anonym.legal
返回博客GDPR 与合规

荷兰AP:€290万Uber罚款以及为什么跨国数据转移问题

荷兰AP对Uber的€290万罚款涉及跨国数据转移。以下是荷兰当局如何处理国际PII流动的。

April 21, 20267 分钟阅读
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

€290万罚款的背景

2024年,荷兰AP(荷兰数据保护当局)对Uber的自驾车团队罚款€2,900,000,因为将荷兰员工的PII转移到美国而没有充分的保护。

这个案件说明了荷兰AP对跨国数据转移的立场:它是高风险的,需要特殊关注。

荷兰AP关于跨国转移的立场

基本规则:如果您将欧盟PII转移到欧盟外,您需要一个合法机制和补充措施。

合法机制包括:

  1. 欧盟委员会充分性决定

    • 欧盟委员会已确定某些国家有"充分"的数据保护
    • 英国、以色列等
    • 没有额外要求

  2. 标准合约条款(SCC)

    • 欧盟批准的模板
    • 在控制人和处理人之间使用
    • 但自SCHREMS II以来,不足以转移到美国

  3. 结合补充措施

    • SCC + 额外保护
    • 例如加密、伪装名称、访问控制

SCHREMS II问题

SCHREMS II(2020年)是欧洲法院对美国数据保护充分性的裁定。法院说:

美国政府监视法律(FISA 702、EO 12333等)允许政府访问PII,没有充分的人权保护。因此,简单的SCC不足以保护欧盟PII。

结果:转移到美国需要SCC +补充措施。

这影响了:

  • 任何在美国处理欧盟PII的美国公司
  • 任何使用美国云服务(AWS、Azure、Google Cloud)的欧盟组织
  • 任何使用美国AI工具(ChatGPT、Gemini等)的欧盟组织

荷兰AP对Uber的具体问题

问题1:缺乏SCC

Uber将荷兰员工数据(名称、电话、地址、电子邮件)转移到美国,但没有标准合约条款。

荷兰AP说:这违反GDPR第46条。您需要一个合法机制。即使SCC本身不足以应对SCHREMS II,至少您需要有一个SCC。

问题2:没有补充措施

即使有SCC,Uber也没有实施补充措施来应对美国监视法律:

  • 没有加密
  • 没有最小化(发送了所有字段)
  • 没有访问限制
  • 没有员工选择不转移其数据

问题3:特别敏感的数据

Uber转移的数据包括员工的家庭地址——这在欧盟被认为是特别敏感的。

AP说:"家庭地址是PII和隐私风险。转移它到美国需要特别小心。"

荷兰AP的补充措施指导

荷兰AP发布了关于应对SCHREMS II的补充措施指导。有效的补充措施包括:

加密和密钥管理

  • 在传输中加密(SSL/TLS)——这是基础,不是补充措施
  • 静止时加密——数据在美国服务器上加密
  • 端到端加密——美国方无法访问解密密钥

荷兰AP说:"端到端加密是最强有力的补充措施。"

假名化和最小化

  • 仅转移必要的字段(不是所有数据)
  • 用假名替换标识符
  • 移除或分离敏感字段

访问控制

  • 限制美国方可以访问PII
  • 限制访问的人(而不是"所有员工")
  • 使用角色基础访问控制
  • 审计对PII的所有访问

合同条款

  • SCC加强条款说:美国方不会与政府共享PII
  • 但这很难执行(如果政府发出国家安全信)
  • 条款应包括数据删除、数据可迁移性和审计权

转移失败的荷兰AP案例

案例1:Clearview AI

Clearview AI(美国面部识别公司)扫描欧盟公开照片,创建一个包含数百万欧盟脸的数据库,并将其存储在美国。

荷兰AP说:这是违法的。没有SCC,没有补充措施,没有法律依据。Clearview必须删除所有欧盟数据。

罚款:€30,000,000(2024年)。

案例2:Google Analytics

Many EU organizations使用Google Analytics,它将访客数据发送给美国。

荷兰AP说:如果您不实施补充措施(如假名化或存储)以应对SCHREMS II,Google Analytics的使用是违法的。

许多欧盟网站在2021-2023年关闭了Google Analytics以遵守。

荷兰AP对主要云服务的见解

AWS(美国)

  • SCHREMS II风险:是的
  • 补充措施需求:是的
  • 荷兰AP建议:在欧盟区域存储,使用服务端加密

Microsoft Azure(美国总部)

  • SCHREMS II风险:是的(尽管有Azure欧洲区域)
  • 补充措施需求:是的,除非使用仅欧盟区域

Google Cloud(美国)

  • SCHREMS II风险:是的
  • 补充措施需求:是的

Schrems友好的替代方案:

  • Scaleway(欧洲云)
  • Nextcloud(自托管)
  • OVHcloud(欧洲托管)

GDPR第44-49条:转移机制

要在欧盟外传输PII,GDPR要求(第44条)一个"合适的保障措施"。这些包括:

  1. 充分性决定(第45条)

    • 欧盟委员会已决定该国有充分保护
    • 当前:英国、以色列、加拿大(部分)
    • 不包括:美国、中国、大多数其他国家

  2. 标准合约条款(第46条)

    • 欧盟批准的合同
    • 在控制人-处理人或控制人-控制人对之间
    • 自SCHREMS II以来,不足以用于美国

  3. 约束性公司规则(第46条)

    • 大型跨国公司用于内部转移
    • 例如,Google集团内的数据转移
    • 需要DPA事先批准

  4. 特定授权(第49条)

    • 具体情况例外(员工同意、合约必要等)
    • 仅对第46条要求之外的特定转移

荷兰AP审计准备

对于进行国际转移的任何欧盟组织:

  1. 目标国家清单

    • 您将PII转移到哪些国家?
    • 每个国家有什么保护级别?

  2. 转移机制

    • 美国、中国等:需要SCC + 补充措施
    • 英国、加拿大:需要SCC(或仅充分性)

  3. 补充措施实施

    • 加密是否已部署?
    • 假名化是否已部署?
    • 访问是否受到限制?

  4. 合同审查

    • SCC是否已签署?
    • 条款是否反映SCHREMS II要求?
    • 是否有FISA 702条款?

  5. 员工沟通

    • 员工是否了解他们的数据转移?
    • 他们有选择退出的选项吗?

底线

荷兰AP对跨国转移的关键信息是:

它不是自动的。您不能仅仅因为拥有SCC就转移PII。您需要评估目标国家的保护,实施补充措施(特别是对于美国),并能够证明转移是合法的。

€290万罚款是提醒:跨国转移需要认真对待。

来源:

相关文章

GDPR 与合规

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR 与合规

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR 与合规

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

准备好保护您的数据了吗?

开始使用 285 种实体类型在 48 种语言中匿名化 PII。

开始免费试用查看功能