国家级|美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》
2024-12-20
全球数据跨境流动合作倡议
2024-11-22
世界互联网大会|美创数据库保险箱(DBSafe)发布!
2024-11-21
世界互联网大会|美创数据认知与分类分级系统(AICogniSort)重磅发布!
2024-11-21
美创案例|盐城公积金管理中心数据安全创新实践
2024-11-15
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务近日,荷兰数据保护局指控Uber在未采取《通用数据保护条例》(下文简称:GDPR )第五章规定的充分保障措施的情况下,将个人数据从欧洲经济区(EEA)转移至美国的服务器。荷兰数据保护局称其违反了GDPR 的规定,并对其处以罚款 23.18亿元(2.9亿欧元)罚款,这是荷兰数据保护局第三次对 Uber 处以行政罚款。
第一起是 2018 年 11 月因数据访问控制不力被罚款60万欧(约合人民币 479 万元)。第二项是 2024 年 1 月因 Uber 在处理欧盟主体数据方面的模糊数据管理做法而被处以 1000万欧(约合人民币 7989 万元)的罚款。
此次调查的起因,是法国的一个人权组织代表当地170多名出租车司机向该国数据保护机构提出投诉。然而由于Uber的欧洲总部设在荷兰,因而此案被转交给了DPA。与此同时,法国国家数据保护监管局(CNIL)也表示已与DPA取得合作。
DPA透露,Uber在美国的服务器上收集并保存了司机的账户信息、出租车牌照、位置数据、照片、付款细节和身份证件等重要数据,在某些情况下甚至还有犯罪和医疗数据。这些敏感数据的泄露可能对个人隐私和安全造成严重影响,甚至可能威胁到用户的生命和财产安全。DPA方面表示,Uber将个人数据转移到美国,但未能妥善保护这些数据。这严重违反了《通用数据保护条例》(GDPR)。
DPA进一步指出,优步在进行数据传输时,未能使用适当的机制。资料显示,2020年,欧盟宣布废除“欧盟-美国隐私盾”协议,2023年7月,新的“欧盟-美国数据隐私框架”被宣布作为替代方案。而优步自2021年8月以来未再使用标准合同条款,未能充分保护欧盟司机的数据,直到2023年才开始使用隐私盾的继任框架。
DPA 按照统一方式计算对涉案公司的罚款,罚金可高达被罚公司全球年收入的4%。公开数据显示,优步2023年全球收入约为345亿欧元,因此此次2.9亿欧元的罚款并不是顶格处罚。
2018年5月,欧盟正式出台了GDPR,对违法企业的罚款最高可达2000万欧元(约合人民币1.6亿元)或其全球营业额的4%,以高者为准。在Uber之前,Meta曾因违反GDPR于2023年被处以12亿欧元(约合人民币95.5亿元)的罚款,这也是迄今为止数额最大的一笔罚款。
对于处罚,Uber发言人卡斯帕·尼克松(Caspar Nixon)回应路透社称,Uber将提起上诉,并相信“常识将占上风”。他认为这一决定存在有缺陷,罚款数额也过大,是完全没有道理的。他表示,在欧盟和美国之间存在“巨大不确定性的3年”期间,Uber的跨境数据传输流程符合GDPR。
按照相关规定,不满判决的Uber可以向DPA上诉,如果上诉不成功,则可以向荷兰法院提起诉讼。而根据DPA的说法,整个上诉流程预计将持续大约四年的时间,且在所有法律资源用尽之前,任何罚款都不会被执行。