文|《财经》实习记者 杨柳
编辑|郭丽琴
5月25日是欧盟《通用数据保护条例》(GDPR)出台五周年。在个人数据保护方面,GDPR 是目前全球规定最为严格、处罚最为严厉的法规之一。企业在发生数据泄露事故的情况下可能会面临高达年收入4%或2000万欧元(约合1.5亿元人民币)的罚款。
由于出台以来,鲜少有大科技公司因违反GDPR而受罚,这一法规曾被欧洲议员讥讽为“纸老虎”。多家美国科技公司的欧洲总部所在地——爱尔兰的数据监管机构,也被一些欧盟隐私保护活跃人士指责为不作为。
然而,当地时间5月22日,爱尔兰数据保护委员会给予脸书母公司Meta一记重拳:脸书因将欧盟用户数据跨境传输到美国不符合GDPR的规定,被罚款12亿欧元(约合91亿元人民币)。这是GDPR生效五年来欧盟监管机构开出的最高一张罚单。
除了罚款,爱尔兰数据保护委员会还要求Meta必须在五个月内,暂停向美国传输个人数据,并于六个月的宽限期内,删除此前已经传输到美国的数据。
公开数据显示,脸书2022年的收入约有22%来自欧洲市场,仅次于北美市场。
欧洲数据保护委员会前任主席安德烈·杰琳(Andrea Jelinek)表示:“Meta的侵权行为非常严重,涉及系统性、重复性和连续性的传输。脸书在欧洲拥有数百万用户,因此传输的个人数据量巨大。罚款发出了一个强烈信号,即严重的侵权行为会产生深远后果。”
“这不仅事关一家公司的隐私保护实践,美国对于数据准入的规则与欧洲隐私权利有根本冲突。”Meta在一份公开声明中说,爱尔兰数据保护委员会的这一决定是有缺陷的、不合理的,“并为其他无数在欧盟和美国之间传输数据的公司树立了一个危险的先例”。Meta透露,其打算就此提起上诉,并寻求法院中止上述决定的执行。
高额处罚背后,是欧洲隐私保护活跃人士与美国科技大公司长达八年的诉讼“恩怨”。Meta遭遇的危机,也是“美国外国情报监视机制”与“欧盟数据保护机制”长期博弈之下的产物。
财经E法就Meta是否可能停止欧洲市场业务,以及数据本土化存储的可行性询问Meta,但截至发稿未获回复。
Meta会退出欧洲?
Meta在前述公开声明中表示,脸书在欧洲的运营不会立即中断。这引发了Meta是否会因此退出欧洲市场的猜测。
2022年2月,Meta曾警告,由于欧盟GDPR阻碍用户个人数据存储于美国服务器上,该公司可能无法再向欧盟用户提供其脸书和Instagram服务。
奥地利隐私保护活动人士和律师马克斯·施雷姆斯(Maximilian Schrems)觉得Meta的威胁是可笑的,“鉴于欧洲是Meta在美国以外最大的收入来源,而且Meta已经在欧盟建立了本地数据中心,Meta的撤出警告很难让人信服”。
北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括亦认为,Meta不会真正的退出欧盟市场,在数据保护领域,美国企业和欧盟监管机关之间的较量是常态化的现象,而且欧盟市场的地位和重要性也不允许Meta退出。
Meta目前在欧洲境内设有三个数据中心,分别位于丹麦欧登塞(Odense)、爱尔兰克隆尼(Clonee)和瑞典吕勒奥(Luleå)。
针对爱尔兰数据保护委员会的高额罚款,Meta已表示将提起上诉。吴沈括分析,由于事关欧盟复杂、多层次的司法体系,案件最终结论的下达,可能耗时三年左右。诉讼期间,Meta可以提出暂时停止相关处罚的申请,由法院做出相应裁决。
在施雷姆斯看来,Meta推翻现有处罚决定的可能性很低,过去的违规行为无法通过新的“欧盟-美国数据隐私框架”来正当化。
爱尔兰数据保护委员会处以Meta罚款,正值5月25日GDPR出台五周年前夕。民间组织爱尔兰公民自由委员会(Irish Council for Civil Liberties)在5月发布的一项报告批评称,实施五年以来,GDPR很少针对大型科技公司,也很少有施加严厉执法措施的案例。Meta、谷歌、微软、苹果等诸多美国科技公司欧洲总部所在的爱尔兰,是执法的瓶颈,因为爱尔兰数据保护委员会很少就重大跨境案件作出决定草案。即便作出,有75%的案件调查决定草案也会被欧洲数据保护委员会以多数票否决,以督促爱尔兰监管机构采取更严厉的执法行动。
实际上,在Meta处罚案中,爱尔兰数据保护委员会最初认为罚款是不必要且不相称的。但欧洲数据保护委员会4月13日否决这一观点,指示爱尔兰数据保护委员会综合考量侵权严重性、侵权获利等因素,给予Meta公司行政罚款,由此才有了最终的12亿欧元“天价”处罚。
“这个案件反映了爱尔兰执行欧盟的整体意志,体现出欧盟在数据跨境领域的执法力度持续增强,以及欧盟维护自身数据主权的态度越来越强硬。”吴沈括表示。
美国监控V.S.欧盟数据保护
欧盟与美国就数据跨区域传输之间的冲突由来已久。其中,马克斯·施雷姆斯是关键推动者。
2013年6月的斯诺登事件引起全球哗然。前美国情报机构员工斯诺登向媒体透露,美国国安局自2007年开始实施名为“棱镜”的网络监控监听计划,脸书、谷歌、苹果等大科技公司被指参与该其中。
2013年6月25日,马克斯·施雷姆斯以“棱镜门”为事实依据向爱尔兰数据保护专员投诉,认为脸书涉嫌参与“棱镜”计划,那么脸书将欧盟用户的数据传输到美国,不符合当时欧盟的数据保护法律。施雷姆斯与脸书围绕数据跨境流通合法性的八年诉争就此开启。
对于施雷姆斯的投诉,时任爱尔兰数据保护专员比利·霍克斯(Billy Hawkes)不予支持,给出的理由为,欧盟和美国之间的“安全港”协议允许传输此类数据。
2000年7月26日,欧盟委员会通过了一项决议,为欧盟与美国跨区域数据传输建立 “安全港”(Safe Harbor)制度。那些遵守数据安全和保护原则的美国公司,获得了合法将数据从欧盟传输到美国的资格。
吃了“闭门羹”的施雷姆斯随后提起司法诉讼。受其推动,“安全港”制度在2015年10月6日被欧洲法院宣告无效。欧洲法院认为,美国没有提供充分的个人数据保护机制,而欧盟法律禁止与隐私标准较低的国家共享数据。
为便利跨国企业继续合法地在大西洋两岸传输数据,彼时的奥巴马政府同欧盟当局在2016年2月达成“隐私盾”(Privacy Shield)协议,以取代先前的“安全港”制度。“隐私盾”框架提供了更严格的数据保护标准,包括为美国政府访问数据施加了限制性措施和透明度义务:一方面,美国向欧盟保证,当局为执法和国家安全而进行的数据访问受到明确的限制,只能在特定前提下使用,排除大规模监控的可能性;另一方面,在美国国务院设立了隐私保护监察员,为欧盟公民提供国家安全监管的救济机制。
即便如此,施雷姆斯仍旧认为,“隐私盾”制度无法阻止美国政府收集欧盟用户数据。在GDPR生效后,施雷姆斯以此为法理基础,再次将脸书诉至法院。这一司法挑战再次得到欧洲法院的认可。2020年7月,欧洲法院推翻了美欧之间的“隐私盾”协议,“隐私盾”不能为欧盟公民提供GDPR所要求的保护水平。
该案指向美国监视法律与欧盟数据保护法之间的冲突。欧洲法院在判决中提及《美国外国情报监视法》的第702条,这一条款允许政府对位于美国境外的外国人进行有针对性的监视,以获取外国情报信息。欧洲法院认为,美国的监控法律没有明确限制监控的适用范围,也没有明确列出针对非美国人的保障措施,尤其是寻求司法救济的途径,不利于保护欧盟公民的基本权利,导致欧盟用户数据在美国无法获得与欧盟境内同等的保护。
虽然“隐私盾”协议被认定无效,但欧洲法院仍保留了“标准合同条款”机制,用于欧盟和非欧盟国家之间数据传输,确保数据出境之后保护水平不低于欧盟标准。“标准合同条款”机制也就成为Meta、微软等一众美国科技公司继续跨境传输数据的替代方案。
但依靠“标准合同条款”给数据合规带来极大的不确定性。欧洲法院的判决下达后不久,时任脸书全球事务和传播副总裁尼克·克莱格(Nick Clegg)对外透露,爱尔兰数据保护委员会就着手调查脸书的数据传输行为,要求脸书停止向美国传输欧盟用户数据,并指出脸书实际上已不能再根据广泛采用的标准合同条款将数据从欧盟传输到美国。
经过自2020年8月以来的漫长调查,2023年5月22日公布的处罚决定中,爱尔兰数据保护委员会认定Meta违反了GDPR第46条(1)款,这一条款允许科技公司在提供适当的保障措施及法律救济措施的前提下,将数据转移至其他国家。处罚决定称,按照对《欧盟基本权利宪章》的解读,美国法律未提供与欧盟法律提供的保护水平基本相同的保护,“标准合同条款”也无法弥补美国法律提供的保护不足,并且Meta没有采取任何补充措施来弥补美国法律提供的不充分保护。
中伦律师事务所合伙人陈际红向财经E法分析,虽然有“标准合同条款”的数据保障措施,但美国情报监视法律的存在,部分抵消了“标准合同条款”所提供的保护,导致欧盟法所要求的同等保护落不到实处,所以Meta处罚案实际上可视为爱尔兰数据保护委员会对美国国内法律环境的挑战。
“Meta本身是在认真地签‘标准合同条款’,也在认真地履行保障措施,但是美国的外部法律环境决定了这些保护没法完全落地。”陈际红说,Meta所遭遇的困境,对其他依赖于“标准合同条款”数据跨境传输框架的美国公司而言也是一样的,“Meta被罚,只是因为它在欧洲的业务市场比较大,涉及庞大的个人数据量,并不能说明Meta 做得多差”。
吴沈括表示:“Meta案已成为美欧之间围绕数据跨境机制博弈的一枚重要棋子。”
Meta在处罚公布后的声明中表露自己的无奈:“归根结底,2020年‘隐私盾’的失效是由于美国政府关于数据准入的规则与欧洲隐私权之间存在根本性的法律冲突。这是一场无论是Meta抑或任何其他企业都无法独自解决的冲突。”
Meta受处罚也给在欧中国企业带来潜在隐患。
吴沈括透露,目前中企为保证在欧数据合规,绝大部分采用数据本地化存储。另据陈际红的观察,进行数据跨境传输的中企则基本依赖于“标准合同条款”,而且中企的数据保护也不见得比Meta做得好。目前欧盟还没有相关司法案件评估中国的数据保护法律环境,未来一旦有这类案件作出负面评估,中国公司签订的“标准合同条款”可能也会像Meta案一样,被认为无法弥补法律保护力度的不足,那么对采用这一合同的在欧中企势必产生普遍性影响
新的数据传输机制仍存不确定性
Meta虽是遭遇最高罚单的企业,但并非第一家因非法跨境数据传输受罚的公司。2022年2月,法国国家信息与自由委员会(CNIL)数据保护机构发现,谷歌旗下的网站流量统计服务工具“谷歌分析”(Google Analytics)违反了GDPR有关跨界数据传输的要求,其采用的“标准合同条款”不足以保护用户数据,并且谷歌没有采取足够的技术、组织等层面的数据保护措施。同年6月,意大利数据保护机构也裁定“谷歌分析”向美国传输数据违反了GDPR。
数据跨境传输困境下,解决“隐私盾”协议废除后的制度问题势在必行。
2022 年3月25日,美国与欧盟宣布已就新的“欧盟-美国数据隐私框架”达成原则性协议,以促进跨大西洋数据流动。同年10月7日,拜登签署了一项关于“加强保障美国信号情报活动”的行政命令。该行政命令引入新的具有约束力的保障措施,限制美国情报部门访问欧盟用户数据,并建立数据保护审查法院,赋予欧盟公民诉讼救济的权利。
2022年12月13日,欧盟委员会发布《关于欧盟-美国数据隐私框架的充分性决定草案》。草案给出的评估结论是,美国通过“欧盟-美国数据隐私框架”提供了与欧盟相当的保障措施,并为从欧盟传输到美国的个人数据提供了足够水平的保护。
新的监管框架依旧面临不确定性因素。2023年5月11日,欧洲议会在一份决议中称,“欧盟-美国数据隐私框架”未能在保护级别上实现基本对等,呼吁欧盟委员会继续与美国谈判,确保对等性,并提供欧盟数据保护法律所要求的充分保护水平。欧洲议会还担心如果该框架获得通过,它可能同样会被欧洲法院宣布无效。
不过,欧盟委员会发言人克里斯蒂安·威根(Christian Wigand)在5月22日一场新闻发布会上透露,欧盟和美国之间的这一数据隐私框架预计将在今年夏季全面运作,为科技公司提供法律确定性。
Meta在声明中对新的数据传输机制寄予期待,“如果新的数据隐私监管框架能在处罚截止日前生效,脸书就可以继续提供服务,不会对用户造成任何中断或影响”。
施雷姆斯创建的隐私保护组织NOBY发给财经E法的一份声明中称,Meta计划依赖新的数据传输监管框架开展数据跨境传输,但这可能不是永久性解决方案。施雷姆斯预测,新的监管框架有九成的概率会被欧洲法院再次否决。“除非美国监视法律得到修复,Meta可能不得不将欧盟用户数据储存在欧盟”。