美欧数据博弈胶着(Meta被罚12亿欧元有点冤)
“这不仅事关一家公司的隐私保护实践,美国对于数据准入的规则与欧洲隐私权利有根本冲突。”Meta在一份公开声明中说,爱尔兰数据保护委员会的这一决定是有缺陷的、不合理的,“并为其他无数在欧盟和美国之间传输数据的公司树立了一个危险的先例”。Meta透露,其打算就此提起上诉,并寻求法院中止上述决定的执行。
Meta虽是遭遇最高罚单的企业,但并非第一家因非法跨境数据传输受罚的公司。2022年2月,法国国家信息与自由委员会(CNIL)数据保护机构发现,谷歌旗下的网站流量统计服务工具“谷歌分析”(Google Analytics)违反了GDPR有关跨界数据传输的要求,其采用的“标准合同条款”不足以保护用户数据,并且谷歌没有采取足够的技术、组织等层面的数据保护措施。同年6月,意大利数据保护机构也裁定“谷歌分析”向美国传输数据违反了GDPR。
虽然“隐私盾”协议被认定无效,但欧洲法院仍保留了“标准合同条款”机制,用于欧盟和非欧盟国家之间数据传输,确保数据出境之后保护水平不低于欧盟标准。“标准合同条款”机制也就成为Meta、微软等一众美国科技公司继续跨境传输数据的替代方案。
欧盟与美国就数据跨区域传输之间的冲突由来已久。其中,马克斯·施雷姆斯是关键推动者。
由于出台以来,鲜少有大科技公司因违反GDPR而受罚,这一法规曾被欧洲议员讥讽为“纸老虎”。多家美国科技公司的欧洲总部所在地——爱尔兰的数据监管机构,也被一些欧盟隐私保护活跃人士指责为不作为。
Meta在声明中对新的数据传输机制寄予期待,“如果新的数据隐私监管框架能在处罚截止日前生效,脸书就可以继续提供服务,不会对用户造成任何中断或影响”。
在施雷姆斯看来,Meta推翻现有处罚决定的可能性很低,过去的违规行为无法通过新的“欧盟-美国数据隐私框架”来正当化。
“这个案件反映了爱尔兰执行欧盟的整体意志,体现出欧盟在数据跨境领域的执法力度持续增强,以及欧盟维护自身数据主权的态度越来越强硬。”吴沈括表示。
2022 年3月25日,美国与欧盟宣布已就新的“欧盟-美国数据隐私框架”达成原则性协议,以促进跨大西洋数据流动。同年10月7日,拜登签署了一项关于“加强保障美国信号情报活动”的行政命令。该行政命令引入新的具有约束力的保障措施,限制美国情报部门访问欧盟用户数据,并建立数据保护审查法院,赋予欧盟公民诉讼救济的权利。
因跨境传输数据不合规,脸书母公司Meta被欧盟数据监管机构处以12亿欧元的“天价”罚款。处罚背后,是美欧围绕国家安全利益与公民隐私人权的长期博弈。
不过,欧盟委员会发言人克里斯蒂安·威根(Christian Wigand)在5月22日一场新闻发布会上透露,欧盟和美国之间的这一数据隐私框架预计将在今年夏季全面运作,为科技公司提供法律确定性。
2013年6月25日,马克斯·施雷姆斯以“棱镜门”为事实依据向爱尔兰数据保护专员投诉,认为脸书涉嫌参与“棱镜”计划,那么脸书将欧盟用户的数据传输到美国,不符合当时欧盟的数据保护法律。施雷姆斯与脸书围绕数据跨境流通合法性的八年诉争就此开启。
5月25日是欧盟《通用数据保护条例》(GDPR)出台五周年。在个人数据保护方面,GDPR 是目前全球规定最为严格、处罚最为严厉的法规之一。企业在发生数据泄露事故的情况下可能会面临高达年收入4%或2000万欧元(约合1.5亿元人民币)的罚款。
2013年6月的斯诺登事件引起全球哗然。前美国情报机构员工斯诺登向媒体透露,美国国安局自2007年开始实施名为“棱镜”的网络监控监听计划,脸书、谷歌、苹果等大科技公司被指参与该其中。
然而,当地时间5月22日,爱尔兰数据保护委员会给予脸书母公司Meta一记重拳:脸书因将欧盟用户数据跨境传输到美国不符合GDPR的规定,被罚款12亿欧元(约合91亿元人民币)。这是GDPR生效五年来欧盟监管机构开出的最高一张罚单。
奥地利隐私保护活动人士和律师马克斯·施雷姆斯(Maximilian Schrems)觉得Meta的威胁是可笑的,“鉴于欧洲是Meta在美国以外最大的收入来源,而且Meta已经在欧盟建立了本地数据中心,Meta的撤出警告很难让人信服”。
吴沈括表示:“Meta案已成为美欧之间围绕数据跨境机制博弈的一枚重要棋子。”
爱尔兰数据保护委员会处以Meta罚款,正值5月25日GDPR出台五周年前夕。民间组织爱尔兰公民自由委员会(Irish Council for Civil Liberties)在5月发布的一项报告批评称,实施五年以来,GDPR很少针对大型科技公司,也很少有施加严厉执法措施的案例。Meta、谷歌、微软、苹果等诸多美国科技公司欧洲总部所在的爱尔兰,是执法的瓶颈,因为爱尔兰数据保护委员会很少就重大跨境案件作出决定草案。即便作出,有75%的案件调查决定草案也会被欧洲数据保护委员会以多数票否决,以督促爱尔兰监管机构采取更严厉的执法行动。
Meta在前述公开声明中表示,脸书在欧洲的运营不会立即中断。这引发了Meta是否会因此退出欧洲市场的猜测。
该案指向美国监视法律与欧盟数据保护法之间的冲突。欧洲法院在判决中提及《美国外国情报监视法》的第702条,这一条款允许政府对位于美国境外的外国人进行有针对性的监视,以获取外国情报信息。欧洲法院认为,美国的监控法律没有明确限制监控的适用范围,也没有明确列出针对非美国人的保障措施,尤其是寻求司法救济的途径,不利于保护欧盟公民的基本权利,导致欧盟用户数据在美国无法获得与欧盟境内同等的保护。
Meta目前在欧洲境内设有三个数据中心,分别位于丹麦欧登塞(Odense)、爱尔兰克隆尼(Clonee)和瑞典吕勒奥(Luleå)。
但依靠“标准合同条款”给数据合规带来极大的不确定性。欧洲法院的判决下达后不久,时任脸书全球事务和传播副总裁尼克·克莱格(Nick Clegg)对外透露,爱尔兰数据保护委员会就着手调查脸书的数据传输行为,要求脸书停止向美国传输欧盟用户数据,并指出脸书实际上已不能再根据广泛采用的标准合同条款将数据从欧盟传输到美国。
Meta在处罚公布后的声明中表露自己的无奈:“归根结底,2020年‘隐私盾’的失效是由于美国政府关于数据准入的规则与欧洲隐私权之间存在根本性的法律冲突。这是一场无论是Meta抑或任何其他企业都无法独自解决的冲突。”
实际上,在Meta处罚案中,爱尔兰数据保护委员会最初认为罚款是不必要且不相称的。但欧洲数据保护委员会4月13日否决这一观点,指示爱尔兰数据保护委员会综合考量侵权严重性、侵权获利等因素,给予Meta公司行政罚款,由此才有了最终的12亿欧元“天价”处罚。
对于施雷姆斯的投诉,时任爱尔兰数据保护专员比利·霍克斯(Billy Hawkes)不予支持,给出的理由为,欧盟和美国之间的“安全港”协议允许传输此类数据。
2022年2月,Meta曾警告,由于欧盟GDPR阻碍用户个人数据存储于美国服务器上,该公司可能无法再向欧盟用户提供其脸书和Instagram服务。
Meta受处罚也给在欧中国企业带来潜在隐患。
文|财经E法实习生 杨柳
吃了“闭门羹”的施雷姆斯随后提起司法诉讼。受其推动,“安全港”制度在2015年10月6日被欧洲法院宣告无效。欧洲法院认为,美国没有提供充分的个人数据保护机制,而欧盟法律禁止与隐私标准较低的国家共享数据。
针对爱尔兰数据保护委员会的高额罚款,Meta已表示将提起上诉。吴沈括分析,由于事关欧盟复杂、多层次的司法体系,案件最终结论的下达,可能耗时三年左右。诉讼期间,Meta可以提出暂时停止相关处罚的申请,由法院做出相应裁决。
新的监管框架依旧面临不确定性因素。2023年5月11日,欧洲议会在一份决议中称,“欧盟-美国数据隐私框架”未能在保护级别上实现基本对等,呼吁欧盟委员会继续与美国谈判,确保对等性,并提供欧盟数据保护法律所要求的充分保护水平。欧洲议会还担心如果该框架获得通过,它可能同样会被欧洲法院宣布无效。
数据跨境传输困境下,解决“隐私盾”协议废除后的制度问题势在必行。
财经E法就Meta是否可能停止欧洲市场业务,以及数据本土化存储的可行性询问Meta,但截至发稿未获回复。
为便利跨国企业继续合法地在大西洋两岸传输数据,彼时的奥巴马政府同欧盟当局在2016年2月达成“隐私盾”(Privacy Shield)协议,以取代先前的“安全港”制度。“隐私盾”框架提供了更严格的数据保护标准,包括为美国政府访问数据施加了限制性措施和透明度义务:一方面,美国向欧盟保证,当局为执法和国家安全而进行的数据访问受到明确的限制,只能在特定前提下使用,排除大规模监控的可能性;另一方面,在美国国务院设立了隐私保护监察员,为欧盟公民提供国家安全监管的救济机制。
即便如此,施雷姆斯仍旧认为,“隐私盾”制度无法阻止美国政府收集欧盟用户数据。在GDPR生效后,施雷姆斯以此为法理基础,再次将脸书诉至法院。这一司法挑战再次得到欧洲法院的认可。2020年7月,欧洲法院推翻了美欧之间的“隐私盾”协议,“隐私盾”不能为欧盟公民提供GDPR所要求的保护水平。
经过自2020年8月以来的漫长调查,2023年5月22日公布的处罚决定中,爱尔兰数据保护委员会认定Meta违反了GDPR第46条(1)款,这一条款允许科技公司在提供适当的保障措施及法律救济措施的前提下,将数据转移至其他国家。处罚决定称,按照对《欧盟基本权利宪章》的解读,美国法律未提供与欧盟法律提供的保护水平基本相同的保护,“标准合同条款”也无法弥补美国法律提供的保护不足,并且Meta没有采取任何补充措施来弥补美国法律提供的不充分保护。
高额处罚背后,是欧洲隐私保护活跃人士与美国科技大公司长达八年的诉讼“恩怨”。Meta遭遇的危机,也是“美国外国情报监视机制”与“欧盟数据保护机制”长期博弈之下的产物。
编辑|郭丽琴
除了罚款,爱尔兰数据保护委员会还要求Meta必须在五个月内,暂停向美国传输个人数据,并于六个月的宽限期内,删除此前已经传输到美国的数据。
吴沈括透露,目前中企为保证在欧数据合规,绝大部分采用数据本地化存储。另据陈际红的观察,进行数据跨境传输的中企则基本依赖于“标准合同条款”,而且中企的数据保护也不见得比Meta做得好。目前欧盟还没有相关司法案件评估中国的数据保护法律环境,未来一旦有这类案件作出负面评估,中国公司签订的“标准合同条款”可能也会像Meta案一样,被认为无法弥补法律保护力度的不足,那么对采用这一合同的在欧中企势必产生普遍性影响
公开数据显示,脸书2022年的收入约有22%来自欧洲市场,仅次于北美市场。
欧洲数据保护委员会前任主席安德烈·杰琳(Andrea Jelinek)表示:“Meta的侵权行为非常严重,涉及系统性、重复性和连续性的传输。脸书在欧洲拥有数百万用户,因此传输的个人数据量巨大。罚款发出了一个强烈信号,即严重的侵权行为会产生深远后果。”
施雷姆斯创建的隐私保护组织NOBY发给财经E法的一份声明中称,Meta计划依赖新的数据传输监管框架开展数据跨境传输,但这可能不是永久性解决方案。施雷姆斯预测,新的监管框架有九成的概率会被欧洲法院再次否决。“除非美国监视法律得到修复,Meta可能不得不将欧盟用户数据储存在欧盟”。
中伦律师事务所合伙人陈际红向财经E法分析,虽然有“标准合同条款”的数据保障措施,但美国情报监视法律的存在,部分抵消了“标准合同条款”所提供的保护,导致欧盟法所要求的同等保护落不到实处,所以Meta处罚案实际上可视为爱尔兰数据保护委员会对美国国内法律环境的挑战。
2022年12月13日,欧盟委员会发布《关于欧盟-美国数据隐私框架的充分性决定草案》。草案给出的评估结论是,美国通过“欧盟-美国数据隐私框架”提供了与欧盟相当的保障措施,并为从欧盟传输到美国的个人数据提供了足够水平的保护。
“Meta本身是在认真地签‘标准合同条款’,也在认真地履行保障措施,但是美国的外部法律环境决定了这些保护没法完全落地。”陈际红说,Meta所遭遇的困境,对其他依赖于“标准合同条款”数据跨境传输框架的美国公司而言也是一样的,“Meta被罚,只是因为它在欧洲的业务市场比较大,涉及庞大的个人数据量,并不能说明Meta 做得多差”。
2000年7月26日,欧盟委员会通过了一项决议,为欧盟与美国跨区域数据传输建立 “安全港”(Safe Harbor)制度。那些遵守数据安全和保护原则的美国公司,获得了合法将数据从欧盟传输到美国的资格。
北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括亦认为,Meta不会真正的退出欧盟市场,在数据保护领域,美国企业和欧盟监管机关之间的较量是常态化的现象,而且欧盟市场的地位和重要性也不允许Meta退出。
美联储对金融机构的紧急贷款大幅下降 第一共和银行被接管是主因
金融机构从美联储获得的紧急贷款上周大幅下滑,部分原因是第一共和银行被接管,而该行占到未偿还贷款的很大一部分。根据周四公布的数据,截至5月3日当周,美联储通过两个后备贷款工具向金融机构发放的贷款余额为811亿美元,前一周为1,552亿美元。最新数字是3月份银行业动荡开始以来的最低水平。0000齐齐哈尔特产 齐齐哈尔特产零食
非物质文化遗产指被各群体、团体、有时为个人所视为其文化遗产的各种实践、表演、表现形式、知识体系和技能及其有关的工具、实物、工艺品和文化场所。拥有“世界大湿地、中国鹤家乡”美誉的齐齐哈尔有哪些非遗文化?小编带大家盘点一下~民间音乐——罕伯岱达斡尔族民歌大财经2023-03-25 05:52:520001快讯!张小泉集团董事长变更
中国经济周刊-经济网讯天眼查App显示,近日,杭州张小泉集团有限公司发生工商变更,张新程卸任法定代表人、执行董事兼总经理,由张樟生接任。大财经2023-12-12 11:31:230000占全球贸易90%!中国成日本原木主要输出国,是不想砍自己的树吗
如果说起我们国家从邻国日本进口的商品,你会最先想到什么?是电脑、汽车、相机还是什么高科技的现代产品?就在2023年十月,日本政府的财经统计局发布这样一项数据,中国从日本购买的原木数量比去年同期增长了百分之四十。不仅如此,从日本2023年全年的原木出口总量来看,中国也占到了他们对全世界出口贸易额的百分之九十。大财经2023-12-28 17:53:560001