圖/視覺中國

文｜《財經》實習記者 楊柳

編輯｜郭麗琴

5月25日是歐盟《通用數據保護條例》（GDPR）出臺五週年。在個人數據保護方面,GDPR 是目前全球規定最爲嚴格、處罰最爲嚴厲的法規之一。企業在發生數據泄露事故的情況下可能會面臨高達年收入4%或2000萬歐元（約合1.5億元人民幣）的罰款。

由於出臺以來，鮮少有大科技公司因違反GDPR而受罰，這一法規曾被歐洲議員譏諷爲“紙老虎”。多家美國科技公司的歐洲總部所在地——愛爾蘭的數據監管機構，也被一些歐盟隱私保護活躍人士指責爲不作爲。

然而，當地時間5月22日，愛爾蘭數據保護委員會給予臉書母公司Meta一記重拳：臉書因將歐盟用戶數據跨境傳輸到美國不符合GDPR的規定，被罰款12億歐元（約合91億元人民幣）。這是GDPR生效五年來歐盟監管機構開出的最高一張罰單。

除了罰款，愛爾蘭數據保護委員會還要求Meta必須在五個月內，暫停向美國傳輸個人數據，並於六個月的寬限期內，刪除此前已經傳輸到美國的數據。

公開數據顯示，臉書2022年的收入約有22%來自歐洲市場，僅次於北美市場。

歐洲數據保護委員會前任主席安德烈·傑琳（Andrea Jelinek）表示：“Meta的侵權行爲非常嚴重，涉及系統性、重複性和連續性的傳輸。臉書在歐洲擁有數百萬用戶，因此傳輸的個人數據量巨大。罰款發出了一個強烈信號，即嚴重的侵權行爲會產生深遠後果。”

“這不僅事關一家公司的隱私保護實踐，美國對於數據准入的規則與歐洲隱私權利有根本衝突。”Meta在一份公開聲明中說，愛爾蘭數據保護委員會的這一決定是有缺陷的、不合理的，“併爲其他無數在歐盟和美國之間傳輸數據的公司樹立了一個危險的先例”。Meta透露，其打算就此提起上訴，並尋求法院中止上述決定的執行。

高額處罰背後，是歐洲隱私保護活躍人士與美國科技大公司長達八年的訴訟“恩怨”。Meta遭遇的危機，也是“美國外國情報監視機制”與“歐盟數據保護機制”長期博弈之下的產物。

財經E法就Meta是否可能停止歐洲市場業務，以及數據本土化存儲的可行性詢問Meta，但截至發稿未獲回覆。

Meta會退出歐洲？

Meta在前述公開聲明中表示，臉書在歐洲的運營不會立即中斷。這引發了Meta是否會因此退出歐洲市場的猜測。

2022年2月，Meta曾警告，由於歐盟GDPR阻礙用戶個人數據存儲於美國服務器上，該公司可能無法再向歐盟用戶提供其臉書和Instagram服務。

奧地利隱私保護活動人士和律師馬克斯·施雷姆斯（Maximilian Schrems）覺得Meta的威脅是可笑的，“鑑於歐洲是Meta在美國以外最大的收入來源，而且Meta已經在歐盟建立了本地數據中心，Meta的撤出警告很難讓人信服”。

北京師範大學法學院博士生導師、中國互聯網協會研究中心副主任吳沈括亦認爲，Meta不會真正的退出歐盟市場，在數據保護領域，美國企業和歐盟監管機關之間的較量是常態化的現象，而且歐盟市場的地位和重要性也不允許Meta退出。

Meta目前在歐洲境內設有三個數據中心，分別位於丹麥歐登塞（Odense）、愛爾蘭克隆尼（Clonee）和瑞典呂勒奧（Luleå）。

針對愛爾蘭數據保護委員會的高額罰款，Meta已表示將提起上訴。吳沈括分析，由於事關歐盟複雜、多層次的司法體系，案件最終結論的下達，可能耗時三年左右。訴訟期間，Meta可以提出暫時停止相關處罰的申請，由法院做出相應裁決。

在施雷姆斯看來，Meta推翻現有處罰決定的可能性很低，過去的違規行爲無法通過新的“歐盟-美國數據隱私框架”來正當化。

愛爾蘭數據保護委員會處以Meta罰款，正值5月25日GDPR出臺五週年前夕。民間組織愛爾蘭公民自由委員會（Irish Council for Civil Liberties）在5月發佈的一項報告批評稱，實施五年以來，GDPR很少針對大型科技公司，也很少有施加嚴厲執法措施的案例。Meta、谷歌、微軟、蘋果等諸多美國科技公司歐洲總部所在的愛爾蘭，是執法的瓶頸，因爲愛爾蘭數據保護委員會很少就重大跨境案件作出決定草案。即便作出，有75%的案件調查決定草案也會被歐洲數據保護委員會以多數票否決，以督促愛爾蘭監管機構採取更嚴厲的執法行動。

實際上，在Meta處罰案中，愛爾蘭數據保護委員會最初認爲罰款是不必要且不相稱的。但歐洲數據保護委員會4月13日否決這一觀點，指示愛爾蘭數據保護委員會綜合考量侵權嚴重性、侵權獲利等因素，給予Meta公司行政罰款，由此纔有了最終的12億歐元“天價”處罰。

“這個案件反映了愛爾蘭執行歐盟的整體意志，體現出歐盟在數據跨境領域的執法力度持續增強，以及歐盟維護自身數據主權的態度越來越強硬。”吳沈括表示。

美國監控V.S.歐盟數據保護

歐盟與美國就數據跨區域傳輸之間的衝突由來已久。其中，馬克斯·施雷姆斯是關鍵推動者。

2013年6月的斯諾登事件引起全球譁然。前美國情報機構員工斯諾登向媒體透露，美國國安局自2007年開始實施名爲“棱鏡”的網絡監控監聽計劃，臉書、谷歌、蘋果等大科技公司被指參與該其中。

2013年6月25日，馬克斯·施雷姆斯以“棱鏡門”爲事實依據向愛爾蘭數據保護專員投訴，認爲臉書涉嫌參與“棱鏡”計劃，那麼臉書將歐盟用戶的數據傳輸到美國，不符合當時歐盟的數據保護法律。施雷姆斯與臉書圍繞數據跨境流通合法性的八年訴爭就此開啓。

對於施雷姆斯的投訴，時任愛爾蘭數據保護專員比利·霍克斯（Billy Hawkes）不予支持，給出的理由爲，歐盟和美國之間的“安全港”協議允許傳輸此類數據。

2000年7月26日，歐盟委員會通過了一項決議，爲歐盟與美國跨區域數據傳輸建立 “安全港”（Safe Harbor）制度。那些遵守數據安全和保護原則的美國公司，獲得了合法將數據從歐盟傳輸到美國的資格。

喫了“閉門羹”的施雷姆斯隨後提起司法訴訟。受其推動，“安全港”制度在2015年10月6日被歐洲法院宣告無效。歐洲法院認爲，美國沒有提供充分的個人數據保護機制，而歐盟法律禁止與隱私標準較低的國家共享數據。

爲便利跨國企業繼續合法地在大西洋兩岸傳輸數據，彼時的奧巴馬政府同歐盟當局在2016年2月達成“隱私盾”（Privacy Shield）協議，以取代先前的“安全港”制度。“隱私盾”框架提供了更嚴格的數據保護標準，包括爲美國政府訪問數據施加了限制性措施和透明度義務：一方面，美國向歐盟保證，當局爲執法和國家安全而進行的數據訪問受到明確的限制，只能在特定前提下使用，排除大規模監控的可能性；另一方面，在美國國務院設立了隱私保護監察員，爲歐盟公民提供國家安全監管的救濟機制。

即便如此，施雷姆斯仍舊認爲，“隱私盾”制度無法阻止美國政府收集歐盟用戶數據。在GDPR生效後，施雷姆斯以此爲法理基礎，再次將臉書訴至法院。這一司法挑戰再次得到歐洲法院的認可。2020年7月，歐洲法院推翻了美歐之間的“隱私盾”協議，“隱私盾”不能爲歐盟公民提供GDPR所要求的保護水平。

該案指向美國監視法律與歐盟數據保護法之間的衝突。歐洲法院在判決中提及《美國外國情報監視法》的第702條，這一條款允許政府對位於美國境外的外國人進行有針對性的監視，以獲取外國情報信息。歐洲法院認爲，美國的監控法律沒有明確限制監控的適用範圍，也沒有明確列出針對非美國人的保障措施，尤其是尋求司法救濟的途徑，不利於保護歐盟公民的基本權利，導致歐盟用戶數據在美國無法獲得與歐盟境內同等的保護。

雖然“隱私盾”協議被認定無效，但歐洲法院仍保留了“標準合同條款”機制，用於歐盟和非歐盟國家之間數據傳輸，確保數據出境之後保護水平不低於歐盟標準。“標準合同條款”機制也就成爲Meta、微軟等一衆美國科技公司繼續跨境傳輸數據的替代方案。

但依靠“標準合同條款”給數據合規帶來極大的不確定性。歐洲法院的判決下達後不久，時任臉書全球事務和傳播副總裁尼克·克萊格（Nick Clegg）對外透露，愛爾蘭數據保護委員會就着手調查臉書的數據傳輸行爲，要求臉書停止向美國傳輸歐盟用戶數據，並指出臉書實際上已不能再根據廣泛採用的標準合同條款將數據從歐盟傳輸到美國。

經過自2020年8月以來的漫長調查，2023年5月22日公佈的處罰決定中，愛爾蘭數據保護委員會認定Meta違反了GDPR第46條（1）款，這一條款允許科技公司在提供適當的保障措施及法律救濟措施的前提下，將數據轉移至其他國家。處罰決定稱，按照對《歐盟基本權利憲章》的解讀，美國法律未提供與歐盟法律提供的保護水平基本相同的保護，“標準合同條款”也無法彌補美國法律提供的保護不足，並且Meta沒有采取任何補充措施來彌補美國法律提供的不充分保護。

中倫律師事務所合夥人陳際紅向財經E法分析，雖然有“標準合同條款”的數據保障措施，但美國情報監視法律的存在，部分抵消了“標準合同條款”所提供的保護，導致歐盟法所要求的同等保護落不到實處，所以Meta處罰案實際上可視爲愛爾蘭數據保護委員會對美國國內法律環境的挑戰。

“Meta本身是在認真地籤‘標準合同條款’，也在認真地履行保障措施，但是美國的外部法律環境決定了這些保護沒法完全落地。”陳際紅說，Meta所遭遇的困境，對其他依賴於“標準合同條款”數據跨境傳輸框架的美國公司而言也是一樣的，“Meta被罰，只是因爲它在歐洲的業務市場比較大，涉及龐大的個人數據量，並不能說明Meta 做得多差”。

吳沈括表示：“Meta案已成爲美歐之間圍繞數據跨境機制博弈的一枚重要棋子。”

Meta在處罰公佈後的聲明中表露自己的無奈：“歸根結底，2020年‘隱私盾’的失效是由於美國政府關於數據准入的規則與歐洲隱私權之間存在根本性的法律衝突。這是一場無論是Meta抑或任何其他企業都無法獨自解決的衝突。”

Meta受處罰也給在歐中國企業帶來潛在隱患。

吳沈括透露，目前中企爲保證在歐數據合規，絕大部分採用數據本地化存儲。另據陳際紅的觀察，進行數據跨境傳輸的中企則基本依賴於“標準合同條款”，而且中企的數據保護也不見得比Meta做得好。目前歐盟還沒有相關司法案件評估中國的數據保護法律環境，未來一旦有這類案件作出負面評估，中國公司簽訂的“標準合同條款”可能也會像Meta案一樣，被認爲無法彌補法律保護力度的不足，那麼對採用這一合同的在歐中企勢必產生普遍性影響

新的數據傳輸機制仍存不確定性

Meta雖是遭遇最高罰單的企業，但並非第一家因非法跨境數據傳輸受罰的公司。2022年2月，法國國家信息與自由委員會(CNIL)數據保護機構發現，谷歌旗下的網站流量統計服務工具“谷歌分析”（Google Analytics）違反了GDPR有關跨界數據傳輸的要求，其採用的“標準合同條款”不足以保護用戶數據，並且谷歌沒有采取足夠的技術、組織等層面的數據保護措施。同年6月，意大利數據保護機構也裁定“谷歌分析”向美國傳輸數據違反了GDPR。

數據跨境傳輸困境下，解決“隱私盾”協議廢除後的制度問題勢在必行。

2022 年3月25日，美國與歐盟宣佈已就新的“歐盟-美國數據隱私框架”達成原則性協議，以促進跨大西洋數據流動。同年10月7日，拜登簽署了一項關於“加強保障美國信號情報活動”的行政命令。該行政命令引入新的具有約束力的保障措施，限制美國情報部門訪問歐盟用戶數據，並建立數據保護審查法院，賦予歐盟公民訴訟救濟的權利。

2022年12月13日，歐盟委員會發布《關於歐盟-美國數據隱私框架的充分性決定草案》。草案給出的評估結論是，美國通過“歐盟-美國數據隱私框架”提供了與歐盟相當的保障措施，併爲從歐盟傳輸到美國的個人數據提供了足夠水平的保護。

新的監管框架依舊面臨不確定性因素。2023年5月11日，歐洲議會在一份決議中稱，“歐盟-美國數據隱私框架”未能在保護級別上實現基本對等，呼籲歐盟委員會繼續與美國談判，確保對等性，並提供歐盟數據保護法律所要求的充分保護水平。歐洲議會還擔心如果該框架獲得通過，它可能同樣會被歐洲法院宣佈無效。

不過，歐盟委員會發言人克里斯蒂安·威根（Christian Wigand）在5月22日一場新聞發佈會上透露，歐盟和美國之間的這一數據隱私框架預計將在今年夏季全面運作，爲科技公司提供法律確定性。

Meta在聲明中對新的數據傳輸機制寄予期待，“如果新的數據隱私監管框架能在處罰截止日前生效，臉書就可以繼續提供服務，不會對用戶造成任何中斷或影響”。

施雷姆斯創建的隱私保護組織NOBY發給財經E法的一份聲明中稱，Meta計劃依賴新的數據傳輸監管框架開展數據跨境傳輸，但這可能不是永久性解決方案。施雷姆斯預測，新的監管框架有九成的概率會被歐洲法院再次否決。“除非美國監視法律得到修復，Meta可能不得不將歐盟用戶數據儲存在歐盟”。