Meta被罚破记录金额 美欧数据传输之争对中美有何启示?
5月22日,Facebook母公司Meta经过多年法律程序之后被爱尔兰数据保护委员会(DPC)判定违犯欧盟的《一般资料保护规范》(GDPR),将欧盟用户个人数据传送到美国,判罚12亿欧元,须在5个月内停止向美国传送相关数据,在6个月内中止在美国处理欧盟用户的数据,当中包括相关数据的储存。
此次罚款金额是科技巨头因违反私隐保护而遭欧盟判罚的最高一次,打破了2021年亚马逊被卢森堡相关部门判罚7.56亿欧元的记录。不过,Meta已经表明会提出上诉,继续拖长这个起自2013年斯诺登事件的迂回曲折法律程序。
大西洋两岸的私隐差距
案件的争议起于欧洲和美国之间的个人数据保护之争。一直以来,欧盟的数据保护都远胜美国,其中2018年生效的《一般资料保护规范》要求企业在收集或处理用户个人数据前先要得到用户同意,并给予人们存取个人数据、要求将数据删除、反对其处理的权利。
相较之下,美国却没有像欧盟般保护个人数据的“一条鞭法”,而是由一系列针对不同层面的联邦和州法律所拼凑而成,有专门保护医疗资料、财务资料、儿童网上资料的,而加州、维珍尼亚州、科罗拉多州等不同州份也有各自不同的个人资料私隐保障法律。这种混乱无章的法律架构充满漏洞,一直为人垢病。2021年美国国会参议院有两党议员提出《美国数据私隐和保护法案》(ADPPA),希望普遍地落实对个人资料的保障,却一直未见立法动力。
欧盟与美国在数据保护上的最大争议,在于美国2008年修订《外国情报侦察法》(FISA)所加入的“702条款”给予美国政府权力收集海外非美国人的资讯,而在针对外国情报机构和情报人员的时候更不必法庭手令,此等权力被欧盟认为有可能侵犯欧盟公民的私隐。由于广泛收集用户数据的科技巨头几乎都是美国公司,因而就使人们对欧盟用户数据被传送到美国产生忧虑。
跨大西洋数据协议
美欧之间自2000年起先后有过所谓的“安全港(Safe Harbour)协议”和“私隐盾(Privacy Shield)协议”,去确保美欧对用户个人数据有同等保护,以便双方数据交流,但最后都被欧洲法院判定不符合欧盟对于欧盟公民的权利保障,未能阻止美国政府未经许可存取欧盟用户数据。2020年“私隐盾”被欧洲法院驳回之后,美欧之间的个人数据传输就陷入了法律上的不确定状态。
一直以来,Meta等企业以欧盟的“标准契约条款”(Standard Contractual Clauses)作为美国尚未能改善其个人数据保护前将欧盟个人数据传送到美国的法律基础。
而欧盟和美国也一直在商谈所谓的“欧盟-美国跨大西洋数据协议”(EU-US Transatlantic Data Agreement)以取代此前的“私隐盾”。双方早在去年3月已表明达成了“原则共识”,提出建立一个由美国政府以外人员组成的数据保护审查法院来处理欧盟公民的私隐申索,而美国的情报部门亦会建立程序来有效监管新的私隐标准。
不过,有关谈判到了一年之后的今天依然在“最后阶段”——本年4月就有媒体报道指美国官员正在要求欧盟国家提供他们的情报收集不会侵犯非欧盟公民私隐的法律监管和相关补救措施。
Meta本来希望等到预计可在本年达成的“跨大西洋数据协议”落实,再以新的协议作为其将欧盟用户数据传送到美国的法律基础。不过,这次爱尔兰的判决认定欧盟的“标准契约条款”不足以保障欧盟公民对于自身个人数据的基本权利,因此就变相为Meta的希望和“跨大西洋数据协议”的达成设下了一个为期5个月的期限。
虽然Meta去年曾要胁过可能会退出欧盟市场,不过欧盟国家占Meta的广告收入大约10%,其每用户平均收入也远高于美加以外的其他地区,此等威胁大概只是摆摆姿态的空谈。而由于《一般资料保护规范》的罚则可高达企业全球收入的4%,对Meta而言相当于超过40亿欧元,Meta如果最终败诉的话,也不可能继续其违法行为。
同一争议 美欧和中美的不同
美欧的数据传输之争,从结构上看,与中美之间有关TikTok的争议颇为类似。两者皆是出于自认为有较高私隐保障的一方担心对方政府会存取到己方公民的数据,侵犯私隐,并有可能用於潜在的恶意用途。美欧之争对中美之争至少有两个启示。
其一,要保护公民的个人数据和私隐,需要像欧盟一般以完善自身法制为基础,而非武断地针对某一公司或某一国的公司。
当然,欧盟的《一般资料保护规范》在执行上有着重大缺失,例如负责监管Meta的爱尔兰数据保护委员会似乎出于“国家利益”的考量对Meta从宽处理,要到欧盟其他国家的监管机构集体反对推翻其原初决定后,才有了这次罚款判决,而爱尔兰方面在其判决文件上也维持了其不同意判决的立场——经过《一般资料保护规范》的5年落实后,欧盟各国的数据保护机构基本上已进入互相言诛笔伐的状态,大大阻碍规范的执行。
然而,有法可依总好过像美国般的无法可依,只透过政治或舆论压力要求科技巨头自律。在管控TikTok的问题上,美国应该向反求诸己的欧盟学习。
其二,不同法律管辖区对数据保护程度和方法的不同,在互联网的时代,当然会造成数据跨境传输上的争议,但正如美欧的“跨大西洋数据协议”谈判一般,各方都应该透过外交协商去有系统地解决争端。
美国政客往往喜欢拿着中国《国家情报法》第七条来指涉像TikTok般来自中国的科网企业的国家安全威胁。第七条订明,“任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。”此等情况,跟欧盟官员拿着美国的《外国情报侦察法》“702条款”作为担心欧盟公民私隐被美国政府侵犯的理据,逻辑上完全对称。
为何欧盟的应对手法是跟美国进行谈判,从而试图建立一套让大家都能满意的机制,而美国对于TikTok却几乎只留下全面封杀和卖盘的两难选项?
这个问题的答案当然是美国有意压制中国企业,又或者是美国部份人真心相信的“红色恐怖”,两者皆非出自旨在解决具体问题的工具理性。
中美之间在不同的场域都有不同的争议,TikTok的个人数据问题只是其中之一。当我们追问中美关系为何转差、中美对抗为何看似难以避免,人们首先想到的往往是修昔底德陷阱之类的大国竞争讲述,而不是各个场域的具体争端。这种思考模式也许就是这些问题的根本答案。如果中美都能放下大国竞争的大框架,像美欧数据传输之争一般利用工具理性从具体事务着手,或许才会找到避免竞争升级成冲突的恶性循环的出口。