём здесь вообще ирландский суд.
TikTok: как китайское приложение завоевало весь мир
TikTok — социальная сеть, которая буквально захватила мир за считанные годы. Приложение было запущено в сентябре 2016 года китайской компанией ByteDance, основанной китайским предпринимателем Чжаном Имином, под названием Douyin (Доуинь) для китайского рынка. Международная версия под брендом TikTok появилась в 2017 году, а настоящий прорыв случился в 2018-м, когда ByteDance купила популярное приложение Musical.ly, которое уже было популярно в США и Европе, и объединила его с TikTok.
Ключевая идея сервиса с самого начала была простой: короткие вертикальные видео, которые легко снимать, удобно смотреть и быстро листать. Главная особенность TikTok — алгоритмы рекомендаций. В отличие от старых соцсетей, где лента зависела от ваших друзей и подписок, TikTok сделал ставку на интересы. Алгоритмы приложения моментально считывают ваши реакции и предлагают именно то, что заставит вас задержаться в приложении еще пару минут, превращающихся в часы.
Техническая начинка TikTok — это сложнейшая нейросеть, которая анализирует каждое ваше действие. Она учитывает не только лайки, но и то, какие хэштеги вы искали, под какими роликами оставляли комментарии и на какой секунде вы пролистнули ролик. Именно эта способность предугадывать желания позволила TikTok собрать вокруг себя колоссальную аудиторию.
Сегодня этой платформой пользуются блогеры, бренды и медиа. Здесь запускают рекламные кампании, продают товары, продвигают музыку, находят работу и формируют общественные тренды. Уже в 2019 году TikTok обогнал по скачиваниям Instagram и Facebook, а во время пандемии 2020–2021 годов стал абсолютным лидером — люди, сидя дома, массово создавали и смотрели короткие видео.
Сейчас у TikTok более миллиарда активных пользователей по всему миру. Приложение стабильно входит в число самых скачиваемых в App Store и Google Play, оставаясь одной из самых влиятельных и быстрорастущих социальных платформ в мире.
GDPR и DPC: европейские стражи персональных данных
Общий регламент по защите данных, или GDPR, — это фундаментальный свод правил, принятый в 2018 году, который регулирует сбор и хранение личной информации в Европе. Его главная идея заключается в том, что любые данные (от вашего имени до истории поиска) являются вашей собственностью, а не бесплатным ресурсом для корпораций. Регламент обязывает любую компанию, работающую в Европе, быть предельно прозрачной: она должна четко объяснять, зачем ей ваши контакты или геолокация, обеспечивать полную безопасность ваших данных, а также гарантировать право пользователя в любой момент требовать доступ к своим данным, исправлять, удалять их ("право на забвение"), ограничивать обработку или перенос к другому сервису.
Роль главного надзирателя за соблюдением этих правил исполняет Ирландская комиссия по защите данных (DPC). Выбор Ирландии в качестве главного блюстителя не случаен: именно в Дублине из-за налоговых льгот зарегистрированы европейские штаб-квартиры TikTok, Google и Meta. Согласно законам ЕС, проверять деятельность таких гигантов должна именно та страна, где находится их юридический адрес. Именно это превратило ирландское ведомство в ключевого игрока, имеющего право проводить масштабные расследования, диктовать условия работы сервисам и штрафовать техногигантов на сотни миллионов евро.
Действие Общего регламента по защите данных охватывает всех пользователей из Европейской экономической зоны (ЕЭЗ) — это союз, в который помимо стран ЕС входят Норвегия, Исландия и Лихтенштейн. Жители этих государств находятся в юрисдикции с высочайшими стандартами приватности. Именно благодаря связке жесткого регламента GDPR и работы Комиссии по защите данных любые изменения в том, как приложения обращаются с нашей информацией, становятся предметом публичных разбирательств и обязательных уведомлений, которые мы видим в своих смартфонах.
Почему у европейских регуляторов возникли вопросы к TikTok
Конфликт между TikTok и Ирландской комиссией (DPC) зрел несколько лет и перешел в горячую фазу весной 2025 года. Всё началось с масштабного расследования, целью которого было выяснить, имели ли сотрудники TikTok, находящиеся за пределами ЕС — прежде всего в Китае, — доступ к данным европейских пользователей, и были ли при этом обеспечены гарантии защиты, сопоставимые с требованиями GDPR. TikTok на протяжении нескольких лет заявлял, что данные пользователей из Европы хранятся в дата-центрах за пределами Китая и что доступ к ним строго контролируется. Однако в ходе проверок выяснилось, что удалённый доступ к части этих данных со стороны сотрудников в Китае всё же существовал, а юридических и технических гарантий, которые полностью удовлетворяли бы европейские стандарты, компания предоставить не смогла.
Регулятор установил, что в период с 2020 по 2023 годы сотрудники материнской компании ByteDance, включая инженеров и специалистов по ИИ, имели возможность удаленно подключаться к базам данных европейцев. Ситуация обострилась, когда в начале 2025 года сама компания признала: вопреки их прошлым заявлениям, часть информации пользователей из Европы действительно физически хранилась на серверах внутри Китая, что прямо противоречит жестким правилам GDPR.
Для GDPR это принципиальный момент. Европейское законодательство не запрещает компаниям работать глобально, но требует, чтобы при передаче или доступе к данным за пределами ЕС уровень их защиты оставался эквивалентным европейскому. Китай в этом контексте считается «страной повышенного риска», поскольку местное законодательство допускает вмешательство государства в деятельность компаний, а независимые механизмы судебной защиты данных, аналогичные европейским, отсутствуют. Именно это, а не сам факт китайского происхождения TikTok, стало основной проблемой для регулятора.
В итоге в апреле 2025 года Ирландская комиссия вынесла суровый вердикт: TikTok был оштрафован на рекордные 530 миллионов евро. Суть претензий DPC заключалась не только в самом факте передачи данных, но и в «скрытности» компании — в документах не было четко указано, что данные уходят в юрисдикцию Китая. Комиссия потребовала немедленно прекратить незаконную передачу данных и привести все процессы в соответствие с европейскими стандартами в течение шести месяцев, что фактически поставило под угрозу работу приложения в регионе.
TikTok категорически не согласился с этим решением и подал апелляцию в Высший суд Ирландии. Компания настаивает на том, что регулятор игнорирует их колоссальные инвестиции в проект Clover — строительство защищенных дата-центров в Ирландии и Норвегии стоимостью 12 миллиардов евро. Представители соцсети утверждают, что никогда не передавали данные правительству Китая и что выводы DPC не учитывают уже реализуемые меры защиты. Суд, в свою очередь, временно приостановил исполнение части предписаний до рассмотрения дела по существу. Это стандартная юридическая практика, позволяющая избежать немедленных последствий до окончательного решения.
Важно понимать, что ни DPC, ни Ирландский суд не утверждают, что TikTok «сливал данные» китайскому правительству или что эти данные использовались во вред пользователям. Речь идёт о юридической и регуляторной логике: если компания не может доказать, что даже теоретический доступ к данным извне ЕС полностью безопасен с точки зрения GDPR, это уже считается нарушением. В этом и заключается суть конфликта — не в фактах злоупотреблений, а в недостаточности гарантий.
Таким образом, ситуация с TikTok — это не история про шпионаж и не про тайные утечки, а про столкновение глобального IT-бизнеса с жёсткой европейской моделью защиты персональных данных. Ирландский суд здесь выступает арбитром, а Комиссия по защите данных — инструментом реализации GDPR. Итог этого дела важен не только для TikTok, но и для всей индустрии: он определит, насколько далеко Европа готова зайти в вопросе контроля над данными своих пользователей.
А как обстоят дела с персональными данными в России?
В России основным законом, защищающим персональные данные пользователей, является 152-ФЗ «О персональных данных», который, как и европейский регламент, запрещает собирать информацию без согласия и обязывает компании обеспечивать её защиту.
Главным «цифровым ревизором» в стране выступает Роскомнадзор. Это ведомство ведет реестр операторов персональных данных и имеет право проводить как плановые, так и внезапные проверки любого бизнеса — от небольшого интернет-магазина до банков и соцсетей. Именно Роскомнадзор следит за тем, чтобы компании вовремя уведомляли его о начале обработки данных и, что критически важно в последние годы, оперативно сообщали о любых взломах или утечках. Кроме него, техническую сторону защиты и шифрования контролируют ФСТЭК и ФСБ, которые следят, чтобы системы безопасности соответствовали государственным стандартам.
Ключевое отличие российского подхода от европейского кроется в законе о локализации данных. Россия одна из первых ввела требование, согласно которому персональные данные российских граждан должны физически храниться на серверах, расположенных внутри страны. Если тот же TikTok или Google хочет легально работать с россиянами, они обязаны иметь здесь дата-центры, чтобы информация не уходила бесконтрольно за границу.
Часто кажется, что наши правила «мягче», потому что в Европе во главу угла ставится защита потребителя от корпорации, а в России — безопасность данных в интересах государства. Например, «закон Яровой» обязывает операторов связи и интернет-сервисы хранить содержимое переписок и звонков в течение полугода, чтобы к ним могли получить доступ правоохранительные органы при расследовании преступлений. Это прямо противоположно духу европейского GDPR, который требует хранить как можно меньше данных и удалять их как можно скорее.
В итоге мы имеем две очень разные системы контроля. Европейская система нацелена на то, чтобы дать пользователю максимум инструментов для управления своими данными в сети, а российская — на то, чтобы данные граждан находились под протекторатом и контролем государственных ведомств. При этом по части финансовых наказаний для бизнеса Россия к 2026 году практически догнала Европу: сегодня любая крупная утечка может стать для компании фатальной не только из-за репутационных потерь, но и из-за огромных штрафов.
Заключение
Подводя итог, можно сказать, что то самое уведомление в TikTok — это вовсе не признак того, что приложение внезапно стало опаснее, чем вчера. Это лишь наглядная иллюстрация того, как по-разному работают законы в разных точках мира. Когда вы включаете VPN и «переноситесь» в Европу, вы попадаете в зону, где государство заставляет корпорации быть максимально подотчетными и даже немного пугать пользователя ради его же безопасности. В российском же цифровом поле отсутствие таких предупреждений не означает отсутствие контроля — просто этот контроль сосредоточен на других вещах, таких как физическое нахождение серверов внутри страны и доступность данных для национальных ведомств.
В любом случае, важно понимать одну простую истину: любое «бесплатное» приложение на самом деле оплачивается нашими данными. Ваш номер телефона, история просмотров и даже то, как долго вы задерживаете взгляд на видео с котиками, — это «цифровое золото», за которым охотятся и рекламодатели, правительства и, конечно же, киберпреступники.
Подписывайтесь на наш канал — в следующих статьях разберем, какие еще крупные компании вели войну с регуляторами, какие данные пользователей собирают соцсети и как они могут использоваться корпорациями и государствами.
А в Телеграме и ВК мы также публикуем интересные факты из мира IT, мемы и простые объяснения сложных терминов, советы рекрутеров для развития ваших скиллов и полезные инструменты для работы.
Ждём вас в наших следующих материалах!