2023 年 5 月 22 日,爱尔兰数据保护委员会 (DPC) 向 Meta 处以 12 亿欧元罚款,原因是其违反了《通用数据保护条例》(GDPR)。
监管机构裁定,Meta 非法将欧洲用户的数据传输到其位于美国的服务器,并且没有采取足够的措施来确保用户的隐私。
Meta 必须在五个月内暂停数据传输,并删除非法跨 viber 数据 境传输的 欧盟/欧洲经济区用户的个人数据。否则,他们可能会面临新一轮的惩罚。
根据欧洲联盟法院 (CJEU)先前的一项裁决
Meta 继续将个人用户数据传输到美国。该裁决已解决了欧盟与美国之间数据流动的问题。Meta 依据欧盟委员会于 2021 年通过的更尔兰数据保护委员会罚款新版标准合同条款 (“SCC”)继续进行此类数据传输。
爱尔兰监管机构成功证明,这些安排并未充分涵盖欧洲法院裁决中概述的欧洲数据主体的“基本权利和自由”。Meta 未能充分保护欧盟用户的数据,使其免受美国当局或其他授权实体可能的监控和未经同意的使用。
欧洲监管机构为何追击美国大型科技公司?
GDPR 法规一直是美国大型科技公司合规方面的痛点。
实际上,他们必须采取一系列新措施来收集 售線索產生軟體與工具 用户同意,确保合规的数据存储以及为大部分用户群请求数据删除的权利。
然而,问题在于,谷歌、Meta 等公司并没有针对不同市场建立独立的数据处理基础设施。相反,所有用户数据都混杂在位于美国的公司服务器上。
数据存储设施的位置是一个问题。2020年,欧盟法院尔兰数据保护委员会罚款做出了一项历史性裁决,宣布“隐私之盾”无效。最初,跨国公司如果遵守七项数据保护原则,就可以在欧盟和美国之间传输数据。这项安排被称为“隐私之盾”。
然而,持续的调查发现,隐私盾计划不符合 GDPR 标准,因此公司不能再用它来证明跨境数据传输的合理性。
《隐私盾》的失效为进一步调查大型科技公司的合规情况提供了依据。
2022年3月,爱尔兰DPC首次向Meta处以1700万欧 中國新聞 元的罚款,理由是其“技术和组织措施不足以保障欧洲用户的信息安全”。2022年9月,Meta再次因Instagram违反GDPR原则被处以4.05亿欧元的罚款。
2023 年伊始,DPC 做出了一系列裁决,认定Meta 违反了与 Facebook 服务相关的 GDPR(罚款 2.1 亿欧元),并违反了与 Instagram 相关的 GDPR(罚款 1.8 亿欧元)。
显然,Meta 已经知道他们在遵守 GDPR 方面做得不够,但他们拒绝采取以隐私为重点的行动。