全部课程
法律
合规
医疗

数据跨境|Meta为停止欧-美数据传输和GDPR巨额罚款做好准备

2023-05-06 12:06

数据合规
143

详细内容

吴沈括

北京师范大学法学院博士生导师
中国互联网协会研究中心副主任
潘月慧
北京师范大学研究助理

作者|


Joseph Duball


Meta为停止欧-美数据传输和GDPR巨额罚款做好准备


背景资料

Ø主题:数据隐私 数据保护
Ø相关事件:2020年7月16日,欧盟法院(CJEU)就备受关注的Schrems II案作出判决,认定美欧数据跨境转移机制“隐私盾协议”(Privacy Shield)无效;2022年7月爱尔兰数据保护委员会(DPC)向欧盟数据保护部门提交“建议禁止Meta将欧洲人的个人数据跨大西洋发送到美国”的决定草案,欧盟各国对该决定产生分歧。
Ø相关部门:①EDPB——全称European Data Protection Board,译作欧洲数据保护委员会。EDPB是欧洲独立机构,其旨在确保GDRP和《执法指令》在欧盟的适用一致性,并促进欧盟各成员国数据保护机构之间合作。②DPC——全称Data Protection Commission Ireland,译作爱尔兰数据保护委员会。DPC是GDPR的爱尔兰监管机构,还拥有与其他重要监管框架相关的职能和权力,包括《爱尔兰电子隐私条例》(2011年)和欧盟指令(称为执法指令)。
Ø相关企业:Meta,美国Meta Platforms公司。由美国媒体平台Facebook部分品牌更名而来。2021年10月28日,Facebook宣布,该平台的品牌将部分更名为“Meta”。
Ø相关条例:欧盟《通用数据保护条例》(EU General Data Protection Regulation),简称GDPR。
Ø相关人员:① Caitlin Fennessy,国际隐私专业协会(IAPP)副总裁兼首席知识官、注册信息隐私专家(CIPP) ② Didier Reynders,欧盟司法专员 ③ Susan LiMeta公司首席财务官。


事件起因

爱尔兰数据保护委员会预计在2023年5月发布对于Meta的数据传输暂停令,并对其处以GDPR(《通用数据保护条例》)罚款。

【主要经过】

Meta向美国证券交易委员会(U.S . Securities and Exchange Commission)提交的文件显示,Meta正在准备停止其在欧盟与美国间(EU-US)的数据流,并被处以欧盟《通用数据保护条例》(EU General Data Protection Regulation)罚款。该公司的Q1 2023表格Q-10和Q1 2023盈利报告向投资者解释了爱尔兰数据保护委员会即将做出的最终决定对其欧盟与美国间(EU-US)数据传输合法性的影响。
爱尔兰数据保护委员会(DPC)的命令预计在5月12日正式发布,如果在该命令生效前Meta未通过提议的欧盟-美国数据隐私框架做出充分性决定,该命令可能会迫使Meta停止在欧盟的业务。此外,Meta正计划根据欧洲数据保护委员会的建议,对爱尔兰数据保护委员会(DPC)处以可能过高的罚款采取纠正措施。
Meta在财报中解释称:“我们预计,爱尔兰数据保护委员会(DPC)将在5月份做出决定,内容涉及此前披露的Facebook欧盟/欧洲经济区(EU/EEA)用户数据的跨大西洋传输的调查,包括暂停此类传输的命令和罚款。”
Meta在Q-10文件中补充称,罚款可能“数额巨大”,它预计爱尔兰数据保护委员会(DPC)的命令将要求“它的相关加工业务符合《通用数据保护条例》(GDPR)”。披露还解释了爱尔兰数据保护委员会(DPC)最终决定后的潜在未来趋势。
Meta在文件中写道:“我们预计,遵守(DPC)决定的最后期限不会早于2023年第四季度。一旦做出最终决定,我们将有机会提出上诉并寻求延期。”
国际隐私专业协会(IAPP)副总裁兼首席知识官、注册信息隐私专家(CIPP)Caitlin Fennessy表示,预期的停止传输令和尚未宣布的整改措施可能比创纪录的罚款更有意义,他指出缩减的数据流以及随后数据驱动的业务模式的变化“可能对Meta和数千家其他公司产生更大的财务影响”。
取代欧盟-美国隐私保护框架的新数据传输机制仍然是解决Meta传输困境的最佳方案。
新机制最终确定的时间表仍未确定,原因是欧盟委员会(European Commission)正根据拟议中的欧盟-美国数据隐私框架(DPF)计划,与美国就充分性问题做出最终决定。欧盟司法专员Didier Reynders此前曾表示,欧盟-美国数据隐私框架(DPF)最早可能在7月份敲定,如果该命令像一些先前的命令一样包括三个月的执行期,新机制的确定可能是及时的。
“我们与大西洋两岸政策制定者正在进行的磋商持续表明,拟议中的新的欧盟-美国数据隐私框架将在暂停此类传输的最后期限前全面实施,但我们不能排除它无法及时完成的可能性,”Meta在其财报中写道。“即使在新的数据隐私框架生效后,我们也将评估爱尔兰数据保护委员会(DPC)的决定是否会影响我们的数据处理操作,以及影响的程度。”
在一次讨论文件提交事宜的投资者电话会议上,Meta公司首席财务官Susan Li表示,关于爱尔兰数据保护委员会(DPC)的命令,“有很多我们不知道的细节”和“重要变量”。她还称,“命令将持续多长时间”等未知因素将对该公司的发展“在整体方面产生重要影响”。
国际隐私专业协会(IAPP)副总裁兼首席知识官、注册信息隐私专家(CIPP)Caitlin Fennessy说,在即将到来的命令的更广范围内,“这可能导致欧盟企业要求美国商业伙伴进行数据本地化,或转向国内替代方案。这种转变可能会比充分性认定过程持续得更久。各个行业的隐私专家应该让他们的首席执行官和董事会为未来几个月的重大数据传输中断做好准备。”

【案件缘起】

2020年7月,欧盟法院(Court of European Union)宣布“隐私盾协议”无效,并给人们所知的“Schrems II”裁决的标准合同条款的使用蒙上了阴影。在欧盟法院(CJEU)的决定之后,爱尔兰数据保护委员会(DPC)根据爱尔兰的《数据保护法》启动了一项“自愿”调查以思考Facebook向美国的数据传输是否合法。
Meta对爱尔兰数据保护委员会(DPC)调查的法律质疑于2021年5月被爱尔兰高等法院驳回。这为爱尔兰数据保护委员会(DPC)最终达成决议草案铺平了道路,该决议草案旨在阻止Meta通过使用标准合约条款将个人数据从欧盟传输到美国。该决定草案已于2022年7月送交欧盟数据保护部门。
Meta回应称,在最终决定和确定更新隐私保护盾协议之前,该公司在欧盟的Facebook和Instagram业务可能会关闭。
向欧盟数据保护监管机构机制(DPAs)提交的决议触发了两个欧盟《通用数据保护条例》授权的与欧洲数据保护委员会相关的程序。欧洲数据保护监管机构(EDPB)首先采用了第60条程序,给各数据保护监管机构机制(DPAs)提供了一个月的时间来对爱尔兰数据保护委员会(DPC)的决议草案进行审议、评议或表达“相关或合理的反对意见”。有人提出了异议,迫使各成员根据第65条解决争议。
欧洲数据保护监管机构(EDPB)于4月13日发布的具有约束力的第65条决定解决了数据保护主管机构的分歧,即“是否必须将行政罚款和/或使处理符合法规的附加命令纳入爱尔兰数据保护监管机构机制(DPA)的最终决定。”
爱尔兰数据保护委员会(DPC)有一个月的时间根据欧洲数据保护监管机构(EDPB)的意见和法律分析作出最后决定。爱尔兰数据保护专员Helen Dixon最近表示,她预计最终决定将不迟于5月12日公布。

补充信息

欧盟-美国数据隐私框架(DPF)

为允许数据从欧洲经济区(EEA)向美国进行跨境传输的目的,欧盟委员会于2022年12月14日提交了一份新的充分性认定草案,即“数据隐私框架”或“DPF”。其要点包括:
·对美国数据跨境输入者的义务进行了规定。美国数据输入者必须遵守DPF原则并根据DPF原则进行自我认证。
·对美国情报机构的义务进行了规定。DPF根据的是美国总统的行政命令,且美国承诺确保公共机构在访问欧洲的个人数据时采取相称的行动。
DPF是否生效取决于两个因素:即,它必须成功完成在欧盟的程序,且美国必须兑现他们在总统行政命令中规定的“承诺”,并将其适用于欧盟。
来源:
https://iapp.org/news/a/meta-braces-for-eu-shutdown-gdpr-fine/

来源: 数字治理全球洞察 公众号


评论列表(0)
暂无提问

发表提问 取消回复

登录

客服热线:
021-621880012 ( 9:00-18:00 )

icp备案号:2022 安拓EVERPRO, 沪ICP备19019733号-2
关于我们| 我们的优势| 我们的客户| 产品与服务| 业务合作| 联系我们

安卓下载

ios下载

小程序

订阅号