8 月 26 日,荷兰数据保护局(Autoriteit Persoonsgegevens, AP)发布新闻称,由于网约车服务公司 Uber 违反规定将欧盟地区的司机个人数据传输到美国,其已经决定对 Uber 处以 2.9 亿欧元的罚款。这是该机构有史以来开出的最高罚款,也是荷兰数据保护局针对 Uber 开出的第三张罚单,此前该机构先后针对 Uber 发起过 1000 万欧元和 60 万欧元的罚款。
案件背景
AP 表示,在收到超过170名法国司机向法国人权倡导组织“人权联盟”(Ligue des droits de l’Homme, LDH)提出的投诉后,其展开了对 Uber 的调查。起初,该案件由法国国家信息自由委员会(CNIL)于 2020 年 6 月收到了 LDH 的投诉,但由于 Uber 的欧洲总部位于荷兰,所以 CNIL 于 2021 年 1 月将该起投诉转发给了 AP ,两家机构在该案件的后续调查中进行了密切合作。
调查发现, Uber 收集了欧洲司机的敏感信息,这些信息涵盖了账户资料、车辆营运执照,以及位置信息、身份证明等,甚至在某些情况下还包括司机的刑事记录和医疗信息,并将这些信息存储在了美国的服务器上。
AP 指出,自欧美隐私盾协议被欧洲法院在 Schrems II 案中裁定无效后,标准合同条款(Standard Contractual Clauses, SCC)仍可作为向欧盟以外国家传输数据的有效依据,但必须确保实践操作中能够提供同等水平的保护。然而, Uber 自 2021 年 8 月起就不再使用标准合同条款,因此 AP 认定,在2021 年 8 月 6 日至 2023 年 11 月 27 日长达两年多的时间里,Uber 并未建立适当的传输机制来将个人数据转移到美国,导致数据未能得到充分保护,违反了GDPR第44条的规定。
自2023年年底开始,Uber 才开始使用新的欧美数据隐私框架 。
合规启示
传输之“必要性”
Uber 声称,根据 GDPR 第 49 条第 1 款 (b) 项的规定,其是为了履行合同的必要性而进行的数据跨境传输。然而, AP 否定了 Uber 的这一主张。 GDPR 第 49 条是针对个人信息接收方不在"白名单"国家,且数据传输方无法提供标准合同条款(SCC)或有约束力的公司规则(BCR)等数据保护保障措施时,作为例外情况的补充规定,因此,其适用范围和条件相对更为严格。对此, AP 提出了以下两点理由。
1、Uber 从事的是持续性和系统性的数据跨境活动。
在案件审理过程中,AP 重申, GDPR 第 49 条第 1 款 (b) 项仅适用于偶尔性的数据传输。而 Uber 则持续性地将欧盟数据主体的信息传输回美国,这并不符合"偶尔性"的定义。
2、数据传输并非"必要"。
AP 指出,尽管 Uber 的数据跨境活动对其业务运营起到了一定作用,但这些活动并不构成合同签署和履行的"必要"条件。"必要性"是指在客观上,若不进行数据跨境传输就无法实现合同的主要目的。AP 对此进行了举例说明,如:旅行社为客户预订海外酒店时,客户数据的跨境传输是为了完成服务而必须的,且不存在其他可行的替代方案。AP 引用了 2023 年法院在 Meta 案件中的裁决,强调仅仅在合同中提及数据跨境传输并不足以证明"必要性"。企业在主张必要性时,必须证明不存在其他同样有效且干扰更小的替代方案。反观 Uber 的情况,该公司未能证明其数据传输对于提供全球服务或确保数据安全是必要的,也未能说明没有其他可行的替代方案。因此,AP 对 Uber 的主张并未采纳。
监管要求的变化
在 Uber 案件中,数据跨境传输的违规行为恰好发生在旧框架失效与新框架出台之间的过渡期。尽管对于 Uber 和其他已经参与 EU-US DPF 新框架的企业来说,这段时间已经成为过去,但目前仍有许多出海企业出于各种原因尚未申请或计划申请加入新的框架机制。因此,Uber 的案例也是这些企业可能面临的潜在风险的一个警示。
从 Schrems 发起的 Meta 一系列案件到 Uber 以及其他后续案例表明,由于受到用户和监管机构的高度关注,将个人数据从欧盟跨境传输到美国存在显著的风险。但这并不意味着这些出海跨国企业就无法实现合规。在 Uber 案件中,公司基于一份欧盟的 FAQ 指南,错误地做出了标准合同条款(SCC)不适用于其数据处理场景的判断。因此,在欧盟更新了 SCC 之后,Uber 主动删除了数据处理合同中与 SCC 相关的条款,同时并未重新签订或实施其他任何替代措施,结果被 AP 认定为违规行为。AP 在处罚决定中明确指出了 Uber 未能完成的合规要求,这些正是我们需要特别关注的地方。 AP 重申,当企业将数据从欧盟传输到不在"白名单"中的国家时,必须确保采取了充分的隐私和数据保护措施。这包括进行数据传输风险评估、根据评估结果采取相应的保护措施、与数据接收方签订协议(例如SCC或企业内部的约束性公司规则BCR)等。
本案件中, Uber 的核心问题在于未能及时根据监管要求变化,建立适当的传输机制,从而导致了巨额罚款。Kaamel 作为专业的隐私合规企业,顺利帮助多家企业完成出海合规工作,我们时刻关注最新的隐私保护动态和监管要求变化,如有需要,我们愿意为您服务!