荷兰数据保护局重罚2.9亿欧元，Uber因违规跨境传输司机数据再临巨额罚单

2024年7月22日，荷兰数据保护局（AP）对国际在线出行服务提供商Uber非法向美国跨境传输司机个人数据的行为处以2.9亿欧元的罚款，该罚款数额高达其2023年全球营业额约34.5亿欧元的4%。本案中受处罚的主体为Uber位于荷兰阿姆斯特丹的Uber B.V.（“荷兰公司”）以及位于旧金山的美国总部Uber Technologies Inc（“美国总部”）。

本案起因于2020年6月12日法国非政府组织Ligue Des Droits De L’homme Et Du Citoyen（LDH）代表21名Uber司机向法国数据保护机构（CNIL）提出的投诉，后续共172名司机加入该投诉。随后，AP针对Uber荷兰公司将司机个人数据从欧盟传输至美国总部的行为展开了调查。

AP调查后认定，Uber荷兰公司和美国总部二者共同决定欧盟司机个人数据的处理目的和处理方式，属于GDPR规定的共同处理者。在2020年8月6日至2023年11月27日期间，Uber荷兰公司将大量司机的敏感个人数据传输到美国总部（包括账户详情、出租车执照、位置数据、照片、付款信息、身份文件、刑事和医疗数据等），但未采用任何数据跨境传输适当的保障措施，因此严重违反了欧盟GDPR第五章的规定。

本案中主要的争议问题在于，Uber荷兰公司和美国总部之间的数据交互是否构成GDPR项下的“数据跨境传输”。如果构成，那么Uber是否采取了适当的跨境传输合规措施。

• Uber存在数据跨境传输行为

AP调查发现，Uber荷兰公司负责与欧盟地区的Uber司机签订雇佣合同，而Uber的全球集中化IT基础设施位于美国总部，因此通过Uber司机端App收集的司机的个人数据将被存储至美国总部的服务器上并进行后续处理活动。

AP认为，Uber荷兰公司与美国总部之间的数据交互满足EDPB关于数据跨境传输的三个判断要件：①出口方（Uber荷兰公司）受到GDPR管辖；②个人数据由出口方通过传输或以其他方式提供给进口方（美国总部）；③进口方位于第三国，因此属于数据跨境传输。具体包括以下两种场景：

场景一：Uber司机端应用程序收集位于欧盟的Uber司机的个人数据，并将个人数据存储到位于美国的服务器中，存储的数据类型包括账户数据、位置信息、身份证件、犯罪记录、健康信息和出租车执照等。

场景二：在数据主体提出GDPR权利的行权请求时，由Uber荷兰公司负责评估和响应，而美国总部则会提供具体的个人数据以回应这些请求。

Uber辩称，荷兰公司和美国总部均属于GDPR项下的数据控制者，从技术角度来看，是由美国总部直接收集欧盟司机在使用App过程中主动提供的个人数据，而不存在由荷兰公司向美国总部进行数据传输的行为，因此不适用GDPR第五章数据跨境传输的规定。

而AP则从保护数据主体权利的角度出发，认为Uber荷兰公司作为与司机直接签订雇佣合同的一方，实际上对司机提供个人数据的行为和意愿施加了较大影响，一旦签订合同后，司机需要向Uber平台主动提供或允许平台持续收集、使用其个人数据，在此过程中司机对于其个人数据的控制能力十分有限。因此，AP认定Uber荷兰公司属于出口方、美国总部为进口方，二者之间存在数据跨境传输的行为。

• 数据跨境传输的合规措施

基于上述数据传输行为，AP针对Uber是否采取了符合GDPR要求的跨境传输合规措施进行了评估。

早在2020年7月16日，欧洲法院在Schrems II案中判决宣布欧美数据跨境传输依赖的“欧盟-美国隐私盾”（EU-US Privacy Shield）无法提供与欧盟GDPR同等程度的数据保护水平，因此无效。直至2023年7月10日，“欧盟-美国隐私保护框架（DPF）”获批准生效，成为欧美数据跨境传输的新合规框架。因此，在2020年7月16日至2023年7月10日期间，在没有欧盟充分性决定的情况下，数据传输双方需要提供适当的保障措施（例如签订欧盟SCCs）作为欧美数据跨境传输的合法机制。

根据上文所述，由于Uber认为美国总部和荷兰公司之间不存在数据跨境传输的行为，因此自2021年8月6日起未再继续签订欧盟SCCs。直至2023年11月27日，Uber才加入“欧盟-美国隐私保护框架（DPF）”。AP据此认定，从2021年8月6日至2023年11月27日期间，在没有欧盟充分性决定的情况下，Uber荷兰公司与美国总部之间的数据跨境传输没有适当的保障措施，违反了欧盟GDPR第44条规定。时间线可参考下图：

此外，Uber也无法依据GDPR第49条豁免跨境传输合规措施的例外情况进行跨境传输。一方面，Uber的跨境传输不是偶发性的，而是系统性、重复性和持续性的；另一方面，Uber也未能证明跨境传输是为数据控制者的迫切合法利益所必要，并且不会超过数据主体的自由和权利。

基于上述情况，荷兰数据保护局决定Uber处以2.9亿欧元的罚款，数额高达其2023年全球营业额约34.5亿欧元的4%。

本案中值得出海企业重点关注的是监管机构对于数据跨境传输行为的认定。为了保护司机数据主体权利、防止GDPR数据传输章节的规定被架空，荷兰数据保护局对EDPB提出的判断跨境传输的要件之一“个人数据由出口方通过传输或以其他方式提供给进口方”进行了扩大解释——虽然从技术角度而言是由美国公司直接收集并存储司机的个人数据，但综合考虑到Uber荷兰公司在司机个人数据收集活动中发挥着较大的影响力、司机对个人数据的自主控制能力较弱，因此依然将Uber荷兰公司认定为将司机个人数据“传输或以其他方式提供”给美国公司的出口方，使其与美国公司受制于GDPR跨境传输规则的管辖。

可见，欧盟监管机构在认定“跨境直接收集”和“跨境传输”时并非纯粹基于事实技术层面，而更多地是从保护数据主体自由和权利的价值取向出发，权衡数据处理活动中数据控制者与数据主体的权力地位关系是否平衡，从而认定责任和义务。因此，企业在开展跨境数据处理业务的过程中需要综合业务模式、参与者角色、技术流程等各方面整体判断相关跨境数据交互行为是否属于“跨境传输”，避免通过“直接收集”的口径规避跨境传输规则下应当落实的合规义务。

如存在跨境传输的，则企业重点关注GDPR项下数据跨境传输的合规措施是否落实到位。在没有充分性决定的情况，欧盟执法机构尤为关注数据跨境传输是否已采取并落实适当的数据保护措施（包括签订欧盟SCCs等），以此达到与GDPR同等的数据保护水平。实践中，如涉及集团公司之间的数据传输，则国内总部一般会与位于欧盟的实体签订集团内部数据传输协议（Intragroup Data Transfer Agreement），并将SCCs作为附件以履行合规要求，同时确保主协议内容与SCCs内容不存在冲突。另外，适当的数据保护措施中除了签订SCCs之外，还包括进行跨境传输的个人数据保护影响评估（DPIA），并通过落实相应技术和组织方面的缓释措施以切实保障数据主体权利、保护个人信息安全。

本案另值得企业关注的是，依照过去的实践经验，欧盟监管机构出于执法便利性的考虑，违反GDPR的处罚对象一般是跨国集团位于欧盟境内的实体，较少会直接或同时处罚境外母公司。而在本案中，荷兰数据保护机构将欧盟运营实体以及美国总部同时作为处罚对象，一方面是因为监管机构将美国总部和荷兰公司认定为共同控制者，另一方面也体现出欧盟监管机构的执法趋严。这也提示出海企业，应当根据业务情况梳理境内外各实体的数据处理关系和法律角色，并对境内外各实体的数据处理活动进行完善的合规管理。如欧盟境外实体违反了欧盟个人数据保护的相关规则，同样可能会受到监管机构的跨境执法。

点击下方卡片关注公众号

想要获得更多资讯内容

请扫码关注我们

M姐数据合规评论

微信号｜M_DigitalLawandLife