荷兰数据保护局 (DPA) 对 Uber 处以创纪录的 2.9 亿欧元(3.24 亿美元)罚款,原因是其涉嫌在向美国发送敏感司机数据时未能遵守欧盟 (EU) 数据保护标准。
“荷兰 DPA 发现,Uber 将欧洲出租车司机的个人数据传输到美国 (U.S.),并且未能适当保护与这些传输相关的数据,”该机构表示。
数据保护监管机构表示,此举构成了对《通用数据保护条例》(GDPR) 的“严重”违反。作为回应,网约车、快递和送餐服务已经结束了这种做法。
据信,优步收集了司机的敏感信息,并将其在美国的服务器上保留了两年多。这包括帐户详细信息和出租车执照、位置数据、照片、付款详细信息和身份证件。在某些情况下,它还包含司机的犯罪和医疗数据。
DPA 指责 Uber 在没有使用适当机制的情况下进行数据传输,特别是考虑到欧盟宣布欧盟-美国协议无效。2020 年的隐私护盾。一个被称为 E.U.-U.S.数据隐私框架于 2023 年 7 月宣布。
“根据荷兰 DPA 的说法,由于 Uber 从 2021 年 8 月起不再使用标准合同条款,因此来自欧盟的司机的数据没有得到充分保护,”该机构表示。“自去年年底以来,Uber 使用了隐私护盾的继任者。”
在与彭博社分享的一份声明中,Uber 表示罚款“完全不合理”,并打算对这一决定提出异议。它进一步表示,跨境数据传输过程符合 GDPR。
今年早些时候,DPA 对 Uber 处以 1000 万欧元的罚款,原因是该公司未能披露其有关欧洲司机及其共享数据的非欧洲国家的数据保留期的全部细节。
“Uber 让司机提交查看或接收其个人数据副本的请求变得不必要地复杂,”DPA 在 2024 年 1 月指出。
“此外,他们没有在隐私条款和条件中具体说明 Uber 保留其司机的个人数据多长时间,或者在将这些信息发送给 [欧洲经济区] 以外国家的实体时采取了哪些具体的安全措施。”
这不是美国公司第一次因美国在欧盟数据传输方面缺乏同等的隐私保护而成为欧盟数据保护机构的目标,这引发了人们对欧洲用户数据可能受到美国监控计划的担忧。
早在 2022 年,奥地利和法国监管机构就裁定,Google Analytics 数据的跨大西洋移动违反了 GDPR 法律。
“想想那些可以大规模利用数据的政府,”DPA 主席 Aleid Wolfsen 说。“这就是为什么如果企业将欧洲人的个人数据存储在欧盟之外,他们通常有义务采取额外措施。”