据《华尔街日报》5月22日援引知情人士的消息报道称,脸书(Facebook)母公司Meta因向美国发送欧洲用户信息而被欧盟隐私监管机构处以13亿美元的罚款,创下欧盟此类罚款的最高纪录。爱尔兰数据保护委员会(DPC)宣布了这一处罚。《纽约时报》称,这可能是欧盟颁布具有里程碑意义的数据隐私法《通用数据保护条例》(GDPR)以来最严重的处罚之一。
这一巨额罚单也远超欧盟此前对亚马逊的罚款。2021年,欧盟以数据滥用为由对亚马逊开出7.46亿欧元(约合8.06亿美元)的罚单,后者已向卢森堡法院提起上诉。
除罚款外,知情人士表示,该裁决还要求Meta“在5个月内停止向美国发送有关欧洲脸书用户的任何个人数据的行为”。
监管机构表示,Meta未能遵守欧盟最高法院2020年的一项决定,即欧洲用户的数据没有得到充分的保护,用户信息多年来一直在美国的服务器上被非法存储,或被美国间谍机构获取。Meta表示,将对“不合理和不必要”的裁决提出上诉。但这可能会带来漫长的法律程序。与此同时,Meta称他们不会立即中断脸书在欧盟的服务。
尽管如此,报道称,欧盟的决定表明,政府的政策正在颠覆传统上的数据无边界移动方式。由于数据保护规则、国家安全法和其他法规,越来越多的公司被要求将数据存储在数据收集国,而不是允许数据自由转移到世界各地的数据中心。
爱尔兰公民自由委员会高级研究员约翰尼·瑞安(Johnny Ryan)表示,Meta将不得不删除大量关于欧洲脸书用户的数据。鉴于互联网公司的相互关联性,这将带来技术上的困难。
CNBC分析称,这项裁决可能损害脸书在欧洲的业务,特别是该公司的广告业务。上个月,Meta首席财务官Susan Li告诉投资者,其全球广告收入的约10%来自向欧盟国家脸书用户投放的广告。
事实上,美国和欧盟之间转移个人数据的几种机制一直存在争议。2013年,奥地利隐私活动家马克斯·施雷姆斯(Max Schrems)对脸书提出法律挑战,指控其未能保护自己的隐私权,从而引发长达十年的关于将欧盟数据转移到美国的合法性之争。
2020年,施雷姆斯赢得该诉讼,法院裁决废除被称为“隐私盾”的美欧协议,该协议允许脸书和其他公司在这两个地区之间传递数据。欧洲法院表示,美国窥探隐私数据的行为侵犯了欧洲用户的基本权利。负责监管Meta在欧盟运营的爱尔兰数据保护委员会声称,尽管2020年欧洲法院做出裁决,但Meta仍继续向美国发送欧洲公民的个人数据,这违反了欧盟的《通用数据保护条例》。
《通用数据保护条例》是欧盟具有里程碑意义的数据保护法规,适用于活跃在欧盟的所有公司。该法案于2018年生效。但欧盟委员会制定的标准合同条款(SCC)为一些公司敞开了大门,称只要确保“足够的数据保护水平”,向任何其他第三国传输数据都是有效的。