Uber把司機資料送至美國，遭荷蘭判罰2.9億歐元

荷蘭資料保護主管機構（Data Protection Authority，DPA）周一（8/26）向Uber處以2.9億歐元的罰款，原因是Uber將歐盟的計程車司機資料在未妥善保護的情況下傳送至美國。

此一事件源自法國的人權組織Ligue des droits de l’Homme（LDH）收到逾170名法國司機的投拆，LDH隨後將此案上交至法國的DPA，由於Uber的歐洲總部位於荷蘭，而令法國DPA向荷蘭DPA告狀。

荷蘭DPA發現，Uber蒐集了歐洲司機的敏感資訊，並將它們保留在位於美國的伺服器上，包括這些司機的帳戶細節與計程車執照，以及位置資料、照片、支付細節、身分文件，甚至是司機的犯罪與醫療資料。此外，Uber是在未經法律及技術框架的保護下將資料傳送至美國，且時間長達2年，嚴重違反歐盟的《通用資料保護規則》（GDPR）。

歐盟與美國之間原本簽有《隱私盾》（Privacy Shield）資料傳輸保護協議，簡化美國企業將歐洲民眾資料傳送到美國的流程，但之後歐盟認為美國的隱私保護不如歐盟，而在2020年7月廢除了該協議，接著雙方在2023年7月簽署了新的資料隱私協議，但中間有3年的空窗期。

其實就算政治實體之間缺乏資料傳輸協議，企業也能藉由遵循歐盟的標準合約條款（Standard Contractual Clauses，SCC），在保證提供同等級資料保護機制的情況下，合法將資料從歐盟傳送至美國。

然而，荷蘭的DPA表示，在缺乏《隱私盾》協議的期間，Uber自2021年8月便不再使用SCC，而讓來自歐盟的資料未能得到充分的保護。

總之，荷蘭DPA認為Uber違反GDPR，要求它支付2.9億歐元的罰款。這是Uber第三次被荷蘭DPA罰款，第一次是2018年的60萬歐元，第二次是去年的1,000萬歐元，這次則是GDPR史上最高的罰款之一。

去年底就採用歐盟與美國之間新資料隱私框架的Uber，並不認為自己違反規定，已決定提出上訴。