Meta 被罚 12 亿欧元:SCC 为何不再够用

Meta 被罚 12 亿欧元:SCC 为何不再够用

Kaamel Lab
Kaamel Lab 2023年5月26日

爱尔兰数据保护委员会(DPC)于 2023 年 5 月对 Meta 处以 12 亿欧元(约 13 亿美元)罚款,创下 GDPR 迄今最高纪录。核心问题不是 Meta 没有采取保障措施,而是它采取的标准合同条款(SCC)被认定不足以弥补美国法律与欧盟之间的保护落差。这个案子把跨境合规的标准,从“有没有签 SCC”抬高到了“接收国的法律体系能否提供与欧盟基本等同的保护”。

TL;DR

从 Schrems I、II 到本案

这一系列案件源于 2013 年斯诺登事件后,奥地利隐私活动人士 Max Schrems 对 Facebook Ireland 将用户数据转移至美国的质疑。欧盟法院(CJEU)先后宣布欧盟-美国“安全港”协议无效(Schrems I),又在 Schrems II 判决中因美国的监控计划宣布“隐私盾”决定无效,并对基于 SCC 的转移提出更严格要求。欧盟委员会随后更新了 SCC,以符合 GDPR 的高标准。Meta 正是这一系列判例的当事公司,间接推动了欧盟跨境数据规则的改革。

Meta 欧盟-美国跨境数据传输系列案件时间线:从安全港、隐私盾到 SCC 更新

DPC 的四点认定

在 Schrems II 之后,DPC 调查了 Meta 基于 SCC 在欧盟/欧洲经济区(EEA)以外转移用户数据的做法,并作出四点认定:美国法律未提供与欧盟基本等同的保护水平;无论 2010 年还是 2021 年的 SCC 都无法弥补这一不足;Meta Ireland 未采取补充措施加以弥补;在转移时 Meta 也不能依赖 GDPR 第 49(1) 条的豁免。

按 GDPR 规定,向第三国转移数据须满足特定条件:基于适当性认定(白名单国家),或采取适当保障措施(有约束力的企业规则 BCR、欧盟委员会批准的 SCC、经批准的行为准则或认证机制)。SCC 以合同义务要求数据引入方提供与欧盟同等的保护水平。但欧洲数据保护委员会(EDPB)认为,仅依靠 SCC 不足以解决美国数据保护的不足,使其作为保障措施失效。

为什么第 49 条豁免没能救场

Meta 依 GDPR 第 49 条提出反诉,试图以其他依据为转移辩护。第 49 条允许在无适当性认定或适当保障措施时,基于数据主体明确同意、合同必要、公共利益、法律主张、关键利益等情形进行转移;在这些克减条件均不满足时,还有一条严格的兜底路径,要求转移是非重复性的、只涉及很小一部分数据主体、且对控制者压倒性正当利益必要。Meta 的主张未获成功,正是因为它的数据转移属重复性、涉及大量数据主体,无法满足这些限制。

问题的关键在于接收国的法律水平。EDPB 建议 SCC 应包含附加条款,特别是防止 Meta 与美国当局共享个人数据;判决还强调 Meta 隐私政策中“依美国法律回应当局请求”的规定,表明 Meta US 受美国法律约束。因此,SCC 之类保障措施是否适当,最终取决于接收国法律体系能提供的保护水平,以及是否存在限制 GDPR 所要求保护的本地法律。

对出海企业的启示

本案并未让 SCC 整体失效,涉及第三国转移的每个案例仍按具体情况评估。可行的做法有三条:继续把 SCC 作为可用工具,但对接收国法律做转移影响评估(TIA)并在评估基础上叠加合同、技术、组织层面的补充措施;或将欧盟用户数据的处理与存储放在欧盟境内、或被认定为适当性保护的国家;再或等待新的跨境机制落地。就在本案前后,欧盟委员会通过了欧盟-美国数据隐私框架 DPF 的充分性决定 ,为欧美传输提供了新路径;SCC 在其他法域的实践可参考巴西数据保护机构发布的 SCC 与数据跨境传输条例 ;同类的 Google Analytics 传输执法,见瑞典因使用 Google Analytics 传美数据被罚 。转移影响评估的操作,可参考CNIL 的数据转移影响评估(TIA)指南

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.