首页  > 文学副刊

奥地利学生掀起美欧隐私大战

2020-07-30 08:01:00 来源:法制日报·法治周末

施雷姆斯从脸书获得的与其相关的1200页资料。

 

欧洲法庭开庭审理数据隐私保护案件。

 

俞飞

近日,欧洲法院一锤定音,判决:鉴于美国数据保护未能达到欧盟标准,《欧美隐私盾协议》无效。一石激起千层浪,脸书、谷歌等五千余家美国企业叫苦不迭,欧美跨大西洋联盟再添新裂痕。

硅谷初识隐私法奥义

2011年春天,硅谷腹地的圣塔克拉拉大学美不胜收,笑迎从世界各地慕名而来的交换生。24岁的奥地利学生施雷姆斯,快步走进法学院教室。一个学期的国际交换机会难得,他迫不及待地想知道美国法律与欧洲法律究竟有何不同。

谁能想到,正是这个还长着青春痘的维也纳大学研究生,会因为一门隐私法课程的期末论文,掀起将近十年的美欧隐私权大战,让脸书、谷歌、亚马逊等一干美国互联网巨头忌惮三分。

机缘巧合,全美重量级隐私法教授格兰西开设选修课,施雷姆斯有幸成为25名学生之一。格兰西提及在欧盟隐私法里至关重要的个人权利——访问权,即个人数据主体有权访问与他相关的所有数据。所有欧盟公民有权向拥有自身数据的政府机构或公司,了解和自己信息相关的事项,公司或政府机构需遵守,违反者必须支付巨额罚款。

格兰西教授提醒学生:1995年通过的《数据保护指令》是欧盟隐私法的一大亮点,欧盟公民从此获得法律保障,有权确认公司或机构是否正在处理与他有关的数据;处理的目的;有关数据的类别;有关数据是否披露给了其他主体等。反观美国法,在这方面却存在巨大漏洞,美国公民隐私和数据保护问题主要是在个人和公司之间的合同法中有所体现。

授课之余,格兰西教授请来诸多硅谷业界牛人为学生提供宝贵的实操经验。斯时,脸书发展红透半边天,公司首席律师埃德•帕尔米耶里应邀参与讲座,分享公司隐私保护策略。

施雷姆斯灵机一动,开腔问了埃德一个问题:“请问,脸书公司是否遵守欧盟隐私法?”  这位大名鼎鼎的律师打起了太极,含糊其辞,让人大失所望。

法学生的直觉告诉他,脸书立场暧昧,问题非同小可。征得教授同意后,他将审视脸书是否遵守欧盟数据保护法作为期末论文选题,并选择从自己的个人信息入手。

201162日,施雷姆斯正式向脸书公司发出邮件,作为奥地利公民,他要求依据欧盟法律向其提供和自己个人信息有关的资料。万万没想到,堂堂互联网巨头居然使出“拖字诀”,在回信中指责他提供虚假的用户名,公司爱莫能助。

经过一番艰难交涉,脸书才无奈同意提供一张关于施雷姆斯要求范围内的原始隐私数据光盘,没想到,这里面足足有超过1200页的PDF文件,并包含了大量三年来他已经删除的个人信息。

震惊的施雷姆斯创立欧洲起诉脸书网站,号召更多人向脸书索取个人信息。媒体纷纷报道,超过4万欧洲网友踊跃加入,结果却让人气结,很多人只得到一个仅提供部分个人信息的数据下载工具。

店大欺客,施雷姆斯决定拿起法律武器,向脸书讨一个说法。

奥地利数据叛逆者赢了脸书

要打这场跨国官司,选择哪家法院来告?要是在脸书总部美国起诉,美国联邦层面并无统一的个人隐私保护法,胜诉难如登天。

就法言法,欧盟处理个人隐私和数据纠纷,需要个人先行向行政机构投诉,再到法院起诉。经过反复思考,施雷姆斯决定选择诸多美国跨国公司总部群集的爱尔兰。

28个欧盟成员国,小小的爱尔兰何德何能,吸引了如此之多的跨国公司?原来,爱尔兰经济长期落后凋敝,上世纪80年代,为吸引美国资本,以超低税率吸引跨国公司在本国设立欧洲总部。脸书、谷歌、微软、推特、苹果、领英等美国科技公司,都在爱尔兰注册欧洲总部,处理个人数据,爱尔兰蜕变为凯尔特之虎。

谁会想到,美国跨国公司当年一心只想避税,却让爱尔兰走上了美欧隐私攻防大战的主战场。施雷姆斯告诉记者:“总部设在欧洲让脸书容易受到法律攻击。这意味着脸书的所有欧洲用户都与该公司都柏林(爱尔兰首都)办事处签下合同,使脸书需要服从爱尔兰严格的隐私法。”

一批愤怒的欧盟脸书用户向爱尔兰数据保护专员办公室投诉,称脸书丝毫不尊重欧盟网友个人数据访问权。那段时间,雪花般飘来的投诉,让仅有十几个员工的爱尔兰数据保护专员办公室陷入瘫痪。

2011年,施雷姆斯向爱尔兰数据保护专员办公室提出申诉,要求知道脸书保存了他的哪些信息,并认为脸书所储存的个人信息受美国国家机构监控,并不安全。20122月,脸书两位高管飞往维也纳,与他进行了长达6个小时的交涉。脸书公司随后停止使用面部识别软件,删除若干个人数据。

对脸书进行的隐私调查一直没有下文,爱尔兰数据保护专员办公室对施雷姆斯投诉回应“无事生非,徒增困扰”。大棒高高举起,轻轻放下。施雷姆斯拍案而起,走上诉讼之路。他痛斥:”这一决定是基于爱尔兰数据保护专员办公室多年来拒绝正式裁决的事实,甚至没有授予最基本的程序权利(查阅文件、证据或抗辩)。爱尔兰数据保护专员办公室实际上已经停止了所有形式的沟通,并忽略了所有提交的文件。许多观察人士认为,这可能是基于爱尔兰的政治和经济考虑。”

2013年,美国国家安全局承包商前雇员斯诺登披露“棱镜”监听项目,美国大规模监控活动被公之于众。对此,施雷姆斯的反应是——我的数据被传到美国后安全吗?

他以爱尔兰数据保护专员办公室不作为向爱尔兰高等法院起诉,法官裁决:此案兹事体大,涉及爱尔兰法律和欧盟法律,优先适用欧盟法律。案子随即转交欧盟最高法院审理。

施雷姆斯强调,欧盟数据保护法规规定,欧盟国家公民的个人数据不能传输到非欧盟国家,除非这些数据能够得到有效保护。2000年,欧盟委员会与美国签订《安全港协议》,允许网络运营商在美国与欧盟国家之间合法传输网络数据。该协议没有为个人提供法律救济,以寻求访问数据或删除或修改数据。2013年,斯诺登事件令欧盟委员会这一行政决定受到质疑。安全港制度侵犯个人的隐私权、数据保护的基本权利,以及《欧盟基本权利宪章》规定的公平审判权。

2015324日,法官在法庭上发问:“如果我担心自己的数据被美国当局掌握,你能给出什么建议。”欧盟委员会律师回答:“如果我有脸书账户的话,可能会考虑关闭自己的脸书账户。”他表示,欧盟委员会无法保证数据保护得到“充分”保障。施雷姆斯表示,这是他在法庭上听到的最令人震惊的言论。

当年9月,法官宣布安全港协议无效,如果第三方国家侵犯了欧盟的权利,个人数据保护机构可以暂停数据传输。10月,欧盟最高法院裁定:从欧盟传输到美国的数据“达不到适当的保护水平”,15年前签署的《安全港协议》无效。

胜利来之不易,施雷姆斯说:“这一裁决对互联网私人领域是一个里程碑。欧洲法院明确表示,美国大规模监控侵犯了我们的基本权利,对此用户可以采取理性的法律步骤。”

接受奥地利《皇冠报》采访时,施雷姆斯说,打官司“是为了阻止针对网上私人空间的违法行为。对于广大脸书用户来说,他们不会因为这一判决受到什么限制,只是不用再忍受美国当局把他们的数据传输给情报机构用于监控”。

《安全港协议》失效的裁定影响深远。首先,该判决加强了对欧盟国家公民基本权利的保护。这一判决给欧盟委员会敲了警钟:“棱镜”丑闻曝光美国情报机构可以不受限制地获取脸书、谷歌等美国科技公司的用户数据后,欧盟方面就应立即吸取教训,采取相应行动。

欧洲法院还裁定爱尔兰数据保护专员办公室要详尽地处理施雷姆斯的申诉。日后欧盟各国在处理公民在美国的数据保护问询时,不能袖手旁观,或者断然拒绝。

这一裁决对互联网行业同样产生了深远的影响。脸书、谷歌、微软、苹果等4100多家美国科技公司拥有安全港证书。目前互联网用户大部分云服务器设在美国,美国科技企业不得不重新制定数据存储方案。   2015122日,施雷姆斯向爱尔兰数据保护专员办公室重新提交对脸书的投诉,还向汉堡和比利时数据保护当局发出类似投诉。此外,施雷姆斯在奥地利法院发起群体诉讼,6天吸引2.5万人参与,要求脸书向每位参与者象征性赔偿500欧元。这起“大卫和歌利亚”官司,成为欧洲有史以来最大的隐私集体诉讼。

隐私盾协议无效

安全港协议失效后,美欧跨境数据流动岌岌可危。通过紧急谈判、协商和多轮修改,2016714日,双方正式通过《欧美隐私盾协议》。

美国政府首度书面承诺:以国家安全为由进行的访问,都必须受到约束和监管,保证不会对根据隐私盾协议转移到美境内的个人数据进行不加鉴别、大规模的监视,批量收集的公民数据只能用于反恐、防扩散、网络安全等6个特定目的,且不得破坏隐私盾协议的原则。另外,美建立了独立于国家安全部门之外的监察专员机制,专门负责跟踪和处理个人提出的投诉和咨询。

2018525日,《欧盟通用数据保护条例》正式生效。施雷姆斯根据《欧盟通用数据保护条例》对谷歌和脸书提起诉讼,指控它们强迫用户接受其数据收集政策。三起投诉共涉及39亿欧元。20191月,他对亚马逊、苹果音乐、YouTube等公司提出投诉,称8家公司对投诉没有作出回应,未能提供足够的背景信息,或提供了不足或难以理解的原始数据,这8家公司的最高罚款总额高达188亿欧元。

此外,施雷姆斯提出,反对脸书在不对美国的监控机制做防护措施的情况下将自己的数据传往美国母公司。他援引斯诺登爆料:脸书在美国有义务向包括国家安全局、联邦调查局在内的政府机构提供用户数据,而用户对此无法采取任何行动。美国的监控法律没有为欧盟的个人数据提供充分的保护。他要求爱尔兰数据保护专员办公室暂停脸书使用标准合同条款,同时提出了一个激进方案:所有与欧洲人相关的数据,必须托管于在欧盟服务器上。

双方对簿公堂,爱尔兰法官再次将案子提交给欧盟最高法院审理。脸书所援引的标准合同条款以及《欧美隐私盾协议》是否符合欧盟数据保护法。

7月,法官裁定,《欧美隐私盾协议》失去效力。广泛使用的将个人资料转移到美国的标准合同条款仍然有效,但企业必须保证目的地国家能够对个人数据提供充足保障,欧盟数据保护监管机构有权视情况予暂停或禁止转移。

《华尔街日报》评论,这是保护隐私活动人士的一次胜利,他们长期以来一直表示,考虑到美国的监控做法,该国不适合存储欧洲数据。但这一裁决将带来令人头疼的法律问题,并可能扰乱成千上万家在美国和欧洲开展业务的跨国公司的运营,是以高昂代价将数据中心转移到欧洲,还是切断与该地区的业务。

根据商业软件联盟提交的证据,如果跨境个人数据流动被严重中断或停止,对欧盟GDP的负面影响可能达到0.8%1.3%。这大约相当于欧洲在2012年经济衰退期间经济衰退的3倍到4倍。

美国与欧盟在个人数据保护之所以松紧程度不同,主因是双方互联网产业美强欧弱,欧盟没有一家强大的数字技术公司。欧洲多年来沦为美国互联网数据巨头的砧板肉,“数字奴隶”的财富源源不断地流向“数字主人”的腰包。

加之双方在隐私保护上存在基本理念差异,美方主张自由至上,欧方推崇个人尊严至高无上。对于隐私和个人数据保护,美国坚持灵活保护的策略,致力于通过企业自律机制,辅之以有限的政府执法;欧盟则倾向于通过广泛的立法和司法救济,进行高标准的保护。


责编:王硕

——法治周末
关于我们 诚聘英才 广告征订 本站公告 法律声明 报纸订阅
本网栏目运营代理:北京慧海联文化传媒有限公司
本社(网)常年法律顾问 北京佳创律师事务所律师 黄海光 联系方式 13522015000 邮箱 bjhhg@126.com
版权所有 Copyrights ? 2014-2020 www.legalweekly.cn ALL RIGHTS Reserved 《法治周末》

京ICP备10019071号-1