荷兰和法国的隐私监管机构对 Uber 处以 2.9 亿欧元(3.24 亿美元)的罚款,原因是该公司涉嫌在向美国发送敏感出租车司机数据时未遵守欧盟 (EU) 数据保护标准,将欧洲出租车司机的个人数据转移至欧盟以外。
数据保护监管机构表示,此举严重违反了《通用数据保护条例》(GDPR)。
有关部门发现,Uber 收集了司机的敏感信息,并在美国服务器上保存超过两年,涉及敏感信息包括账户详情、出租车执照、位置数据、照片、付款信息、身份证件,甚至有犯罪和医疗数据。
“Uber 让司机申请查看或接收个人数据副本的过程非常复杂。”数据保护机构在 2024 年 1 月指出,“此外,Uber 没有在隐私条款和条件中具体说明其保留其司机个人数据的时间长度,也未说明将数据传送至欧洲经济区以外的国家时采取的具体安全措施。”
Uber 在与彭博社分享的一份声明中表示,罚款“完全没有道理”,并计划对这一决定提出异议,称其跨境数据传输流程符合 GDPR 规定。
这并非美国公司首次因在欧盟数据传输中未能提供合理的隐私保护而受到欧盟数据保护机构的打击,这引发了人们对欧洲用户数据可能受到美国监控计划影响的担忧。
第一次是在2018 年,Uber 因未能保护客户和司机的个人数据,使其遭受未经授权的访问而被罚款 60 万欧元。这次网络安全事件影响了全球 5700 万名 Uber 用户。
第二次是在2023年12月11日,Uber在处理欧盟主体的数据时,数据管理做法模糊,DPA 机构对 Uber 处以 1000 万欧元的罚款。
“在欧洲,《通用数据保护条例》(GDPR)要求企业和政府谨慎处理个人数据,以保护人们的基本权利,”DPA主席 Aleid Wolfsen 表示。“然而,这种保护在欧洲以外的地区并不常见。”
(转载请注明出处@安全威胁纵横,本文来源:https://thehackernews.com/2024/08/dutch-regulators-fines-uber-290-million.html)
原文始发于微信公众号(安全威胁纵横):罚款 2.9 亿欧元!Uber 因将欧洲数据传输至美国服务器遭到严惩