近日,欧盟针对社交媒体平台Facebook的母公司Meta开出创纪录的12亿欧元(约13亿美元)的违反隐私法规罚单,并命令该公司在今年10月前停止将欧洲用户的数据传输到美国。
(资料图片仅供参考)
该罚单是自2018年欧盟通用数据保护条例(GDPR)生效以来开出的最大罚单,远高于欧盟2021年对亚马逊公司违反该条例开出的7.46亿欧元罚款。这项罚款让美欧在跨境数据传输机制上的冲突重获关注,美欧最新协议的达成或为Meta带来转机。
最大罚单还有转机?
美国和欧盟之间合法传输个人数据的几种机制一直存在争议。此前存在的“隐私盾”机制(Privacy Shield)于2020年被欧盟最高法院欧洲法院否决。
负责监督Meta在欧盟业务的爱尔兰数据保护委员会称,Meta不顾2020年欧洲法院的裁决,继续向美国发送欧洲公民的个人数据,违反了欧盟的GDPR。
GDPR是世界上最全面的数据保护框架之一,对于个人数据传输到该地区以外做出了广泛要求。在该条例的监管框架下,监管机构认为在Meta的数据传输行为中,欧洲用户的数据没有得到充分保护,用户信息多年来一直在美国的服务器上被非法存储,或被美国间谍机构获取。
但欧盟委员会制定的标准合同条款(SCC)为一些公司敞开了大门,SCC称只要确保“足够的数据保护水平”,向任何其他第三国传输数据都是有效的。Meta认为,该公司就是使用SCC将欧盟数据转移到美国的,因此符合规定。同时他们并没有被欧盟的任何法院阻止。
Meta在声明中表示,SCC的广泛使用使罚款变得不公平。Facebook总裁尼克·克莱格 (Nick Clegg) 表示:“我们与其他希望在欧洲提供服务的公司一样,使用了相同的法律机制(即SCC),很失望我们被挑出来。这一决定是有缺陷的、不合理的,并且为无数其他在欧盟和美国之间传输数据的公司树立了一个危险的先例。”
值得注意的是,Meta等公司正期待美国和欧盟之间达成一项新的数据共享协议。该协议有望为Meta和其他公司提供法律保护,从而继续在美国和欧洲之间传输信息。欧盟和美国去年“原则上”同意了这项协议,但至今尚未生效。该协议可能会使近期欧盟对Meta做出的大部分裁决无效。
美欧数据开放模式的冲突重获关注
2013年,美国国家安全局前雇员爱德华·斯诺登(Edward Snowden)披露,美国当局曾多次通过Facebook和谷歌等科技公司获取人们的信息。奥地利隐私活动家马克斯·施雷姆斯 (Max Schrems) 对Facebook未能保护他的隐私权提出投诉,引发了一场长达十年的关于将欧盟数据转移到美国的合法性斗争。
这一司法战凸显了美国与欧盟之间在数据开放模式上的冲突。浙江大学副校长、长江学者黄先海曾对世界主要国家和经济体的开放模式作出分析。他表示,欧盟模式是严格保护型开放模式。欧盟强调个人对数据的控制,旨在其境内建立一个单一的数字市场,以保护个人、企业和政府免受数据收集、处理和商业化造成的滥用。欧盟对数字经济和数据的监管主要以防御或被动的方式进行。
2021年,亚马逊因藐视欧盟的隐私标准而被罚款。爱尔兰还对Meta旗下的另一家公司Whats App处以罚款,原因是该公司违反了与其他子公司共享数据透明度的严格规定。
黄先海表示,美国模式则是自由市场和长臂管辖并存的开放模式,强调竞争和创新。美国对数字经济采取自由市场方法,包括对跨境数据流动的类似自由监管框架。关键动机是保持其在全球数字市场的领导地位并进一步扩展到新市场。
去年,美国与欧盟对通过新的数据共享协议达成共识时,美国总统拜登表示,新框架强调了美国和欧盟对隐私、数据保护和法治的共同承诺。数据的顺畅流动将“有助于促进美国与欧盟7.1万亿美元的经济关系”。
“但美国对国防相关数据采取了严格的本地化政策,要求任何向其国防部提供云服务的公司必须仅在国内存储其数据。同时出于国家安全原因,对一些外国数字公司在美国的活动进行干预和限制。”黄先海说。
黄先海强调,对于境内数据,美国采取严格适用属地管辖原则,又以强大的政治力为后盾,争夺境外数据的管辖权。长臂管辖主要体现在《澄清境外数据的合法使用法案》,将“数据存储地标准”转变为“数据控制者标准”。该法案为美国防止本国数据流出,设置了各种障碍。
(来源:上海证券报)