楊柳

Meta及谷歌皆因非法跨境數(shù)據(jù)傳輸而受罰過。圖/法新

5月25日是歐盟《通用數(shù)據(jù)保護條例》（GDPR）出臺五周年。在個人數(shù)據(jù)保護方面，GDPR是目前全球規(guī)定最為嚴格、處罰最為嚴厲的法規(guī)之一。企業(yè)在發(fā)生數(shù)據(jù)泄露事故的情況下可能會面臨高達年收入4%或2000萬歐元（約合1.5億元人民幣）的罰款。

由于出臺以來，鮮少有大科技公司因違反GDPR而受罰，這一法規(guī)曾被歐洲議員譏諷為“紙老虎”。多家美國科技公司的歐洲總部所在地——愛爾蘭的數(shù)據(jù)監(jiān)管機構(gòu)，也被一些歐盟隱私保護活躍人士指責(zé)為不作為。

然而，當(dāng)?shù)貢r間5月22日，愛爾蘭數(shù)據(jù)保護委員會給予臉書母公司Meta一記重拳：臉書因?qū)W盟用戶數(shù)據(jù)跨境傳輸?shù)矫绹环螱DPR的規(guī)定，被罰款12億歐元（約合91億元人民幣）。這是GDPR生效五年來歐盟監(jiān)管機構(gòu)開出的最高一張罰單。

除了罰款，愛爾蘭數(shù)據(jù)保護委員會還要求Meta必須在五個月內(nèi)，暫停向美國傳輸個人數(shù)據(jù)，并于六個月的寬限期內(nèi)，刪除此前已經(jīng)傳輸?shù)矫绹臄?shù)據(jù)。

公開數(shù)據(jù)顯示，臉書2022年的收入約有22%來自歐洲，僅次于北美市場。

歐洲數(shù)據(jù)保護委員會前任主席安德烈·杰琳（Andrea Jelinek）表示：“Meta的侵權(quán)行為非常嚴重，涉及系統(tǒng)性、重復(fù)性和連續(xù)性的傳輸。臉書在歐洲擁有數(shù)百萬用戶，因此傳輸?shù)膫€人數(shù)據(jù)量巨大。罰款發(fā)出了一個強烈信號，即嚴重的侵權(quán)行為會產(chǎn)生深遠后果?！?/p>

“這不僅事關(guān)一家公司的隱私保護實踐，美國對于數(shù)據(jù)準入的規(guī)則與歐洲隱私權(quán)利有根本沖突。”Meta在一份公開聲明中說，愛爾蘭數(shù)據(jù)保護委員會的這一決定是有缺陷的、不合理的，“并為其他無數(shù)在歐盟和美國之間傳輸數(shù)據(jù)的公司樹立了一個危險的先例”。Meta透露，其打算就此提起上訴，并尋求法院中止上述決定的執(zhí)行。

高額處罰背后，是歐洲隱私保護活躍人士與美國科技大公司長達八年的訴訟“恩怨”。Meta遭遇的危機，也是“美國外國情報監(jiān)視機制”與“歐盟數(shù)據(jù)保護機制”長期博弈之下的產(chǎn)物。

《財經(jīng)》記者就Meta是否可能停止歐洲市場業(yè)務(wù)，以及數(shù)據(jù)本土化存儲的可行性詢問Meta，但截至發(fā)稿未獲回復(fù)。

Meta會退出歐洲？

Meta在前述公開聲明中表示，臉書在歐洲的運營不會立即中斷。這引發(fā)了Meta是否會因此退出歐洲市場的猜測。

2022年2月，Meta曾警告，由于歐盟GDPR阻礙用戶個人數(shù)據(jù)存儲于美國服務(wù)器上，該公司可能無法再向歐盟用戶提供其臉書和Instagram服務(wù)。

奧地利隱私保護活動人士和律師馬克斯·施雷姆斯（Maximilian Schrems）覺得Meta的威脅是可笑的，“鑒于歐洲是Meta在美國以外最大的收入來源，而且Meta已經(jīng)在歐盟建立了本地數(shù)據(jù)中心，Meta的撤出警告很難讓人信服”。

北京師范大學(xué)法學(xué)院博士生導(dǎo)師、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括亦認為，Meta不會真正的退出歐盟市場，在數(shù)據(jù)保護領(lǐng)域，美國企業(yè)和歐盟監(jiān)管機關(guān)之間的較量是常態(tài)化的現(xiàn)象，而且歐盟市場的地位和重要性也不允許Meta退出。

Meta目前在歐洲境內(nèi)設(shè)有三個數(shù)據(jù)中心，分別位于丹麥歐登塞、愛爾蘭克隆尼和瑞典呂勒奧。

針對愛爾蘭數(shù)據(jù)保護委員會的高額罰款，Meta已表示將提起上訴。吳沈括分析，由于事關(guān)歐盟復(fù)雜、多層次的司法體系，案件最終結(jié)論的下達，可能耗時三年左右。訴訟期間，Meta可以提出暫時停止相關(guān)處罰的申請，由法院作出相應(yīng)裁決。

在施雷姆斯看來，Meta推翻現(xiàn)有處罰決定的可能性很低，過去的違規(guī)行為無法通過新的“歐盟-美國數(shù)據(jù)隱私框架”來正當(dāng)化。

愛爾蘭數(shù)據(jù)保護委員會處以Meta罰款，正值5月25日GDPR出臺五周年前夕。民間組織愛爾蘭公民自由委員會（Irish Council for Civil Liberties）在5月發(fā)布的一項報告批評稱，實施五年以來，GDPR很少針對大型科技公司，也很少有施加嚴厲執(zhí)法措施的案例。Meta、谷歌、微軟、蘋果等諸多美國科技公司歐洲總部所在的愛爾蘭，是執(zhí)法的瓶頸，因為愛爾蘭數(shù)據(jù)保護委員會很少就重大跨境案件作出決定草案。即便作出，有75%的案件調(diào)查決定草案也會被歐洲數(shù)據(jù)保護委員會以多數(shù)票否決，以督促愛爾蘭監(jiān)管機構(gòu)采取更嚴厲的執(zhí)法行動。

實際上，在Meta處罰案中，愛爾蘭數(shù)據(jù)保護委員會最初認為罰款是不必要且不相稱的。但歐洲數(shù)據(jù)保護委員會4月13日否決這一觀點，指示愛爾蘭數(shù)據(jù)保護委員會綜合考量侵權(quán)嚴重性、侵權(quán)獲利等因素，給予Meta公司行政罰款，由此才有了最終的12億歐元“天價”處罰。

“這個案件反映了愛爾蘭執(zhí)行歐盟的整體意志，體現(xiàn)出歐盟在數(shù)據(jù)跨境領(lǐng)域的執(zhí)法力度持續(xù)增強，以及歐盟維護自身數(shù)據(jù)主權(quán)的態(tài)度越來越強硬?！眳巧蚶ū硎?。

美國監(jiān)控V.S.歐盟數(shù)據(jù)保護

歐盟與美國就數(shù)據(jù)跨區(qū)域傳輸之間的沖突由來已久。其中，馬克斯·施雷姆斯是關(guān)鍵推動者。

2013年6月的斯諾登事件引起全球嘩然。前美國情報機構(gòu)員工斯諾登向媒體透露，美國國安局自2007年開始實施名為“棱鏡”的網(wǎng)絡(luò)監(jiān)控計劃，臉書、谷歌、蘋果等大科技公司被指參與其中。

2013年6月25日，馬克斯·施雷姆斯以“棱鏡門”為事實依據(jù)向愛爾蘭數(shù)據(jù)保護專員投訴，認為臉書涉嫌參與“棱鏡”計劃，那么臉書將歐盟用戶的數(shù)據(jù)傳輸?shù)矫绹?，不符合?dāng)時歐盟的數(shù)據(jù)保護法律。施雷姆斯與臉書圍繞數(shù)據(jù)跨境流通合法性的八年訴爭就此開啟。

對于施雷姆斯的投訴，時任愛爾蘭數(shù)據(jù)保護專員比利·霍克斯（Billy Hawkes）不予支持，給出的理由為，歐盟和美國之間的“安全港”協(xié)議允許傳輸此類數(shù)據(jù)。

2000年7月26日，歐盟委員會通過了一項決議，為歐盟與美國跨區(qū)域數(shù)據(jù)傳輸建立“安全港”（Safe Harbor）制度。那些遵守數(shù)據(jù)安全和保護原則的美國公司，獲得了合法將數(shù)據(jù)從歐盟傳輸?shù)矫绹馁Y格。

吃了“閉門羹”的施雷姆斯隨后提起司法訴訟。受其推動，“安全港”制度在2015年10月6日被歐洲法院宣告無效。歐洲法院認為，美國沒有提供充分的個人數(shù)據(jù)保護機制，而歐盟法律禁止與隱私標準較低的國家共享數(shù)據(jù)。

為便利跨國企業(yè)繼續(xù)合法地在大西洋兩岸傳輸數(shù)據(jù)，彼時的奧巴馬政府同歐盟當(dāng)局在2016年2月達成“隱私盾”（Privacy Shield）協(xié)議，以取代先前的“安全港”制度?！半[私盾”框架提供了更嚴格的數(shù)據(jù)保護標準，包括為美國政府訪問數(shù)據(jù)施加了限制性措施和透明度義務(wù)：一方面，美國向歐盟保證，當(dāng)局為執(zhí)法和國家安全而進行的數(shù)據(jù)訪問受到明確的限制，只能在特定前提下使用，排除大規(guī)模監(jiān)控的可能性；另一方面，在美國國務(wù)院設(shè)立了隱私保護監(jiān)察員，為歐盟公民提供國家安全監(jiān)管的救濟機制。

即便如此，施雷姆斯仍舊認為，“隱私盾”制度無法阻止美國政府收集歐盟用戶數(shù)據(jù)。在GDPR生效后，施雷姆斯以此為法理基礎(chǔ)，再次將臉書訴至法院。這一司法挑戰(zhàn)再次得到歐洲法院的認可。2020年7月，歐洲法院推翻了美歐之間的“隱私盾”協(xié)議，“隱私盾”不能為歐盟公民提供GDPR所要求的保護水平。

該案指向美國監(jiān)視法律與歐盟數(shù)據(jù)保護法之間的沖突。歐洲法院在判決中提及《美國外國情報監(jiān)視法》的第702條，這一條款允許政府對位于美國境外的外國人進行有針對性的監(jiān)視，以獲取外國情報信息。歐洲法院認為，美國的監(jiān)控法律沒有明確限制監(jiān)控的適用范圍，也沒有明確列出針對非美國人的保障措施，尤其是尋求司法救濟的途徑，不利于保護歐盟公民的基本權(quán)利，導(dǎo)致歐盟用戶數(shù)據(jù)在美國無法獲得與歐盟境內(nèi)同等的保護。

雖然“隱私盾”協(xié)議被認定無效，但歐洲法院仍保留了“標準合同條款”機制，用于歐盟和非歐盟國家之間數(shù)據(jù)傳輸，確保數(shù)據(jù)出境之后保護水平不低于歐盟標準?！皹藴屎贤瑮l款”機制也就成為Meta、微軟等一眾美國科技公司繼續(xù)跨境傳輸數(shù)據(jù)的替代方案。

但依靠“標準合同條款”給數(shù)據(jù)合規(guī)帶來極大的不確定性。歐洲法院的判決下達后不久，時任臉書全球事務(wù)和傳播副總裁尼克·克萊格（Nick Clegg）對外透露，愛爾蘭數(shù)據(jù)保護委員會就著手調(diào)查臉書的數(shù)據(jù)傳輸行為，要求臉書停止向美國傳輸歐盟用戶數(shù)據(jù)，并指出臉書實際上已不能再根據(jù)廣泛采用的標準合同條款將數(shù)據(jù)從歐盟傳輸?shù)矫绹?/p>

經(jīng)過自2020年8月以來的漫長調(diào)查，2023年5月22日公布的處罰決定中，愛爾蘭數(shù)據(jù)保護委員會認定Meta違反了GDPR第46條（1）款，這一條款允許科技公司在提供適當(dāng)?shù)谋Ｕ洗胧┘胺删葷胧┑那疤嵯?，將?shù)據(jù)轉(zhuǎn)移至其他國家。處罰決定稱，按照對《歐盟基本權(quán)利憲章》的解讀，美國法律未提供與歐盟法律提供的保護水平基本相同的保護，“標準合同條款”也無法彌補美國法律提供的保護不足，并且Meta沒有采取任何補充措施來彌補美國法律提供的不充分保護。

中倫律師事務(wù)所合伙人陳際紅向《財經(jīng)》分析，雖然有“標準合同條款”的數(shù)據(jù)保障措施，但美國情報監(jiān)視法律的存在，部分抵消了“標準合同條款”所提供的保護，導(dǎo)致歐盟法所要求的同等保護落不到實處，所以Meta處罰案實際上可視為愛爾蘭數(shù)據(jù)保護委員會對美國國內(nèi)法律環(huán)境的挑戰(zhàn)。

“Meta本身是在認真地簽‘標準合同條款，也在認真地履行保障措施，但是美國的外部法律環(huán)境決定了這些保護沒法完全落地?！标愲H紅說，Meta所遭遇的困境，對其他依賴于“標準合同條款”數(shù)據(jù)跨境傳輸框架的美國公司而言也是一樣的，“Meta被罰，只是因為它在歐洲的業(yè)務(wù)市場比較大，涉及龐大的個人數(shù)據(jù)量，并不能說明Meta做得多差”。

吳沈括表示：“Meta案已成為美歐之間圍繞數(shù)據(jù)跨境機制博弈的一枚重要棋子?！?/p>

Meta在處罰公布后的聲明中表露自己的無奈：“歸根結(jié)底，2020年‘隱私盾的失效是由于美國政府關(guān)于數(shù)據(jù)準入的規(guī)則與歐洲隱私權(quán)之間存在根本性的法律沖突。這是一場無論是Meta抑或任何其他企業(yè)都無法獨自解決的沖突?！?/p>

Meta受處罰也給在歐中國企業(yè)帶來潛在隱患。

吳沈括透露，目前中企為保證在歐數(shù)據(jù)合規(guī)，絕大部分采用數(shù)據(jù)本地化存儲。另據(jù)陳際紅的觀察，進行數(shù)據(jù)跨境傳輸?shù)闹衅髣t基本依賴于“標準合同條款”，而且中企的數(shù)據(jù)保護也不見得比Meta做得好。目前歐盟還沒有相關(guān)司法案件評估中國的數(shù)據(jù)保護法律環(huán)境，未來一旦有這類案件作出負面評估，中國公司簽訂的“標準合同條款”可能也會像Meta案一樣，被認為無法彌補法律保護力度的不足，那么對采用這一合同的在歐中企勢必產(chǎn)生普遍性影響。

新數(shù)據(jù)傳輸機制仍存不確定性

Meta雖是遭遇最高罰單的企業(yè)，但并非第一家因非法跨境數(shù)據(jù)傳輸受罰的公司。2022年2月，法國國家信息與自由委員會（CNIL）數(shù)據(jù)保護機構(gòu)發(fā)現(xiàn)，谷歌旗下的網(wǎng)站流量統(tǒng)計服務(wù)工具“谷歌分析”（Google Analytics）違反了GDPR有關(guān)跨界數(shù)據(jù)傳輸?shù)囊?，其采用的“標準合同條款”不足以保護用戶數(shù)據(jù)，并且谷歌沒有采取足夠的技術(shù)、組織等層面的數(shù)據(jù)保護措施。同年6月，意大利數(shù)據(jù)保護機構(gòu)也裁定“谷歌分析”向美國傳輸數(shù)據(jù)違反了GDPR。

數(shù)據(jù)跨境傳輸困境下，解決“隱私盾”協(xié)議廢除后的制度問題勢在必行。

2022年3月25日，美國與歐盟宣布已就新的“歐盟-美國數(shù)據(jù)隱私框架”達成原則性協(xié)議，以促進跨大西洋數(shù)據(jù)流動。同年10月7日，拜登簽署了一項關(guān)于“加強保障美國信號情報活動”的行政命令。該行政命令引入新的具有約束力的保障措施，限制美國情報部門訪問歐盟用戶數(shù)據(jù)，并建立數(shù)據(jù)保護審查法院，賦予歐盟公民訴訟救濟的權(quán)利。

2022年12月13日，歐盟委員會發(fā)布《關(guān)于歐盟-美國數(shù)據(jù)隱私框架的充分性決定草案》。草案的評估結(jié)論是，美國通過“歐盟-美國數(shù)據(jù)隱私框架”提供了與歐盟相當(dāng)?shù)谋Ｕ洗胧闅W盟傳輸?shù)矫绹膫€人數(shù)據(jù)提供了足夠水平的保護。

新的監(jiān)管框架依舊面臨不確定性因素。2023年5月11日，歐洲議會在一份決議中稱，“歐盟-美國數(shù)據(jù)隱私框架”未能在保護級別上實現(xiàn)基本對等，呼吁歐盟委員會繼續(xù)與美國談判，確保對等性，并提供歐盟數(shù)據(jù)保護法律所要求的充分保護水平。歐洲議會還擔(dān)心如果該框架獲得通過，它可能同樣會被歐洲法院宣布無效。

不過，歐盟委員會發(fā)言人克里斯蒂安·威根（Christian Wigand）在5月22日的新聞發(fā)布會上透露，歐盟和美國之間的這一數(shù)據(jù)隱私框架預(yù)計在2023年夏季全面運作，為科技公司提供法律確定性。

Meta在聲明中對新的數(shù)據(jù)傳輸機制寄予期待，“如果新的數(shù)據(jù)隱私監(jiān)管框架能在處罰截止日前生效，臉書就可以繼續(xù)提供服務(wù)，不會對用戶造成任何中斷或影響”。

施雷姆斯創(chuàng)建的隱私保護組織NOBY發(fā)給《財經(jīng)》的一份聲明中稱，Meta計劃依賴新的數(shù)據(jù)傳輸監(jiān)管框架開展數(shù)據(jù)跨境傳輸，但這可能不是永久性解決方案。施雷姆斯預(yù)測，新的監(jiān)管框架有九成的概率會被歐洲法院再次否決?！俺敲绹O(jiān)視法律得到修復(fù)，Meta可能不得不將歐盟用戶數(shù)據(jù)儲存在歐盟。”