Meta因将数据转移到美国服务器，被欧盟处以 13 亿美元罚款-安全KER

爱尔兰数据保护委员会 (DPC) 在声称Meta违反 GDPR（通用数据保护条例）第 46(1) 条后，宣布对 Facebook 处以 13 亿美元的罚款。

更具体地说，发现 Facebook 将该平台的欧盟用户的数据转移到了美国，美国的数据保护法规因州而异，并且被认为不足以保护欧盟数据主体的权利。

GDPR 第 46(1) 条禁止将个人数据传输到缺乏保证安全和法律补救机制的保障措施的国家或国际组织。

由于侵权行为，DPC 对 Facebook 的母公司 Meta Ireland 处以创纪录的 12 亿欧元（13 亿美元）罚款，并要求在做出决定后五个月内暂停所有违反 GDPR 的数据传输。

此外，Meta 将被要求在DPA 宣布后的六个月内停止处理或持有从欧盟非法传输到美国的任何数据。

Facebook 此前一直根据 GDPR 的 2016 年欧盟-美国隐私保护协议在欧洲国家和美国之间传输数据，该保护协议允许在隐私保护清单上的美国公司存储欧盟数据。
GDPR 下国际数据传输的变化在 2020 年 7 月的 “Schrems II”案中发生了变化，在该案中，CJEU 判定隐私盾裁决中的任何个人数据传输都是非法的，需要引入更严格的数据控制法规。
2020 年 8 月，爱尔兰 DPC 发起了对 Meta 数据传输活动的调查。2022 年 7 月，它发布了一份决定草案，强调这家科技巨头违反了 GDPR 第 46(1) 条。
2023 年 4 月 13 日，欧洲数据保护委员会 (EDPB) 通过了一项具有约束力的决定，指示 DPA 对 Meta 处以罚款并命令其遵守 GDPR。

今天，爱尔兰 DPC 处以 13 亿美元的行政罚款以反映 EDPB 的决定，并根据EDPB 的指导方针对 Meta 处以罚款（最高适用金额的 20% 至 100%），考虑到侵权的严重性。

Meta回应了这一决定，称无缝跨境数据传输对业务连续性至关重要，并认为行政罚款和限制令将对其在欧洲的服务产生严重影响。

该公司表示，所有跨大西洋数据传输均受所有组织使用的标准合同条款 (SCC) 控制，欧洲法院此前接受这些条款作为确定“法律保障”的有效替代方案。

与数以千计的其他企业一样，Meta 使用 SCC，认为它们符合通用数据保护条例 (GDPR)。该公司认为罚款不公平、不必要且不相称，并计划对该裁决提出上诉，并对罚款和相关命令的严重程度提出异议。

这与一家公司的隐私做法无关——美国政府关于数据访问的规则与欧洲隐私权之间存在根本的法律冲突，政策制定者预计将在夏季解决这一问题。

Meta 批评 EDPB 决定无视 DPC 承认该公司之前善意行事的决定，并强调这些程序的时机不佳，考虑到即将实施的数据隐私框架 (DPF) 即将实施，解决了当前的法律冲突。