本文来自微信公众号“FreeBuf”,作者/小薯条。
近日,荷兰数据保护局指控Uber在未采取《通用数据保护条例》(下文简称:GDPR)第五章规定的充分保障措施的情况下,将个人数据从欧洲经济区(EEA)转移至美国的服务器。荷兰数据保护局称其违反了GDPR的规定,并对其处以罚款23.18亿元(2.9亿欧元)罚款,这是荷兰数据保护局第三次对Uber处以行政罚款。
第一起是2018年11月因数据访问控制不力被罚款60万欧(约合人民币479万元)。第二项是2024年1月因Uber在处理欧盟主体数据方面的模糊数据管理做法而被处以1000万欧(约合人民币7989万元)的罚款。
此次调查的起因,是法国的一个人权组织代表当地170多名出租车司机向该国数据保护机构提出投诉。然而由于Uber的欧洲总部设在荷兰,因而此案被转交给了DPA。与此同时,法国国家数据保护监管局(CNIL)也表示已与DPA取得合作。
DPA透露,Uber在美国的服务器上收集并保存了司机的账户信息、出租车牌照、位置数据、照片、付款细节和身份证件等重要数据,在某些情况下甚至还有犯罪和医疗数据。这些敏感数据的泄露可能对个人隐私和安全造成严重影响,甚至可能威胁到用户的生命和财产安全。DPA方面表示,Uber将个人数据转移到美国,但未能妥善保护这些数据。这严重违反了《通用数据保护条例》(GDPR)。
DPA进一步指出,优步在进行数据传输时,未能使用适当的机制。资料显示,2020年,欧盟宣布废除“欧盟-美国隐私盾”协议,2023年7月,新的“欧盟-美国数据隐私框架”被宣布作为替代方案。而优步自2021年8月以来未再使用标准合同条款,未能充分保护欧盟司机的数据,直到2023年才开始使用隐私盾的继任框架。
DPA按照统一方式计算对涉案公司的罚款,罚金可高达被罚公司全球年收入的4%。公开数据显示,优步2023年全球收入约为345亿欧元,因此此次2.9亿欧元的罚款并不是顶格处罚。
Uber不满判决提起上诉,流程将持续大约四年
2018年5月,欧盟正式出台了GDPR,对违法企业的罚款最高可达2000万欧元(约合人民币1.6亿元)或其全球营业额的4%,以高者为准。在Uber之前,Meta曾因违反GDPR于2023年被处以12亿欧元(约合人民币95.5亿元)的罚款,这也是迄今为止数额最大的一笔罚款。
对于处罚,Uber发言人卡斯帕·尼克松(Caspar Nixon)回应路透社称,Uber将提起上诉,并相信“常识将占上风”。他认为这一决定存在有缺陷,罚款数额也过大,是完全没有道理的。他表示,在欧盟和美国之间存在“巨大不确定性的3年”期间,Uber的跨境数据传输流程符合GDPR。
按照相关规定,不满判决的Uber可以向DPA上诉,如果上诉不成功,则可以向荷兰法院提起诉讼。而根据DPA的说法,整个上诉流程预计将持续大约四年的时间,且在所有法律资源用尽之前,任何罚款都不会被执行。