欧洲简评 | Uber违反GDPR被罚一千万欧元，企业如何从中吸取“教训”？

Original W&W国际法律团队出海互联网法律观察

2024-08-25

团队介绍：

W&W国际法律团队，国内外一站式法律合规顾问

W&W 国际法律团队已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域，如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。

（如有项目需求或了解代表案例，欢迎联系。）

联系方式：

邮箱：jie.wang@kindinglaw.com

TEL：+86 13650790754

文/ 王捷律师团队

引言

鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势，W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块，跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向，提示企业合规要点，为企业开展出海业务、部署国内合规工作提供参考。

背景

2024 年 1 月 31 日，在接到司机的投诉之后，荷兰数据保护机构（AP）宣布了其于 2023 年 12 月 11 日发布的决定，对 Uber Technologies Inc. 和 Uber B.V.（以下统称Uber）处以 1000 万欧元的罚款，原因是 Uber 违反了GDPR。

调查的具体情况包括哪些？

决定的背景

AP强调，在收到法国 170 多名司机的投诉后展开调查的，这些投诉是通过中介机构人权与公民权利联盟（LDH）向法国数据保护机构（CNIL）提出。随后，CNIL 将投诉转给了AP，因为 Uber 的欧洲总部位于荷兰。具体而言，司机们的投诉涉及对其数据的访问。

AP 的调查结果

AP发现，司机用于请求访问其数据的电子表单并不容易获取，需要经过的步骤过多，无法直观地找到请求表单。AP 认为，由于与司机的大多数互动都是通过 Uber 应用程序进行的，司机应当能够通过该应用程序行使其数据主体权利。因此，AP 认定 Uber 违反了 GDPR 第 12（2）条关于访问权的规定。

AP还认为，根据GDPR第12（1）条的含义，向作为数据主体的司机提供的信息是不可理解的，因为这些信息的语言表达并不简单明了。Uber 应用程序上的指南是用英语而不是法语提供的。虽然法国司机必须参加英语考试，但 AP 参照瑞典监管关于 Spotify 的决定，认为 Uber 没有采取足够的措施确保数据主体理解所提供的信息，因此违反了 GDPR 第 12（1）条。

在提及保留/保存司机数据时，AP 指出，尽管 Uber 说明了确定保存期限的标准可能就足够了，但仅仅说明个人数据为某些目的保留所需的时间不能等同于说明确定保留期限的标准。相反，AP认为，确定保留期限的标准应保障数据主体能够决定其个人资料的保留期限，但Uber未能做到这一点。因此，AP裁定 Uber 违反了GDPR第 13（2）（a）条、第 15（1）（a）条和第 15（1）（d）条。

AP进一步指出，Uber 的隐私政策没有说明个人数据传输发生在欧洲经济区以外的哪些国家，以及采取了哪些措施来解决这个问题。具体而言，AP解释到，Uber 只提供了一般性条款，而没有提供明确的信息，未能让数据主体有机会确定他们可以获得哪些保障。因此，Uber 被认定违反了GDPR第 13（1）（f）条。

最后，AP 认为 Uber 的隐私政策没有提及数据可携带权，所谓“接收数据”一词的使用与数据可携带权无关，因为它也可能指向访问权。因此，Uber 被认为违反了GDPR第 13（2）（b）条。

结果

鉴于上述违规行为，AP认为对 Uber 处以 1000 万欧元的罚款是适当的。

企业需要关注什么？

在履行GDPR时，涉及双边市场的企业需注意不仅要关注消费者的个人信息保护，还应重视服务提供者（若为自然人，如司机）的个人信息保护。具体而言，对于落入GDPR管辖范围的企业：

应当考虑简化数据主体行使访问权的流程；
参考Uber案的处罚，核查自身是否以清晰、简单、明了的语言告知数据主体，包括但不限于保留个人数据期限的标准、个人信息跨境传输的目标国家和为确保跨境传输合规所采取的合规措施等；
确保数据主体了解其享有GDPR赋予的数据主体权利；等等。

主编介绍

王捷 律师

垦丁律师事务所合伙人、广州联合创始人、执行主任

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验，具备中外律所从业背景；为各类涉互联网企业提供各类综合合规支持，包括数据合规、个人信息保护、产品模式合规等，尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案；并发表了超过200多篇的实务文章与专题报告。

专攻领域：

个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。

涉足国家及地区：

中国（含港澳台地区）、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。

职业资格：

持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官等资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学常务理事，荷兰RuG国际经济法与商法硕士。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

让我们继续以文会友，以笔聚力|盘点2023&共迎2024

访谈实录（上）：法务转型律师，并非拍脑袋

访谈实录（中）：没有什么事是做分享解决不了的，如果有，那就继续坚持

新年贺礼| 《全球数据合规2023图鉴》重磅发布，要做年终总结吗，我们帮你梳理好了