Meta 被欧盟处以 13 亿美元罚款

欧洲的通用数据保护条例 GDPR 刚刚给了它最大的打击。自欧洲大陆严格的数据规则生效以来将近整整五年，Meta 因将数亿欧洲人的数据发送到美国而被处以 12 亿欧元（13 亿美元）的巨额罚款。

爱尔兰的数据保护委员会 (DPC) 是欧洲 Meta 的主要监管机构，在就数据如何跨大西洋传输存在多年争议后，发出了罚款。

该决定称，成千上万的企业使用复杂的法律机制在地区之间传输数据是不合法的。

该罚款是 GDPR 有史以来开出的最高罚款，超过了卢森堡对亚马逊的 8.33 亿美元罚款。

它使立法规定的罚款总额达到约 40 亿欧元。然而，这对 Meta 来说是一个小变化，它在今年前三个月赚了 280 亿美元。

除了罚款外，DPC 的裁决还给 Meta 五个月的时间来停止从欧洲向美国发送数据，并给 Meta 六个月的时间来停止处理之前收集的数据，这可能意味着删除照片、视频和 Facebook 帖子或将它们移回欧洲。

该决定可能会引起其他 GDPR 权力的关注，这可能会影响公司处理数据的方式，并可以说切入了大型科技公司监控资本主义的核心。

Meta 表示对这一决定感到“失望”，并将提出上诉。

该决定还可能给美国和欧洲谈判代表带来额外压力，他们正忙于敲定两个地区之间期待已久的新数据共享协议，该协议将限制美国情报机构可以获得的信息。

一项决定草案于 2022 年底达成一致，一项潜在的交易将在今年晚些时候敲定。

以数据交换为基础的欧盟和美国之间的整个商业和贸易关系可能会受到影响。虽然这个决定是针对 Meta 的，但它是关于所有在欧洲开展业务的美国公司都相同的事实和情况，这些公司提供在线服务，从支付到云，到社交媒体，到电子通信，或学校和学校使用的软件及公共行政部门。

对 Meta 的十亿欧元罚款由来已久。它可以追溯到 2013 年，也就是 GDPR 出台很久之前，当时律师和隐私活动家在爱德华斯诺登揭露国家安全局 (NSA)后抱怨美国情报机构无法访问数据。

从那时起，欧洲最高法院曾两次否决美欧数据共享系统。2020 年的第二项裁决使隐私保护协议失效，并收紧了围绕“标准合同条款 (SSC)”的规则。

使用 SCC（一种用于传输数据的法律机制）是 Meta 案例的核心。

2020 年，施雷姆斯抱怨 Meta 使用它们向美国发送数据。今天爱尔兰的决定得到了其他欧洲监管机构的支持，发现 Meta 使用法律工具“没有解决数据主体的基本权利和自由面临的风险。” 简而言之，它们是非法的。

爱尔兰于 2022 年 7 月首次裁定该工具违反了 GDPR，此后，此案已交由欧洲官僚机构处理，其他国家/地区对该决定有发言权，并决定应适用的处罚。

最终，其他国家/地区通过欧洲数据保护委员会 (EDPB) 否决了爱尔兰监管机构的意见，爱尔兰监管机构认为 Meta 不应被罚款。

欧洲非政府组织 Access Now 的全球数据保护负责人表示：这绝对是一笔巨额罚款，但对于人们的权利而言，处罚可能无关紧要，因为 Meta 可以保留其非法移动的数据，这是一个苦乐参半的决定。

自 GDPR 于 2018 年 5 月生效以来，它因未能有效遏制大型科技公司最糟糕的数据实践而受到批评。Meta 应该删除其非法收集的数据，而 GDPR 的执行需要改变公司的商业惯例。（在美国， 联邦贸易委员会在 2019 年对 Meta 处以 50 亿美元的罚款，此前曾命令公司删除使用不当收集的数据创建的算法。）

新裁决并未强制 Meta 删除数据，但表示应确保所有来自欧洲人的存储数据在六个月内得到合法处理。EDPB 表示，这可能包括删除数据或将数据移回欧洲， 但也可能包括使用“其他技术解决方案”的 Meta。

施雷姆斯在一份声明中说：向前发展的一个潜在选择是‘联合’社交网络，欧洲数据保留在欧洲的数据中心，除非用户与美国朋友聊天。数据本地化也在实践中很难获得。

如果 Meta 决定将数据移回欧洲，那么从其内部系统中理清所有数据很可能会很棘手，如果不是不可能的话。此前的报道表明，Meta 并不知道其所有数据的去向， 爱尔兰公民自由委员会获得的法庭文件据说显示“Meta 的数据无政府状态。

Meta 的全球事务总裁在一份声明中表示，该公司正在向法院提出上诉，这将能够“暂停执行截止日期”。

总裁将这一决定描述为对全球互联网的威胁：如果无法跨境传输数据，互联网就有可能被分割成国家和地区的孤岛，限制全球经济，让不同国家的公民无法访问许多互联网。我们已经开始依赖共享服务。

隐藏在巨额罚款背后的根本问题是欧盟和美国之间如何共享数据。

欧洲的 GDPR 规定了公司和其他组织应如何收集、使用和存储人们的数据，并增加了赋予个人的权利。例如，人们可以询问有关他们的哪些数据或要求删除信息。

这些规则比美国实施的保护措施更严格，特别是针对收集的非美国公民的数据，根据《 外国情报监视法》第 702 条，情报机构可以拦截这些数据。

2022 年 10 月，美国总统乔·拜登签署了一项行政命令，该命令将限制数据安全机构在拟议的新欧盟-美国数据隐私框架下可以访问的内容。

在 Meta 对 GDPR 决定的回应中，Meta全球事务总裁提到了新的国际协议，并表示如果它在爱尔兰截止日期之前生效，我们的服务可以像今天一样继续，不会对用户造成任何中断或影响。

除其他外，行政命令将在美国司法部内设立一个数据保护审查法庭，允许欧洲人质疑美国情报机构如何使用他们的数据。

拟议的计划之间存在“多重紧张关系”。数据保护审查法院 (DPRC) 向投诉人提供的信息非常有限是主要问题之一，该方法与欧洲法院的方法不符。

由于之前的两项数据共享协议已被欧洲法院否决，因此可能会在 Meta 必须处理爱尔兰命令之前生效的新协议可能会受到挑战。

从一开始的框架是对前两个框架的改进，但我们认为它不会让我们达到在法庭上接受法律挑战的地步。

施雷姆斯最初对 Meta 提出申诉，并负责破坏之前美国与欧盟数据共享协议的案件，他认为欧洲法院有 10% 的机会认定新协议是合法的。

最简单的解决办法，就是美国监控法的合理限制。

原文始发于微信公众号（网络研究院）：Meta 被欧盟处以 13 亿美元罚款