兩次扳倒美歐數(shù)據(jù)協(xié)議的法律人

俞飛

日前，歐洲法院一錘定音：鑒于美國數(shù)據(jù)保護(hù)未能達(dá)到歐盟標(biāo)準(zhǔn)，《歐美隱私盾牌》協(xié)定無效。一石激起千層浪，臉書、谷歌等五千余家美國企業(yè)叫苦不迭，歐美跨大西洋聯(lián)盟再添新裂痕。路透社指出，這一裁決實際上結(jié)束了美國公司在獲取歐盟用戶個人數(shù)據(jù)上的特權(quán)。

外界好奇：本案歐洲發(fā)起人從何處獲得靈感，想出起訴美國互聯(lián)網(wǎng)巨頭的高招？在近十年的一系列跨國訴訟中，他如何見招拆招，贏得多個勝訴判決？美國與歐盟的監(jiān)控與隱私大戰(zhàn)，究竟誰能笑到最后？

硅谷初識隱私法奧義

鏡頭拉回到2011年春天，硅谷腹地的圣塔克拉拉大學(xué)美不勝收，笑迎從世界各地慕名而來的交換生。24歲的奧地利學(xué)生施雷姆斯，快步走進(jìn)法學(xué)院教室。一個學(xué)期的國際交換機(jī)會難得，他迫不及待地想知道美國法律到底和歐洲法律有何不同。

誰能想到，正是這個還長著青春痘的維也納大學(xué)研究生，會因為一門隱私法課程的期末論文，掀起將近十年的美歐隱私權(quán)大戰(zhàn)，讓臉書、谷歌、亞馬遜等一干美國互聯(lián)網(wǎng)巨頭忌憚三分？

機(jī)緣巧合，全美重量級隱私法教授格蘭西開設(shè)選修課，施雷姆斯有幸成為25名選課學(xué)生之一。女教授滿面春風(fēng)，誨人不倦，提及在歐盟隱私法里至關(guān)重要的個人權(quán)利——訪問權(quán)，即個人數(shù)據(jù)主體有權(quán)訪問與他處理的所有數(shù)據(jù)。所有歐盟公民有權(quán)向擁有自身數(shù)據(jù)的政府機(jī)構(gòu)或公司，了解和自己信息相關(guān)的事項，公司或政府機(jī)構(gòu)必須遵守，違反者必須支付巨額罰款。

格蘭西教授提醒學(xué)生：1995年通過的《數(shù)據(jù)保護(hù)指令》是歐盟隱私法的一大亮點，歐盟公民從此獲得法律保障，有權(quán)確認(rèn)公司或機(jī)構(gòu)是否正在處理與他有關(guān)的數(shù)據(jù);處理的目的;有關(guān)數(shù)據(jù)的類別;有關(guān)數(shù)據(jù)是否披露給了其他主體等。反觀美國法，在這一方面卻存在巨大漏洞，美國公民隱私和數(shù)據(jù)保護(hù)問題主要是在個人和公司之間的合同法中有所體現(xiàn)。

授課之余，教授運用人脈，請來諸多硅谷業(yè)界牛人為學(xué)生提供寶貴的實操經(jīng)驗。這時，臉書發(fā)展紅透半邊天，公司首席律師埃德·帕爾米耶里應(yīng)邀參與講座，分享公司隱私保護(hù)策略。

施雷姆斯靈機(jī)一動，開腔問了埃德一個問題：“請問，臉書公司是否遵守歐盟隱私法？” 這位大名鼎鼎的律師打起了太極，含糊其辭，欲言又止，讓人大失所望。

法律學(xué)生的直覺告訴他，臉書立場曖昧，問題非同小可。征得教授同意，他將審視臉書是否遵守歐盟數(shù)據(jù)保護(hù)法作為期末論文選題。說干就干，就從自己的個人信息入手。

6月2日，施雷姆斯正式向臉書公司發(fā)出郵件， 作為奧地利公民，他要求依據(jù)歐盟法律向其提供和自己個人信息有關(guān)的資料。萬萬沒想到，堂堂互聯(lián)網(wǎng)巨頭居然使出“拖字訣”，在回信中指責(zé)他提供虛假的用戶名，公司愛莫能助。

經(jīng)過一番艱難交涉，臉書這才死心，無奈地提供一張關(guān)于施雷姆斯要求范圍內(nèi)的原始隱私數(shù)據(jù)光盤，好家伙，這里面足足有超過1200頁的 PDF文件！

人多力量大！施雷姆斯振臂一呼，創(chuàng)立歐洲起訴臉書網(wǎng)站，號召更多吃瓜群眾向臉書索取個人信息。媒體紛紛報道，超過4萬歐洲網(wǎng)友踴躍加入，結(jié)果卻讓人氣結(jié)，很多人只得到一個僅提供部分個人信息的數(shù)據(jù)下載工具。

店大欺客，就憑這仨瓜倆棗還想打發(fā)應(yīng)付咱們？門都沒有！施雷姆斯決定拿起法律武器，向臉書討一個說法！

先投訴后起訴，官司全面開打

要打這場跨國官司，選擇哪家法院來告？民事訴訟基本法理為原告就被告，要是在臉書美國總部起訴，美國聯(lián)邦層面并無統(tǒng)一的個人隱私保護(hù)法，勝訴難如登天。

就法言法，歐盟處理個人隱私和數(shù)據(jù)糾紛，需要個人先行向行政機(jī)構(gòu)投訴，再到法院起訴。 經(jīng)過反復(fù)思考，施雷姆斯決定選擇諸多美國跨國公司歐洲總部群集的愛爾蘭。28個歐盟成員國，小小的愛爾蘭何德何能，吸引了如此之多的跨國公司？

原來愛爾蘭經(jīng)濟(jì)長期落后凋敝，20世紀(jì)80年代，為吸引美國資本，以超低稅率誘惑跨國公司在本國設(shè)立歐洲總部。臉書、谷歌、微軟、推特、蘋果、領(lǐng)英等美國科技公司，都在愛爾蘭注冊歐洲總部，處理個人數(shù)據(jù)，愛爾蘭蛻變?yōu)閯P爾特之虎。

誰會想到，美國跨國公司當(dāng)年一心只想避稅，卻讓愛爾蘭走上了美歐隱私攻防大戰(zhàn)的主戰(zhàn)場。施雷姆斯告訴記者：“總部設(shè)在歐洲讓臉書容易受到法律攻擊。這意味著臉書的所有歐洲用戶都與該公司都柏林（愛爾蘭首都）辦事處簽下合同，使臉書需要服從愛爾蘭嚴(yán)格的隱私法?！?/p>

兵貴神速！一批憤怒的歐盟臉書用戶向愛爾蘭數(shù)據(jù)保護(hù)專員辦公室（DPC）投訴，稱臉書絲毫不尊重歐盟網(wǎng)友個人數(shù)據(jù)訪問權(quán)。 那段時間，雪花般飄來的投訴，讓僅有十幾個員工的DPC陷入癱瘓。

2011年施雷姆斯向DPC提出申訴，要求知道臉書保存了他的哪些信息，并認(rèn)為臉書所儲存的個人信息受美國國家機(jī)構(gòu)監(jiān)控，并不安全。2012年2月臉書兩位高管飛往維也納，與他進(jìn)行了長達(dá)6個小時的交涉。臉書公司隨后停止使用面部識別軟件，刪除若干個人數(shù)據(jù)。

對臉書進(jìn)行的隱私調(diào)查一直沒有下文，DPC對施雷姆斯投訴回應(yīng)“無事生非，徒增困擾”。大棒高高舉起，輕輕放下。施雷姆斯拍案而起，走上訴訟之路。他痛斥：“這一決定是基于DPC多年來拒絕正式裁決的事實，甚至沒有授予最基本的程序權(quán)利（查閱文件、證據(jù)或抗辯）。DPC實際上已經(jīng)停止了所有形式的溝通，并忽略了所有提交的文件。許多觀察人士認(rèn)為，這可能是基于愛爾蘭的政治和經(jīng)濟(jì)考慮?！?/p>

2013年美國國家安全局承包商前雇員斯諾登披露“棱鏡”監(jiān)聽項目，美國大規(guī)模監(jiān)控活動被公之于眾，全球為之一震。如此大規(guī)模的國家監(jiān)控豈有此理？對此，施雷姆斯的反應(yīng)是——我的數(shù)據(jù)被傳到美國后安全嗎？

他以DPC不作為向愛爾蘭高等法院起訴，法官裁決：此案茲事體大，涉及愛爾蘭法律和歐盟法律，優(yōu)先適用歐盟法律。案子隨即轉(zhuǎn)交歐盟最高法院審理。

施雷姆斯強調(diào)，歐盟數(shù)據(jù)保護(hù)法規(guī)規(guī)定，歐盟國家公民的個人數(shù)據(jù)不能傳輸?shù)椒菤W盟國家，除非這些數(shù)據(jù)能夠得到有效保護(hù)。2000年歐盟委員會與美國簽訂《安全港協(xié)議》，允許網(wǎng)絡(luò)運營商在美國與歐盟國家之間合法傳輸網(wǎng)絡(luò)數(shù)據(jù)。該協(xié)議沒有為個人提供法律救濟(jì)，以尋求訪問數(shù)據(jù)或刪除或修改數(shù)據(jù)。 2013年斯諾登事件令歐盟委員會這一行政決定受到質(zhì)疑。安全港制度侵犯他的隱私權(quán)、數(shù)據(jù)保護(hù)的基本權(quán)利，以及《歐盟基本權(quán)利憲章》規(guī)定的公平審判權(quán)。

世人皆知，美國國家安全局全球監(jiān)控：從國家元首到恐怖分子、從律師到激進(jìn)分子、從非法商販到網(wǎng)絡(luò)黑客，從公民到企業(yè)主。它向元數(shù)據(jù)和通信發(fā)起攻擊，永不滿足地吞噬著元數(shù)據(jù)：何人在何時何地使用何種機(jī)器與何人通話了多久，所有的細(xì)節(jié)它都想知道。美國國家安全局利用儲存在美國的數(shù)據(jù)，查看歐盟公民電郵、監(jiān)聽電話和在線聊天、查閱瀏覽和搜索歷史記錄、通過后門軟件竊取計算機(jī)數(shù)據(jù)。

2015年3月24日法庭上法官發(fā)問：“如果我擔(dān)心自己的數(shù)據(jù)被美國當(dāng)局掌握，你能給出什么建議?！睔W盟委員會律師回答：“如果我有臉書賬戶的話，可能會考慮關(guān)閉自己的臉書賬戶。”他表示，歐盟委員會無法保證數(shù)據(jù)保護(hù)得到“充分”保障。施雷姆斯表示，這是他在法庭上聽到的最令人震驚的言論。

9月法官發(fā)表意見，宣布安全港協(xié)議無效，如果第三方國家侵犯了歐盟的權(quán)力，個人數(shù)據(jù)保護(hù)機(jī)構(gòu)可以暫停數(shù)據(jù)傳輸。10月歐盟最高法院裁定：從歐盟傳輸?shù)矫绹臄?shù)據(jù)“達(dá)不到適當(dāng)?shù)谋Ｗo(hù)水平”，15年前簽署的《安全港協(xié)議》無效。

“維也納數(shù)據(jù)叛逆者贏了臉書”“奧地利人打敗臉書”，歐洲各大媒體爭相喝彩。

勝利來之不易，施雷姆斯說：“這一裁決對互聯(lián)網(wǎng)私人領(lǐng)域是一個里程碑。歐洲法院明確表示，美國大規(guī)模監(jiān)控侵犯了我們的基本權(quán)利，對此用戶可以采取理性的法律步驟。”

接受奧地利《皇冠報》采訪時，他說，打官司“是為了阻止針對網(wǎng)上私人空間的違法行為。對于廣大臉書用戶來說，他們不會因為這一判決受到什么限制，只是不用再忍受美國當(dāng)局把他們的數(shù)據(jù)傳輸給情報機(jī)構(gòu)用于監(jiān)控”。

《安全港協(xié)議》失效的裁定影響深遠(yuǎn)。該判決加強了對歐盟國家公民基本權(quán)利的保護(hù)。這一判決給歐盟委員會敲了警鐘：本來“棱鏡”丑聞曝光美國情報機(jī)構(gòu)可以不受限制地拿到臉書、谷歌等美國科技公司的用戶數(shù)據(jù)后，歐盟方面就應(yīng)立即吸取教訓(xùn)，采取相應(yīng)行動。

歐洲法院還裁定DPC要詳盡地處理施雷姆斯的申訴。日后歐盟各國在處理公民在美國的數(shù)據(jù)保護(hù)問詢時，不能袖手旁觀，或者斷然拒絕。

這一裁決對互聯(lián)網(wǎng)行業(yè)同樣產(chǎn)生深遠(yuǎn)影響。臉書、谷歌、微軟、蘋果等多家美國科技公司擁有安全港證書。目前互聯(lián)網(wǎng)用戶大部分云服務(wù)器設(shè)在美國，美國科技企業(yè)不得不重新制定數(shù)據(jù)存儲方案。

2015年12月2日，他向DPC重新提交對臉書的投訴，還向漢堡和比利時數(shù)據(jù)保護(hù)當(dāng)局發(fā)出類似投訴。此外，他在奧地利法院發(fā)起群體訴訟，六天吸引2.5萬人參與，要求臉書向每位參與者象征性賠償500歐元。這起“大衛(wèi)和歌利亞”官司，成為歐洲有史以來最大的隱私集體訴訟。

隱私盾協(xié)議無效?

安全港協(xié)議失效后，美歐跨境數(shù)據(jù)流動岌岌可危。通過緊急談判、協(xié)商和多輪修改，2016年7月14日雙方正式通過《歐美隱私盾協(xié)議》。

美國政府首度書面承諾：以國家安全為由進(jìn)行的訪問，都必須受到約束和監(jiān)管，保證不會對根據(jù)隱私盾協(xié)議轉(zhuǎn)移到美境內(nèi)的個人數(shù)據(jù)進(jìn)行不加鑒別的、大規(guī)模的監(jiān)視，批量搜集的公民數(shù)據(jù)只能用于反恐、防擴(kuò)散、網(wǎng)絡(luò)安全等6個特定目的，且不得破壞隱私盾協(xié)議的原則。另外，美建立了獨立于國家安全部門之外的監(jiān)察專員機(jī)制，專門負(fù)責(zé)跟蹤和處理個人提出的投訴和咨詢。

2018年《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）正式生效。法規(guī)不要求各國政府通過任何授權(quán)立法，具有直接約束力和適用性。法規(guī)規(guī)范搜集或處理歐盟居民的個人數(shù)據(jù)，也適用于歐盟以外的組織。嚴(yán)重違法者，罰款上限是 2000 萬歐元或?qū)ζ髽I(yè)而言上一年度全球營業(yè)收入的4%，兩者擇其大者。根據(jù)對超過20000個云服務(wù)的調(diào)查分析，只有6%的云服務(wù)完全符合GDPR。

此后，施雷姆斯根據(jù)GDPR對谷歌和臉書提起訴訟，指控它們強迫用戶接受其數(shù)據(jù)收集政策。三起投訴共涉及39億歐元。2019年1月他對亞馬遜、蘋果音樂、YouTube等公司提出GDPR投訴，稱八家公司對投訴沒有作出回應(yīng)，未能提供足夠的背景信息，或提供了不足或難以理解的原始數(shù)據(jù)，這8家公司的最高罰款總額高達(dá)188億歐元。

再接再厲。施雷姆斯反對臉書在不對美國的監(jiān)控機(jī)制做防護(hù)措施的情況下將自己的數(shù)據(jù)傳往美國母公司。他援引斯諾登爆料：臉書在美國有義務(wù)向國家安全局、FBI提供用戶數(shù)據(jù)，而用戶對此無法采取任何行動。美國監(jiān)控法沒有為歐盟的個人數(shù)據(jù)提供充分的保護(hù)。他要求DPC暫停臉書使用標(biāo)準(zhǔn)合同條款，同時提出了一個激進(jìn)方案：所有與歐洲人相關(guān)的數(shù)據(jù)，必須托管于在歐盟服務(wù)器上。

雙方對簿公堂，愛爾蘭法官再次將案子提交給歐盟最高法院審理。臉書所援引的標(biāo)準(zhǔn)合同條款以及《歐美隱私盾協(xié)議》是否符合歐盟數(shù)據(jù)保護(hù)法。

日前法官裁定：《歐美隱私盾協(xié)議》無法限制美國政府在獲取數(shù)據(jù)時滿足“與歐盟法律等同”的要求。同時，在美國服務(wù)器上存儲的歐盟居民信息使歐洲人可能受到美國政府的監(jiān)控，但歐洲人沒有應(yīng)對這種監(jiān)控的起訴權(quán)利，《隱私盾協(xié)議》失效。廣泛使用的將個人資料轉(zhuǎn)移到美國的標(biāo)準(zhǔn)合同條款仍然有效，但企業(yè)必須保證目的地國家能夠?qū)€人數(shù)據(jù)提供充足保障，歐盟數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)有權(quán)視個案暫停或禁止轉(zhuǎn)移。

“美國國內(nèi)法對美國公共當(dāng)局獲取和使用從歐盟轉(zhuǎn)移來的此類數(shù)據(jù)的限制意味著，歐盟的公民的數(shù)據(jù)不安全。隱私盾沒有對歐盟公民的個人隱私權(quán)提供充分的保護(hù)。美國政府大規(guī)模數(shù)據(jù)監(jiān)控計劃使得美國數(shù)據(jù)公司不可能保護(hù)在美國處理和存儲的個人數(shù)據(jù)的隱私。”法官強調(diào)。

《華爾街日報》評論，這是保護(hù)隱私活動人士的一次勝利，他們長期以來一直表示，考慮到美國的監(jiān)控做法，該國不適合存儲歐洲數(shù)據(jù)。但這一裁決將帶來令人頭疼的法律問題，是以高昂代價將數(shù)據(jù)中心轉(zhuǎn)移到歐洲，還是切斷與該地區(qū)的業(yè)務(wù)。

“這一決定直接影響到在美國做生意的歐洲和美國企業(yè)，其中超過70%是中小企業(yè)。美國將繼續(xù)與歐盟密切合作，以找到一種機(jī)制，使歐美之間可以進(jìn)行必要的、不受阻礙的數(shù)據(jù)傳輸?！泵绹鴩鴦?wù)院回應(yīng)稱，美方對歐洲法院宣布該協(xié)定無效深感失望，正在審查這一判決對5300多家歐洲和美國企業(yè)的后果與影響，這些公司為雙方帶來數(shù)百萬個跨大西洋的工作崗位和超過7.1萬億美元的商業(yè)交易。

根據(jù)BSA軟件聯(lián)盟提交的證據(jù)，如果跨境個人數(shù)據(jù)流動被嚴(yán)重中斷或停止，對歐盟GDP的負(fù)面影響可能達(dá)到0.8% 到 1.3%。這相當(dāng)于歐洲在2012年經(jīng)濟(jì)衰退期間經(jīng)濟(jì)衰退的3到4倍。

美國與歐盟在個人數(shù)據(jù)保護(hù)之所以松緊程度不同，主因是雙方互聯(lián)網(wǎng)產(chǎn)業(yè)美強歐弱，歐盟沒有一家強大的數(shù)字技術(shù)公司。歐洲多年來淪為美國互聯(lián)網(wǎng)數(shù)據(jù)巨頭砧板肉，“數(shù)字奴隸”的財富源源不斷的“數(shù)字主人”腰包。

加之雙方在隱私保護(hù)上存在基本理念差異，美方主張自由至上，歐方推崇個人尊嚴(yán)至高無上。對于隱私和個人數(shù)據(jù)保護(hù)，美國堅持靈活保護(hù)的策略，致力于通過企業(yè)自律機(jī)制，輔之以有限的政府執(zhí)法;歐盟則傾向于通過廣泛的立法和司法救濟(jì)，進(jìn)行高標(biāo)準(zhǔn)的保護(hù)。

7月13日歐洲議會研究服務(wù)中心發(fā)布《歐洲數(shù)據(jù)主權(quán)》研究報告，“非歐盟科技公司的經(jīng)濟(jì)和社會影響力威脅著歐盟公民對其個人數(shù)據(jù)的控制，并限制了歐盟高科技公司的成長和歐盟及其成員國在數(shù)字環(huán)境中的立法和執(zhí)法能力。因此，歐洲必須尋求加強數(shù)字領(lǐng)域戰(zhàn)略自主權(quán)的新政策方法，以獲得在數(shù)字世界中獨立行動的能力”。

美國監(jiān)控對決歐盟隱私，這一仗關(guān)系重大，究竟誰能笑到最后，答案在風(fēng)中飄蕩……