荷兰数据保护主管机构(Data Protection Authority,DPA)周一(8/26)向Uber处以2.9亿欧元的罚款,原因是Uber将欧盟的出租车司机数据在未妥善保护的情况下发送至美国。
该事件源自法国的人权组织Ligue des droits de l'Homme(LDH)收到超过170名法国司机的投拆,LDH随后将此案上交至法国的DPA,由于Uber的欧洲总部位于荷兰,而令法国DPA向荷兰DPA告状。
荷兰DPA发现,Uber搜集了欧洲司机的敏感资讯,并将它们保留在位于美国的服务器上,包括这些司机的账户细节与出租车执照,以及位置数据、照片、支付细节、身份文件,甚至是司机的犯罪与医疗数据。此外,Uber是在未经法律及技术框架的保护下将数据发送至美国,且时间长达2年,严重违反欧盟的《通用数据保护规则》(GDPR)。
欧盟与美国之间原本签有《隐私盾》(Privacy Shield)数据传输保护协议,简化美国企业将欧洲人们数据发送到美国的流程,但之后欧盟认为美国的隐私保护不如欧盟,而在2020年7月废除了该协议,接着双方在2023年7月签署了新的数据隐私协议,但中间有3年的空窗期。
其实就算政治实体之间缺乏数据传输协议,企业也能借由遵循欧盟的标准合约条款(Standard Contractual Clauses,SCC),在保证提供同等级数据保护机制的情况下,合法将数据从欧盟发送至美国。
然而,荷兰的DPA表示,在缺乏《隐私盾》协议的期间,Uber自2021年8月便不再使用SCC,而让来自欧盟的数据未能得到充分的保护。
总之,荷兰DPA认为Uber违反GDPR,要求它支付2.9亿欧元的罚款。这是Uber第三次被荷兰DPA罚款,第一次是2018年的60万欧元,第二次是去年的1,000万欧元,这次则是GDPR史上最高的罚款之一。
去年底就采用欧盟与美国之间新数据隐私框架的Uber,并不认为自己违反规定,已决定提出上诉。
