导读 · 2023.05.25
因向美国转移数据违反欧盟数据保护法律,Meta 爱尔兰公司近日被欧盟监管机构罚款12亿欧元(约91亿人民币)。这是目前欧盟依据《通用数据保护条例》颁布的最高金额罚款。本文从2013年斯诺登事件追溯了欧盟数据规则的演变,解释了这次 Meta 被欧盟隐私监管机构判罚的法律逻辑,揭示了美欧在跨境数据层面的动态博弈过程。作者认为,美国和欧盟在法律上对数据的保护标准存在张力:一方面,美国法律规范不足以充分保护欧盟个人数据;另一方面,欧盟《标准合同条款规定》等跨境数据传输机制也难以弥补美国法律的不足。归根结底,是美国政府全球情报搜集政策与欧洲公众对于个人隐私等基本权利保护要求之间的政策冲突造成的。
引言
近日,爱尔兰数据保护委员会(Ireland Data Protection Commission, IDPC)主席海伦•迪克森(Helen Dixon),正式宣布依据欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR),对Meta 爱尔兰公司(Meta Platforms Ireland Limited, Meta IE)处以12亿欧元(近91.24亿人民币)的天价罚款。
爱尔兰数据保护委员会的此次处罚,是根据欧洲数据保护委员会(European Data Protection Board, EDPB)早前在4月13日公布的强制性裁定(Binding Decision 1/2023)做出的。欧洲数据保护委员会主席安德里亚·杰利内克(Andrea Jelinek)表示:
Facebook/Meta在欧洲拥有数百万用户,因此跨境转移的个人数据量极为庞大。经调查,Meta IE的违规情节非常严重,它涉及到的非法跨境数据转移是系统性、重复性和持续性的。
这次对Meta IE前所未有的罚款,再次表明了违反欧盟数据保护规则将会面临极其严峻的法律后果。
此次Meta遭受的12亿欧元罚款,刷新了亚马逊欧洲公司(Amazon Europe Core S.a.r.l.)在2021年7月创造的7.46亿欧元的历史性纪录。不仅如此, Meta IE还必须在规定的时限内,停止将任何个人数据从欧盟传输至美国,停止非法处理、储存已经转移到美国的欧盟用户数据。
欧盟GDPR前十大罚款 (以美元计价,截至2023年05月;图源:Statista)
本篇观察,分析了此次处罚的历史政治因素与法律规则依据。围绕行政处罚书的主要内容,阐释了欧盟监管机构的裁判逻辑:如何认定Meta的跨境数据传输违反了《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)《通用数据保护条例》等欧盟数据保护规则。
斯诺登事件和欧盟数据规则的演变
历史上,欧盟与美国之间的数据传输,一度遵循的依据2000年欧盟委员会通过的第2000/520/EC号决定建立的“安全港隐私保护原则”(safe harbour privacy principles)。
但是,2013年夏天,前美国中央情报局(CIA)职员,美国国家安全局(NSA)外包技术员爱德华 · 斯诺登(Edward Snowden)的惊天爆料,不仅揭露了美国政府利用微软、苹果、脸书等众多美国公司在其境、内外进行的大规模情报监听,也让欧洲民众、团体与政府不再信任“安全港”机制对于欧盟个人数据安全与隐私保护。
图源:Amazon
2013年6月,来自奥地利的律师马克西米利安·施雷姆斯(Maximilian Schrems)正式就Facebook 爱尔兰公司对于欧洲用户的数据保护问题,向爱尔兰数据保护委员会提出投诉。施雷姆斯声称,鉴于斯诺登披露的美国政府庞大的全球监听网络,欧美之间现有的“安全港”已不再安全,因此,根据欧盟有关个人隐私与数据安全的规定,Facebook应该终止再向其美国母公司转移欧洲用户的个人数据。
奥地利的律师马克西米利安·施雷姆斯
(图源:路透社)
2013年7月,欧盟委员会也成立了专家组,以调查、评估大西洋两岸的数据传输安全性、合法性与适当性。11月,专家组正式发布调查报告(MEMO/13/1059),指出了一系列法律问题:
1) 美国法律允许美国政府以反恐等为由,大规模收集和处理已转移到美国或由美国公司处理的个人数据;
2) 美国法律差异对待美国境内、外数据主体,美国宪法第四修正案等保护美国数据主体,却不适用于欧盟数据主体;
3) 美国法律针对不同类型的数据和不同的数据处理阶段,存在着不同的数据保护要求;
4) 以第12333号总统行政命令(Executive Order 12333)等为代表的其他专门性情报安全法,管辖边界模糊,缺乏明确的适用性与排除性规定;
5) 欧盟数据主体不会知悉其个人数据是否被美国政府收集或处理,更没有机会访问、纠正或删除相关个人数据。
2015年10月,欧盟法院(Court of Justice of the European Union, CJEU)在Schrems I (Case C‑362/14)一案中,判定成员国监管机构有权审查欧盟个人数据,被跨境传输至美国进行处理的受保护程序。Schrems I一案同时确认了美国法律未充分保护欧盟个人数据,属于《欧盟数据保护指令》(95/46/EC)规定的未提供足够、充分的数据保护的国家。据此,欧盟法院判定欧盟委员会 2000 年 7 月 26 日发布的第 2000/520/EC 号决定无效,美国丧失了“安全港”地位,数据处理者再按原有的机制将欧盟个人数据跨境传输至美国境内将可能构成违法。
2020年7月,欧盟法院在Schrems II (C-311/18)一案中,又一次判定欧盟委员会第2016/1250号决定规定的“欧盟—美国隐私保护盾”(EU-U.S. Privacy Shield)跨境数据传输机制无效。但是,Schrems II一案认可了欧委会第2010/87号决定规定的 “标准合同条款”(Standard Contractual Clauses,SCCs)附条件的合法性。法院判定,通过“标准合同”在欧、美跨境传输数据,合法性的前提条件是这些合同条款需要确立有效机制,足以保证向欧盟公民提供“效力上等同于”欧盟GDPR的数据保护水平。数据出口方和数据接收方在跨境数据传输之前,必须核实第三国的数据保护水平,以及是否有可能遵守SCCs的条款约定。
跨境数据传输法律规则
此次欧盟监管机构(EDPB及IDPC)对Facebook/Meta 爱尔兰公司的处罚裁定,也是前述斯诺登事件和欧盟数据规则演变的继续。
围绕Facebook/Meta IE向美国母公司转移欧洲用户的个人数据的争议,自2013年6月施雷姆斯律师首次向爱尔兰数据保护委员会提出投诉以来,至今已经十年过去。这期间,除了前述欧盟法院作出的Schrems I 和Schrems II判决之外,爱尔兰高等法院以及最高法院也做出了多份判决。其间更是见证了《通用数据保护条例》从几近夭折再到顺利颁布,成为当前数据保护的黄金准则(golden standard)的历史嬗变。
关于斯诺登与欧盟GDPR关系的论文
(图源:Routledge)
除了前述《欧盟基本权利宪章》《通用数据保护条例》,Schrems I&II等欧盟立法与判例之外,本案最核心的法律还包括美国的网络监控与情报收集法规,特别是《外国情报侦察法》第702条(Section 702,Foreign Intelligence Surveillance Act, FISA),允许美国情报机构未经授权监视外国公民的电邮、电话和其他网上通讯。另外,1981年由里根总统发布的第12333号总统行政令,以及2022年由拜登总统发布的第14086号总统行政令,也对美国政府的全球网络监控与信息情报搜集进行了诸多扩张性的赋权规定。
第14086号总统行政令:《关于加强美国信号情报活动保障措施的行政命令》(图源:美国白宫官网)
欧盟监管机构的判罚逻辑
爱尔兰数据保护委员会(IDPC)在长达222页的处罚说明中,极为详尽地说明了此次历史性案件的判罚逻辑,具体包括八大部分:
1) 事实和程序背景说明;
2) IDPC的职能和权力说明;
3) IDPC作为主导监管机构的说明;
4) 有关跨境数据传输的法律法规;
5) 当前关于跨境数据转移的实际情况;
6) 跨境数据转移是否违反GDPR相关规定的调查结果;
7) Meta IE是否可以援引GDPR第49条规定的减免责任的判定;
8) IDPC对Meta IE行政处罚的量刑说明。
DPC处罚说明书(图源:DPC官网)
爱尔兰数据保护委员会认为,本案至少涉及以下三大核心问题:
1) 根据《欧盟基本权利宪章》中的基本权利,美国法律提供的保护水平是否与《通用数据保护条例》提供的保护水平基本相当?
2) 如果不是,欧盟委员会于2010年颁布、2021年修订的《标准合同条款规定》是否可以弥补美国法律下数据保护的不足?
3) 如果不能,是否有其他措施可以弥补美国法律的不足?
第一,美国法律规范不足以充分保护欧盟个人数据。
对于跨境传输到美国境内的欧盟个人数据,适用美国法规主要是前述《外国情报侦察法》第702条(Section 702,FISA)和第12333号“美国情报活动”总统行政令(Executive Order 12333—United States Intelligence Activities)等情报收集法规。
FISA第702条允许美国司法部长和美国国家情报总监(Director of National Intelligence,DNI)授权监视位于美国境外的非美国公民,以获取外国情报信息。这也是斯诺登2013年披露的“棱镜计划”(PRISM)与“上游计划”(UPSTREAM)等网络监控监听计划的直接法律依据。
棱镜计划是由美国国家安全局自2007年开始实施的绝密级网络监控监听计划,能够对使用美国互联网服务提供商的境内外即时通讯和既存视听资料进行深度监听。而根据上游计划,负责运营互联网“骨干“”的电信企业(包括电缆、交换机和路由器),则需要通过技术手段,协助美国国家安全局复制和过滤互联网信息,以获取非美国公民的通讯记录。
第12333号总统行政令,则授权美国国家安全局“访问”“留存”通过大西洋海底的海底电缆传输至美国的欧盟个人数据。美国国家安全局等机构的此类情报收集活动,一般情况下享受司法审查豁免。
IPDC认为,美国的这些情报法律规定,与《欧盟基本权利宪章》第7条个人隐私保护,第8条个人数据保护,第47条司法救济权利等法律规定不符合。换言之,美国法律规范没有为欧盟数据主体提供有效的救济权利(data subjects have no right to an effective remedy)。
第二,欧盟《标准合同条款规定》难以弥补美国法律的不足。
为了解决个人数据出境传输到欧盟以外的国家的合法与合规问题,欧盟委员会早在2010年就颁布了《标准合同条款规定》(2010/87/EU),并在2021年进行了扩展修订(2021/914/EU)。
欧盟2021《标准合同条款规定》
(图源:欧盟官网)
IDPC指出,在此前Schrems等案件的判决书中,欧洲法院(CJEU)已经判定在第三国的法律允许公共权力机关侵犯与数据主体的权利的情况下,比如美国的FISA 第702条规定,标准合同条款将不足以提供充分的个人隐私与数据安全保护。特别是,欧洲法院(CJEU)已经判定美国法律有关情报收集的法规,侵犯了《欧盟基本权利宪章》第7、8和47条下数据主体的基本权利。
IPDC认为,作为美国电子通信服务提供商,Meta IE和/或Meta美国母公司,都需遵守根据美国FISA第702条等规定设立的PRISM等监听计划,为美国政府情报机构提供情报收集协助。因此,欧盟标准合同条款无法弥补美国法律的不足,不能为欧盟数据主体提供充分的、可比于GDPR的个人隐私与数据安全保护。
第三,Meta内部合规措施难以弥补美国法律的不足。
为了弥补上述美国法律规范与欧盟标准合同条款的不足, Meta IE的抗辩理由,是公司采取了包括组织、技术和法律措施在内一系列安全补救措施(Record of Safeguards and Supplementary Measures,ROS),以保护欧盟用户的个人隐私与数据安全。
组织措施方面,Meta爱尔兰和Meta美国母公司实施了一系列机制,包括信息披露政策、通知政策、数据访问政策、执法指南、透明度报告、数据共享政策,以及人员安全政策等等。
技术措施方面,Meta已经采取了诸如全面信息安全计划(Comprehensive Information Security Program ,CISP)等措施。CISP计划被描述为保护“存储在(Meta美国)系统、平台和产品上的数据的保密性、完整性和可用性”。Meta美国母公司还采取了诸如访问控制和审计日志、日志和监控政策,漏洞管理政策和白帽计划等内部技术措施。
法律措施方面,通过2021年的SCCs,Meta已经赋予了欧盟数据主体相关的合同权利,以为数据主体提供“可执行的权利和救济措施”。另外,Meta美国母公司也多次挑战了他们认为不合法的政府要求;同时Meta母公司还在积极参与游说以改变美国相关的法律规范。
IDPC否决了Meta IE的这些抗辩理由,指出这些组织、技术与法律措施并不能从根本上弥补美国法律对于个人隐私与数据安全的保护缺陷。根本而言,如果美国政府提出一个符合FISA条702条规定(比如PRISM计划)的要求,Meta美国母公司有义务进行配合,向美国当局提供其用户的个人数据。
美国的“棱镜计划”
(图源:网络)
结语
5月23日,Meta全球事务总裁尼克·克莱格(Nick Clegg,英国前副首相,2010-2015)发布公告,声明Meta将对IPDC的行政判罚提起司法复议。
公告也指出,数据跨境传输是全球开放互联网存在的基础,大量的企业需要在欧、美之间跨境传输数据,以维持日常运营,提供商业服务。如果不能跨境传输数据,全球互联网就有可能被分割成信息孤岛。
法律的尽头是国家政策。
围绕Facebook/Meta长达十数年的法律争议,归根结底,是美国政府全球情报搜集政策与欧洲公众对于个人隐私等基本权利保护要求之间的冲突造成的。
虽然欧美双方已经在协商尽快落实《数据隐私框架》(Data Privacy Framework,DPF)等新的合规机制,以解决跨境数据传输的合法性问题,但是以奥地利律师马克西米利安·施雷姆斯(Maximilian Schrems)为代表的数据权利保护斗士,已经明确表示将对DPF机制提起诉讼。而此前已经被欧盟法院(CJEU)在Schrems I&II等案件中否定的安全港(Sage Harbor),隐私盾(Privacy Shield),正是前车之鉴。
作者游传满
香港中文大学(深圳)国际事务研究院副研究员。
GBA Review 新传媒
编辑 | 袁浩延
审核 | 冯箫凝 黄紫蓝