WhatsApp 因違反 GDPR 被罰款 2.25 億歐元

WhatsApp因未能履行 GDPR 透明度義務而被愛爾蘭數據保護委員會 (DPC)罰款 2.25 億歐元。

在 2018 年 12 月開始的調查結束后，DPC今天宣布了這一消息。這檢查了流行的消息傳遞應用程序是否“已履行其在提供信息方面的 GDPR 透明度義務以及該信息對用戶和非- 其服務的用戶。”

這包括向數據主體提供的有關 WhatsApp 與其他 Facebook 公司之間信息處理的信息。

DPC 于 2020 年 12 月根據 GDPR 第 60 條向歐盟其他數據保護機構 (DPA) 提交了其決定草案，但收到了八個 DPA 對其擬議行動的反對意見。由于未能達成共識，GDPR 第 65 條下的爭議解決程序于 2021 年 6 月 3 日啟動。

歐洲數據保護委員會 (EDPB) 隨后對該案通過了具有約束力的決定，指示 DPC 重新評估并增加其提議的罰款。這一決定是基于多種因素，包括 Facebook 全球年營業額的規模，EDPB 表示“擬議的罰款并未充分反映侵權的嚴重性和嚴重性，也不會對 WhatsApp IE 產生勸阻作用。”

在重新評估之后，除了譴責和“命令 WhatsApp 通過采取一系列特定補救措施使其處理合規”之外，DPC 現在還對 WhatsApp 處以 2.25 億歐元的罰款。總的來說，WhatsApp 必須在三個月內遵守八項行動，其中一項是提醒用戶注意其 GDPR 權利的義務。

該決定是違反 GDPR 規則的第二高罰款，僅次于今年早些時候因涉嫌違反歐盟數據保護法而向亞馬遜開出的8.86 億美元罰款。

針對這一決定，律師事務所Cordery Compliance 表示：“透明度仍然是整個歐洲DPA的重點。組織需要清楚他們如何處理數據，他們需要誠實地對待他們的數據處理實踐。有時，GDPR 下的透明度義務可能難以履行——尤其是在這種情況下，WhatsApp 也在處理與它沒有直接關系的非用戶的數據。僅僅因為這很難，但這并不意味著可以簡單地忽略這些義務。”

Cordery 合伙人喬納森·阿姆斯特朗 (Jonathan Armstrong) 預計未來會出現更多此類罰款：“這個案例向我們表明，許多歐盟國家的數據保護監管機構對數據保護非常重視，而且許多國家都熱衷于提高罰款水平。這也向我們展示了數據保護不僅僅是關于信息安全——透明度是目前許多 GDPR 執法的一個關鍵主題，這是三個最高 GDPR 罰款的中心主題。但這并不意味著我們可以擺脫困境踩安全踏板。目前有一些大案子，這不會是我們看到的最后一次高額罰款。”

Obrela Security Industries 的客戶安全總監 Ioannis Fragkoulopoulos評論道：“WhatsApp 的隱私條款和條件過去經常受到審查，該公司不得不多次捍衛其條款和條件，用戶因為含糊不清和政策變化。這筆罰款表明愛爾蘭政府對透明度的重視程度。當消費者注冊平臺時，他們需要準確了解他們的數據將如何使用以及是否會與第三方共享。這筆罰款將強化這一點的重要性，并警告其他公司更加透明。”

5 月，一家德國隱私監管機構裁定 WhatsApp 的隱私政策 違反歐洲數據保護規則，該政策于 2021 年 1 月更新，要求其用戶授予 WhatsApp 與母公司 Facebook 共享數據的額外權力。