Meta (META-US) 因將歐盟用戶數據轉移到美國,遭到歐洲隱私監管機構處以創紀錄的 12 億歐元(13 億美元)罰款。
該決定與奧地利隱私活動人士施倫姆斯 (Max Schrems) 提起的訴訟有關;他認為將歐盟公民數據傳輸到美國的作法並未能保護歐洲人免受美國的監視。
美國和歐盟之間合法傳輸個人數據的幾種機制一直存在爭議。最新版本的 Privacy Shield 於 2020 年被歐盟最高法院歐洲法院否決。
監督 Meta 歐盟業務的愛爾蘭數據保護委員會 (DPC) 指控該公司不顧 2020 年歐洲法院的裁決,繼續向美國傳送歐洲公民的個人數據,違反了歐盟的通用數據保護條例 (GDPR)。
GDPR 是歐盟具有里程碑意義的數據保護法規,適用所有在歐盟執行業務的公司。它於 2018 年生效。
Meta 採用一種被稱為標準合約條款的機制將個人數據傳入和傳出歐盟;這並沒有被歐盟的任何法院阻止。DPC 表示,這些條款是歐盟執行機構歐盟委員會與 Meta 實施的其他措施一起採用的。然而,監管機構表示,這些安排「並未解決」歐洲法院認定的「數據主體的基本權利和自由所面臨的風險」。
愛爾蘭 DPC 還告訴 Meta,「在做出判決後 5 個月內,暫停任何未來向美國傳輸個人數據」。
對 Meta 的 12 億歐元罰款是至今因違反 GDPR 而被罰款的最高金額。之前最大的一筆罰款是電子商務巨頭亞馬遜 (AMZN-US) 因 2021 年違反 GDPR 而被罰款 7.46 億歐元。
Meta 表示將對該判決和罰款提出上訴。
Meta 總裁克雷格 (Nick Clegg) 表示:「考慮到這些命令可能造成的傷害,包括對每天使用 Facebook 的數百萬人造成的傷害,我們將對這些決定提出上訴,並將立即尋求法院暫停執行截止期限。」
Meta 一案讓人們重新關注歐盟和美國推動達成新數據傳輸機制的努力。美國和歐盟去年「原則上」同意跨境數據傳輸的新框架。然而,新協議尚未生效。
Meta 希望這個歐盟與美國的數據隱私協議在愛爾蘭監管機構的最後期限到來之前生效。
克雷格說,如果新框架「在截止期限之前生效,我們的服務可以像今天一樣繼續,不會對用戶造成任何干擾或影響」。