Uber
荷兰数据保护主管机构(Data Protection Authority,DPA)周一(8/26)向Uber处以2.9亿欧元的罚款,原因是Uber将欧盟的的士司机数据在未妥善保护的情况下发送至美国。
此一事件源自法国的人权组织Ligue des droits de l’Homme(LDH)收到逾170名法国司机的投拆,LDH随后将此案上交至法国的DPA,由于Uber的欧洲总部位于荷兰,而令法国DPA向荷兰DPA告状。
荷兰DPA发现,Uber搜集了欧洲司机的敏感信息,并将它们保留在位于美国的服务器上,包括这些司机的帐户细节与的士执照,以及位置数据、照片、支付细节、身分文档,甚至是司机的犯罪与医疗数据。此外,Uber是在未经法律及技术框架的保护下将数据发送至美国,且时间长达2年,严重违反欧盟的《通用数据保护规则》(GDPR)。
欧盟与美国之间原本签有《隐私盾》(Privacy Shield)数据传输保护协议,简化美国企业将欧洲民众数据发送到美国的流程,但之后欧盟认为美国的隐私保护不如欧盟,而在2020年7月废除了该协议,接着双方在2023年7月签署了新的数据隐私协议,但中间有3年的空窗期。
其实就算政治实体之间缺乏数据传输协议,企业也能借由遵循欧盟的标准合约条款(Standard Contractual Clauses,SCC),在保证提供同等级数据保护机制的情况下,合法将数据从欧盟发送至美国。
然而,荷兰的DPA表示,在缺乏《隐私盾》协议的期间,Uber自2021年8月便不再使用SCC,而让来自欧盟的数据未能得到充分的保护。
总之,荷兰DPA认为Uber违反GDPR,要求它支付2.9亿美元的罚款。这是Uber第三次被荷兰DPA罚款,第一次是2018年的60万欧元,第二次是去年的1,000万欧元,这次则是GDPR史上最高的罚款之一。



2024-08-27
