细读2.9亿欧元Uber罚单（3）：啥是数据跨境传输，看不懂了

2024年7月22日，荷兰数据保护局（AP）对国际在线出行服务提供商Uber处以2.9亿欧元的行政罚款。原因是Uber违反欧盟GDPR的第44条，将司机个人数据违法传输到美国时未提供适当的保障措施。（具体解读详见：）

AP公布的处罚决定书是一篇近50页的“小作文”，严谨深入地分析了做出处罚的理由，也是理解和适用GDPR的一次精彩实例。继前两篇分析了“”和“”问题，本文将继续解读罚单中AP如何认定Uber数据跨境传输的行为，这其中既有事实问题，也是法律判断。

AP和Uber关于是否存在“数据跨境传输”活动的激烈争议，主要围绕跨境传输数据应满足的认定条件。其中：

【AP的认定】援引欧洲数据保护委员会（EDPB）提出的“跨境传输”跨境传输的三要件，逐条分析，认为Uber的行为符合这些要件。

【Uber的抗辩】“降维”反驳，认为EDPB的“跨境传输”定义根本没有法律效力，不应该拿这个来说事儿；再者，Uber的跨境传输行为也不符合AP要求的要件二。

 以下具体看看，双方如何有理有据地开撕：

前提性争议： GDPR项下的“跨境传输”定义，在哪里？

Uber提出，GDPR中未对“跨境传输”进行定义。这是立法者在忽视包括欧洲数据保护监督官（European Data Protection Supervisor，EDPS）和欧洲数据保护委员会（European Data Protection Board ，EDPB）等多个机构的意见和建议后，有意为之。尽管各方利益相关者多次请求，欧洲的数据保护机构——包括AP自己——从未对这个概念进行过解释。（小编：Uber深深抱怨立法者居然连“数据跨境传输”这个的关键定义都不给，以至于让执法者随意适用，并认为这就是立法者故意为之。此处泣血吐槽，估计同感者不少。）

直到2023年2月14日，EDPB才对“数据传输”一词作出解释、给出了数据跨境传输的三个要件（如下文分析），但EDPB自己也承认，它的解释只是众多可能解释中的一种、不具有约束力。此外，EDPB还请求欧洲委员会（EC）进一步澄清这一概念。因此，AP在没有更多证据支持的情况下，不能仅依赖这一单一解释。（小编：Uber很委屈，人家发文机构自己都不敢说就只能这样解释“跨境传输”，你们AP就依据这个解释来罚款，没道理。）

但AP认为，EDPB提出的“数据跨境传输”三要件，符合欧盟法院所要求的“提供有效和全面保护”个人数据的要求。虽然这确实是可能的一种解释、没有约束力，也没有提供像本案这样的“出口方”示例，如果（否定这种解释）认为荷兰UBV和美国UTI俩公司之间没有数据跨境传输、不适用GDPR第五章，那就会破坏了GDPR的高水平保护。（小编：AP坚持“实质性”看待EDPB提出的要件，因此只要能起到GDPR想保护个人数据的效果，那这些意见就应该采纳。也有道理。）

接下来，AP逐条分析了，为何Uber的数据处理活动符合EDPB说的“跨境传输”三要件——

• 跨境传输活动的要件1：控制者或处理者(“出口方”)在特定的处理行为中受GDPR管辖。

AP认Uber的数据处理活动符合这条要件，因为Uber承认其在欧盟经济区（EEA）内的司机个人数据处理活动受GDPR约束。Uber，算了，这条就这样了。

• 跨境传输活动的要件2：出口方通过传输或其他方式将受此处理的个人数据提供给另一个控制者、共同控制者或处理者(“进口方”)

首先，Uber认为美国UTI公司和荷兰UBV公司均受GDPR管辖，并不存在出口方和进口方，应直接适用GDPR第3条、排除GDPR第五章的适用。但AP认为，如果仅因为美国UTI公司和荷兰UBV公司直接受GDPR约束，不适用GDPR第五章，将导致GDPR的高保护水平被削弱。（小编：参见上文“”中已详细解读。）

其次，Uber进一步，主张荷兰UBV公司不是出口方，司机的个人数据是由司机直接提供给美国UTI公司的，因此司机才是数据传输活动中的出口方。

AP对Uber的这一观点进行了深入反驳（小编：敲黑板，划重点，AP的下述论点很有启发，秉持“实质大于形式”的原则，认定Uber的数据出口方身份。）

1.AP参引了欧盟法院C-210/16号和C-25/17号案例，认为"数据控制者"的概念应广义理解，以确保对相关人员的有效和全面的保护，同样，“数据出口方”的概念也应广义理解，否则会导致：没有一个明确的主体对Uber司机的个人数据向EEA以外的第三国传输的行为来负责，Uber司机的个人数据也就无法获得有效和全面的保护。

2.随着技术的发展，“出口方”的定义有所变化。传统上，“出口方”指的是在EEA内向第三国传输个人数据的数据控制者或数据处理者。然而在本案中，“出口方”的定义与传统模式有所不同。Uber与Uber司机在合同或预合同的劳动关系下为EEA内的Uber司机提供了详细的指示，要求他们使用应用程序作为技术工具提交个人数据。具体来说，Uber司机受美国UTI公司和荷兰UBV公司预先设定的个人数据处理目的和手段所约束。因此，荷兰UBV公司对司机个人数据从EEA传输到美国具有技术控制权，应承担共同责任。

3.是否构成数据跨境传输，不应仅根据司机通过个人设备操作应用程序的事实来评估，还应考虑到Uber对司机行为和意图的影响。这个环境由Uber预先设定的各种条件组成，这些条件实际上让司机别无选择。虽然Uber将数据传输归因于司机，而司机在整个过程中只是一个微不足道的环节。AP的具体判断依据如下：

Uber司机平台的设置方式使得Uber司机必须通过其个人设备在平台上输入个人数据，以获得平台访问权限、安排活动、获得支持和提供运输服务。Uber还决定司机在欧盟的个人数据将在第三国的UTI平台上处理。Uber司机对其个人数据——相对于数据控制者——只有低实际控制力，这是将荷兰UBV公司在本案中确定为出口商的重要因素；

对于司机个人数据处理的目的和手段是由荷兰UBV公司和美国UTI公司单方面确定的。如果数据主体决定在欧盟成为Uber司机，这需要在Uber平台上创建一个账户，并同意各项条款，才能认定Uber司机与荷兰UBV公司签订合同，随后数据主体受预先确定的目的和手段的约束，由美国UTI公司和荷兰UBV公司处理其个人数据；

尽管Uber司机是自愿签订合同的，但这并不意味着他们对确定其个人数据处理的目的和手段有影响。尤其是因为Uber司机必须接受的条款和条件是预先设定的，无法协商。

此外，Uber对平台上的活动及其产生的数据处理拥有绝对的控制权。例如：（1）Uber对司机进行不同的分类，如黄金、白金或钻石，为实现这些分类，Uber会记录有关司机的信息；（2）通过让乘客评价司机来影响Uber司机的某些行为，这可能导致Uber司机被排除在平台之外；（3）关于车费的争议也由Uber处理，Uber可以单方面决定将车费（全部或部分）退还给乘客；（4）成为Uber司机需要拥有一辆汽车，且该车辆必须符合不同国家或地区的特定条件，包括强制性保险要求；（5）司机必须持有有效驾照且无犯罪记录。这些文件在司机获得许可或准入之前，会由美国UBV和荷兰UTI公司进行审核，确保司机能够接单。（小编：这样听起来，Uber是妥妥地“个人数据控制者”，而且好像在认真落实国内法下“平台主体责任”一样……）

• 跨境传输活动的要件3：进口方位于第三国，无论该进口方是否按照GDPR第3条的规定而导致特定的数据处理行为受GDPR的管辖，或者进口方本身是一个国际组织。

在本案中，UTI公司位于美国，符合要件3中进口方位于第三国的规定。因此Uber司机的个人数据从EEA传输至GDPR定义的第三国。

在本案中，荷兰UBV公司与EEA内的Uber司机签订合同，相应地被视为：在合同或预合同的劳动关系下，通过Uber平台促使收集个人数据的数据控制者。Uber通过司机的个人设备不断收集和处理个人数据。随后，EEA内的Uber司机的个人数据通过传输或其他方式被提供并存储在位于美国的UTI服务器上。

因此，AP最终确定，司机个人数据从EEA传输到美国（第三国），满足了EDPB意见中规定的所有数据跨境传输条件，荷兰UBV公司是司机个人数据的出口方，美国UTI公司是进口方。

综上，根据GDPR第44条、GDPR序言第101条，

司机个人数据被从EEA传输到第三国实体构成了数据跨境传输→ 荷兰UBV公司向美国UTI公司的传输活动就得遵守GDPR第五章→ 荷兰UBV公司也就必须评估其使用的数据传输工具在第三国法律和法律实践下是否有效，这样才能保证GDPR所保障的数据保护水平不被削弱。

（小编：以上层层推理分析，终于说到了Uber用到的“数据跨境传输工具”问题——走过漫漫长路，终于要说为啥要罚你Uber了。）

后续将继续分析Uber案罚单中的“数据跨境传输工具”问题。未完待续。

GDPR第五章第44条：对于正在处理中的个人数据或拟在传输到第三国或国际组织后进行处理的个人数据，在不违反本条例其他规定的前提下，控制者和处理者满足本章规定后方可传输，包括个人数据从第三国或国际组织再传输到其他第三国或国际组织。本章所有规定应当适用，以确保本条例所保障的对自然人的保护程度不受减损。

GDPR序言第101条：国际贸易和国际合作的扩张使得个人数据在欧盟以外国家和国际组织的往来流动成为必然，流动的加剧为个人数据保护带来了新的挑战和问题。但在个人数据从欧盟转移到第三国的控制者、数据者或其他接收者，或转移到国际组织的情况下，不得降低本条例在欧盟境内确保的对自然人的保护水平，包括个人数据从该第三国或国际组织继续转移到同一或其他第三国境内的控制者或处理者，或转移到其他国际组织的情形。无论何种情况，向第三国和国际组织进行的转移必须要在完全遵守本条例的规定的前提下方可进行。只有在控制者或处理者已满足本条例中有关向第三国或国际组织转移个人数据的条款中规定的条件且在遵守本条例其他条款的前提下，方可发生转移。

EDPB《关于GDPR第3条与第五章国际传输条款适用关系的05/2021指南》2.0版本：

它确定了三个累积标准，以确保数据处理符合数据传输要求：

（1）控制者或处理者(“出口方”)在特定的处理行为中受GDPR管辖。 

（2）出口方通过传输或其他方式将受此处理的个人数据提供给另一个控制者、共同控制者或处理者(“进口方”)。

（3）进口方位于第三国，无论该进口方是否按照GDPR第3条的规定而导致特定的数据处理行为受GDPR的管辖，或者进口方本身是一个国际组织。

点击下方卡片关注公众号

想要获得更多资讯内容

请扫码关注我们

M姐数据合规评论

微信号｜M_DigitalLawandLife