社群鉅子 Facebook 母公司 Meta 今天以擅自發送歐盟使用者個資至美國為由,遭歐盟處以 12 億歐元(約台幣 400 億)天價罰款,打破自歐盟施行 《一般資料保護規範》(GDPR ) 之後單筆罰款最高紀錄。
除了罰款之外,歐盟還要求 Meta 六個月內停止傳輸歐洲使用者個資至美國,並得全面刪去已儲存在美國的歐洲使用者個資。歐洲數據保護委員會(EDPB)主席 Andrea Jelinek 強調,Meta 涉及系統性、重複性地連續傳輸歐洲使用者個資,資料量十分巨大,存在非常嚴重的侵權情形。
根據 GDPR 規則,Meta 最高處罰額可達全球年營業額 4%,不過 Meta 去年的全年營業額為 1166.1 億美元,換算成歐元約為 1079 億歐元,歐盟高出的罰款距離法定上限還有約 30 億歐元的空間。另外歐盟本次開罰 12 億歐元,也超過了 2021 年對亞馬遜開罰的 7.46 億歐元記錄。
日前美國跟歐洲之間資流流動受到俗稱「隱私盾」(Privacy Shield)的資料傳輸保護協議保護,但在奧地利隱私權倡議人士 Max Schrems 推動之下,於 2018 年控告 Facebook 侵犯隱私,也讓歐盟法院在 2020 做出判決,宣告隱私盾框架無效。
不過值得注意的是,歐盟本次裁決僅適用 Facebook 的資料,但是 Instagram 和 WhatsApp 等其他 Meta 所屬的服務則不適用;而且 Meta 還有五個月的寬限期,最後也是最重要的一點,歐盟和美國正在擬定一項新的資料傳輸協議,很可能今年就會拍板定案。
但 Meta 2022 年在歐洲遭到公開揭露和數據相關的罰款總額就達 7.47 億歐元,其中包含 Facebook 違反數據條款遭罰 2.65 億歐元、因 Instagram 侵犯兒童隱私被罰 4.05 億歐元。
Meta 發表聲明表示已將對這項裁決提起上訴,並強調 2020 年歐洲法院宣告隱私盾失效時卻也表示 SCC 等替代法律機制繼續有效,Meta 遵守 SCC 並認為同樣符合 GDPR 的要求。