數位科技的高速發展,對人類生活帶來了全面的影響,但在享受生活、工作等多面向便捷的同時,資訊安全與個資保護已成為近年最受關注的問題。
荷蘭資料保護局(DPA)周一(26日)表示,叫車平台Uber(優步)因傳輸歐洲地區合作駕駛的個資到設於美國的伺服器,並未能妥善保存,已違反歐盟法規,被處以2億9千萬歐元(約台幣103億元)罰款。這已是Uber在過去5年內第3度因個資問題被罰款。
綜合《Euronews》與《德國之聲》(DW)報導,這起案件的源起是在2021年,由法國非政府組織「人權聯盟」(Ligue des droits de l'Homme)代表逾170名Uber司機,向法國資料保護當局提出申訴後啟動調查。而因Uber的歐洲、中東和非洲總部位於荷蘭阿姆斯特丹,DPA在今年(2024年)接手此案開始調查。
DPA指出,Uber收集了合作駕駛的涉及敏感個資,並將其保存在主機位於美國的伺服器上2年多,包括帳戶詳細資料、駕照、位置資料、照片、付款詳細資料和身分證件,甚至在某些情況下,還包含司機的犯罪和醫療數據。「荷蘭DPA發現Uber將歐洲駕駛的個人數據傳輸到美國,但未能適當保護這些數據,此舉嚴重違反了《歐盟通用資料保護規範》(GDPR)」。
DPA認為:「Uber讓駕駛提交查閱個人資料副本的請求,變得不必要的複雜化。此外,Uber並未在《隱私條款》中具體說明將保留駕駛個資的時間,也沒有具體說明在將這些資訊發送給歐盟以外國家時採取哪些具體的安全措施」。
Uner公司回應,目前旗下業務包括叫車、快遞和送餐服務等,已經停止了這種做法。Uber發言人尼克森(Caspar Nixon)認為:「這個有瑕疵的決定和高得嚇人的罰款,一點也不合理」,「在歐盟和美國在資訊保護法令出現巨大變化的3年間,Uber的跨境資料傳輸程序都遵守《GDPR》」,Uber認為,這問題可以追溯到2020年,當時歐盟法院裁定施行中的「歐盟-美國資料傳輸框架」(EU-US Data Transfer Framework)並不符合《GDPR》。尼克森強調,Uber將對這項裁決提出申訴,「有信心常識將會獲勝」。
歐盟電腦與通訊產業協會(CCIA Europe)則發表了支持Uber的聲明,強調近3年來,歐洲和美國的企業間「沒有任何明確的跨大西洋資料流指導方針」。協會政策主管羅瑞(Alexandre Roure)表示:「資料保護機構的任何追溯性罰款令人擔憂,因為在法律存在重大不確定性的時期,在缺乏任何明確的法律框架的情況下,這些隱私監管機構並未提供有效的指導與協助」,對CCIA來說,追溯性罰款意味著2020至2023年間在「線上」發生的任何事,包括視訊會議到線上支付處理,都將存在法律的不確定性。
Uber可針對這項決定向DPA提出申訴,若不成功,可再到荷蘭法院提起訴訟。DPA表示,申訴程序預計耗時約4年,在所有法律追索權行使完畢前,任何罰款都會暫緩執行。
近年來,歐盟對美國企業的資訊保護屢屢做出大規模裁罰,包括《TikTok》、電動車龍頭特斯拉(Tesla)、搜尋引擎龍頭《谷歌》(Google)與《臉書》(facebook)母公司Meta,都曾被處以天價罰款,而原因不外個資保護不夠妥善,特別是涉及兒少領域。而僅Uber在過去5年內就已被3度開罰。
DPA主席沃夫森(Aleid Wolfsen)表示:「想想可以大規模利用這些數據的政府。這就是為什麼企業如果將歐洲民眾的個人資料儲存在歐盟以外的地方,就有義務採取額外的保護措施」。