把歐洲民眾資料傳送到美國，Meta遭重罰12億歐元

愛爾蘭資料保護委員會（Data Protection Commission，DPC）周一（5/22）宣布，已結束對Meta Ireland將歐洲經濟區（EEA）的個人資料傳送至美國以提供臉書服務的調查，認為Meta的行為違反了《歐盟通用資料保護規則》（GDPR），判罰12億歐元，創下GDPR的最高罰款紀錄。Meta則說這是個不正當且沒必要的處分，將提出上訴。

歐盟與美國在2016年建立《隱私盾》（Privacy Shield）資料傳輸保護協議，簡化美國企業將歐洲民眾資料傳送到美國的流程，以推動跨大西洋的貿易，但2018年時奧地利一名隱私捍衛人士Max Schrems控告臉書侵犯他的隱私，指稱《隱私盾》無法完全保障歐洲民眾的隱私權，這使得歐盟於2020年廢除了《隱私盾》，Meta繼而採用歐盟與他國之間的《標準合約條款》（Standard Contractual Clauses，SCCs），來傳輸資料。

不過，愛爾蘭DPC在2020年8月時初步認為Meta使用SCCs並不符合GDPR規範，展開了進一步的調查，之後Meta切換至歐盟執委會（EC）所通過的新版SCCs，並實施了其它的補救措施，惟DPC發現這些安排都無法解決資料風險問題。

因此，愛爾蘭DPC認為Meta的資料傳輸違反GDPR，要求Meta必須中止這類的行為，並判罰12億歐元。

Meta則直指這是歐盟資料保護委員會（European Data Protection Board，EDPB）從中作梗的結果。

Meta全球事務總裁Nick Clegg及法務長Jennifer Newstead指出，僅管DPC知道Meta的臉書用戶資料傳輸是基於善意，且沒必要罰款，卻在最後一刻被EDPB推翻，事實上，Meta所使用的是與其它在歐盟提供服務的數千家企業同樣的法令機制，此一決定不僅不正當且有缺陷，對其它於歐盟及美國之間傳輸資料的企業而言，更是一個危險的先例。

另一方面，EDPB主席Andrea Jelinek則認為，Meta的侵權行為非常嚴重，臉書在歐洲擁有眾多用戶，因而傳輸了大量資料，罰款計算基準採用了最高金額的20~80%。而12億歐元則是GDPR自2018年上線以來金額最大的一筆罰款。之前的GDPR罰款紀錄保持者為Amazon在2021年被判罰7.46億歐元。

Meta則計畫提出上訴，採取拖延戰術，直至美國與歐盟之間新擬定的《資料隱私架構》（Data Privacy Framework，DPF）生效，以避免對使用者造成影響。