日前荷兰数据保护局（The Dutch Data Protection Authority，以下简称为 DPA）方面表示，由于 Uber 将欧盟司机的个人信息数据传输到美国、且未能适当保护相关数据，这一行为严重违反了《通用数据保护条例》（GDPR），因此将对其处以 2.9 亿欧元的罚款。

据悉，此次 DPA 方面的指控源于 170 余名法国司机向法国人权利益组织（Ligue des droits de l'Homme，LDH）的投诉，因此其开展了对 Uber 的调查，随后其还向法国数据保护局提交了投诉。

据 DPA 方面透露，Uber 收集了来自欧盟司机的敏感信息，并在过去 2 年多的时间里将相关信息传输到位于美国的服务器，但其并未使用能够充分保护个人数据的传输工具。据悉，这些信息涉及帐户详情、出租车执照，以及位置数据、照片、付款详细信息、身份证件等，在某些情况下甚至涉及司机的犯罪和医疗数据。

对此 DPA 主席 Aleid Wolfsen 表示，" 在欧盟，GDPR 要求企业和政府以应有的谨慎处理个人数据，从而保护人们的基本权利。但遗憾的是这一点在欧盟以外并不明显。这就是为什么如果企业在欧盟以外存储欧盟用户的个人数据，通常必须采取额外措施的原因。Uber 没有达到 GDPR 的要求，以确保向美国传输数据时的保护水平，这是非常严重的事情 "。

但面对 DPA 的指控，Uber 方面则表示该处罚不合理、并将提出上诉。据 Uber 公司发言人表示，" 在欧盟和美国之间长达 3 年的巨大不确定性期间，Uber 的跨境数据传输流程符合 GDPR 的规定 "。

欧盟法院（Court of Justice of the EU）方面则认为，标准合同条款（Standard Contractual Clauses，SCC）仍可作为向欧盟以外国家传输数据的有效依据，但前提是在实践中能够保证同等的保护水平。此外 DPA 方面还补充到，"Uber 从 2021 年 8 月起就不再使用 SCC，欧盟司机的数据未得到充分保护。自去年年底起，Uber 已开始使用隐私盾协议（Privacy Shield）的后续版本 "。

值得一提的是，这并非 Uber 方面首次收到 DPA 的罚单。此前在 2018 年，DPA 方面称因其延迟通知数据泄露、违反了报告数据泄露的义务，对 Uber 处以 60 万欧元的罚款。随后在 2023 年，Uber 又因未能披露其欧盟司机数据保留期的全部细节或未透露其共享这些数据的非欧盟地区，被处以 1000 万欧元的罚款。

【本文图片来自网络】