Meta因违反GDPR被罚12亿欧元

Meta因违反GDPR被罚12亿欧元是时候采用联邦方式了

发布于2023年5月23日，作者：Glyn Moody

Meta已被要求支付12亿欧元的罚款约13亿美元，因为该公司违反了欧盟的一般数据保护条例GDPR，将欧盟公民的个人数据转移至美国，在那里这些数据可能会受到大规模监控。

除了这一惩罚外，这是GDPR下最大的一次罚款，Meta还面临其他义务。该公司必须在五个月内停止将欧盟个人数据进一步转移到美国。同时，它还必须在六个月内停止在美国“非法处理包括存储”的欧盟个人数据。这些措施的实施都将面临困难，而Meta自然希望避免这样做。

尽管这一正式命令来自有争议的爱尔兰数据保护委员会，该机构是此案件的“主要监察机构”，因为Meta在爱尔兰设有欧洲总部，但这一决定背后实际的权力是欧洲数据保护委员会EDPB。在EDPB的新闻稿中，EDPB主席安德鲁耶利内克Andrew Jelinek发表了尖锐的评论：

EDPB认为，Meta平台爱尔兰有限公司的违规行为非常严重，因为这涉及的数据转移是系统性、重复性和持续性的。Facebook在欧洲有数百万用户，因此转移的个人数据量巨大。这一前所未有的罚款向机构发出了明确信号，表明严重的违规行为会带来深远的后果。

Meta能否逃避这12亿欧元的GDPR罚款？

虽然EDPB可能是这一“强烈信号”的推动者，但一切的开端要归功于隐私专家马克斯施瑞姆斯Max Schrems，他的工作曾多次出现在PIA博客上。十年前，他便开始抗争，阻止Facebook将欧盟个人数据传送至美国，这反映了隐私法律领域变化的缓慢，及Meta在逃避行为后果方面的成功而该公司显然希望继续保持这种状态。

对于此次罚款的回应，Meta表示：“我们将对该裁决提出上诉，包括这项不公正和不必要的罚款，并寻求法院暂停执行这些命令。”这家科技巨头还试图将注意力转向更一般性的问题，辩称这不仅仅是关于某一公司的隐私实践，而是美国政府数据访问规则与欧洲隐私权之间的根本法律冲突，这一问题预计将在夏季由政策制定者解决。

正如PIA博客所报导的那样，美国政府想监控非美国公民的意图，与欧盟对在线隐私的重视之间确实存在紧张关系，这主要体现在GDPR中。这一紧张局势导致了欧盟最高法院欧洲联盟初级法院CJEU的一些重要判决。特别是，CJEU以不合法为由撤销了两个旨在合法转移欧盟个人数据到美国的框架2015年的安全港协议和2020年的隐私盾。

欧盟美国数据隐私框架将通过法律审查吗？

Meta的评论提到的正是第三次试图制定跨大西洋数据流规则的努力，这被称为数据隐私框架。然而，正如我们去年在博客中指出的，新的框架是否能在CJEU面前进行挑战后生存下来，并不清楚。

马克斯施瑞姆斯已暗示他可能会提出此类挑战，而他在此类案件中有良好的胜诉纪录。欧洲议会也表达了怀疑，结论认为“欧盟美国数据隐私框架未能在[隐私]保护水平上创造实质性等效。”

Meta抱怨说，它在使用与数千家其他希望在欧洲提供服务的公司相同的法律机制时“被特别针对”。的确，此裁决也将适用于其他公司，特别是像谷歌和微软这样的线上巨头。但Meta试图将最新的GDPR裁决描绘成对整个互联网的灾难：

如果无法跨境转移数据，互联网将面临被划分为国家和地区的风险，这将限制全球经济并使不同国家的公民无法访问我们所依赖的许多共享服务。

正如施瑞姆斯在其noybeu网站上的一篇文章所解释的，这并不是事实：

长期解决方案似乎是某种形式的“联邦社交网路”，大多数个人数据将保留在欧盟，只有“必要”的转移将继续进行例如，当欧洲人向美国朋友发送直接消息时。尽管Meta只获得了短时间来提出解决方案，但其对法律状况已有十年之久，而且在2022年就已收到草案决定。

Meta已经拥有解决方案，只是它不喜欢

不久，您的Facebook动态可能看起来像这样。

Meta不仅在多年来就已经知道其可能会被迫将欧盟个人数据保存在欧盟伺服器上，还一直在研究使其符合GDPR的联邦技术。正如PIA几个月前报导的那样，Meta有一个名为P92的项目，它采用了Twitter替代品Mastodon背后的联邦技术。考虑到Meta的规模，似乎很有可能它已经开始了Facebook及其其他服务的联邦版本的工作。

尽管Meta声称互联网正面临威胁，但实际上，这种广泛用作在线主要商业模式的监控广告几乎完全无视隐私，可能最终会在GDPR下受到挑战。

施瑞姆斯指出，根据CJEU最近的判决，针对Meta的集体诉讼可能成为现实，该判决允许人们因侵犯其数据保护权利而索取“情感赔偿”，比如使其成为美国大规模监控的受害者。此外，欧盟的集体救济指令也将允许针对GDPR违规的集体诉讼。因此，即便这一路走来漫长而缓慢，但现在对未来几年在线隐私改善依然有一些希望首先在欧盟，进而影响到其他地区。

立即获取PIA VPN