圖片來源: 

英國競爭與市場管理局(CMA)

愛爾蘭資料保護委員會(Data Protection Commission,DPC)周一(5/22)宣布,已結束對Meta Ireland將歐洲經濟區(EEA)的個人資料傳送至美國以提供臉書服務的調查,認為Meta的行為違反了《歐盟通用資料保護規則》(GDPR),判罰12億歐元,創下GDPR的最高罰款紀錄。Meta則說這是個不正當且沒必要的處分,將提出上訴。

歐盟與美國在2016年建立《隱私盾》(Privacy Shield)資料傳輸保護協議,簡化美國企業將歐洲民眾資料傳送到美國的流程,以推動跨大西洋的貿易,但2018年時奧地利一名隱私捍衛人士Max Schrems控告臉書侵犯他的隱私,指稱《隱私盾》無法完全保障歐洲民眾的隱私權,這使得歐盟於2020年廢除了《隱私盾》,Meta繼而採用歐盟與他國之間的《標準合約條款》(Standard Contractual Clauses,SCCs),來傳輸資料。

不過,愛爾蘭DPC在2020年8月時初步認為Meta使用SCCs並不符合GDPR規範,展開了進一步的調查,之後Meta切換至歐盟執委會(EC)所通過的新版SCCs,並實施了其它的補救措施,惟DPC發現這些安排都無法解決資料風險問題。

因此,愛爾蘭DPC認為Meta的資料傳輸違反GDPR,要求Meta必須中止這類的行為,並判罰12億歐元。

Meta則直指這是歐盟資料保護委員會(European Data Protection Board,EDPB)從中作梗的結果。

Meta全球事務總裁Nick Clegg及法務長Jennifer Newstead指出,僅管DPC知道Meta的臉書用戶資料傳輸是基於善意,且沒必要罰款,卻在最後一刻被EDPB推翻,事實上,Meta所使用的是與其它在歐盟提供服務的數千家企業同樣的法令機制,此一決定不僅不正當且有缺陷,對其它於歐盟及美國之間傳輸資料的企業而言,更是一個危險的先例。

另一方面,EDPB主席Andrea Jelinek則認為,Meta的侵權行為非常嚴重,臉書在歐洲擁有眾多用戶,因而傳輸了大量資料,罰款計算基準採用了最高金額的20~80%。而12億歐元則是GDPR自2018年上線以來金額最大的一筆罰款。之前的GDPR罰款紀錄保持者為Amazon在2021年被判罰7.46億歐元

Meta則計畫提出上訴,採取拖延戰術,直至美國與歐盟之間新擬定的《資料隱私架構》(Data Privacy Framework,DPF)生效,以避免對使用者造成影響。

熱門新聞

Advertisement