
Organisasi nirlaba privasi Austria, None of Your Business (noyb) telah mengajukan keluhan yang menuduh perusahaan seperti TikTok, AliExpress, SHEIN, Temu, WeChat, dan Xiaomi melanggar peraturan perlindungan data di Uni Eropa dengan mentransfer data pengguna secara tidak sah ke Tiongkok.
Kelompok advokasi tersebut berupaya untuk segera menghentikan transfer tersebut, dengan menyatakan bahwa perusahaan-perusahaan tersebut tidak dapat melindungi data pengguna agar tidak dapat diakses oleh pemerintah Tiongkok. Pengaduan telah diajukan di Austria, Belgia, Yunani, Italia, dan Belanda.
“Mengingat Tiongkok adalah negara pengawasan yang otoriter, sangat jelas bahwa Tiongkok tidak menawarkan tingkat perlindungan data yang sama seperti UE,” kata Kleanthi Sardeli, pengacara perlindungan data di noyb. “Mentransfer data pribadi orang Eropa jelas melanggar hukum – dan harus segera dihentikan.”
Noyb mencatat bahwa perusahaan-perusahaan tersebut tidak punya pilihan selain mematuhi permintaan otoritas Tiongkok untuk mengakses data, dan bahwa Beijing tidak memiliki otoritas perlindungan data independen untuk mengangkat masalah terkait pengawasan pemerintah.

Dikatakan juga bahwa tidak ada perusahaan yang menanggapi permintaan aksesnya berdasarkan Peraturan Perlindungan Data Umum (GDPR) untuk mencari kejelasan tentang sifat transfer data, dan apakah data tersebut dikirimkan ke Tiongkok atau negara lain di luar UE.
“Sesuai dengan kebijakan privasi mereka, AliExpress, SHEIN, TikTok, dan Xiaomi mentransfer data ke China,” kata noyb. “Temu dan WeChat menyebutkan transfer ke negara ketiga. Menurut struktur perusahaan Temu dan WeChat, kemungkinan besar ini mencakup Tiongkok.”
Perkembangan ini terjadi ketika TikTok milik ByteDance bersiap untuk menutup aplikasinya di AS mulai 19 Januari 2025, ketika larangan federal terhadap platform media sosial tersebut dijadwalkan mulai berlaku.
Dalam beberapa bulan terakhir, noyb telah mengajukan keluhan terkait GDPR terhadap Google, Microsoft, dan Mozilla karena melacak pengguna tanpa izin masing-masing melalui Privacy Sandbox, Xandr, dan Firefox.
FTC Mengambil Tindakan Melawan General Motors dan GoDaddy
Keluhan tersebut juga bertepatan dengan Komisi Perdagangan Federal AS (FTC) yang melarang produsen mobil General Motors mengungkapkan data yang dikumpulkan dari pengemudi, termasuk geolokasi dan informasi perilaku pengemudi, kepada lembaga pelaporan konsumen selama lima tahun karena membagikan data tersebut tanpa persetujuan tegas dari mereka.
Menurut investigasi New York Times pada bulan Maret 2024, informasi tersebut dibagikan kepada dua pialang data, LexisNexis Risk Solutions dan Verisk, yang bekerja sama dengan industri asuransi untuk menghasilkan profil risiko dan meningkatkan tarif asuransi mobil untuk beberapa pengemudi.
Dalam sebuah pernyataan, General Motors mengatakan telah menghentikan program pengumpulan data “Smart Driver” pada April 2024 “karena masukan dari pelanggan.” Perusahaan mengatakan pelanggan dapat mengakses dan menghapus informasi pribadi mereka melalui Formulir Permintaan Privasi Konsumen AS di situs webnya.
FTC juga telah memerintahkan penyedia hosting situs web GoDaddy untuk menerapkan program keamanan informasi yang komprehensif untuk merombak “praktik keamanan yang tidak masuk akal” yang menyebabkan banyak pelanggaran data pelanggan antara tahun 2019 dan 2022. GoDaddy belum mengakui kesalahan apa pun, juga tidak didenda.
“GoDaddy telah gagal menerapkan langkah-langkah keamanan yang wajar dan tepat untuk melindungi dan memantau lingkungan hosting situs webnya dari ancaman keamanan, dan menyesatkan pelanggan tentang sejauh mana perlindungan keamanan data pada layanan hosting situs webnya,” kata FTC.

Badan tersebut menunjukkan bahwa GoDaddy gagal mengelola aset dan inventarisnya dengan benar; menambal perangkat lunaknya; menilai risiko terhadap layanan hostingnya; gunakan otentikasi multi-faktor; mencatat peristiwa terkait keamanan; memantau ancaman keamanan; mensegmentasikan jaringannya; dan koneksi aman ke layanan yang menyediakan akses ke data konsumen.
Badan perlindungan konsumen juga telah mengumumkan amandemen terhadap perlindungan privasi online untuk anak-anak berdasarkan Peraturan Perlindungan Privasi Online Anak-anak (COPPA) yang memerlukan izin orang tua yang dapat diverifikasi sebelum memproses data mereka untuk tujuan periklanan atau membagikannya dengan pihak ketiga.
Selain itu, peraturan tersebut menerapkan kebijakan penyimpanan data baru, yang mengharuskan perusahaan hanya menyimpan informasi anak-anak “selama diperlukan untuk memenuhi tujuan tertentu pengumpulan informasi tersebut”.
“Dengan mewajibkan orang tua untuk ikut serta dalam praktik periklanan bertarget, aturan terakhir ini melarang platform dan penyedia layanan membagikan dan memonetisasi data anak-anak tanpa izin aktif,” kata Ketua FTC Lina M. Khan.