Facebook 的所有者 Meta 因在歐洲和美國之間傳輸資料時處理不當而被罰款 12 億歐元。由愛爾蘭資料保護委員會 (Data Protection Commission,DPC) 開出,這是根據歐盟通用資料保護條例隱私法開出的最大一筆罰單。GDPR 規定了將用戶資料傳輸到歐盟以外時公司必須遵守的規則。Meta 表示將對「不合理且不必要」的裁決提出上訴。該決定的關鍵是使用標準合約條款 (standard contractual clauses,SCC)將歐盟資料轉移到美國。
這些由歐盟委員會制定的法律合約包含保障措施,以確保個人資料在歐洲以外傳輸時繼續受到保護。但有人擔心,這些資料流仍然會讓歐洲人暴露在美國較弱的隱私法之下——而美國情報部門可以存取這些資料。該決定不影響英國的 Facebook。資訊專員辦公室告訴 BBC,該決定「不適用於英國」,但表示已注意到該決定並將在適當時候審查細節。
危險的先例
大多數大公司都有複雜的資料傳輸網路——其中可能包括電子郵件地址、電話號碼和財務資料——到海外收件人,其中許多都依賴於 SCC。Meta 表示,它們的廣泛使用使罰款變得不公平。Facebook 總裁Nick Clegg表示:因此,我們很失望在使用與其他數千家希望在歐洲提供服務的公司相同的法律機制時被挑出來。這一決定是有缺陷的、不合理的,並且為無數其他在歐盟和美國之間傳輸數據的公司樹立了一個危險的先例。
國內替代方案
但隱私團體對這一先例表示歡迎。國際隱私專業人士協會的Caitlin Fennessy說:這一創紀錄罰款的金額與其發出的信號的重要性相匹配。今天的決定表明公司面臨著很大的風險。她補充說,這可能會使歐盟公司要求美國合作夥伴將數據儲存在歐洲境內,或者轉向國內替代方案。
長達十年之拉鋸戰
2013年,美國國家安全局前僱員愛德華·斯諾登披露,美國當局曾多次通過Facebook和Google等科技公司獲取人們的資訊。奧地利隱私活動家Max Schrems對 Facebook 未能保護他的隱私權提出法律挑戰,引發了一場長達十年的關於將歐盟數據轉移到美國的合法性的拉鋸。
歐洲最高法院歐洲法院 (European Court of Justice,ECJ)一再表示,華盛頓沒有足夠的檢查來保護歐洲人的資訊。2020 年,歐洲法院裁定歐盟到美國的資料傳輸協議無效。但歐洲法院為公司使用 SCC 敞開大門,稱只要確保「足夠的資料保護水準」,將資料傳輸到任何其他第三國都是有效的。Meta沒有通過這項測試。
從根本上進行重組
當被問及 12 億歐元的罰款時,Schrems表示,他很高興看到這個經過 10 年訴訟的決定,但罰款本可以高得多。
除非美國的監控法律得到修復,否則 Meta 將不得不從根本上重組其系統,他補充道。儘管罰款金額破紀錄,但專家表示,他們認為 Meta 的隱私實踐不會改變。愛爾蘭公民自由委員會的高級研究員Johnny Ryan表示一張十億歐元的停車罰單對於一家通過非法停車賺取數十億美元的公司來說毫無意義。美國最近更新了其內部法律保護措施,以向歐盟提供更大的保證,即美國情報機構將遵守管理此類資料存取的新規則。2021 年,亞馬遜因同樣違反歐盟隱私標準而被罰款。愛爾蘭的 DPC 還對另一家 Meta 旗下企業WhatsApp 處以罰款,原因是其違反了與其他子公司共享資料透明度相關的嚴格規定。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結: By Shiona McCallum(2023) Meta: Facebook owner fined €1.2bn for mishandling data
