打破 GDPR 罰款紀錄！Meta擅自移轉用戶個資，遭歐盟重罰台幣400億

社群鉅子 Facebook 母公司 Meta 今天以擅自發送歐盟使用者個資至美國為由，遭歐盟處以 12 億歐元（約台幣 400 億）天價罰款，打破自歐盟施行 《一般資料保護規範》（GDPR ） 之後單筆罰款最高紀錄。

除了罰款之外，歐盟還要求 Meta 六個月內停止傳輸歐洲使用者個資至美國，並得全面刪去已儲存在美國的歐洲使用者個資。歐洲數據保護委員會（EDPB）主席 Andrea Jelinek 強調，Meta 涉及系統性、重複性地連續傳輸歐洲使用者個資，資料量十分巨大，存在非常嚴重的侵權情形。

根據 GDPR 規則，Meta 最高處罰額可達全球年營業額 4%，不過 Meta 去年的全年營業額為 1166.1 億美元，換算成歐元約為 1079 億歐元，歐盟高出的罰款距離法定上限還有約 30 億歐元的空間。另外歐盟本次開罰 12 億歐元，也超過了 2021 年對亞馬遜開罰的 7.46 億歐元記錄。

日前美國跟歐洲之間資流流動受到俗稱「隱私盾」（Privacy Shield）的資料傳輸保護協議保護，但在奧地利隱私權倡議人士 Max Schrems 推動之下，於 2018 年控告 Facebook 侵犯隱私，也讓歐盟法院在 2020 做出判決，宣告隱私盾框架無效。

不過值得注意的是，歐盟本次裁決僅適用 Facebook 的資料，但是 Instagram 和 WhatsApp 等其他 Meta 所屬的服務則不適用；而且 Meta 還有五個月的寬限期，最後也是最重要的一點，歐盟和美國正在擬定一項新的資料傳輸協議，很可能今年就會拍板定案。

但 Meta 2022 年在歐洲遭到公開揭露和數據相關的罰款總額就達 7.47 億歐元，其中包含 Facebook 違反數據條款遭罰 2.65 億歐元、因 Instagram 侵犯兒童隱私被罰 4.05 億歐元。

Meta 發表聲明表示已將對這項裁決提起上訴，並強調 2020 年歐洲法院宣告隱私盾失效時卻也表示 SCC 等替代法律機制繼續有效，Meta 遵守 SCC 並認為同樣符合 GDPR 的要求。