5月22日,爱尔兰数据保护委员会(Data Protection Commission,以下称爱尔兰DPC)宣布对Meta Platforms Ireland(以下称Meta爱尔兰)采取执法行动,对其处以创纪录的12亿欧元罚款,这也是GDPR实施近五年以来的最高罚款。爱尔兰DPC同时要求Meta爱尔兰旗下的Facebook在此处罚决定发布后的五个月内停止向美国转移个人数据,六个月内停止在美国非法处理(包括存储)欧盟和欧洲经济区用户的个人数据,以使其处理个人数据的操作符合GDPR规定。
欧洲数据保护委员会(European Data Protection Board,EDPB)主席Andrea Jelinek表示:“EDPB发现Meta的侵权行为非常严重,因为它涉及到系统地、重复地和连续地个人数据转移。Facebook在欧洲拥有数百万用户,因此传输的个人数据量是巨大的。这笔史无前例的罚款向企业发出了一个强烈信号,即严重的侵权行为会产生深远的后果。”
此次决定涉及到欧美隐私盾失效后Facebook使用的数据传输机制问题。2020年7月16日,欧盟法院(Court of Justice of the European Union,CJEU)以美国法没有提供与欧盟同等的隐私保护为由对Schrems II案(C-311/18)作出裁决,否决了将欧盟-美国隐私盾作为向美国转移欧盟个人数据的法律依据效力。自该决定作出以来,Facebook一直使用欧委会发布的标准合同条款(Standard Contractual Clauses,SCCs)包括2021年欧委会更新的版本进行传输。
Meta全球事务总裁Nick Clegg和首席法律官Jennifer Newstead回应称,爱尔兰DPC的罚款是“不合理和不必要的”,公司将提起上诉。“这与一家公司的隐私实践无关,美国政府在数据获取方面的规定与欧洲的隐私权之间存在根本性的法律冲突,政策制定者也有望在今年夏天解决这个问题。”
2022年3月,美国总统拜登和欧盟委员会主席冯德莱恩宣布就新的欧盟-美国数据隐私框架(Data Privacy Framework,DPF)达成了政治协议,但是新的安排尚未最终确定。因为担心DPF可能会再次被CJEU宣布无效,欧洲议会在本月早些时候通过了一项决议,呼吁欧盟委员会继续与美国进行谈判。
作为在过去十年中成功地挑战了两项跨大西洋数据传输机制的先驱,奥地利非盈利性数据保护组织NOYB主席Max Schrems在回应爱尔兰DPC的处罚决定时称:“我们很高兴在10年的诉讼之后看到这一决定. ...除非美国的监控法律得到修正,否则Meta将不得不从根本上重建其合规机制。”
“这一执法行动成功将国际数据传输问题列为欧洲数据保护当局监管优先事项的首位,”Hogan Lovells合伙人Eduardo Ustaran称,“然而,这扭曲了数据保护法的目的,完全关注政府获取个人数据的可能性,而不是为保护个人数据免受侵扰去部署保护措施,。”
爱尔兰DPC的处罚决定也对其他企业产生影响。
未来隐私论坛(Future of Privacy Forum)的Gabriela Zanfir-Fortuna表示:“这一决定的影响非常广泛,远远超出了Meta,并引起了所有企业、大学以及在缺乏充分性决定的情况下基于SCCs将个人数据从欧盟转移到美国的实体的关注。因为严格来说,爱尔兰DPC罕见地与EDPB达成一致意见,认为Meta在SCCs基础上实施的许多实质性补充措施没有、也无法弥补欧盟法院CJEU在Schrems II案判决中发现的美国法律的缺陷。Zanfir-Fortuna认为:“如果Meta实施的大量补充措施——从众多组织政策到传输中的数据加密,再到挑战政府的要求——还不够的话,那么在向美国传输数据时,任何其他组织都不太可能满足要求。”
Digifhile董事总经理Phil Lee也指出了这一决定的广泛影响, “在该决定的后面,爱尔兰DPC非常明确地表示,该决定中的分析暴露了一种情况,即任何属于受美国《外国情报监视法》702 PRISM计划约束的电子通信服务提供商定义范围内的互联网平台都可能同样违反GDPR对数据传输的要求。这表明,爱尔兰DPC的决定尽管是直接针对Meta的,但实际上影响是针对所有美国科技公司从欧盟向美国的数据传输行为。"Phil Lee称,”对于那些使用最新版SCCs并希望因此能够受到保护的企业而言,爱尔兰DPC的决定同样表明它适用于所有根据新旧SCCs向美国进行的跨境转移。该决定强化了这样一种观点,即在欧洲经济区以外进行数据转移的数据出口方采取措施“解决”或“减轻”数据保护风险是不够的,必须实施措施确保数据在接收国受到的保护基本等同于欧盟数据保护标准。
