Facebook 9日声明,爱尔兰资料保护委员会已掉查将欧盟地区用户的资料传到美国的行为,若确认违反了欧盟的资料保护法规,最高可能被处以相当于全球市场营收约4%的罚款。
Facebook的欧洲区数据中心设立在爱尔兰,爱尔兰资料保护委员会也是欧盟市场资料保护监管的重要机构,之前监管机构曾公开表示,Facebook将欧盟市场的用户资料回传美国可能造成用户隐私保护不当,难以保证欧盟用户的资料不受美国政府监控。
Facebook已确认爱尔兰资料保护委员会正式启动调查,调查将欧盟市场用户资料转移到美国之举。若最终确认Facebook违反资料保护法规,最高罚款金额可能以Facebook全球营收总额4%核算。Facebook 2019财年营收为706亿美元,罚款金额可能高达28亿美元。
爱尔兰资料保护委员会2020年9月启动Facebook用户资料保护调查并不意外,欧盟最高法院7月否决一项重要协议,直接导致涵盖北美和欧盟市场的《欧美隐私护盾》(Privacy Shield)协议无效。协议2016年签署,主要内容为美国商务部批准的处理欧盟用户个人资料原则条款,欧盟委员会认为协议有效保护用户的资料安全。
根据协议规定,Facebook、Google、亚马逊等美国科技公司,在《欧美隐私护盾》协议框架内做到两个地区之间传输资料。协议生效以来遭众多欧盟专业人士反对,漫长的诉讼过程后,欧盟最高法院驳回协议并判定无效。欧盟进一步升级用户隐私保护相关法规后,美国国家安全和执法机构权力范围与欧盟的资料保护法规产生冲突,调查过程,欧盟法院认为美国执法机构获取用户资料的能力几乎没有受监管,且侵犯用户资料后没有任何补救办法,基于不信任美国现有用户资料保护体系,最终否决《欧美隐私护盾》协议。由于Facebook长期在不同地区的数据中心传输用户资料,难以保证欧盟地区市场用户的资料不会传到其他地区的数据中心。资料回传美国的行为被监管机构认为有安全风险,据此对Facebook展开调查。
裁决将影响许多在欧盟市场运营的公司
此次裁决体现了欧盟监管机构对《通用资料保护法规》的等同原则,不允许欧盟地区用户资料转移到隐私保护体系低于欧盟的国家,未来将对不同地区的用户资料传输采取更严格的监管。
由于Facebook不可能短时间内改变数据中心运行方式,此次调查将面临巨大压力。Facebook曾公开表示,欧盟法院允许部分已确立的合约范围内继续资料传输,但爱尔兰监管机构没有认可Facebook的说法,坚称之前的资料传输协议均无效。爱尔兰资料保护委员会8月底向Facebook发出调查通知,最后回应期限为9月中旬,Facebook将在9月底回复爱尔兰资料保护委员会的指控,监管机构最快可能在2020年底裁决。
Facebook全球事务副总裁Nick Clegg表示,缺乏安全、可靠和合法的国际资料传输协议,将危及多地区的经济发展,阻碍重视资料驱动型公司在欧盟市场的发展,许多公司都会受负面影响,涉及不仅止网络服务产业。
爱尔兰资料保护委员会针对Facebook的裁决将影响到许多在欧盟市场运营的公司,Google的网络服务也依赖美国和欧盟的资料传输协议。
欧盟和美国的政府官员希望双方进一步沟通,制定新资料共享协议,但欧盟法律专家认为沟通新协议的前提是必须尊重欧盟最高法院的裁决,美国资料保护协议有实质性调整,提升欧盟用户的资料保护程度。目前欧盟和美国对用户资料保护有严重分歧,为符合欧盟监管机构的要求,许多美国科技公司可能会选择将资料存在欧盟地区的数据中心,但会显著提升运营成本。
(首图来源:shutterstock)