本文是《超财经》原创作品
在被监管部门通报信息违规收集两个月后,7月15日,字节跳动旗下的AI产品豆包的隐私政策终于升级了,升级后的隐私信息明确了“非必要信息拒绝提供不影响其他功能使用”等条款。
字节跳动的所谓的“兴趣推荐”其本质上就是以违规或者说超范围收集用户信息起家。实际上,这不是字节跳动第一次被监管部门通报处罚,也不是第一次被重磅处罚。在字节跳动看来,用户并非信任主体,而是可随时‘收割’的数字资源——平台遵循‘我想要什么,就收集什么’的逻辑,几乎不顾及法律红线与伦理底线。”
他们的这种违规甚至违法的行为即使被监管发现了,无非也就是“补丁式”的改一下然后继续。对他们来说,罚的多就疼的狠就改的彻底,而如果不罚不管,他们就会对隐私视而不见躺下装死。
01 “聊胜于无”的整改
国内国家网络与信息安全信息通报中心于5月21日公布,对35款违法违规收集个人信息的移动应用进行专项整治,其中就包括字节跳动旗下的多款 AI 应用,指出它们在权限申请、信息留存和使用范围上均超出用户授权。
在双重监管压力下,字节跳动于7月15日发布新版豆包隐私政策,生效日期定于7月22日,主要内容包括:
最小必要原则:非必要信息拒绝提供不影响其他功能使用;
权限按需:对麦克风、相册、地理位置等敏感权限实行明示授权、可随时撤回;
留存时限:细化个人信息的最长期限与删除机制,增强用户可控权。
总体来看,新版隐私政策虽在形式上补充了“明示授权”“可撤回”机制,但在数据范围、默认采集和多方共享层面依旧宽泛,尚未从根本上解决“超范围收集”“被动同意”“难以撤回”等用户隐私权保护的核心痛点。
比如在“运营与安全运行/保障”下的设备信息与日志信息(第1.10.2条),豆包可收集包括 AndroidID、OAID、IDFV、IDFA、ODID 等多种设备标识符,以及MAC 地址、基站、WLAN、蓝牙、陀螺仪、加速度传感器等硬件和网络数据,这已经超出了提供智能对话或基础服务所必需的范围,属于典型的“设备指纹”采集。
其他的条款中豆包还存在着云盘功能的剪切板权限滥用、默认开启的模型训练数据收集、多级广告合作方的数据共享以及过度授权的定位与生物特征采集等情况。
02 “数据饥渴”导致多次被罚
从最早的今日头条到抖音,再到国际版TikTok,字节跳动的核心竞争力都建立在对用户海量行为数据的深度挖掘之上。今日头条依托用户的点击、浏览时长、评论等行为数据,不断优化兴趣标签,而抖音更是在短视频场景下,获取摄像头、麦克风、通讯录、设备 ID 等多维度数据,构建“全景画像”,大幅提升推荐精准度与广告变现效率。
与此同时,过度采集造成的隐私泄露风险已屡次成真。2024年12月,一则关于豆包 AI 导致用户微信号泄露的案例被曝光:用户李雨(化名)在一条仅保留一周的招聘推文中曾留有微信号,推文删除后,本以为信息已被清除,没想到豆包仍抓取并保留该私密数据,供他人检索使用,侵害其隐私权并引发公众恐慌。法律界人士指出,即便信息曾公开,一旦当事人选择删除,平台仍继续存储和展示,已构成对个人隐私权的严重侵犯。
这种“数据饥渴”模式在短期内助力流量与营收增长,但长期则频频触碰合规红线,面临来自国内外多方的处罚与通报。
2025年4月初,爱尔兰数据保护委员会(DPC)以TikTok母公司ByteDance将欧洲用户数据非法跨境传输至中国为由,对其处以530万欧元的处罚,并责令其在6个月内完成合规整改,否则将暂停数据传输。
在美国,TikTok也因未成年人数据保护问题,与FTC达成570万美元的和解。
03 罚的越重,改的越多
实际上,字节跳动旗下众多产品包虽然是一个公司出品,甚至虽然是同一个产品,但是在世界各地的隐私收集政策往往却并不相同,基本上是哪个地方罚的重,哪个地方在隐私保护上就做的好。
尽管抖音与TikTok都出自同一套产品逻辑,但在隐私合规上却呈现出截然不同的局面。TikTok在欧洲市场因GDPR被重罚5.3亿欧元后,迅速收紧数据跨境传输与存储策略,对欧洲用户实施更加严格的本地化数据治理,以及独立审计和定期合规报告机制强化数据留存时限、本地化存储、访问审计等一整套隐私合规措施。
美国联邦贸易委员会(FTC)多次指控TikTok/ByteDance违反《儿童在线隐私保护法》(COPPA),并在2024年针对未成年人数据违规收集提起诉讼,虽罚金规模远低于欧盟,但已足以促使TikTok在美版中增加家长控制、删除未成年人数据日志等功能。
相比之下,字节跳动在国内却很少面临同等级别的经济惩罚。虽然曾因“侵害个人信息”被网信办点名,但多以“限期整改”和“通报批评”收场,未形成实质性罚金压力。因此,他们才国内仍能维持对用户信息的高频收集与长线留存,直到近期多部门联合执法的加剧,才开始逐步调整权限申请与信息分类管理
这种“重罚促合规、宽松养野蛮”式的中外差异应对,暴露了字节跳动在合规治理上的双重标准:只有真正“被罚得疼”,才会回到本该履行的法律与伦理轨道。这种中外“双标”治理模式暴露了字节跳动在合规治理上的被动与短视。
作为市值近四千亿美元的互联网巨头,字节跳动掌握了超过40亿月活用户的注意力与数据。在“数据即资源”的商业模式驱动下,其对用户隐私的忽视已不是偶发现象,而是系统性逻辑的产物。
在AI时代,数据不再仅是广告投放的筹码,更是模型训练和智能决策的核心燃料。未来真正的竞争力,不仅看算法和流量,更要看企业在透明度、合规性和用户权益保护方面的担当。
字节跳动唯有将合规内化为核心能力,把用户信任视为最宝贵资产,才能在全球舞台上走得更远。否则,再强大的技术红利,也难掩“一次次违规,一次次被迫补课”的治理困局。
-END-