推特可能在几天内面临其第一次GDPR处罚

2020-11-11 02:04:31

推特在去年初的“保护你的推文”功能中披露了这一漏洞,当时表示,早在2014年,一些应用其设置将推文公之于众的安卓用户可能就已经将自己的数据暴露在公共互联网上。

与此同时,一项新的数据保护制度于2018年5月在欧盟生效-这意味着2014-2019年的泄密事件属于欧盟的一般数据保护条例(GDPR)。

爱尔兰的DPC是Twitter案件的主要监督机构,但其业务的跨境性质意味着,所有欧盟数据保护机构都有利益,也有能力对草案提出“相关且合理的”反对意见。今年夏天,对DPC决定草案的反对意见适时提出,引发了GDPR中规定的跨境案件的争端解决程序。

欧洲数据保护委员会(EDPB),一个帮助协调泛欧盟监管活动的机构,今天表示,它已经通过了第一个第65条的决定-指的是解决欧盟拼凑而成的数据监管机构之间分歧的机制。这意味着至少三分之二的欧盟DPA支持这项和解。

该公司在一份声明中写道:“2020年11月9日,EDPB通过了具有约束力的决定,并将很快正式通知爱尔兰SA。”

爱尔兰副专员格雷厄姆·多伊尔(Graham Doyle)证实,EDPB已经通知了它关于第65条的决定-但拒绝在现阶段进一步置评。

爱尔兰的DPC现在有最多一个月的时间来发布最终决定。

“爱尔兰SA(监管机构)应在EDPB决定的基础上做出最终决定,该决定将提交给监理人,不得无故拖延,最迟在EDPB通知其决定一个月后作出,”EDPB声明补充道。

Twitter可能面临的任何处罚(如罚款)的细节尚未得到证实。但这一过程的结束现在已经指日可待。

GDPR赋予数据控制员充分保护个人数据的法律义务。对违反该框架的罚款最高可达一家公司全球年营业额的4%。(不过,就大型科技公司而言,GDPR迄今开出的最大罚单仍是法国CNIL对谷歌开出的5700万美元罚单。)。

与谷歌案不同--在谷歌将其欧盟法律基地迁往爱尔兰之前,CNIL一直在追查这起案件--Twitter案是跨境的,一旦最终裁决出来,它将成为首个结案的大型科技公司GDPR案。

欧盟的旗舰数据保护法规继续面临批评,因为案件和投诉需要多长时间才能被调查和发布决定-特别是那些与大型科技相关的案件和投诉。

去年,爱尔兰监管机构表示,其首个跨境GDPR决定将在2020年“早些时候”做出。它的第一个版本将在2020年底之前推出--但这一步伐不太可能让批评人士安静下来,他们认为,欧盟监管机构没有准备好完成这项复杂的、资源密集型的任务,即监督大型科技公司如何处理人们的数据。

Twitter泄密案也很可能没有针对大型科技平台的一些基于投诉的GDPR调查复杂得多,这些调查包括调查Facebook处理用户数据的法律基础,以及谷歌的广告交换如何使用互联网用户数据。然而,EDPB仍允许将第65条的程序延长整整一个月(而不是默认的一个月),因为它所说的“主题的复杂性”。对于更具争议性的案件来说,这很难说是个好兆头。

尽管如此,通过跨境案件的纠纷解决可能会带来更大的一致性,并帮助DPA随着时间的推移加快执法步伐。

在这方面,英国的ICO看起来有点像一个警示故事--最近,快船在几起(非大型科技公司GDPR)数据泄露案件中宣布对快船处以巨额初步罚款,这意味着执法最终既晚于最初,也不像最初看起来那么痛苦。

尽管批评人士声称,GDPR在本应受到严厉打击的地方仍然缺乏执法,但如何有效监管大型科技公司是欧盟立法者不会退缩的问题。

相反,欧盟委员会将于下月提出一项立法提案,作为计划中的数字市场法案(Digital Markets Act)的一部分,对占主导地位的互联网平台实施事前规则。根据该计划,所谓的“看门人”将受到一份“应该做什么和不应该做什么”的清单的约束,其中包括对他们如何共享数据的控制。它还可能推动创建一个泛欧盟监管机构,以监督主要平台。

这种做法可能有助于减轻少数欧盟DPA面临的监管负担,因为它们的账面上有太多大型科技巨头,比如爱尔兰DPC。但是,在任何新的欧盟平台规则能够有效实施之前,可能还有很长的等待时间。