圖片來源: 

Uber

荷蘭資料保護主管機構(Data Protection Authority,DPA)周一(8/26)向Uber處以2.9億歐元的罰款,原因是Uber將歐盟的計程車司機資料在未妥善保護的情況下傳送至美國。

此一事件源自法國的人權組織Ligue des droits de l’Homme(LDH)收到逾170名法國司機的投拆,LDH隨後將此案上交至法國的DPA,由於Uber的歐洲總部位於荷蘭,而令法國DPA向荷蘭DPA告狀。

荷蘭DPA發現,Uber蒐集了歐洲司機的敏感資訊,並將它們保留在位於美國的伺服器上,包括這些司機的帳戶細節與計程車執照,以及位置資料、照片、支付細節、身分文件,甚至是司機的犯罪與醫療資料。此外,Uber是在未經法律及技術框架的保護下將資料傳送至美國,且時間長達2年,嚴重違反歐盟的《通用資料保護規則》(GDPR)。

歐盟與美國之間原本簽有《隱私盾》(Privacy Shield)資料傳輸保護協議,簡化美國企業將歐洲民眾資料傳送到美國的流程,但之後歐盟認為美國的隱私保護不如歐盟,而在2020年7月廢除了該協議,接著雙方在2023年7月簽署了新的資料隱私協議,但中間有3年的空窗期。

其實就算政治實體之間缺乏資料傳輸協議,企業也能藉由遵循歐盟的標準合約條款(Standard Contractual Clauses,SCC),在保證提供同等級資料保護機制的情況下,合法將資料從歐盟傳送至美國。

然而,荷蘭的DPA表示,在缺乏《隱私盾》協議的期間,Uber自2021年8月便不再使用SCC,而讓來自歐盟的資料未能得到充分的保護。

總之,荷蘭DPA認為Uber違反GDPR,要求它支付2.9億歐元的罰款。這是Uber第三次被荷蘭DPA罰款,第一次是2018年的60萬歐元,第二次是去年的1,000萬歐元,這次則是GDPR史上最高的罰款之一。

去年底就採用歐盟與美國之間新資料隱私框架的Uber,並不認為自己違反規定,已決定提出上訴。

熱門新聞

Advertisement