Metas regulatoriske kampe slår alarmen for Big Tech
Indholdsfortegnelse:
Meta har kæmpet juridiske kampe på flere fronter i det seneste år, med nogle sejre og nogle tilbageslag. En af disse sager kan have bredere konsekvenser for teknologiindustrien.
I USA vandt den sociale mediegigant først en antitrustsag mod FTC i februar, vindende retten til at købe virtual reality-startup Within Unlimited. Så det slå tilbage en anden antitrust-sag købt af 48 stater over deres opkøb af WhatsApp og Instagram. Det lover ikke godt for FTC, som i øjeblikket forfølger en skelsættende sag over det samme spørgsmål.
Metas seneste formuer i Europa har været mindre positive. Blokkens førende datatilsynsmyndighed, Irlands databeskyttelseskommission, var ikke historisk kendt for dets aggressive databeskyttelsesafgørelser. Det har ændret sig for nylig, da DPC gentagne gange er gået op på pladen med flere straffe. Efter flere bøder mod Meta siden efteråret 2021 kastede DPC en finansiel bombe i maj. Det bøde den sociale mediegigant €1.2 mia. for at overtræde GDPR-principper ved at overføre data indsamlet fra europæiske Facebook-brugere til USA
Når SSC'er ikke er nok
EU og USA har i øjeblikket ikke en tilstrækkelig aftale på plads til overførsel af data mellem de to lande, selvom de arbejder på en. Der var to sådanne aftaler før – Safe Harbor-arrangementet fra 2000 og Privacy Shield. Begge disse blev slået ned, efter at den østrigske advokat og privatlivsaktivist Max Schrems udfordrede dem.
I stedet har Facebook stolet på Standardkontraktbestemmelser (SCC'er), som er skabelonaftaler for bilaterale dataudvekslingsaftaler mellem organisationer i EU og USA. Europa-Kommissionen opdaterede disse i juni 2021.
I sin dom i maj fastslog DPC, at selvom SSC'er tilbyder en vis beskyttelse af EU-brugeres data, gælder de kun for kontraherende parter. Den amerikanske regering har ikke underskrevet disse kontrakter, hvilket betyder, at den ikke kan forhindre den i at anvende sine aggressive dataindsamlings- og masseovervågningspolitikker på brugerdata.
Sidste oktober forsøgte Det Hvide Hus at behandle dette problem i sin Bekendtgørelse om forbedring af sikkerhedsforanstaltninger for USAs signalefterretningsaktiviteter. Dette etablerer en databeskyttelsesdomstol for at gennemgå den amerikanske regerings data-slurping på et individuelt grundlag. Enkeltpersoner eller regeringer i kvalificerede stater kunne klage til domstolen over indsamlingen af deres indbyggeres data, efter at de var blevet overført til USA
Problemet er ifølge DPC, at EU endnu ikke betragtes som en kvalificeret stat, hvilket betyder, at dens indbyggere endnu ikke kan drage fordel af domstolen. Det efterlader deres data sårbare i USA, uanset hvad SCC siger.
Efter at have dømt SCC'erne for utilstrækkelige, når de handler med USA, konkluderede DPC, at overførsler ikke er tilladt. Sammen med bøden krævede det, at Meta stoppede med at overføre EU-brugeres data til USA inden for fem måneder. Det skal også bringe alle aktuelle data om EU-brugere i overensstemmelse med GDPR inden for seks måneder (hvilket betyder sletning).
Bredere effekter
DPC's beslutning fjerner effektivt SSC som et værktøj for virksomheder, der ønsker at sende EU-borgeres data til USA. Afsnit 10.11 i DPC-dommen advarer om, at konsekvenserne af denne sag kan spredes langt bredere end Meta. Den sagde:
"...analysen i denne afgørelse afslører en situation, hvor enhver internetplatform, der falder ind under definitionen af en udbyder af elektroniske kommunikationstjenester, der er underlagt FISA 702 PRISM-programmet, ligeledes kan være i modstrid med kravene i kapitel V GDPR og EU's charter om grundlæggende rettigheder vedr. deres overførsler af personoplysninger til USA."
Hvor katastrofalt kan det være for teknologisektoren? Meta har allerede advarede at den måske bliver nødt til at lukke mange af sine tjenester i Europa, hvis den ikke må overføre data hjem. Andre virksomheder, der er afhængige af brugergenereret indhold og sociale grafer, vil sandsynligvis have det samme problem.
Hvad nu?
Meta har stadig muligheder. Det behøver ikke at overholde datasletningskravene før i oktober og er tiltalende afgørelsen.
En mulighed kunne være, at virksomheder som Meta og andre investerer mere i EU-baserede datacentre for at gemme data om EU-beboere lokalt, hvilket løser datasuverænitetsproblemet.
Vinduet giver også tid til at arbejde på en tredje tilstrækkelighedsaftale mellem Europa og USA. Denne aftale er allerede godt i gang og kan afsluttes til sommer. Meget vil afhænge af EU's evne til at blive en kvalificerende stat, så dens borgere kan klage til Data Protection Review Court.
Flere problemer forude
I mellemtiden står Meta over for yderligere handling i Europa. Europa-Kommissionen sagde i december sidste år, at virksomhedens markedsplads online rubrikannoncer brød antitrust-reglerne. Parring af den med den sociale netværkstjeneste giver den en uretfærdig fordel, klagede regulatorer. EU anklagede også virksomheden for at bruge andre tjenesters onlinedata.
Hvis sagen lykkes, risikerer Facebook en bøde på op til 10 % i indtægter, hvilket potentielt kan sætte det på krogen for 11.8 milliarder dollars i bøder. Meta har anfægtet anmodninger om oplysninger fra EU i den sag, men det afviste Retten, hvilket banede vejen for, at sagen kunne fortsætte.
"Move fast and break things" plejede at være Metas interne slogan. Det kunne det have givet afkald på, men det overholder stadig en mere generel tommelfingerregel, der er vedtaget af tech-sektoren som helhed: "Handl først, og bed om tilgivelse senere."
Teknikfirmaer har betragtet bøder, der er påløbet under denne bredere doktrin, som en omkostning ved at drive forretning i en sektor med høj vækst og høje indsatser. Efterhånden som tilsynsmyndigheder udskriver stadig højere bøder og endda overvejer at bryde op om teknologivirksomheder, kan det ændre sig.
