Uber
荷兰资料保护主管机构(Data Protection Authority,DPA)周一(8/26)向Uber处以2.9亿欧元的罚款,原因是Uber将欧盟的计程车司机资料在未妥善保护的情况下传送至美国。
此一事件源自法国的人权组织Ligue des droits de l’Homme(LDH)收到逾170名法国司机的投拆,LDH随后将此案上交至法国的DPA,由于Uber的欧洲总部位于荷兰,而令法国DPA向荷兰DPA告状。
荷兰DPA发现,Uber搜集了欧洲司机的敏感资讯,并将它们保留在位于美国的伺服器上,包括这些司机的帐户细节与计程车执照,以及位置资料、照片、支付细节、身分文件,甚至是司机的犯罪与医疗资料。此外,Uber是在未经法律及技术框架的保护下将资料传送至美国,且时间长达2年,严重违反欧盟的《通用资料保护规则》(GDPR)。
欧盟与美国之间原本签有《隐私盾》(Privacy Shield)资料传输保护协议,简化美国企业将欧洲民众资料传送到美国的流程,但之后欧盟认为美国的隐私保护不如欧盟,而在2020年7月废除了该协议,接著双方在2023年7月签署了新的资料隐私协议,但中间有3年的空窗期。
其实就算政治实体之间缺乏资料传输协议,企业也能借由遵循欧盟的标准合约条款(Standard Contractual Clauses,SCC),在保证提供同等级资料保护机制的情况下,合法将资料从欧盟传送至美国。
然而,荷兰的DPA表示,在缺乏《隐私盾》协议的期间,Uber自2021年8月便不再使用SCC,而让来自欧盟的资料未能得到充分的保护。
总之,荷兰DPA认为Uber违反GDPR,要求它支付2.9亿美元的罚款。这是Uber第三次被荷兰DPA罚款,第一次是2018年的60万欧元,第二次是去年的1,000万欧元,这次则是GDPR史上最高的罚款之一。
去年底就采用欧盟与美国之间新资料隐私框架的Uber,并不认为自己违反规定,已决定提出上诉。