EP44 从Uber 2.9亿欧天价罚款案聊聊欧盟及国内的数据合规保护律人行

EP44 从Uber 2.9亿欧天价罚款案聊聊欧盟及国内的数据合规保护

54分钟 ·
播放数1569
·
评论数11

今年8月26日,荷兰数据保护局公开了一项对网约车平台Uber的高达2.9亿欧元的罚单,原因是荷兰数据保护局认为Uber违法将欧洲司机的个人敏感数据传输至美国服务器,严重违反了欧盟《通用数据保护条例》(GDPR)。

本期节目我们邀请了在德国某数据合规咨询机构从业的安琪和在国内某大厂做数据合规研究的明老师一起来跟我们聊聊Uber 案、GDPR、国内的数据保护以及AI对数据合规领域带来的挑战。

本期节目你能听到:

00:04:16 司机怎么知道数据被跨境传输了?

00:08:41Meta、Facebook、Tiktok...GDPR总是逮着最大的羊薅?

00:11:39如果我的数据被侵犯了,这种处罚案件中我能拿到钱吗?

00:13:25我们的哪些信息是应该被保护的敏感信息?

00:18:43基础的数据保护措施应该有哪些?

00:21:23欧盟认为美国的数据保护水平远远不如欧盟?

00:23:19欧盟:我们是废除了旧规定,但不代表你就可以放飞自我啊

00:30:03监管要求不稳定、充满争议,但不耽误我罚款?

00:33:30欧盟GDPR是很严格,但国内数据保护要求也不低

00:36:48从滴滴案看中国特色数据保护执法

00:43:04大语言模型等AI发展给数据合规带来的挑战

背景音乐

Happy Day —Sergio Prosvirini

Dreams — Benjamin Tissot

剪辑:Libing



展开Show Notes
**基本案情**:
- 荷兰历史上最高的数据监管处罚。
- uber司机在注册账号时需要与uber荷兰签订合同,并提交包括住址、性别、身份证号和无犯罪记录等个人信息。以上信息均会传输至美国进行存储。
- 法国司机向法国人权组织举报,由于uber欧洲总部位于荷兰,因此由荷兰数据监管部门进行立案监督。
09:43 GDPR处罚标准:最高为2000万欧元或企业全年营收的4%;计算公式变量包括对数据主体的侵犯严重程度。
11:50 数据主体是否会从处罚案件中获得收益:数据主体可以根据Art. 82 GDPR起诉侵权方,通过证明损失来获得赔偿。—— 13:00 *侵犯数据主体权益、但却由行政监管部门收取罚款(获得收益),是否合合理?*
14:15 **GDPR**项下*敏感个人信息*的定义和范围。
16:00 **中欧**对*敏感个人信息*定义不同的价值取舍。
18:15 **Uber案处罚重心**:不是不让传输数据,而是是否违反了Ch. 5 GDPR关于数据跨境传输的合规要求。
19:00 **企业数据合规-三层面**:1. *告知*;2. *记录*:每次处理数据都需要进行记录、dms;3. *跨境传输*:SCC等。
21:30 **美欧数据跨境争议历史**:2020年废除机制、2023年起建立现有机制。
24:00 Uber2021年删除SCC的前因后果:本案中只处罚了2021-2023年间的数据侵权行为;2021年后欧盟委员会发布Q&A(关于GDPR长臂管辖问题和适用问题),Uber律师认为该Q&A意味着SCC无效因此删除了该SCC。
27:00 **GDPR**项下的*跨境传输*定义:1. 输出主体:GDPR管辖下;2. 传输行为;3. **接收方**:位于第三国、但因为Art. 3 GDPR长臂管辖被纳入适用范围(Uber认为其美国母公司已经被纳入GDPR管辖)
31:50 Uber案警示作用:美欧隐私框架再次被宣判无效后,企业需要立即签订SCC。
32:50 *布鲁塞尔效应*:GDPR已经成为了全球数据保护规范的蓝本。
34:20 GDPR特点及与中国PIPl的对比:各有千秋,各有侧重。数据跨境标准、企业遵守、监管落地。GDPR“看得到、用的上”,但其条文和制度是否“最严格”有待商榷。
37:45 国内PIPL的监管与执法动态:不同于GDPR“枪打出头鸟”、执法更普遍,且注重警告、约谈等窗口指导性质的执法手段。但和GDPR相比,中国监管案例的震慑力和指导性尚且不足。
39:40 中国网信办等部门进行处罚时,处罚依据和重点较为模糊。
41:00 中欧数据立法侧重点不同:*欧盟*:侧重对个人基本权利的保护(德国的信息自决权等);*中国*:侧重国家安全等因素(数据跨境安全评估等)。—— *中国现有数据规范中尚未加入“白名单”机制*
43:15 **AI大模型技术对数据监管的冲击**:1. GDPR同样适用于AI大模型,但由于大模型对数据高需求等特性,在监管落地上存在一定问题。2. 对AI大模型歧视等问题,有AI Act等法律法规*并行管理*。
47:00 *并行监管*的监管主体:AI Act等规范的监管机构能否、是否和GDPR为同一个?若不是同一个监管机构是否会冲突?监管的知识储备和监管难度如何?—— *欧盟各国机构对并行监管的准备程度参差不齐*
50:00 欧盟对GDPR适用的解读:仍不稳定、难以跟上技术的快速迭代。—— *数据监管还能做到“监管先行”吗*
世界本就是平的,何必修这明着暗着的墙,让普通人无谓的卷入。消耗,也没有让世界变得更好。
姜饭饭饭
姜饭饭饭
2024.10.16
光看标题就觉得已经学习到了知识
Lily_Letitbe
:
笑死我了你
神经蛙_FMKN
神经蛙_FMKN
2024.10.16
问题都问得很棒,由浅入深
huazhe
huazhe
2024.10.16
主播和嘉宾对国内AI立法趋势怎么看
Lily_Letitbe
:
整体感觉跟行业实践有点脱节…
肖大国
肖大国
2024.10.16
支持!
Lily_Letitbe
:
笔芯!
大_懒_堂
大_懒_堂
2024.10.16
还是听姑娘们聊天欢乐多。
HD309533z
HD309533z
2024.10.16
所以巴西韩国也是跟随,参照着欧盟立法么