Meta遭歐盟開罰12億歐元，因非法轉移數據涉嫌違反GDPR

社交媒體巨頭Meta近日因為開發元宇宙遭遇財務困境，為了押注開發AI技術，近日再度大規模裁員。然而，Meta昨日遭到歐洲數據保護委員會(DPC)的重大打擊，被罰款12億歐元，原因是該公司的愛爾蘭分公司涉嫌違反歐盟通用數據保護條例(GDPR)，非法轉移數據至美國。

指控非法轉移數據至美國，開罰12億歐元

DPC指出，該機構最初於2020年8月開始對Meta進行調查，發現Meta愛爾蘭分公司通過提供Facebook服務，將位於歐盟的個人數據傳輸到美國。 DPC在調查中發現，Meta違反了GDPR的第46(1)條，該條規定只有在提供適當保護措施、並且數據主體的權利能夠得到執行並具備有效救濟措施的情況下，才可以將個人數據轉移至第三國或國際組織。然而，Meta並沒有立即停止數據傳輸，違反了該條規定。雖然Meta已經根據歐盟委員會於2021年通過的更新後的《標準合同條款》(SCC)及實施額外補充措施，但仍然違反了歐洲法院(CJEU)的規定。最終，DPC將該裁決提交給其他歐盟監管機構審議，以根據第65條爭端解決機制進行裁決。

Meta高管不服裁決擬上訴

Meta全球事務總裁Nick Clegg和法務長Jennifer Newstead回應該裁決時表示，認為歐盟的命令可能會傷害Meta的用戶，擬對該裁定提出上訴，並將立即尋求暫停執行判決。 Meta認為，該罰款源於美國政府與歐盟在《隱私盾》數據傳輸保護協議的爭議，而Meta作為商業機構無力解決此問題。此外，Meta質疑DPC否定其抗辯權利。儘管有小部分成員國對裁決草案提出異議，例如要求Meta應該為已轉移的數據負責，對Meta的侵權行為開罰，但DPC不同意有關提議，認為此超出了“適當、相稱和必要”的行使范圍。

Meta需遵守裁決，暫停未來向美國的個人數據傳輸

最終，EDPB要求Meta愛爾蘭分公司在DPC向其發出決定通知日起五個月內，暫停未來任何向美國的個人數據傳輸，並需繳納12億歐元的行政罰款。此外，Meta還需停止在美國非法處理（包括存儲）歐盟個人數據，並確保通知日起6個月內不再進行違反GDPR的數據轉移。這項裁決對於Meta來說是一個嚴峻的挑戰，需要公司採取措施來遵守裁決並保護用戶數據。