对于欧洲监管机构开出的巨额罚单,Meta表示:不服,即将上诉。
5月22日,爱尔兰数据保护委员会(DPC)宣布因Meta将欧盟用户数据传输到美国,将对其罚款12亿欧元(约13亿美元,约91.08亿元),这笔罚款也是欧盟有史以来针对侵犯隐私行为开出的最高罚单:
Meta持续向美国传输数据,但并未解决欧洲用户基本权利和自由所面临的风险。
除了巨额罚款外,欧洲监管机构还命令Meta在五个月内“暂停将个人数据传输至美国”,并在六个月内删除已经发送并非法存储的数据。
Meta随后发布公告称,将就欧盟关于其向美国传输数据的裁决以及DPC“不合理且不必要的罚款”提出上诉。Meta 表示,欧洲Facebook业务不会立即中断:
“美国政府的数据访问法规与欧洲隐私权之间存在根本的法律冲突,预计政策制定者将在夏季解决该冲突”。
华尔街见闻此前提及,今年1月DPC就宣布将对Meta处以两笔总额为3.9亿欧元(4.11亿美元)的罚款:
第一笔罚款是因为Facebook违反欧盟《通用数据保护条例》(GDPR),而被罚款2.1亿欧元(2.225亿美元)。另一笔是因Instagram违反同一法律而被罚款1.8亿欧元。
将欧盟用户的数据传输至美国对Meta的广告“定向投放”业务至关重要。去年,Meta曾称,如果不能将数据发送回美国,它将被迫考虑关闭欧盟的Facebook和Instagram:
如果我们无法在运营地区之间传输数据,或是产品和服务数据被限制共享,这会影响我们所提供服务的质量、方式,以及我们定向投放广告的能力。
在2022年前九个月里,“定向投放”业务为Meta带来了830亿美元的广告收入,其中近四分之一来自欧洲。
欧盟向美国转移个人数据的僵局
2016年2月,欧盟委员会宣布与美国就欧盟-美国隐私保护协会达成协议。该协议约定,美国公司在处理来自欧盟的个人数据时,必须遵守七项原则,其中包括:
告知:必须告知个人其信息被收集和使用。
选择:必须给予个人选择不向第三方披露其个人数据的权利。
继续传输的义务:各机构负责适用通知和选择原则,以便向第三方传输个人数据。
访问:个人必须能够访问机构中存储的个人数据。
安全:必须保护个人数据免遭丢失、误用、未经授权的访问和泄露。
数据完整性:必须确保数据是可靠的,并且与使用目的相关。
追索权、强制执行和责任: 如果个人认为其数据被滥用,则有权使用追索机制。
从此,“隐私盾”成为了欧盟和美国间的数据传输协议。
但欧洲法院于2020年7月16日宣布欧盟-美国“隐私盾”协议无效,主要有两个理由:1.个人数据可能泄漏给美国情报机构等公共机构,所以“隐私盾”无法为个人隐私权提供充分保护;2.旨在处理欧盟公民投诉的“隐私盾”监察员缺乏独立性和权威性,无法约束美国情报部门。
这项裁决让Meta、谷歌等互联网巨头无法在美国数据中心处理欧洲用户数据以用于广告定位,从而不得不依靠标准合同条款(Standard Contract Clauses,简称SCC)进行美欧间的数据传输。
同年8月,爱尔兰数据保护委员会(Data Protection Commission,简称DPC)又向Facebook发送了一份命令要求其停止将用户数据从欧盟转移到美国,并暗示SCC也不能用于欧盟与美国间的数据传输。
Facebook全球事务和通信副总裁尼克·克莱格(Nick Clegg)当时曾表示其不满,称DPC的解决方式可能会“对依赖SCC的企业,以及许多个人和企业所依赖的网上服务,产生深远的影响,欧美数据传输有法律上的空白。”
目前,欧盟和美国目前正在就新的数据转移协议进行谈判,最早将于今年夏天达成协议,最晚在或将在10月达成。
“有缺陷的”决定
针对DPC的解决罚款,Meta立即表示这是存在问题的,将立即上诉,称这笔巨额罚款为“不合理”且和“不必要”:
数以千计的企业和组织依靠在欧盟和美国之间传输数据的能力来运营和提供日常服务。
这与公司的隐私设定无关——美国政府关于数据访问的规则与欧洲隐私权之间存在根本的法律冲突,政策制定者有望在夏季解决这一问题。
欧洲的Facebook使用没有立即中断。
Meta的全球事务总裁尼克·克莱格(Nick Clegg)和首席法务官詹妮弗·纽斯泰德(Jennifer Newstead)在一篇博客文章中表示,数据传输限制可能将互联网“分割成国家和地区的孤立,限制全球经济,并导致不同国家的公民无法访问许多我们所依赖的共享服务”。
Meta称目前的首要任务是确保用户、广告商、客户和合作伙伴可以继续使用Facebook,同时确保他们的数据安全无虞:
我们将就DPC的决定(包括罚款)提出上诉,并将通过法院寻求中止执行期限。