荷兰监管机构对叫车服务公司优步(Uber)处以2.9亿欧元(3.328亿美元)的罚款,原因是优步在欧洲和美国之间传输司机详细信息时未能提供足够的数据保护。
这些数据包括账户详细信息、出租车牌照、照片、付款详细信息、身份证件,在某些情况下还包括司机的犯罪和医疗记录。
优步表示,监管机构的决定存在缺陷,它将提起上诉。
荷兰数据保护局表示,发生在两年多前的数据传输严重违反了欧盟的《通用数据保护条例》(GDPR),该条例要求公司采取措施保护用户数据。
荷兰DPA主席alid Wolfsen在一份声明中表示:“在欧洲,GDPR通过要求企业和政府谨慎处理个人数据来保护人们的基本权利。”
但遗憾的是,这在欧洲以外并非不言自明。想想那些可以大规模获取数据的政府。这就是为什么企业在存储欧盟以外欧洲人的个人数据时,通常有义务采取额外措施。
“优步没有达到GDPR的要求,以确保在向美国传输数据时对数据的保护水平。这是非常严重的。”
完全没有道理的
优步表示,罚款“完全不合理”。
该公司表示:“在欧盟和美国之间存在巨大不确定性的三年期间,优步的跨境数据传输过程符合GDPR。”
它补充说:“我们将提出上诉,并相信常识将占上风。”
这起案件是由170名法国优步司机的投诉引发的,但由于优步的欧洲总部设在荷兰,因此罚款的决定权落在了荷兰当局身上。
在涉嫌违反规则之前,欧盟于2020年就一项名为“隐私盾”(Privacy Shield)的协议做出裁决,该协议允许数千家公司将数据传输到美国。隐私保护被裁定无效,因为美国政府保持了访问人们数据的能力。
因此,该荷兰机构表示,欧盟的裁决意味着,合同中的标准条款可以为在欧盟以外传输数据提供基础,“但前提是在实践中能够保证同等水平的保护”。
监管机构表示:“由于优步从2021年8月起不再使用标准合同条款,欧盟司机的数据没有得到充分保护。”它补充说,所谓的违规行为已于去年结束,因为优步开始使用隐私盾的后继产品。
但科技行业的倡导者表示,在“隐私之盾”裁决之后,荷兰机构的行动忽视了在当地开展日常业务的现实。
计算机与通信行业协会(Computer and Communications Industry Association)欧洲政策主管亚历山大?鲁尔(Alexandre Roure)表示:“在各国政府努力为这些数据流建立新的法律框架之际,世界上最繁忙的互联网路线不可能被简单地搁置整整三年。”
“数据保护当局的任何追溯罚款都尤其令人担忧,因为这些隐私监管机构未能在这一法律存在重大不确定性的时期,在缺乏任何明确的法律框架的情况下,提供有用的指导。”
这不是优步和荷兰当局第一次在这个问题上针锋相对。
今年1月,荷兰数据保护监管机构对优步处以1000万欧元的罚款,原因是该公司没有披露保留欧洲司机数据的时间,也没有披露在向欧洲经济区(European Economic Area)以外的国家发送司机信息时采取了哪些“具体安全措施”。
