信息化觀察網(wǎng)

本文來自微信公眾號“FreeBuf”，作者/小薯條。

近日，荷蘭數(shù)據(jù)保護局指控Uber在未采取《通用數(shù)據(jù)保護條例》（下文簡稱：GDPR）第五章規(guī)定的充分保障措施的情況下，將個人數(shù)據(jù)從歐洲經(jīng)濟區(qū)（EEA）轉移至美國的服務器。荷蘭數(shù)據(jù)保護局稱其違反了GDPR的規(guī)定，并對其處以罰款23.18億元（2.9億歐元）罰款，這是荷蘭數(shù)據(jù)保護局第三次對Uber處以行政罰款。

第一起是2018年11月因數(shù)據(jù)訪問控制不力被罰款60萬歐（約合人民幣479萬元）。第二項是2024年1月因Uber在處理歐盟主體數(shù)據(jù)方面的模糊數(shù)據(jù)管理做法而被處以1000萬歐（約合人民幣7989萬元）的罰款。

此次調查的起因，是法國的一個人權組織代表當?shù)?70多名出租車司機向該國數(shù)據(jù)保護機構提出投訴。然而由于Uber的歐洲總部設在荷蘭，因而此案被轉交給了DPA。與此同時，法國國家數(shù)據(jù)保護監(jiān)管局（CNIL）也表示已與DPA取得合作。

DPA透露，Uber在美國的服務器上收集并保存了司機的賬戶信息、出租車牌照、位置數(shù)據(jù)、照片、付款細節(jié)和身份證件等重要數(shù)據(jù)，在某些情況下甚至還有犯罪和醫(yī)療數(shù)據(jù)。這些敏感數(shù)據(jù)的泄露可能對個人隱私和安全造成嚴重影響，甚至可能威脅到用戶的生命和財產(chǎn)安全。DPA方面表示，Uber將個人數(shù)據(jù)轉移到美國，但未能妥善保護這些數(shù)據(jù)。這嚴重違反了《通用數(shù)據(jù)保護條例》（GDPR）。

DPA進一步指出，優(yōu)步在進行數(shù)據(jù)傳輸時，未能使用適當?shù)臋C制。資料顯示，2020年，歐盟宣布廢除“歐盟-美國隱私盾”協(xié)議，2023年7月，新的“歐盟-美國數(shù)據(jù)隱私框架”被宣布作為替代方案。而優(yōu)步自2021年8月以來未再使用標準合同條款，未能充分保護歐盟司機的數(shù)據(jù)，直到2023年才開始使用隱私盾的繼任框架。

DPA按照統(tǒng)一方式計算對涉案公司的罰款，罰金可高達被罰公司全球年收入的4%。公開數(shù)據(jù)顯示，優(yōu)步2023年全球收入約為345億歐元，因此此次2.9億歐元的罰款并不是頂格處罰。

Uber不滿判決提起上訴，流程將持續(xù)大約四年

2018年5月，歐盟正式出臺了GDPR，對違法企業(yè)的罰款最高可達2000萬歐元（約合人民幣1.6億元）或其全球營業(yè)額的4%，以高者為準。在Uber之前，Meta曾因違反GDPR于2023年被處以12億歐元（約合人民幣95.5億元）的罰款，這也是迄今為止數(shù)額最大的一筆罰款。

對于處罰，Uber發(fā)言人卡斯帕·尼克松（Caspar Nixon）回應路透社稱，Uber將提起上訴，并相信“常識將占上風”。他認為這一決定存在有缺陷，罰款數(shù)額也過大，是完全沒有道理的。他表示，在歐盟和美國之間存在“巨大不確定性的3年”期間，Uber的跨境數(shù)據(jù)傳輸流程符合GDPR。

按照相關規(guī)定，不滿判決的Uber可以向DPA上訴，如果上訴不成功，則可以向荷蘭法院提起訴訟。而根據(jù)DPA的說法，整個上訴流程預計將持續(xù)大約四年的時間，且在所有法律資源用盡之前，任何罰款都不會被執(zhí)行。