记录罚款：爱尔兰数据保护委员会对Meta处以重罚

关键要点

爱尔兰数据保护委员会DPC对Meta公司处以13亿美元的罚款，因其未能保护用户数据隐私。Meta需在五个月内停止将Facebook用户数据转移至美国。现有的标准合同条款SCCs无法充分保护EU公民数据，可能影响未来数据转移的合法性。新的跨大西洋数据隐私框架正在制定中，但需多方批准方可实施。

爱尔兰数据保护委员会DPC近日对Meta，即Facebook母公司，处以创纪录的13亿美元约合12亿欧元罚款，原因是其在没有适当数据隐私保障的情况下，将欧洲用户的数据传输到美国。DPC指出，Meta未能“解决对Facebook欧洲用户基本权利和自由的风险”。

除了罚款外，Meta还被要求在五个月内停止通过所谓的标准合同条款SCCs将Facebook数据转移至美国。

罚款信息金额爱尔兰DPC对Meta的罚款13亿美元之前对亚马逊的罚款877亿美元

SCCs自欧盟法院裁定原有的隐私保护协议“隐私盾”无效以来，一直被企业用作将EU数据转移至美国的法律工具。该裁决明确表示，利用SCCs的公司必须确保数据主体获得与GDPR和欧盟基本权利宪章相当的保护。

加速器梯子

然而，DPC表示，Meta的SCCs并未能有效保护EU公民的数据不受美国政府的监视。这引发了对任何公司将EU公民数据转移至美国的质疑。

DPC还指出，“无论是在欧盟还是美国，数据主体都没有途径得知其个人数据是否被收集或进一步处理，也没有机会获取、纠正或删除这些数据。”

Meta的全球事务总裁Nick Clegg和首席法律官Jennifer Newstead在一篇博客中提到，Meta感到“失望”和“被单独指责”，认为成千上万的其他公司也在使用同样的SCCs，因此Meta将对这一裁决提出上诉，认为罚款“没有正当理由且不必要。”

这次罚款是欧洲监管机构施加的最大罚款，超过了2021年对亚马逊因类似隐私违规行为处以的877亿美元罚款。Privacy Compliance Hub的联合创始人Nigel Jones表示，停止非法传输的EU公民的个人数据是一项巨大的技术和财务挑战。他认为，Meta可能唯一可行的选择是向法院上诉以延迟执行这一决定，同时希望EU和美国达成一种名为数据隐私框架的新机制，从而使Meta及其他公司能够合法地将EU公民的数据转移到美国。

更换隐私盾：新的数据转移协议

在隐私盾被裁定无效两年后，2022年10月，美国总统乔拜登签署了一项实施跨大西洋数据隐私框架的行政命令，旨在重新建立EU和美国之间的数据传输协议。

尽管欧盟委员会在2022年12月得出结论认为该框架提供的隐私保护和EU相当，但该协议仍需经过多位立法者的审核才能最终获得批准。

一旦欧洲数据保护委员会EDPB批准，欧盟委员会还需申请由欧盟成员国代表和欧洲议会组成的委员会的批准。只有在获得所有必要的批准后，委员会才能正式采纳立法。

如果通过，该框架将要求美国公司遵守一套详细的隐私规定，包括在不再需要收集个人数据的情况下删除这些数据，并确保在与第三方共享个人数据时继续提供保护。这些规定旨在确保美国与EU之间的数据流动遵守EU的GDPR隐私法规。