案例速递 | Meta遭遇GDPR史上最大罚单
点击上方“数据与电商研究室”, 关注我们
导读
5月22日,爱尔兰数据保护委员会(Irish Data Protection Commission)在对Meta旗下Facebook业务进行调查后,决定对其处以12亿欧元罚款。
这笔罚款是有史以来最大一笔GDPR罚单,也是爱尔兰数据保护委员会对Meta开出的第四张罚单。
一、事件梳理
1)2020年7月,欧盟法院宣布欧盟-美国隐私保护框架无效。爱尔兰数据保护委员会随即启动一项调查,以评估Meta向美国转移其通过Facebook业务收集的用户数据是否合法。
2)2022年7月,爱尔兰数据保护委员会作为主监管机构(Leading Supervisory Authority)向欧盟成员国数据保护监管机构(Competent Supervisory Authorities)传阅了其初步决定:美国法律没有对个人数据提供与欧盟法律同等水平的保护,GDPR项下的SCCs(Standard Contractual Clause)不能弥补这一差距。但爱尔兰数据保护委员会未打算对Meta提出罚款,也没有对已经被非法转移至美国的个人数据采取任何救济措施。
3)爱尔兰的“宽容”态度遭到其他成员国数据保护监管机构的反对。爱尔兰数据保护委员会因此依据GDPR第65条争议解决机制,将本案呈递至欧洲数据保护委员会(European Data Protection Board,EDPB)。
4)2023年4月13日,EDPB全体会议讨论Meta欧盟-美国数据转移合法性问题并作出具有约束力的决定:爱尔兰数据保护委员会无罚款、无补救的做法不符合GDPR的规定,爱尔兰数据保护委员会应当对Meta处以罚款并命令Meta停止非法处理个人数据,包括存储于美国的欧盟用户数据。
5)2023年5月12日,爱尔兰数据保护委员会根据EDPB的决定,对Meta调查案作出最终决定:(1)Meta应当在6个月内停止非法处理个人数据,包括存储于美国的欧盟用户个人数据;(2)对Meta处以12亿欧元罚款。此外,Meta应当在本决定上诉期限届满之日或根据《欧盟运作条约》提出撤销EDPB决定申请期限届满之日(以较晚者为准)起12周内暂停向美国传输个人数据。在此期间,Meta可以与爱尔兰数据保护委员会协商,讨论其将如何在停止传输数据的同时履行对用户的义务,并与用户沟通方案。
二、争议焦点
为了保障欧盟数据向欧盟境外传输后受到“同等保护”,GDPR对跨境传输设定了几类合规机制,任何向欧盟境外的个人数据跨境传输需满足其一:
基于充分性认定机制; 采取适当保障措施的机制,包括签订标准合同、通过约束性企业规则、认证机制、行为准则等; 特殊情形下的义务克减,例如获得数据主体同意、为履行合同所必需、公共利益等。
评估一项跨境传输活动是否符合GDPR的要求,则应评估其是否满足上述条件之一。此前,欧盟-美国的隐私盾已经被宣布无效,本次爱尔兰数据保护委员会对SCC和义务克减情形的适用作出决定:
1)Meta爱尔兰与Meta美国公司所签署SCC不能实现对欧盟数据主体“同等保护”的效果
爱尔兰数据保护委员会一方面认可Meta爱尔兰公司与Meta美国所签署SCC以及数据跨境传输评估(Transmission Impact Assessment)的合规性,另一方面确认Meta美国公司必须要遵守美国法律,包括《外国情报监控法案》第702条(FISA 702)[1]。
但爱尔兰数据保护委员会认为,Meta爱尔兰公司无法通过SCC来阻止美国政府非法访问Meta欧盟用户的个人数据,且没有对欧盟数据主体提供任何救济措施,不能实现对欧盟数据主体的“同等保护”。
2)数据主体同意、履行合同所必需,或为了公共利益不能作为Meta未对欧盟数据主体提供同等保护的克减依据
GDPR第49条第一款规定了在缺乏适当保障的情况下,将个人数据转移到第三国或国际组织的例外情况。对于Meta主张以GDPR第49条所载获得数据主体同意、履行合同所必需、公共利益为其跨境传输用户数据的克减依据,爱尔兰数据保护委员会认为:
以“履行合同所必需”和“公共利益”为个人数据跨境同等保护要求的克减依据仅适用于偶然情形,不适用于任何系统性、大量、重复和持续的跨境传输。 以“数据主体同意”作为克减依据应当为数据主体被告知拟议传输缺乏适当保障措施而存在潜在风险的情况下作出的明确同意。该种同意必须是明确的,且不是对持续性跨境传输或一系列跨境传输所做的单次同意。如在授权同意时数据主体并未被告知将来跨境传输的发生以及具体情形,则不属于明确同意。
因此,爱尔兰数据保护委员会也不接受Meta以数据主体同意、履行合同所必需以及公共利益作为同等保护克减依据的主张。
三、结语
此前,爱尔兰数据保护委员会还曾就Instagram侵犯儿童隐私事件(2022)、Facebook数据泄露事件(2022)、WhatsApp隐私政策不透明问题(2021)分别对Meta开出4.05亿、1700万欧元和2.25亿欧元的罚单。
这一事件反映了以Meta为代表的互联网巨头与欧盟之间在数据隐私和竞争法方面的长期冲突,也引发了公众对Meta在全球范围内收集和使用用户数据合法合规性的质疑和担忧。作为全球最大的社交媒体平台,Meta等互联网跨国企业能否在遵守法律规定的同时,保持其创新和发展的动力,是一个值得关注的问题。
同时,此案也给出海的中国企业带来一定的启示,即应当严格遵循GDPR项下的各项义务,特别涉及数据跨境等敏感场景,企业应当定期进行合规性审视,以符合当地的监管要求。
点击蓝色字体,可查阅我们已发布的“重磅:Meta因未尽未成年人保护义务遭巨额处罚”。
注:
[1] 根据该条,美国国安局在无需获得法院授权的情况下,即可监控境外的外籍人士。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
相关文章
本期编辑:肖莆羚令 陈雨婕
长按二维码一键关注
期待您的“赞”和“分享”