Meta收到创纪录“天价”罚单
Meta是脸书的母公司,目前Meta收到创纪录“天价”罚单!欧盟数据保护条例简介是什么呢?下面是小编为大家整理的Meta收到创纪录“天价”罚单,欢迎大家分享收藏!
Meta收到创纪录“天价”罚单
因违反欧盟数据保护条例,脸书母公司Meta22日被重罚12亿欧元。这是迄今欧盟对违反数据保护条例企业开出的最重罚单。
爱尔兰数据保护委员会当日公布相关裁决。由于Meta欧洲总部设在爱尔兰,现由爱尔兰数据保护委员会负责监管Meta在欧盟市场的数据保护事宜。
爱尔兰数据保护委员会认定,Meta向美国传输大量欧盟用户个人数据,但未能充分保护这些数据的安全,由此违反欧盟《一般数据保护条例》(GDPR),对欧盟用户的基本权利和自由带来风险。
据此Meta被处以12亿欧元的罚款,还需根据欧盟《一般数据保护条例》的要求进行“整改”,在接到裁决通知的5个月内暂停向美国传输欧盟用户个人数据,半年内停止非法处理及存储欧盟用户个人数据。
22日晚些时候,Meta回应称,爱尔兰数据保护委员会的裁决存在缺陷,将为美欧企业跨境数据传输树立“危险先例”,Meta将提起上诉;另一方面,统领数据监管的欧盟数据保护委员会表示,Meta违规行为极为严重,“创纪录”的12亿欧元罚款表明这些行为须承担严重后果。
2018年5月,被视为“世界最严”的欧盟《一般数据保护条例》开始生效。条例规定,如果保护用户数据不利,轻者可被罚一千万欧元或前一年全球营业收入的2%,重者可被罚两千万欧元或前一年全球营业收入的4%(罚款额均为“两值中取大者”)。
2021年7月,因违反欧盟《一般数据保护条例》,美国电商巨头亚马逊被负责监管的卢森堡当局重罚7.46亿欧元;Meta旗下的脸书、即时通信工具WhatsApp、社交媒体应用程序Instagram等也数度被罚,罚金从数百万欧元到上亿欧元不等。
meta被欧盟罚款12亿欧元
因违反欧盟数据保护条例,脸书母公司Meta22日被重罚12亿欧元。这是迄今欧盟对违反数据保护条例企业开出的最重罚单。
爱尔兰数据保护委员会当日公布相关裁决。由于Meta欧洲总部设在爱尔兰,现由爱尔兰数据保护委员会负责监管Meta在欧盟市场的数据保护事宜。
爱尔兰数据保护委员会认定,Meta向美国传输大量欧盟用户个人数据,但未能充分保护这些数据的安全,由此违反欧盟《一般数据保护条例》(GDPR),对欧盟用户的基本权利和自由带来风险。
欧盟数据保护条例简介
《通用数据保护条例》的源起
大数据分析技术使企业能够跟踪和预测个人行为,并用于自动化决策、推广。个人数据的网络泄露使欧盟公民面临巨大的个人风险。同时,现行的《关于个人数据处理保护与自由流动指令》未能有效地解决数据收集、存储、传输等问题。
为了解决上述问题,2016年欧洲会议通过了《通用数据保护条例》,并于2018年5月25日生效。该条例取代了《关于个人数据处理保护与自由流动指令》。这是一项严格的数据保护立法,规定了处理、存储和管理规则,且无须各成员国内部转化,即对欧盟范围内所有的个人数据产生适当的保护。任何瞄准欧盟市场的企业同样受其约束。虽然该条例用于欧盟成员国,但其影响具有全球性,对数据发展带来了新的挑战。
同时,《通用数据保护条例》仍然规定了繁重的合规义务,影响到世界各地的企业。受《通用数据保护条例》约束的企业必须遵守严格的个人数据保护规则,并要求风险较高的企业开启数据保护影响评估。这些企业必须保障与其供应商和服务提供商签订的合同中包含特定的数据保护条款,能够回应个人请求的系统和流程。这些个人请求保护下的权利,包括访问、更正、端口、删除或限制个人数据处理的权利。
《通用数据保护条例》的特点
实施更严格的同意标准
为了保证数据采集、储存等环节的客观性,《通用数据保护条例》设定了更为严格的同意标准。一方面,企业在收集前必须通知数据所有者,并取得数据所有者明确的授权;另一方面,该条例列出了需要提供的具体信息,包括控制者的身份,处理的目标,法律依据等,从而充分保障了数据所有者的知情权。
加强数据主体的权利
《通用数据保护条例》赋予了数据主体多项权利,例如,被遗忘权、可携带权等。尤其是被遗忘的权利,是该条例的亮点。该条例规定数据所有人有权要求数据持有人和处理人删除与其相关的个人数据。但该权利在获得保护的同时也同样受到限制,在遵守法定义务、公共利益和保障言论自由或为了实现科学研究时不应当删除。
此外,数据管理需对其使用个人数据的安全性、可用性、保密性和完整性负责。例如,在获得同意权后,数据持有者应当按照法规进行收集、存储和处理,并有责任证明收集程序的合规性。如果不遵守以上规定,数据主管部门可以对数据持有人处以高额罚款。例如,普华永道无法证明他们对数据处理获得了有效同意,因而被希腊数据管理机构处以高达15万欧元的罚款。与此同时,该条例还规定了一套获取个人数据的原则:合法性、忠诚度和透明度、特定目标、收集数据的限制、准确性、完整性、保密性。
引入了强制性违约通知
条例规定各企业在个人数据安全受到高危信息安全泄露时,则受数据泄露的企业必须在发现数据泄露后72小时内通知数据保护机构。
如果数据处理对数据权利和自由带来了高风险,则仍需要对涉及的对象进行数据影响评估。此类评估必须详细说明为应对风险和确保合规而采取的安全防护措施。
违法成本大幅度增加
对于轻微违规行为,企业可被处以其全球收入的2%或1000万欧元的罚款(以较高者为准)。对于更严重的违规行为,最高可处以全球收入的4%或2000万欧元的罚款(以较高者为准)。
如果一个企业不遵守《通用数据保护条例》,它可能会付出高昂的代价。鉴于任何人都可以提交投诉,所以违反《通用数据保护条例》被发现的概率很大。目前,罚款较高的案件有谷歌案、英国航空案、万豪酒店集团案,分别被罚约5000万欧元、约2亿欧元和约1.6亿欧元。
扩大了数据保护的范围
由于收集和处理与欧盟公民相关信息的任何人或任何企业都必须遵守数据保护原则,无论其基于何处或数据存储在何处,甚至是云存储也不例外。这意味着,个人数据的定义得到了扩大。原来的个人数据包括可直接或间接识别个人的信息。而根据新的定义,IP地址、电子邮件,电力设备等标识均被作为个人信息。
从现状来看,《通用数据保护条例》规定的信息几乎涵盖所有个人数据,从根本上改变了全球企业处理数据的方式。《通用数据保护条例》立法宗旨是通过让消费者更好地了解是谁以及出于什么原因收集他们的数据,从而增强数据所有者的权能。在此基础上,该条例允许消费者选择不成为数据收集的主体。