今年 7 月初,愛爾蘭資訊保護局(Irish Data Protection Commission) 知會歐洲各國,出於隱私保護方面的疑慮,將禁止 Facebook 母公司 Meta 將歐洲用戶數據傳輸到美國。愛爾蘭將其決策草案送交歐洲各國,各國有一個月的時間表達意見。日前挪威資訊保護局做出決定並知會各國:Facebook 母公司 Meta Platforms 持續傳送用戶資訊到美國,應當處以罰款才是。
挪威資訊保護局表示,若不對 Meta Platforms 處以罰款,未來資訊公司也就無須在意歐盟在數據傳輸方面的規範。
前情提要:個資隱私法律問題懸而不決Meta 臉書、IG 恐退出歐洲
美國與歐盟各國之間的資料傳輸規範頗多波折,2020 年歐洲法院判決歐美之間的隱私盾協議(EU-U.S. Privacy Shield)無效,但臉書主張作為資料傳輸依據的標準契約條款(Standard Contractual Clauses, SCC)依舊有效,而今年 7 月愛爾蘭資訊保護局的主張正是針對標準契約條款。愛爾蘭方面要求臉書停止依據標準契約條款將歐盟用戶的數據(從家庭照片到薪資資料等)傳送到美國。
挪威的決定比愛爾蘭更近一步,不僅要禁止數據傳輸,還應該要對 Meta 課以罰款。挪威認為 Meta 違反歐盟數據傳輸規範的情節「特別嚴重」。挪威資料保護局並且說明,「命令、限制、禁令,通常旨在確保未來的個人數據的處理符合一般資料保護規則(GDPR)」,罰款則是針對過去的違規行為,「帶有懲罰性質」。
此一問題可能最終導致 Facebook、IG 等服務退出歐洲,但實際發展情況不會很快明朗。首先愛爾蘭資訊保護局必須將歐洲其他監管機構的回應納入其決定,若無法解決歧異,可能必須啟動歐盟內部的正式爭端解決機制,那麼至少會將決定再推遲一個月。
愛爾蘭資訊局作出最終決定之後,Meta Platforms 還可以提出異議,在一切塵埃落定之前,Facebook 和 IG 還會繼續存在於歐洲。
歐盟的個人隱私保護在本月初有了重大進展。8 月 1 日,歐洲法院明白揭示個人的性取向屬於一般資料保護範圍,屬於一般資料分類下的特別資料,這會對各科技公司處理個人資料的方式造成廣泛影響。這項判決被專家認為是「迄今為止關於一般資料保護範最重要、最明確的解釋」。
例如約會網站 Grindr 就被挪威資料保護局認定違反一般資料保護規則,因為某人是 Grindr 使用者這事實揭露該人的性傾向,去年曾對 Grindr 課以 650 萬歐元罰款。不過西班牙對於同一服務的看法與挪威大異其趣,並不認為 Grindr 有處理特殊類別的個人資訊。
參考新聞來源:
2022/08/22 Politico EU(政客雜誌歐盟版) Norway wants Facebook fined for illegal data transfers
2022/08/03 Silicon Republic(愛爾蘭矽共和國) ‘Groundbreaking’ EU court ruling could impact how sensitive data is shared
