荷兰 AP 与 Uber 罚款事件
2024年8月,荷兰AP(Autoriteit Persoonsgegevens,个人数据保护局)对Uber处以2.9亿欧元罚款。Uber在没有合法依据的情况下,将欧盟司机数据传输至美国服务器,涉及数据包括出租车执照、刑事记录核查、医疗记录和出行日志。
Uber在2020年7月Schrems II判决废除欧美「隐私盾」框架后开始转移这些数据,但此后两年仍维持数据传输,既无标准合同条款,也未采用第46条规定的任何其他传输机制。
此次罚款是欧盟就数据跨境传输违规开出的最大单项罚款,在所有GDPR罚款中排名第三。传输违规的代价已经极为高昂,绝非只有数据泄露才构成风险。
关于合规框架的简要概述,请参阅我们的GDPR合规指南。
荷兰 AP 的重点执法领域
荷兰AP在2023年收到超过21,400起投诉,重点关注三个领域。
优先领域一 — 员工监控(占案件总量43%): 荷兰多家企业因监控员工行为而被AP处以罚款。隐蔽摄像头、批量邮件内容审查和未经告知的GPS追踪均会触发监管行动。荷兰劳动法在GDPR之上设定了额外规则。
优先领域二 — 跨境数据传输(占31%): Uber罚款事件以及荷兰与爱尔兰DPC联合调查Cloudflare(2023年)之后,AP加强了对数据传输的监管。阿姆斯特丹科技行业在此方面风险较高,云服务商、金融科技公司和高速增长初创企业均在监管范围之内。
优先领域三 — 营销与用户画像(占26%): 涵盖Cookie同意、广告定向和直接营销。AP对「合法利益」持严格立场,要求提供有明确证据支撑的书面平衡性测试记录。
Uber 案后的数据传输规则
传输影响评估(TIA): 欧盟数据保护委员会要求对每项向第三国传输的数据开展TIA,评估目标国能否提供与欧盟法律等效的保护水平。AP指出,TIA须回答四个问题:
- 目标国的数据访问法律规定是什么?
- 情报机构的权限边界在哪里?
- 数据接收方被政府要求提交数据的历史记录如何?
- 数据主体可使用哪些法律救济手段?
标准合同条款不能单独满足要求: 标准合同条款本身无法满足第46条的要求。如果TIA表明存在政府数据访问风险,须采取额外保障措施。
AP认可的额外技术措施:
- 使用接收方无法解密的加密方案
- 传输前删除直接标识符,使接收方无法将数据关联至具体个人
- 传输前进行数据精简,去除接收方不需要的字段
离线桌面应用程序将所有处理工作在本地设备完成,不向外部传输任何数据,从根本上消除了该类业务场景中的传输问题。详见我们的安全与合规概览。
员工数据与荷兰劳动法
AP对员工监控案件43%的关注比例,反映了GDPR与荷兰劳动法之间的深度交叉。
在荷兰注册运营的组织须遵守三项规则:
职工委员会审批: 设有职工委员会的企业在部署任何监控工具前须获得其批准,包括AI工具、邮件检查和考勤系统。
目的适当性: 监控措施须与其声明目的相匹配,禁止隐蔽监控,公开监控须为侵扰最小的可行方案。
目的限制: 为某一目的收集的人事数据不得用于其他目的,须具备新的合法依据。
这些规则要求准备三类记录:职工委员会审批文件、目的适当性审查记录和管控措施说明。我们的合规检查清单涵盖上述全部内容。
荷兰个人信息检测
在荷兰使用的PII工具须能识别本地身份证件格式,标准全球化工具往往存在覆盖缺口:
- BSN(Burger Service Nummer): 9位荷兰国家身份证号码,须进行校验位验证
- IBAN(NL前缀): 荷兰国际银行账号,有独立的验证逻辑
- 邮政编码(postcode): 格式为4位数字+空格+2个字母
- DigiD: 政府数字身份标识码
- 医疗编号: BGZ和EP格式的患者记录编号
通用工具可能能检测IBAN,但未必能验证BSN校验位或识别荷兰邮政编码格式。在处理国家身份数据之前,须专门测试BSN检测功能,不能想当然地认为工具已具备覆盖能力。
荷兰组织的合规步骤
1. 数据传输审查: 梳理所有向第三国的数据流向,审查现有标准合同条款,对关键数据流开展TIA,并记录TIA识别出风险后所采取的额外技术措施。
2. 员工监控合规审查: 列出所有监控工具(包括AI工具),检查职工委员会审批记录是否完整,确认书面目的适当性审查存档。
3. PII覆盖检查: 测试PII工具对BSN、邮政编码和IBAN的检测能力,并在荷兰语文档上测试准确率。
4. 科技行业风险评估: 初创企业应记录降低传输风险的技术选型依据——欧盟区域云服务和本地化处理方案。使用欧美双边部署方案的云服务商,应记录其传输机制和TIA方案。
anonym.legal使用位于欧盟的Hetzner数据中心,采用零知识架构设计。服务器无法获取您的明文内容,即便服务器完全遭到攻击,攻击者得到的也只是AES-256-GCM密文。如需完全本地化处理,桌面应用程序可在您的设备上独立运行,不建立任何外部连接。
参考资料
- 荷兰AP:Autoriteit Persoonsgegevens官方网站 — 经核实外部链接
- 荷兰AP:Uber执法决定(2024年8月) — 经核实外部链接
- EDPB:关于补充传输措施的建议第01/2020号 — 经核实外部链接