因数据出境违反欧盟法规,又一家美国公司被处天价罚单。
欧盟隐私监管机构日前向Facebook母公司、美国科技巨头Meta开出一张12亿欧元的巨额罚单,理由是Meta将欧盟用户数据传输到美国。
这也是欧盟的《通用数据保护条例》(GDPR)自2018年生效以来,欧盟迄今为止开出的金额最高的一笔罚单。2021年,美国电商巨头亚马逊因违反GDPR规定,被处罚款7.46亿欧元。
负责监管Meta欧盟业务的爱尔兰数据保护委员会称,Meta公司不顾2020年欧洲法院的裁决,继续向美国传输欧洲公民的个人数据,违反了GDPR规定,并要求Meta公司在做出决定后的五个月内,暂停任何向美国传输个人数据的举措。
针对欧盟的处罚,Meta公司不服,表示将申请上诉。Meta公司总裁尼克克莱格(Nick Clegg)和该公司全球事务及总法律顾问Jennifer Newstead在一篇博客文章中表示:“考虑到处罚的决定可能造成的伤害,包括对每天使用Facebook的数百万用户造成的伤害,我们正在对这些决定提出上诉,并将立即寻求法院暂停执行期限。”
GDPR是欧盟具有里程碑意义的数据保护法规,该法规适用于在欧盟范围内开展业务的全球企业。然而,企业在美国和欧盟之间合法传输个人数据的机制一直存在争议。
据了解,Meta公司使用的是一种被称为“标准合同条款”(standard contractual clauses)的机制,将个人数据在欧盟和美国之间进行跨境传输。但在爱尔兰数据保护委员会看来,这一安排会使得数据主体面临“基本权利和自由的风险”。
Meta的最新案件属于施姆雷斯(Schrems)系列诉讼,这是由奥地利人麦克斯·施姆雷斯发起的,他此前还起诉过包括谷歌在内的美国科技公司,认为将欧盟公民数据传输到美国的框架并未保护欧洲人的隐私安全。
美国大型互联网科技企业的触角遍布全球,这也带来跨国、跨地区个人数据流动和监管的多重问题。Meta被罚重新引起业界对欧盟与美国之间的数据传输机制的关注。美国和欧盟去年原则上同意了跨境数据传输的新框架,但新协议尚未生效。
去年3月,在激烈谈判后,欧盟委员会主席冯德莱恩和美国总统拜登宣布“原则上”就新的《跨大西洋数据隐私框架》达成协议。
去年年底,欧盟委员会重启针对《欧盟-美国数据隐私框架充分性决定草案》(EU-U.S. Data Privacy Framework)的进程。该草案旨在促进跨大西洋数据流动的安全性,推动解决欧盟法院在Schrems系列诉讼裁决中提出的对欧美间数据传输机制的担忧。
此前,欧美曾经两度签订跨大西洋数据流动的相关文件。2000年和2016年欧盟与美国先后签订《安全港协议》和《隐私盾协议》,这两部协议的核心目的均是确认美国可以给欧盟用户提供同欧盟法律相适应的个人信息保护水平,从而有利于个人信息跨大西洋自由流动。
目前,该隐私框架仍在推进过程中。据欧盟委员会介绍,这项协议是基于对欧盟-美国数据隐私框架本身及其对相关企业义务的深入评估,以及美国当局出于执法和国家安全目的访问数据的限制和保障措施而制定的。
Meta公司希望这项新的数据隐私协议能够在爱尔兰监管机构发出的“最后通牒”期限到来之前生效。“如果新框架在实施截止日期到期之前生效,我们的服务就可以像今天一样继续,不会对用户造成任何干扰或影响。”Meta方面称。