今天將採取有關 Facebook 的歐盟和美國資料轉移合法性的重大決定

Meta 遭歐盟最高隱私監管機構針對個人資料傳輸作出封鎖決定

今天是 Meta 在歐洲的主要隱私監管機構 Meta 的最後期限，Meta 需要在該期限前作出最終決定，以提示是否需要將個人資料從歐盟傳輸到美國。TechCrunch 日前確認，愛爾蘭資料保護委員會（DPC）將在今天作出最終決定。然而我們理解到將會有進一步的延遲（約一週）直到該決定被公布。我們被告知，決定公布的日期是 5 月 22 日-假定在此之前不會有任何泄漏。根據歐洲資料保護委員會上個月做出的仲裁決定設定的時間表，2023 年 5 月 12 日是 DPC 對投訴的最後決定。將 DPC 的決定落實後，尚不清楚已做出何種決定-in the balance 的結果依然懸而未決。不過由於 Meta 在 2020 年秋天從 DPC 獲得了初步禁令，因此 Meta 被廣泛認為將被要求暫停資料流轉。當時，Meta 獲得了 DPC 程式的暫停，這有助於推遲對 GDPR 的執行時間表，直到愛爾蘭法院駁回 Meta 的挑戰。稍後，DPC 對此案的初步決定遭到其他歐盟資料保護當局的反對，這些爭議最後由 EDPB 的有約束力決定解決。這意味著監管程式至少已經走到了盡頭（但是 Meta 會挑戰在愛爾蘭法院任何暫停令）。Meta 一直試圖淡化這件事-該公司在最後一份宣告中聲稱，“它涉及到歐盟和美國法律的歷史性衝突，正在解決中”。這是指歐盟和美國立法機構之間有一個新的高級橫跨大西洋資料轉移框架的草案協議，旨在解決美國的監視實踐與歐盟資料保護權利之間的衝突。然而正如這個協議被命名的那樣，該歐美資料隱私框架仍在接受歐盟機構的審查，這些機構對其沒有足夠的保障提出了擔憂。就在本週，歐洲議會的議員再次要求委員會花更多時間改善這一提議-暗示可能會有進一步的延遲。而 Meta 似乎正賭上該協議達成，以拯救其資料傳輸的命運。

然而即使高級協議能夠及時抵達防止 Facebook 在今年關閉歐洲的可能性，Schrems 表示由於前身協議面臨了類似命運的挑戰，因此該新高級框架“有可能”被該地區的最高法院拒絕，所以他估計 Meta 只能再購買“兩年左右”的時間，然後問題就會再次出現，需要更長久的解決方案，他曾建議 Meta 需要聯邦 Facebook 的基礎設施。不過這樣一項重大的業務改造顯然也非常昂貴。

有趣的是，Schrems 表示最終的罰款如未被 Meta 出資抗議，則較具一個 eoibes 的操作指令有更多機會強制利用其業務模式改變，這項指令能夠強制進行惡意業務模式的修正。在此將 Meta 個人資料管理實踐混亂問題放大，這是之前洩露的內部檔案提出的-這也是之前 2023 年 5 月 11 日隱私倡導團體 noyb（其創始人 Max Schrems 是這一投訴的主要原因）向 EDPB 投訴其最初因非法廣告資料處理而受到的約 3.9 億歐元罰款規模不足的原因。雖然愛爾蘭實際上提出了比這更低的罰款-28 億歐元至 36 億歐元之間-但該監管機構被迫增加罰款金額，以落實 EDPB 的具有約束力的決定。如果沒有這樣的仲裁決定介入，Meta 在非法處理數百萬歐洲人的個人資料以進行行為廣告方面將面臨將不會受到強硬的 GDPR 強制執行。

不明朗的 EU-US 資料隱私框架協議迄今仍在進行審查

因此有趣的是，在 Facebook 出現無法逆行地完全清除使用者資料的情況下，對於違反規定轉移資料的 Meta 公司，可能面臨著罰款以及遵守不當行為模式的操作指令。，事實上 GDPR 允許最高可達全球年度營業額的 4％的罰款，儘管至今，Meta 在被罰款問題上取得了相當大的成功，遠低於理論最高額。換句話說，科技巨頭面臨的罰款比起迫使其改變濫用業務模式的操作指令所帶來的機會而言應該是更不受關注的。

盡管 Meta 仍在採用行為廣告定位技術挖掘歐洲的使用者，它至少被迫提供退訂選項，以前從未提供過此功能。讓 Meta 如何強制修復非法跨大西洋資料轉移問題是一個開放性的問題。但是毫無疑問，它會盡一切努力在法庭上爭取任何暫停令，因此它可能會找到一種足以延遲的方法，直到新的美國資料適用性協議出現。如果不是這樣，那麼代價就是真實的。在上個月的投資者收益電話會議上，該公司承認，對於暫停來自歐洲的資料流的命令，可能會影響其全球廣告收入的 10％。顯然，它希望不會發生這種情況，並寄希望於新的歐盟-美國資料轉移機制在最後的最後時刻得到批準。（該公司的發言人拒絕討論如果被要求暫停資料流，指回到政策制定者在新協議上所做的“進展”。）

Meta 可能面臨的巨大損失以及長期解決方案的思考

總體而言，Facebook（Meta）持續面臨資料轉移的挑戰與問題，而歐盟和美國的法律框架仍在審查之中，使得 Facebook 在歐盟國家的適用性面臨很大的問題。

除了資安議題外，企業亦因 RegTech 不足而對合規監管存在較多難點，這也需要企業額外處理在條例下進行監管工作所必需的資料工具及組織架構。而業界也應該重新針對企業合規管理進行思考，制定有效的人工智慧或監管科技工具，以降低管理成本和監管成本，並減少風險與不便。