Meta為何被罰12億歐元？

楊柳

Meta及谷歌皆因非法跨境數(shù)據(jù)傳輸而受罰過(guò)。圖/法新

5月25日是歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）出臺(tái)五周年。在個(gè)人數(shù)據(jù)保護(hù)方面，GDPR是目前全球規(guī)定最為嚴(yán)格、處罰最為嚴(yán)厲的法規(guī)之一。企業(yè)在發(fā)生數(shù)據(jù)泄露事故的情況下可能會(huì)面臨高達(dá)年收入4%或2000萬(wàn)歐元（約合1.5億元人民幣）的罰款。

由于出臺(tái)以來(lái)，鮮少有大科技公司因違反GDPR而受罰，這一法規(guī)曾被歐洲議員譏諷為“紙老虎”。多家美國(guó)科技公司的歐洲總部所在地——愛(ài)爾蘭的數(shù)據(jù)監(jiān)管機(jī)構(gòu)，也被一些歐盟隱私保護(hù)活躍人士指責(zé)為不作為。

然而，當(dāng)?shù)貢r(shí)間5月22日，愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)給予臉書(shū)母公司Meta一記重拳：臉書(shū)因?qū)W盟用戶數(shù)據(jù)跨境傳輸?shù)矫绹?guó)不符合GDPR的規(guī)定，被罰款12億歐元（約合91億元人民幣）。這是GDPR生效五年來(lái)歐盟監(jiān)管機(jī)構(gòu)開(kāi)出的最高一張罰單。

除了罰款，愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)還要求Meta必須在五個(gè)月內(nèi)，暫停向美國(guó)傳輸個(gè)人數(shù)據(jù)，并于六個(gè)月的寬限期內(nèi)，刪除此前已經(jīng)傳輸?shù)矫绹?guó)的數(shù)據(jù)。

公開(kāi)數(shù)據(jù)顯示，臉書(shū)2022年的收入約有22%來(lái)自歐洲，僅次于北美市場(chǎng)。

歐洲數(shù)據(jù)保護(hù)委員會(huì)前任主席安德烈·杰琳（Andrea Jelinek）表示：“Meta的侵權(quán)行為非常嚴(yán)重，涉及系統(tǒng)性、重復(fù)性和連續(xù)性的傳輸。臉書(shū)在歐洲擁有數(shù)百萬(wàn)用戶，因此傳輸?shù)膫€(gè)人數(shù)據(jù)量巨大。罰款發(fā)出了一個(gè)強(qiáng)烈信號(hào)，即嚴(yán)重的侵權(quán)行為會(huì)產(chǎn)生深遠(yuǎn)后果?！?/p>

“這不僅事關(guān)一家公司的隱私保護(hù)實(shí)踐，美國(guó)對(duì)于數(shù)據(jù)準(zhǔn)入的規(guī)則與歐洲隱私權(quán)利有根本沖突?！盡eta在一份公開(kāi)聲明中說(shuō)，愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)的這一決定是有缺陷的、不合理的，“并為其他無(wú)數(shù)在歐盟和美國(guó)之間傳輸數(shù)據(jù)的公司樹(shù)立了一個(gè)危險(xiǎn)的先例”。Meta透露，其打算就此提起上訴，并尋求法院中止上述決定的執(zhí)行。

高額處罰背后，是歐洲隱私保護(hù)活躍人士與美國(guó)科技大公司長(zhǎng)達(dá)八年的訴訟“恩怨”。Meta遭遇的危機(jī)，也是“美國(guó)外國(guó)情報(bào)監(jiān)視機(jī)制”與“歐盟數(shù)據(jù)保護(hù)機(jī)制”長(zhǎng)期博弈之下的產(chǎn)物。

《財(cái)經(jīng)》記者就Meta是否可能停止歐洲市場(chǎng)業(yè)務(wù)，以及數(shù)據(jù)本土化存儲(chǔ)的可行性詢問(wèn)Meta，但截至發(fā)稿未獲回復(fù)。

Meta會(huì)退出歐洲？

Meta在前述公開(kāi)聲明中表示，臉書(shū)在歐洲的運(yùn)營(yíng)不會(huì)立即中斷。這引發(fā)了Meta是否會(huì)因此退出歐洲市場(chǎng)的猜測(cè)。

2022年2月，Meta曾警告，由于歐盟GDPR阻礙用戶個(gè)人數(shù)據(jù)存儲(chǔ)于美國(guó)服務(wù)器上，該公司可能無(wú)法再向歐盟用戶提供其臉書(shū)和Instagram服務(wù)。

奧地利隱私保護(hù)活動(dòng)人士和律師馬克斯·施雷姆斯（Maximilian Schrems）覺(jué)得Meta的威脅是可笑的，“鑒于歐洲是Meta在美國(guó)以外最大的收入來(lái)源，而且Meta已經(jīng)在歐盟建立了本地?cái)?shù)據(jù)中心，Meta的撤出警告很難讓人信服”。

北京師范大學(xué)法學(xué)院博士生導(dǎo)師、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心副主任吳沈括亦認(rèn)為，Meta不會(huì)真正的退出歐盟市場(chǎng)，在數(shù)據(jù)保護(hù)領(lǐng)域，美國(guó)企業(yè)和歐盟監(jiān)管機(jī)關(guān)之間的較量是常態(tài)化的現(xiàn)象，而且歐盟市場(chǎng)的地位和重要性也不允許Meta退出。

Meta目前在歐洲境內(nèi)設(shè)有三個(gè)數(shù)據(jù)中心，分別位于丹麥歐登塞、愛(ài)爾蘭克隆尼和瑞典呂勒奧。

針對(duì)愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)的高額罰款，Meta已表示將提起上訴。吳沈括分析，由于事關(guān)歐盟復(fù)雜、多層次的司法體系，案件最終結(jié)論的下達(dá)，可能耗時(shí)三年左右。訴訟期間，Meta可以提出暫時(shí)停止相關(guān)處罰的申請(qǐng)，由法院作出相應(yīng)裁決。

在施雷姆斯看來(lái)，Meta推翻現(xiàn)有處罰決定的可能性很低，過(guò)去的違規(guī)行為無(wú)法通過(guò)新的“歐盟-美國(guó)數(shù)據(jù)隱私框架”來(lái)正當(dāng)化。

愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)處以Meta罰款，正值5月25日GDPR出臺(tái)五周年前夕。民間組織愛(ài)爾蘭公民自由委員會(huì)（Irish Council for Civil Liberties）在5月發(fā)布的一項(xiàng)報(bào)告批評(píng)稱，實(shí)施五年以來(lái)，GDPR很少針對(duì)大型科技公司，也很少有施加嚴(yán)厲執(zhí)法措施的案例。Meta、谷歌、微軟、蘋(píng)果等諸多美國(guó)科技公司歐洲總部所在的愛(ài)爾蘭，是執(zhí)法的瓶頸，因?yàn)閻?ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)很少就重大跨境案件作出決定草案。即便作出，有75%的案件調(diào)查決定草案也會(huì)被歐洲數(shù)據(jù)保護(hù)委員會(huì)以多數(shù)票否決，以督促愛(ài)爾蘭監(jiān)管機(jī)構(gòu)采取更嚴(yán)厲的執(zhí)法行動(dòng)。

實(shí)際上，在Meta處罰案中，愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)最初認(rèn)為罰款是不必要且不相稱的。但歐洲數(shù)據(jù)保護(hù)委員會(huì)4月13日否決這一觀點(diǎn)，指示愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)綜合考量侵權(quán)嚴(yán)重性、侵權(quán)獲利等因素，給予Meta公司行政罰款，由此才有了最終的12億歐元“天價(jià)”處罰。

“這個(gè)案件反映了愛(ài)爾蘭執(zhí)行歐盟的整體意志，體現(xiàn)出歐盟在數(shù)據(jù)跨境領(lǐng)域的執(zhí)法力度持續(xù)增強(qiáng)，以及歐盟維護(hù)自身數(shù)據(jù)主權(quán)的態(tài)度越來(lái)越強(qiáng)硬?！眳巧蚶ū硎?。

美國(guó)監(jiān)控V.S.歐盟數(shù)據(jù)保護(hù)

歐盟與美國(guó)就數(shù)據(jù)跨區(qū)域傳輸之間的沖突由來(lái)已久。其中，馬克斯·施雷姆斯是關(guān)鍵推動(dòng)者。

2013年6月的斯諾登事件引起全球嘩然。前美國(guó)情報(bào)機(jī)構(gòu)員工斯諾登向媒體透露，美國(guó)國(guó)安局自2007年開(kāi)始實(shí)施名為“棱鏡”的網(wǎng)絡(luò)監(jiān)控計(jì)劃，臉書(shū)、谷歌、蘋(píng)果等大科技公司被指參與其中。

2013年6月25日，馬克斯·施雷姆斯以“棱鏡門(mén)”為事實(shí)依據(jù)向愛(ài)爾蘭數(shù)據(jù)保護(hù)專員投訴，認(rèn)為臉書(shū)涉嫌參與“棱鏡”計(jì)劃，那么臉書(shū)將歐盟用戶的數(shù)據(jù)傳輸?shù)矫绹?guó)，不符合當(dāng)時(shí)歐盟的數(shù)據(jù)保護(hù)法律。施雷姆斯與臉書(shū)圍繞數(shù)據(jù)跨境流通合法性的八年訴爭(zhēng)就此開(kāi)啟。

對(duì)于施雷姆斯的投訴，時(shí)任愛(ài)爾蘭數(shù)據(jù)保護(hù)專員比利·霍克斯（Billy Hawkes）不予支持，給出的理由為，歐盟和美國(guó)之間的“安全港”協(xié)議允許傳輸此類數(shù)據(jù)。

2000年7月26日，歐盟委員會(huì)通過(guò)了一項(xiàng)決議，為歐盟與美國(guó)跨區(qū)域數(shù)據(jù)傳輸建立“安全港”（Safe Harbor）制度。那些遵守?cái)?shù)據(jù)安全和保護(hù)原則的美國(guó)公司，獲得了合法將數(shù)據(jù)從歐盟傳輸?shù)矫绹?guó)的資格。

吃了“閉門(mén)羹”的施雷姆斯隨后提起司法訴訟。受其推動(dòng)，“安全港”制度在2015年10月6日被歐洲法院宣告無(wú)效。歐洲法院認(rèn)為，美國(guó)沒(méi)有提供充分的個(gè)人數(shù)據(jù)保護(hù)機(jī)制，而歐盟法律禁止與隱私標(biāo)準(zhǔn)較低的國(guó)家共享數(shù)據(jù)。

為便利跨國(guó)企業(yè)繼續(xù)合法地在大西洋兩岸傳輸數(shù)據(jù)，彼時(shí)的奧巴馬政府同歐盟當(dāng)局在2016年2月達(dá)成“隱私盾”（Privacy Shield）協(xié)議，以取代先前的“安全港”制度?！半[私盾”框架提供了更嚴(yán)格的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，包括為美國(guó)政府訪問(wèn)數(shù)據(jù)施加了限制性措施和透明度義務(wù)：一方面，美國(guó)向歐盟保證，當(dāng)局為執(zhí)法和國(guó)家安全而進(jìn)行的數(shù)據(jù)訪問(wèn)受到明確的限制，只能在特定前提下使用，排除大規(guī)模監(jiān)控的可能性；另一方面，在美國(guó)國(guó)務(wù)院設(shè)立了隱私保護(hù)監(jiān)察員，為歐盟公民提供國(guó)家安全監(jiān)管的救濟(jì)機(jī)制。

即便如此，施雷姆斯仍舊認(rèn)為，“隱私盾”制度無(wú)法阻止美國(guó)政府收集歐盟用戶數(shù)據(jù)。在GDPR生效后，施雷姆斯以此為法理基礎(chǔ)，再次將臉書(shū)訴至法院。這一司法挑戰(zhàn)再次得到歐洲法院的認(rèn)可。2020年7月，歐洲法院推翻了美歐之間的“隱私盾”協(xié)議，“隱私盾”不能為歐盟公民提供GDPR所要求的保護(hù)水平。

該案指向美國(guó)監(jiān)視法律與歐盟數(shù)據(jù)保護(hù)法之間的沖突。歐洲法院在判決中提及《美國(guó)外國(guó)情報(bào)監(jiān)視法》的第702條，這一條款允許政府對(duì)位于美國(guó)境外的外國(guó)人進(jìn)行有針對(duì)性的監(jiān)視，以獲取外國(guó)情報(bào)信息。歐洲法院認(rèn)為，美國(guó)的監(jiān)控法律沒(méi)有明確限制監(jiān)控的適用范圍，也沒(méi)有明確列出針對(duì)非美國(guó)人的保障措施，尤其是尋求司法救濟(jì)的途徑，不利于保護(hù)歐盟公民的基本權(quán)利，導(dǎo)致歐盟用戶數(shù)據(jù)在美國(guó)無(wú)法獲得與歐盟境內(nèi)同等的保護(hù)。

雖然“隱私盾”協(xié)議被認(rèn)定無(wú)效，但歐洲法院仍保留了“標(biāo)準(zhǔn)合同條款”機(jī)制，用于歐盟和非歐盟國(guó)家之間數(shù)據(jù)傳輸，確保數(shù)據(jù)出境之后保護(hù)水平不低于歐盟標(biāo)準(zhǔn)?！皹?biāo)準(zhǔn)合同條款”機(jī)制也就成為Meta、微軟等一眾美國(guó)科技公司繼續(xù)跨境傳輸數(shù)據(jù)的替代方案。

但依靠“標(biāo)準(zhǔn)合同條款”給數(shù)據(jù)合規(guī)帶來(lái)極大的不確定性。歐洲法院的判決下達(dá)后不久，時(shí)任臉書(shū)全球事務(wù)和傳播副總裁尼克·克萊格（Nick Clegg）對(duì)外透露，愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)就著手調(diào)查臉書(shū)的數(shù)據(jù)傳輸行為，要求臉書(shū)停止向美國(guó)傳輸歐盟用戶數(shù)據(jù)，并指出臉書(shū)實(shí)際上已不能再根據(jù)廣泛采用的標(biāo)準(zhǔn)合同條款將數(shù)據(jù)從歐盟傳輸?shù)矫绹?guó)。

經(jīng)過(guò)自2020年8月以來(lái)的漫長(zhǎng)調(diào)查，2023年5月22日公布的處罰決定中，愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)認(rèn)定Meta違反了GDPR第46條（1）款，這一條款允許科技公司在提供適當(dāng)?shù)谋Ｕ洗胧┘胺删葷?jì)措施的前提下，將數(shù)據(jù)轉(zhuǎn)移至其他國(guó)家。處罰決定稱，按照對(duì)《歐盟基本權(quán)利憲章》的解讀，美國(guó)法律未提供與歐盟法律提供的保護(hù)水平基本相同的保護(hù)，“標(biāo)準(zhǔn)合同條款”也無(wú)法彌補(bǔ)美國(guó)法律提供的保護(hù)不足，并且Meta沒(méi)有采取任何補(bǔ)充措施來(lái)彌補(bǔ)美國(guó)法律提供的不充分保護(hù)。

中倫律師事務(wù)所合伙人陳際紅向《財(cái)經(jīng)》分析，雖然有“標(biāo)準(zhǔn)合同條款”的數(shù)據(jù)保障措施，但美國(guó)情報(bào)監(jiān)視法律的存在，部分抵消了“標(biāo)準(zhǔn)合同條款”所提供的保護(hù)，導(dǎo)致歐盟法所要求的同等保護(hù)落不到實(shí)處，所以Meta處罰案實(shí)際上可視為愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)對(duì)美國(guó)國(guó)內(nèi)法律環(huán)境的挑戰(zhàn)。

“Meta本身是在認(rèn)真地簽‘標(biāo)準(zhǔn)合同條款，也在認(rèn)真地履行保障措施，但是美國(guó)的外部法律環(huán)境決定了這些保護(hù)沒(méi)法完全落地?！标愲H紅說(shuō)，Meta所遭遇的困境，對(duì)其他依賴于“標(biāo)準(zhǔn)合同條款”數(shù)據(jù)跨境傳輸框架的美國(guó)公司而言也是一樣的，“Meta被罰，只是因?yàn)樗跉W洲的業(yè)務(wù)市場(chǎng)比較大，涉及龐大的個(gè)人數(shù)據(jù)量，并不能說(shuō)明Meta做得多差”。

吳沈括表示：“Meta案已成為美歐之間圍繞數(shù)據(jù)跨境機(jī)制博弈的一枚重要棋子?！?/p>

Meta在處罰公布后的聲明中表露自己的無(wú)奈：“歸根結(jié)底，2020年‘隱私盾的失效是由于美國(guó)政府關(guān)于數(shù)據(jù)準(zhǔn)入的規(guī)則與歐洲隱私權(quán)之間存在根本性的法律沖突。這是一場(chǎng)無(wú)論是Meta抑或任何其他企業(yè)都無(wú)法獨(dú)自解決的沖突?！?/p>

Meta受處罰也給在歐中國(guó)企業(yè)帶來(lái)潛在隱患。

吳沈括透露，目前中企為保證在歐數(shù)據(jù)合規(guī)，絕大部分采用數(shù)據(jù)本地化存儲(chǔ)。另?yè)?jù)陳際紅的觀察，進(jìn)行數(shù)據(jù)跨境傳輸?shù)闹衅髣t基本依賴于“標(biāo)準(zhǔn)合同條款”，而且中企的數(shù)據(jù)保護(hù)也不見(jiàn)得比Meta做得好。目前歐盟還沒(méi)有相關(guān)司法案件評(píng)估中國(guó)的數(shù)據(jù)保護(hù)法律環(huán)境，未來(lái)一旦有這類案件作出負(fù)面評(píng)估，中國(guó)公司簽訂的“標(biāo)準(zhǔn)合同條款”可能也會(huì)像Meta案一樣，被認(rèn)為無(wú)法彌補(bǔ)法律保護(hù)力度的不足，那么對(duì)采用這一合同的在歐中企勢(shì)必產(chǎn)生普遍性影響。

新數(shù)據(jù)傳輸機(jī)制仍存不確定性

Meta雖是遭遇最高罰單的企業(yè)，但并非第一家因非法跨境數(shù)據(jù)傳輸受罰的公司。2022年2月，法國(guó)國(guó)家信息與自由委員會(huì)（CNIL）數(shù)據(jù)保護(hù)機(jī)構(gòu)發(fā)現(xiàn)，谷歌旗下的網(wǎng)站流量統(tǒng)計(jì)服務(wù)工具“谷歌分析”（Google Analytics）違反了GDPR有關(guān)跨界數(shù)據(jù)傳輸?shù)囊螅洳捎玫摹皹?biāo)準(zhǔn)合同條款”不足以保護(hù)用戶數(shù)據(jù)，并且谷歌沒(méi)有采取足夠的技術(shù)、組織等層面的數(shù)據(jù)保護(hù)措施。同年6月，意大利數(shù)據(jù)保護(hù)機(jī)構(gòu)也裁定“谷歌分析”向美國(guó)傳輸數(shù)據(jù)違反了GDPR。

數(shù)據(jù)跨境傳輸困境下，解決“隱私盾”協(xié)議廢除后的制度問(wèn)題勢(shì)在必行。

2022年3月25日，美國(guó)與歐盟宣布已就新的“歐盟-美國(guó)數(shù)據(jù)隱私框架”達(dá)成原則性協(xié)議，以促進(jìn)跨大西洋數(shù)據(jù)流動(dòng)。同年10月7日，拜登簽署了一項(xiàng)關(guān)于“加強(qiáng)保障美國(guó)信號(hào)情報(bào)活動(dòng)”的行政命令。該行政命令引入新的具有約束力的保障措施，限制美國(guó)情報(bào)部門(mén)訪問(wèn)歐盟用戶數(shù)據(jù)，并建立數(shù)據(jù)保護(hù)審查法院，賦予歐盟公民訴訟救濟(jì)的權(quán)利。

2022年12月13日，歐盟委員會(huì)發(fā)布《關(guān)于歐盟-美國(guó)數(shù)據(jù)隱私框架的充分性決定草案》。草案的評(píng)估結(jié)論是，美國(guó)通過(guò)“歐盟-美國(guó)數(shù)據(jù)隱私框架”提供了與歐盟相當(dāng)?shù)谋Ｕ洗胧?，并為歐盟傳輸?shù)矫绹?guó)的個(gè)人數(shù)據(jù)提供了足夠水平的保護(hù)。

新的監(jiān)管框架依舊面臨不確定性因素。2023年5月11日，歐洲議會(huì)在一份決議中稱，“歐盟-美國(guó)數(shù)據(jù)隱私框架”未能在保護(hù)級(jí)別上實(shí)現(xiàn)基本對(duì)等，呼吁歐盟委員會(huì)繼續(xù)與美國(guó)談判，確保對(duì)等性，并提供歐盟數(shù)據(jù)保護(hù)法律所要求的充分保護(hù)水平。歐洲議會(huì)還擔(dān)心如果該框架獲得通過(guò)，它可能同樣會(huì)被歐洲法院宣布無(wú)效。

不過(guò)，歐盟委員會(huì)發(fā)言人克里斯蒂安·威根（Christian Wigand）在5月22日的新聞發(fā)布會(huì)上透露，歐盟和美國(guó)之間的這一數(shù)據(jù)隱私框架預(yù)計(jì)在2023年夏季全面運(yùn)作，為科技公司提供法律確定性。

Meta在聲明中對(duì)新的數(shù)據(jù)傳輸機(jī)制寄予期待，“如果新的數(shù)據(jù)隱私監(jiān)管框架能在處罰截止日前生效，臉書(shū)就可以繼續(xù)提供服務(wù)，不會(huì)對(duì)用戶造成任何中斷或影響”。

施雷姆斯創(chuàng)建的隱私保護(hù)組織NOBY發(fā)給《財(cái)經(jīng)》的一份聲明中稱，Meta計(jì)劃依賴新的數(shù)據(jù)傳輸監(jiān)管框架開(kāi)展數(shù)據(jù)跨境傳輸，但這可能不是永久性解決方案。施雷姆斯預(yù)測(cè)，新的監(jiān)管框架有九成的概率會(huì)被歐洲法院再次否決?！俺敲绹?guó)監(jiān)視法律得到修復(fù)，Meta可能不得不將歐盟用戶數(shù)據(jù)儲(chǔ)存在歐盟?！?/p>