2025 年 5 月 2 日,爱尔兰数据保护委员会(DPC)向
TikTok 开出了一张高达 5.3 亿欧元的行政罚单。处罚理由主要集中在远程可访问性不足以及透明度欠缺等方面,这也是《通用数据保护条例》(GDPR)生效以来,针对向中国远程访问数据问题所做出的最高额度裁决之一。面对这一巨额罚单,TikTok 迅速做出回应,申明将全面上诉,同时将其号称 “行业领先” 的 Project Clover(
三叶草项目)推到台前,试图以此证明自身在数据保护方面所做出的努力。

TikTok 称,
三叶草项目自 2023 年起便分阶段落地实施,已累计投入逾 120 亿欧元,旨在为 1.75 亿欧洲用户构建专属的 “数据飞地”。不过,爱尔兰数据保护机构的 O’Brien 提到,尽管 TikTok 的这些努力被 DPC 认可为积极进展,但监管机构仍认为这些举措不足以豁免此前已发生的违法行为。这也让 TikTok 陷入了一个较为尴尬的境地,其重金投入的数据保护计划,似乎并未完全得到监管机构的认可。
三叶草项目的起源可以追溯到 2020 年,当时 TikTok 首次宣布计划在爱尔兰建立数据中心,这一举措标志着其欧洲数据本地化战略的开端。随后的几年时间里,TikTok 围绕欧洲数据安全与本地化存储,紧锣密鼓地推进着一系列工作。
2021 年,TikTok 制定了针对欧洲的明确数据治理战略,秉持本地存储数据、最小化区域外数据传输以及进一步减少员工对用户数据访问的原则。这一战略为后续三叶草项目的正式推出奠定了基础。
2022 年 4 月,TikTok 宣布已签署合同在都柏林建立数据中心,该数据中心将用于存储英国和欧洲经济区 TikTok 用户数据,这一动作使得 TikTok 的欧洲数据本地化进程从规划迈向了实质性建设阶段。
到了 2023 年 3 月,TikTok 正式推出 “三叶草项目”,并承诺投资 120 亿欧元建设数据中心网络,目标是实现欧洲用户数据的本地存储和安全管理。同年 9 月,位于爱尔兰都柏林的首个欧洲数据中心投入运营,并开始将欧洲用户数据迁移到该站点,这是三叶草项目的一个重要里程碑,意味着欧洲用户数据开始逐步回归欧洲本土存储。
2024 年 7 月,安全网关系统全面上线,该系统实现了地理访问隔离,确保中国员工无法访问存储在欧洲专区的受限数据,从访问权限上进一步保障了欧洲用户数据的安全性。同年 10 月,挪威哈马尔数据中心的第一栋建筑投入运营,开始将欧洲用户数据从美国迁移至该中心,进一步扩大了欧洲本地数据存储的范围。
进入 2025 年,三叶草项目持续推进。1 月,NCC Group 与 TikTok 签署三年合同延期,继续担任三叶草项目的独立安全提供商,强化了项目的第三方监督力量。5 月,TikTok 宣布在芬兰科沃拉投资 10 亿欧元建设新的数据中心,进一步扩展欧洲数据存储网络,不断完善其在欧洲的数据保护基础设施布局。
在本地化存储方面,TikTok 可谓下足了功夫。截至目前,TikTok 已在爱尔兰运营两座数据中心,2024 年 10 月挪威哈马尔中心首栋机楼投产,并在 2025 年 4 月实现三栋机楼全部上线。2025 年 5 月,又宣布在芬兰科沃拉追加 10 亿欧元建设新机房。通过这一系列操作,“欧洲专区” 扩展为跨爱尔兰、挪威(以及过渡期位于美国的隔离机柜)的数据 “飞地”。如今,欧洲用户新生成的数据全部写入本地服务器,大大减少了数据跨境传输所带来的风险,从存储源头保障了数据的安全性与合规性。
围绕数据中心外层部署的安全网关,采用 “默认拒绝” 的零信任模型,这是保障数据安全的又一关键举措。员工如需访问被列为 “受限数据”(例如电话号码、IP 地址、私密视频),必须通过多步审批和最小权限校验。尤为重要的是,中国境内员工被系统性排除在受限数据的访问之外,从人员访问层面切断了潜在风险。对于 “可流通数据”(如公开视频、隐私设置选项),则在网关内自动执行伪匿名化或差分隐私处理,即便数据进行国际传输,也难以追溯到个人身份,极大地增强了数据在传输过程中的安全性。
英国网络安全公司 NCC Group 自 2024 年起成为三叶草项目独立安全服务商,为项目的数据安全增添了一道有力保障。NCC 对安全网关源代码与流量进行 24×7 监控,并定期发布公开摘要。其拥有直接向欧盟监管机构通报异常的权限,这种独立第三方监督机制,为 TikTok 提供了可验证、可追责的外部视角,有助于确保整个数据保护体系的有效运行,增强了监管机构与用户对 TikTok 数据安全措施的信任度。
尽管 TikTok 在面临欧盟调查启动后,进行了长时间、大投入的技术改造,试图通过三叶草项目满足跨境传输影响评估中的补充措施要求,但最终是否能得到爱尔兰裁决书的认可,仍有待观察。不过,三叶草项目将巨额投资转化为对欧洲用户数据主权的承诺,这一做法也反向推动了欧盟对 “自愿飞地” 模式的政策讨论。
对于计划在欧洲深耕发展的中国企业而言,TikTok 的经历无疑具有重要的借鉴意义。及早构建 “本地存储 + 零信任访问 + 独立监督” 的合规闭环,已不再是企业进入欧洲市场的加分项,而是成为了必修课。只有通过这种全方位、多层次的数据保护体系建设,中国企业才能更好地应对欧洲严格的数据保护法规要求,在欧洲市场站稳脚跟,实现可持续发展。