據(jù)知情人士透露,歐盟隱私監(jiān)管機構(gòu)——愛爾蘭數(shù)據(jù)保護委員會(DPC)已經(jīng)于8月末向Faceboook發(fā)出一項初步命令,要求該公司暫停向美國傳輸其歐盟用戶的數(shù)據(jù)。這對該公司來說是個新的運營和法律挑戰(zhàn),也可能會為歐盟監(jiān)管機構(gòu)應(yīng)對其他科技巨頭的類似做法開創(chuàng)先例。
知情人士說,這是歐盟監(jiān)管機構(gòu)為執(zhí)行7月份關(guān)于歐盟最高法院數(shù)據(jù)傳輸?shù)牟脹Q而采取的第一個重要行動。這項裁決限制了Facebook等外國大型科技公司將歐洲用戶的個人數(shù)據(jù)發(fā)送到美國境內(nèi)的方式,因為法院發(fā)現(xiàn)歐洲用戶沒有有效的方式來挑戰(zhàn)美國政府實施的大量監(jiān)控。
為了遵守DPC的初步命令,F(xiàn)acebook很可能不得不重新設(shè)計其服務(wù),以獨立處理其從歐洲用戶那里收集的大部分數(shù)據(jù)?;蛘咄耆V篂闅W中用戶提供服務(wù),至少是暫時停止。如果不遵守命令,DPC將有權(quán)對Facebook處以相當于其年收入4%的罰款,即28億美元。
Facebook首席政策和溝通主管尼克·克萊格(Nick Clegg)證實,作為調(diào)查的一部分,DPC表示,F(xiàn)acebook實際上不能再利用廣泛使用的協(xié)議進行歐盟與美國之間的數(shù)據(jù)傳輸。克萊格說:“缺乏安全、合法的國際數(shù)據(jù)傳輸將損害經(jīng)濟,并阻止歐盟出現(xiàn)數(shù)據(jù)驅(qū)動型企業(yè),就像我們從新冠疫情中尋求復(fù)蘇一樣。”DPC拒絕置評。
這項初步命令可被視為歐洲隱私維權(quán)人士的勝利,他們在監(jiān)管機構(gòu)和法庭上爭論了近十年時間,認為他們的數(shù)據(jù)不應(yīng)該發(fā)送到美國或保存在美國,因為這些數(shù)據(jù)可能會在秘密要求下移交給政府。
這也是對在歐洲有業(yè)務(wù)的大型科技公司以及它們極力促進的跨大西洋貿(mào)易的警告。一位知情人士說,盡管這一命令只針對Facebook,但該公司可能成為其他美國科技公司的榜樣。這位知情人士補充說,這關(guān)系到美國是否可能被迫修改其監(jiān)控法,以恢復(fù)數(shù)據(jù)傳輸。
科技倡導(dǎo)者說,阻止大型科技公司向美國傳輸數(shù)據(jù)可能會顛覆數(shù)十億美元的跨境數(shù)據(jù)活動,包括云計算服務(wù)、人力資源和營銷,因為這些活動涉及從美國領(lǐng)土訪問或存儲歐洲用戶的信息。倡導(dǎo)者補充說,類似的舉措也可以用來阻止向其他國家轉(zhuǎn)移數(shù)據(jù),歐盟法院認為美國監(jiān)控法侵犯了人權(quán)。
可以肯定的是,DPC發(fā)布的命令是初步的,在最終敲定之前可能會進行修改,這個過程可能需要幾個月的時間。DPC負責領(lǐng)導(dǎo)歐盟對Facebook的隱私執(zhí)法,因為該公司的地區(qū)總部設(shè)在這個國家,但愛爾蘭的隱私監(jiān)管機構(gòu)必須在跨境案件中與其他歐盟國家的同行進行協(xié)調(diào)。
知情人士說,DPC已經(jīng)要求Facebook在9月中旬之前對這一命令做出回應(yīng)。而在考慮了Facebook的回應(yīng)后,DPC計劃根據(jù)歐盟隱私法的一項合作條款,向其他歐盟國家的26個隱私監(jiān)管機構(gòu)發(fā)送一份新的命令草案,以供共同批準。
Facebook也可能在法庭上挑戰(zhàn)這一命令。一位知情人士說,在公司內(nèi)部,F(xiàn)acebook認為DPC的初步命令及其未來影響是一件大事。其他知情人士說,由于其敏感性,該命令的存在正在Facebook內(nèi)部密切保密,而高管和律師將決定如何做出回應(yīng)。
自7月份的裁決公布以來,歐盟執(zhí)行機構(gòu)歐盟委員會(EC)和美國官員已經(jīng)開始談判,以建立一種新的方式,讓公司將歐洲用戶的數(shù)據(jù)發(fā)送到美國,以符合法院的要求。但歐盟司法專員迪迪埃·雷恩德斯(Didier Reynders)上周在歐洲議會表示,“不會有快速解決方案”。
有些隱私權(quán)律師表示,美國需要修改其監(jiān)控法,以解決歐盟法院的擔憂。但美國方面說,它的監(jiān)視做法是合理的,并在法庭上辯稱,歐盟不應(yīng)該對美國的國家安全做法行使管轄權(quán)。
現(xiàn)在的焦點是歐盟的隱私監(jiān)管機構(gòu),看看他們是如何執(zhí)行7月份裁決的,代表歐盟隱私監(jiān)管機構(gòu)的一個委員會上周宣布成立特別工作組來解決這個問題。DPC的行動始終受到密切關(guān)注,因為除了Facebook之外,它還領(lǐng)導(dǎo)著歐盟對幾家大型科技公司的隱私執(zhí)法,包括谷歌、蘋果以及Twitter。
歐盟和美國在跨大西洋數(shù)據(jù)傳輸問題上就如何平衡隱私和商業(yè)行為而爭吵了20多年,DPC命令Facebook停止向美國發(fā)送歐洲用戶數(shù)據(jù)的計劃標志著一個重大轉(zhuǎn)變。2015年,歐盟最高法院宣布一項向美國傳輸此類信息的主要法律機制無效。但威脅最終大多是理論上的,沒有任何公司真正停止發(fā)送個人信息,數(shù)據(jù)流動也從未停止。
爭論的焦點是歐盟隱私法的一條基本規(guī)定,該規(guī)定可以追溯到20世紀90年代。按照規(guī)定,公司將歐盟居民的個人信息發(fā)送到世界另一地區(qū)屬于非法行為,因為該地區(qū)基本上沒有提供與歐盟同等的隱私保護,除非在某些有限的情況下。美國沒有全國性的數(shù)據(jù)隱私法,但在醫(yī)療保健等領(lǐng)域有更多針對行業(yè)的監(jiān)管,不過依然沒有達到歐盟的標準。
為了保持數(shù)據(jù)流動,美國和歐盟在20世紀90年代末通過談判推出了一個特殊的系統(tǒng),名為“安全港”(Safe Harbor)。在該系統(tǒng)中,將歐洲數(shù)據(jù)發(fā)送到美國的公司可以選擇加入由美國政府執(zhí)行的歐盟式規(guī)則。公司也有其他選擇將數(shù)據(jù)發(fā)送到海外,例如使用預(yù)先批準的歐盟合同語言,稱為《標準合同條款》。在該條款中,公司承諾維護歐洲的隱私標準。
對這些系統(tǒng)的法律挑戰(zhàn)始于2013年,當時美國國家安全局(NSA)前合同工愛德華·斯諾登(Edward Snowden)泄露了美國政府監(jiān)控做法的細節(jié)。一位名叫馬克斯·施雷姆斯(Max Schrems)的隱私權(quán)活動家認為,“安全港”系統(tǒng)將他在Facebook上的信息暴露給了美國政府。歐盟法院對此表示同意,并在2015年推翻了這一制度。
歐盟和美國很快制定了一個名為“隱私盾牌”(Privacy Shield)的替代框架,增加了一些額外的保護,比如在美國國務(wù)院設(shè)立監(jiān)察員來處理歐洲用戶的投訴。但7月份的法院裁決也推翻了這一制度,稱美國仍然沒有向歐洲居民提供挑戰(zhàn)監(jiān)控的可訴權(quán)。
企業(yè)最初感到欣慰的是,7月份的裁決沒有同時宣布所謂的《標準合同條款》無效,而是表示,企業(yè)必須評估它們發(fā)送數(shù)據(jù)的國家的法律是否允許它們確保受到歐盟法律的充分保護。Facebook是今年夏天表示將依靠這些標準合同條款將數(shù)據(jù)傳輸?shù)矫绹膸准夜局?,因?ldquo;隱私盾牌”已經(jīng)不再有效。
但DPC發(fā)出暫停數(shù)據(jù)傳輸?shù)某醪矫畋砻?,它發(fā)現(xiàn)根據(jù)裁決,這些標準條款依然不夠,至少在Facebook的案例中是這樣。如果這一理由成立,這樣的條款可能也會被裁定對其他大型科技和電信公司無效,這些公司和Facebook一樣,屬于歐盟法院裁決中討論的美國監(jiān)控法的管轄范圍,包括《外國情報監(jiān)視法案》第702條。
由施雷姆斯創(chuàng)立的隱私倡導(dǎo)組織Noyb在8月份向歐盟多個隱私監(jiān)管機構(gòu)提交針對101家歐洲網(wǎng)站的隱私投訴時,使用了這一理由,并利用歐盟法院的裁決辯稱,這些網(wǎng)站必須停止使用美國的技術(shù)提供商發(fā)送數(shù)據(jù)。
Facebook和其他大型科技公司可能不得不停止向美國發(fā)送數(shù)據(jù),這增加了制定允許此類傳輸?shù)奶娲蚣艿呐Φ馁€注。除了與美國就用新系統(tǒng)取代“隱私盾牌”進行談判外,歐盟委員會表示,它還在更新《標準合同條款》的措辭。但目前還不清楚這樣的更新將如何解決法院擔心的監(jiān)控問題。 (騰訊科技審校/金鹿)
關(guān)鍵詞: 歐盟