近日,欧盟针对社交媒体平台Facebook的母公司Meta开出创纪录的12亿欧元(约13亿美元)的违反隐私法规罚单,并命令该公司在今年10月前停止将欧洲用户的数据传输到美国。

该罚单是自2018年欧盟通用数据保护条例(GDPR)生效以来开出的最大罚单,远高于欧盟2021年对亚马逊公司违反该条例开出的7.46亿欧元罚款。这项罚款让美欧在跨境数据传输机制上的冲突重获关注,美欧最新协议的达成或为Meta带来转机。

最大罚单还有转机?

美国和欧盟之间合法传输个人数据的几种机制一直存在争议。此前存在的“隐私盾”机制(Privacy Shield)于2020年被欧盟最高法院欧洲法院否决。

负责监督Meta在欧盟业务的爱尔兰数据保护委员会称,Meta不顾2020年欧洲法院的裁决,继续向美国发送欧洲公民的个人数据,违反了欧盟的GDPR。

GDPR是世界上最全面的数据保护框架之一,对于个人数据传输到该地区以外做出了广泛要求。在该条例的监管框架下,监管机构认为在Meta的数据传输行为中,欧洲用户的数据没有得到充分保护,用户信息多年来一直在美国的服务器上被非法存储,或被美国间谍机构获取。

但欧盟委员会制定的标准合同条款(SCC)为一些公司敞开了大门,SCC称只要确保“足够的数据保护水平”,向任何其他第三国传输数据都是有效的。Meta认为,该公司就是使用SCC将欧盟数据转移到美国的,因此符合规定。同时他们并没有被欧盟的任何法院阻止。

Meta在声明中表示,SCC的广泛使用使罚款变得不公平。Facebook总裁尼克·克莱格 (Nick Clegg) 表示:“我们与其他希望在欧洲提供服务的公司一样,使用了相同的法律机制(即SCC),很失望我们被挑出来。这一决定是有缺陷的、不合理的,并且为无数其他在欧盟和美国之间传输数据的公司树立了一个危险的先例。”

值得注意的是,Meta等公司正期待美国和欧盟之间达成一项新的数据共享协议。该协议有望为Meta和其他公司提供法律保护,从而继续在美国和欧洲之间传输信息。欧盟和美国去年“原则上”同意了这项协议,但至今尚未生效。该协议可能会使近期欧盟对Meta做出的大部分裁决无效。

美欧数据开放模式的冲突重获关注

2013年,美国国家安全局前雇员爱德华·斯诺登(Edward Snowden)披露,美国当局曾多次通过Facebook和谷歌等科技公司获取人们的信息。奥地利隐私活动家马克斯·施雷姆斯 (Max Schrems) 对Facebook未能保护他的隐私权提出投诉,引发了一场长达十年的关于将欧盟数据转移到美国的合法性斗争。

这一司法战凸显了美国与欧盟之间在数据开放模式上的冲突。浙江大学副校长、长江学者黄先海曾对世界主要国家和经济体的开放模式作出分析。他表示,欧盟模式是严格保护型开放模式。欧盟强调个人对数据的控制,旨在其境内建立一个单一的数字市场,以保护个人、企业和政府免受数据收集、处理和商业化造成的滥用。欧盟对数字经济和数据的监管主要以防御或被动的方式进行。

2021年,亚马逊因藐视欧盟的隐私标准而被罚款。爱尔兰还对Meta旗下的另一家公司Whats App处以罚款,原因是该公司违反了与其他子公司共享数据透明度的严格规定。

黄先海表示,美国模式则是自由市场和长臂管辖并存的开放模式,强调竞争和创新。美国对数字经济采取自由市场方法,包括对跨境数据流动的类似自由监管框架。关键动机是保持其在全球数字市场的领导地位并进一步扩展到新市场。

去年,美国与欧盟对通过新的数据共享协议达成共识时,美国总统拜登表示,新框架强调了美国和欧盟对隐私、数据保护和法治的共同承诺。数据的顺畅流动将“有助于促进美国与欧盟7.1万亿美元的经济关系”。

“但美国对国防相关数据采取了严格的本地化政策,要求任何向其国防部提供云服务的公司必须仅在国内存储其数据。同时出于国家安全原因,对一些外国数字公司在美国的活动进行干预和限制。”黄先海说。

黄先海强调,对于境内数据,美国采取严格适用属地管辖原则,又以强大的政治力为后盾,争夺境外数据的管辖权。长臂管辖主要体现在《澄清境外数据的合法使用法案》,将“数据存储地标准”转变为“数据控制者标准”。该法案为美国防止本国数据流出,设置了各种障碍。

延伸阅读:

欧盟开出最大罚单,拜登“压力山大”

Meta近日被欧盟监管机构处以前所未有的13亿美元罚款,成为第一家根据欧洲隐私法规被勒令关闭跨大西洋用户数据流的美国科技巨头。

美国《政治报》网站5月22日刊登文章认为,这一事件给拜登政府带来了新的压力,要求其解决美国和欧洲数据法规之间的重大脱节。这笔罚款凸显出拜登政府完成与欧盟谈判的必要性,从而达成一项跨大西洋的数据协议。如若不然,Meta可能成为众多因类似行为而面临处罚的美国公司中的第一家。

▲资料图片:欧盟旗帜上的Meta公司标志。(路透社)

文章称,自2018年以来,欧洲法律限制了对欧盟公民的数据收集,并规定如果欧盟公民认为自己的数据被不当收集、使用或共享,拥有数据的公司必须向他们提供质疑这些公司的途径。

2020年,欧盟法院裁定,美国情报机构运作的监控项目违反了欧盟的隐私法规,且没有为欧盟公民提供质疑其数据收集的途径——这一裁定基本上使区域之间的数据传输成为非法。

去年10月,拜登政府宣布了一项行政命令,要求在美国和欧盟之间建立数据隐私框架,以解决这个问题,从而允许美国公司跨越大西洋传输数据,同时允许欧盟公民对收集其数据的做法提出质疑。

文章称,由于美方在制定行政令的关键内容方面出现了延误,且欧盟方面也持强烈的怀疑态度,双方谈判达成协议的时间比预期的要长。美国方面的谈判涉及商务部、司法部和国家情报总监办公室的领导地位。

文章称,欧盟议会和欧盟数据保护委员会都对美方提出的数据隐私框架持怀疑态度,并指出美国的监控法律存在问题。

欧盟议会的建议指出,美国情报机构被禁止收集美国公民的大量数据,但没有将同样的保护扩大到欧盟公民。

建议还指出,美国缺乏数据隐私规则。美国相关立法去年在美国国会没能通过。

责编:蒋烨欢   校对:孙洁华图编:尤霏霏

相关文章