Uber被罚2.9亿欧元！入围GDPR十大罚单榜

2024年GDPR罚款“单王”诞生，荷兰数据保护局（DPA）近日对全球出行巨头优步（Uber）开出了一张创纪录的罚单，金额高达2.9亿欧元（约合3.24亿美元）。罚款原因是优步在将欧洲出租车司机的个人数据传输至美国时，涉嫌未能遵守欧盟严格的数据保护标准。

“隐私盾”不再是挡箭牌

荷兰DPA表示，优步在数据传输过程中未能适当保护司机的敏感信息，严重违反了《通用数据保护条例》（GDPR）的规定，同时也暴露了优步在数据保护方面的重大疏漏。

据悉，优步在美国的服务器上存储了司机的敏感信息超过两年，包括账户详情、出租车执照、位置信息、照片、支付详情和身份文件。在某些情况下，这些数据甚至包含司机的犯罪记录和医疗信息。

DPA指控优步在进行数据传输时，未能使用适当的机制，特别是在欧盟于2020年宣布废除“欧盟-美国隐私盾”协议之后。2023年7月，新的“欧盟-美国数据隐私框架”才被宣布作为替代方案。

“根据荷兰DPA的调查，自2021年8月以来，优步未再使用标准合同条款（Standard Contractual Clauses），因此未能充分保护欧盟司机的数据，”DPA表示。“自去年年底以来，优步才开始使用隐私盾的继任框架。”

优步对判罚不服

面对荷兰DPA的指控，优步在与彭博社分享的声明中表示，这一罚款“完全没有道理”，并宣布将对这一决定提出异议。优步进一步声称，其跨境数据传输过程符合GDPR的规定。

值得注意的是，这并非优步首次因数据处理问题受到荷兰DPA的处罚。今年早些时候，优步因未能披露其关于欧洲司机数据保留期限的完整信息，以及与非欧洲国家共享数据的具体情况，已被处以1000万欧元的罚款。

荷兰DPA还指出，优步的隐私条款中并未具体说明其保留司机个人数据的期限，或在将这些信息发送至欧洲经济区（EEA）以外的国家时采取了哪些具体的安全措施。这引发了人们对欧洲用户数据可能被美国监控项目获取的担忧。

GDPR历史十大罚单被刷新

优步收到的2.9亿欧元罚单，不但刷新了2024年GDPR罚款记录，在GDPR历史十大罚单中的排名也高举第六位（下图）：

荷兰DPA对优步的重罚，再次明确了欧盟对个人数据保护“乱世用重典”的坚定立场。这不仅是对优步的警告，也是对所有在欧洲运营的公司的提醒：必须严格遵守GDPR的规定，保护用户的隐私和数据安全。

最新GDPR十大罚单排名（截止2024年8月）

这并非美国公司首次因未能在欧盟数据传输中提供相当的隐私保护而受到欧盟数据保护机构的审查。这一问题引发了人们对欧洲用户数据可能被美国监控项目获取的担忧。

早在2022年，奥地利和法国的监管机构就裁定，谷歌分析数据的跨大西洋传输违反了GDPR法律。

“想象一下，政府能够大规模截取数据，”荷兰DPA主席Aleid Wolfsen表示。“因此，如果（外国）企业将欧洲人的个人数据存储在欧盟以外的国家，通常有义务采取额外措施。”

参考链接：

• https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-dpa-imposes-a-fine-of-290-million-euro-on-uber-because-of-transfers-of-drivers-data-to-the-us
• https://www.bloomberg.com/news/articles/2024-08-26/uber-hit-by-record-324-million-fine-for-data-transfers-to-us