荷兰「个人数据保护局」(Autoriteit Persoonsgegevens,AP)于2024年8月对Uber处以2.9亿欧元罚款,原因是该公司在无有效数据传输协议的情况下将司机数据发送至美国服务器。迄今为止,没有任何GDPR案例因跨境传输产生更高罚款。AP在2023年还处理了超过21,400件投诉,跻身欧洲最繁忙的数据监管机构之列。
AP在Uber案中的调查发现
Uber从荷兰和法国的司机处收集数据,涵盖位置历史、身份证件、工资记录、驾驶记录和税务文件,全部传输至美国服务器。AP裁定该传输机制无效。
三项调查发现支撑了这一决定:
- 传输机制存在缺陷: Uber采用约束性企业规则(BCR),但AP认定其未覆盖涉案司机数据的范围和敏感程度。
- 缺乏传输影响评估(TIA): Uber未能证明美国法律保留了约定的传输保护措施。
- 组合数据的敏感性: 位置数据、薪酬记录和绩效评分的组合为每位司机描绘出详细的个人画像。AP将这一组合视为等同于特殊类别个人数据处理。
Uber案确立了明确规则:发往美国的员工和承包商数据,与消费者数据同等适用TIA和额外保护措施的要求。
AP 2025年执法重点领域
2026年更新版
AP已明确2025年重点关注的三个领域。
员工监控: 远程办公跟踪工具是首要目标,包括生产力日志、屏幕截图、键盘记录和远程位置工具。在部署此类工具之前,企业必须记录拒绝采用侵扰性更低方案的理由。
跨境数据传输: Uber裁决后,AP正在检查各类传输机制。依赖美国、亚洲或其他非适当性认定国家服务的企业均在审查范围内。任何将美国软件工具用于人力资源、项目管理或客户数据的企业,必须备有最新的TIA文件。
自动化决策: AI信用评分、招聘筛选和绩效系统触发第22条的合规义务。AP重点审查在无真正人工审核步骤的情况下进行自动化决策的组织,员工和消费者均须受到保护。
BSN:受保护的国家标识符
「公民服务号」(Burgerservicenummer,BSN)是荷兰使用的9位身份号码,通过Elfproef(十一校验法)进行验证。校验方法为:将每位数字乘以从9递减至−1的权重,求和,结果须能被11整除。
《公民服务号通则法》(Wet algemene bepalingen burgerservicenummer)将BSN的使用限定于特定法律场景,包括税务、医疗、政府事务和雇主薪资发放。在这些场景之外使用BSN将触发该法律的执法程序,并在此之上适用GDPR责任。
为何通用工具会遗漏BSN: 许多NLP工具不包含Elfproef校验。没有此校验,任何9位数字字符串都可能被标记为疑似BSN,在金融和行政文件中产生大量误报;输入错误的BSN同样会被遗漏——它们无法通过校验,但外观上与有效模式无异。有关欧洲各国ID格式的完整对比,请参阅我们的欧盟国家税务ID与个人信息检测指南。
荷兰语文本的命名实体识别
荷兰语(Nederlands)的特性往往使英语训练模型陷入困境。
复合词: 荷兰语将词语连写。Persoonsgegevens(个人数据)和Burgerservicenummer(公民身份号码)各自是一个单词。为英语构建的模型往往在错误位置拆分这些词,导致实体检测失效。
姓名后缀: -je和*-tje后缀出现在名字中,如Annetje*、Hansje。姓名模型须同时处理基础形式和缩略形式。
地址格式: 街道类型包括Straat、Laan、Weg、Plein和Gracht。邮政编码格式为四位数字加两个字母(例如:1234 AB)。每个编码对应单条街道,其揭示的信息比大多数欧洲邮政编码更为精确。
IBAN格式: 荷兰IBAN为18位字符:NL + 2位校验字符 + 4位银行代码 + 10位账号。该国卡片支付普及率高,金融文件因此包含大量IBAN。有关各类ID的置信度评分方法,请参阅二元个人信息检测与置信度评分。
AP合规技术清单
要满足AP的现行标准,数据系统须具备:
- 带Elfproef校验的BSN检测 — 仅匹配模式是不够的
- 荷兰语NER — spaCy的
nl_core_news模型可处理复合词和缩略姓名 - IBAN检测 — 格式感知,而非通用匹配
- 针对所有跨境传输的次处理商记录
- 美国供应商TIA — Uber裁决后的实时AP审计优先事项
Uber裁决后,美国供应商的TIA已从最佳实践上升为基准要求。有关该裁决及其传输影响的完整分析,请参阅AP Uber罚款与跨境传输执法。