Uber因违规数据跨境传输被罚约23亿元人民币

当地时间8月26日，荷兰数据保护局对网约车服务运营商优步公司（Uber）处以2.9亿欧元（约合人民币23亿元）罚款。这是该机构有史以来开出的最高罚款。荷兰数据保护局称，这构成了对《通用数据保护条例》（GDPR）的严重违反。目前，Uber已经停止违规行为。

荷兰数据保护局称，Uber在没有遵守隐私保护规则的情况下将欧洲出租车司机的数据传输到美国。该公司收集位置信息、照片、付款信息、身份证明信息等，甚至在某些情况下收集司机的犯罪记录和医疗数据。过去两年来，优步将这些数据传输至美国总部，并未充分保护个人信息。荷兰数据保护局称，这种做法“严重违规”。

2020年，欧洲法院宣布欧盟-美国隐私盾协议无效。根据法院的说法，标准合同条款仍然可以为向欧盟以外的国家传输数据提供有效基础，但前提是在实践中能够保证同等水平的保护。

由于Uber从2021年8月起不再使用标准合同条款，根据荷兰数据保护局的说法，来自欧盟的司机数据保护不足。自去年年底以来，Uber开始使用隐私盾的继任者。

在超过170名法国司机向法国人权利益集团“人权联盟”（LDH）投诉后，荷兰数据保护局启动了对Uber的调查，随后LDH向法国数据保护机构提交了投诉。根据GDPR，处理数据涉及多个欧盟成员国的企业必须仅与一个数据保护机关打交道：企业主要设立所在国家的权威机构。Uber的欧洲总部设在荷兰。在调查期间，荷兰与法国数据监管机关密切合作，并与其他欧洲国家协调了决定。

荷兰数据保护局主席Aleid Wolfsen表示：“在欧洲，GDPR通过要求企业和政府谨慎处理个人数据，保护了人们的基本权利。但遗憾的是，欧洲以外的地区并非如此明显，想想那些可以大规模获取数据的政府。这就是为什么企业通常有义务采取额外措施，如果他们将欧洲人的个人数据存储在欧盟之外。Uber没有满足GDPR的要求，以确保数据传输到美国时的保护水平。这是非常严重的。

此次罚款是荷兰数据保护局针对Uber开出的第三张罚单，此前该机构先后针对Uber发起过1000万欧元和60万欧元的罚款。

所有欧洲数据保护机关都以相同的方式计算企业的罚款金额。这些罚款最高可达企业全球年营业额的4%，Uber在2023年的全球营业额约为345亿欧元。Uber已表示打算对罚款提出异议。

来源：央视财经、AUTORITEIT PERSOONSGEGEVENS