违规向美传输数据 欧盟重罚脸书母公司

法治日报记者 王卫

据法新社当地时间22日报道，因违反数据传输规则，美国社交媒体平台脸书的母公司元公司被欧盟处以12亿欧元（1欧元约合人民币7.59元）的罚金。《纽约时报》称，这是欧盟颁布迄今最为严厉的数据隐私法《通用数据保护条例》（GDPR）以来数额最大的处罚。

欧盟数据保护委员会主席安德烈娅·耶利内克说，元公司向美国服务器传输欧洲用户数据的做法具有“系统性、持续性”，违规程度“非常严重”。

收12亿欧元罚单

报道称，欧洲数据保护委员会在一份声明中宣布该处罚，并表示处罚是在爱尔兰数据保护委员会对元公司进行调查后作出，并根据欧盟《通用数据保护条例》征收最高额罚款。

按照欧盟数据保护委员会的要求，爱尔兰数据保护委员会依据欧盟《通用数据保护条例》，责令元公司缴纳12亿欧元罚款，创该条例生效5年来罚款金额新纪录。这一数额超过美国另一家技术巨头亚马逊公司2021年被卢森堡监管机构处罚的7.46亿欧元，其受罚原因也是违反欧盟《通用数据保护条例》。

同时，爱尔兰数据保护委员会要求元公司在收到决定通知后5个月内停止向美国服务器传输欧洲用户的数据，缘由是元公司未能遵守欧盟最高法院2020年的一项决定，即欧洲用户的数据没有得到充分保护，用户信息多年来一直在美国服务器上被非法存储，或被美国间谍机构获取。

爱尔兰数据保护委员会是负责监督元公司在欧洲运营情况的监管机构。元公司22日在声明中说，欧洲监管机构的决定“有缺陷、不公平”“对于在欧盟和美国之间传送数据的众多其他企业而言是一个危险的先例”，元公司表示将对相关处罚提出上诉。与此同时，元公司称他们不会立即中断脸书在欧盟的服务。

诉讼始于10年前

这场围绕元公司用户数据安全的诉讼始于10年前。2013年，美国前防务承包商雇员爱德华·斯诺登揭露美国情报机构开展大规模监听活动，其中包括美国脸书公司允许美情报机构获取欧洲用户的个人数据。奥地利互联网信息安全活动人士马克斯·施雷姆斯随后起诉脸书公司，指控其未能保护自己的隐私权，从而引发长达十年的关于将欧盟数据转移到美国的合法性之争。

2020年，施雷姆斯赢得该诉讼，欧洲法院裁定，欧盟与美国于2016年达成的跨大西洋个人数据传输协议《欧美隐私盾牌》无效，该协议允许脸书和其他公司在这两个地区之间传递数据。欧洲法院表示，美国窥探隐私数据的行为侵犯了欧洲用户的基本权利。

爱尔兰数据保护委员会声称，尽管2020年欧洲法院作出裁决，但元公司仍继续向美国服务器传输欧洲公民的个人数据，这违反了欧盟《通用数据保护条例》。

《通用数据保护条例》适用于活跃在欧盟的所有公司。但欧盟委员会制定的标准合同条款（SCC）为一些公司敞开了大门，称只要确保“足够的数据保护水平”，向任何其他第三国传输数据都是有效的。

元公司表示，他们就是使用标准合同条款将欧盟数据转移到美国的，因此符合规定。但有人担心，这些数据流使欧洲人暴露在美国较弱的隐私法之下。

这已经不是元公司第一次遭到欧盟监管机构的处罚。最近五年来，脸书及元公司多次在欧洲因用户数据问题受到处罚，总金额约40亿欧元。

数据传输有边界

欧洲数据保护委员会一再强调，美国缺乏与《通用数据保护条例》对等的隐私保护措施，这让美国情报部门可以通过数据转移获取属于欧洲人的数据。

据悉，美国与欧盟已原则上达成了新的数据传输协议《欧盟美国数据隐私框架》，但还没有生效。元公司希望美欧双方能在今年夏天推动这一协议正式生效。

施雷姆斯表示，元公司多年来无视欧盟法规以牟利，应该受到更严厉处罚。他预计，正在欧盟内部接受审议的欧盟与美国之间的数据传输新协议大概率将再次被欧洲法院否决，元公司不太可能“翻盘”。“除非美国修订监管法律，否则元公司将不得不把欧盟的数据留在欧盟”。

爱尔兰公民自由委员会高级研究员约翰尼·瑞安表示，元公司将不得不删除大量关于欧洲脸书用户的数据。鉴于互联网公司的相互关联性，这将带来技术上的困难。

美国消费者新闻与商业频道（CNBC）分析称，这项裁决可能损害脸书在欧洲的业务，特别是该公司的广告业务。上个月，元公司首席财务官称，其全球广告收入的约10%来自向欧盟国家脸书用户投放的广告。

分析人士表示，针对元公司的裁决表明，传统上的数据无边界移动方式正在被颠覆。越来越多的公司被要求将数据存储在数据收集国，而不是允许数据自由转移到世界各地的数据中心。