在对Twitter 2019年被披露的数据泄露事件处以多少罚款的问题上,欧盟隐私监管机构——爱尔兰数据保护委员会(DPC)内部产生分歧,这可能导致该机构对美国四大科技巨头的调查也出现分歧和延迟。
此案涉及Twitter在2019年1月修复的一个安全漏洞,在此前四年多的时间里,该漏洞暴露了许多用户的私人推文。DPC在其2019年年报中表示,此案的焦点在于Twitter是否履行了及时通知用户发生黑客袭击事件的义务。
DPC周四在一份声明中披露了有关此案存在的分歧,这是对2018年生效的《通用数据保护条例》(GDPR)执法的重大考验之一。这让人担心,根据这项法律,针对Facebook、谷歌、亚马逊以及其他美国科技公司的近20多项调查可能会出现分歧和拖延。
这些调查由DPC牵头,因为上述这些公司都在爱尔兰设有地区总部,但其他26个欧盟国家的相应监管机构可以在涉及它们的案件中提出反对意见。
DPC周四表示,在未能解决对其在Twitter案件中的分歧后,该机构启动了欧盟隐私监管机构之间的争端解决机制,这是该程序首次启动。Twitter案件是个风向标,因为这是DPC第一次将决定草案转发给同行征求意见。
Twitter没有立即回复记者的置评请求。DPC拒绝评论哪些同行反对其拟议的决定,或基于什么理由,但反对意见可能与其机制和罚款金额有关。
根据GDPR规定,监管机构可以对未能在72小时内通知数据泄露事件的公司处以最高相当于其全球年收入2%的罚款,基于Twitter 2019年的收入,罚款金额可能高达6900万美元。然而,该法律指示监管机构考虑违规行为的严重性和持续时间、有争议的个人信息类型以及其他因素,例如违规行为是否是故意的。
Twitter案件的最终结果将为欧盟在监管机构之间的权力分享体系在实践中如何运作提供借鉴。根据这项法律,在涉及多个国家的案件中,主要监管机构(如DPC)会将其决定草案发送给同行。他们有四周的时间提交“相关且合理的”反对意见,还需要有额外的时间来批准基于这些反对意见的修订。
监管机构无法解决的任何分歧都可以提交给欧洲数据保护委员会,该委员会将通过投票决定。这个过程持续一个月,但可以延长到两个月,然后再延长两周。根据法律文本,一旦委员会批准了一项决定,主要监管机构需要在1个月内通知公司。
【来源:网易科技】
