愛爾蘭資料保護機構要求 Facebook 不得將用戶資料傳回美國

作者 | 發布日期 2020 年 09 月 11 日 7:45 | 分類 Facebook , 網路 , 資訊安全 Telegram share ! follow us in feedly


Facebook 9 日聲明,愛爾蘭資料保護委員會已掉查將歐盟地區用戶的資料傳到美國的行為,若確認違反了歐盟的資料保護法規,最高可能被處以相當於全球市場營收約 4% 的罰款。

Facebook 的歐洲區資料中心設立在愛爾蘭,愛爾蘭資料保護委員會也是歐盟市場資料保護監管的重要機構,之前監管機構曾公開表示,Facebook 將歐盟市場的用戶資料回傳美國可能造成用戶隱私保護不當,難以保證歐盟用戶的資料不受美國政府監控。

Facebook 已確認愛爾蘭資料保護委員會正式啟動調查,調查將歐盟市場用戶資料轉移到美國之舉。若最終確認 Facebook 違反資料保護法規,最高罰款金額可能以 Facebook 全球營收總額 4% 核算。Facebook 2019 財年營收為 706 億美元,罰款金額可能高達 28 億美元。

愛爾蘭資料保護委員會 2020 年 9 月啟動 Facebook 用戶資料保護調查並不意外,歐盟最高法院 7 月否決一項重要協議,直接導致涵蓋北美和歐盟市場的《歐美隱私護盾》(Privacy Shield)協議無效。協議 2016 年簽署,主要內容為美國商務部批准的處理歐盟用戶個人資料原則條款,歐盟委員會認為協議有效保護用戶的資料安全。

根據協議規定,Facebook、Google、亞馬遜等美國科技公司,在《歐美隱私護盾》協議框架內做到兩個地區之間傳輸資料。協議生效以來遭眾多歐盟專業人士反對,漫長的訴訟過程後,歐盟最高法院駁回協議並判定無效。歐盟進一步升級用戶隱私保護相關法規後,美國國家安全和執法機構權力範圍與歐盟的資料保護法規產生衝突,調查過程,歐盟法院認為美國執法機構獲取用戶資料的能力幾乎沒有受監管,且侵犯用戶資料後沒有任何補救辦法,基於不信任美國現有用戶資料保護體系,最終否決《歐美隱私護盾》協議。由於 Facebook 長期在不同地區的資料中心傳輸用戶資料,難以保證歐盟地區市場用戶的資料不會傳到其他地區的資料中心。資料回傳美國的行為被監管機構認為有安全風險,據此對 Facebook 展開調查。

裁決將影響許多在歐盟市場營運的公司

此次裁決體現了歐盟監管機構對《通用資料保護法規》的等同原則,不允許歐盟地區用戶資料轉移到隱私保護體系低於歐盟的國家,未來將對不同地區的用戶資料傳輸採取更嚴格的監管。

由於 Facebook 不可能短時間內改變資料中心運作方式,此次調查將面臨巨大壓力。Facebook 曾公開表示,歐盟法院允許部分已確立的合約範圍內繼續資料傳輸,但愛爾蘭監管機構沒有認可 Facebook 的說法,堅稱之前的資料傳輸協議均無效。愛爾蘭資料保護委員會 8 月底向 Facebook 發出調查通知,最後回應期限為 9 月中旬,Facebook 將在 9 月底回覆愛爾蘭資料保護委員會的指控,監管機構最快可能在 2020 年底裁決。

Facebook 全球事務副總裁 Nick Clegg 表示,缺乏安全、可靠和合法的國際資料傳輸協議,將危及多地區的經濟發展,阻礙重視資料驅動型公司在歐盟市場的發展,許多公司都會受負面影響,牽涉不僅止網路服務產業。

愛爾蘭資料保護委員會針對 Facebook 的裁決將影響到許多在歐盟市場營運的公司,Google 的網路服務也依賴美國和歐盟的資料傳輸協議。

歐盟和美國的政府官員希望雙方進一步溝通,制定新資料共享協議,但歐盟法律專家認為溝通新協議的前提是必須尊重歐盟最高法院的裁決,美國資料保護協議有實質性調整,提升歐盟用戶的資料保護程度。目前歐盟和美國對用戶資料保護有嚴重分歧,為符合歐盟監管機構的要求,許多美國科技公司可能會選擇將資料存在歐盟地區的資料中心,但會顯著提升營運成本。

(首圖來源:shutterstock)