扫码打开虎嗅APP
本文来自微信公众号:世界说(ID:globusnews),作者:一元,责编:权文武,头图来自:视觉中国
在全球化和互联网飞速发展的今天,没有任何一个国家或地区是一座孤岛。
今年7月,欧洲法院判决欧盟与美国之间的个人数据传输框架(隐私盾)无效。爱尔兰数据保护委员会(DPC)据此判决,开始调查美国互联网巨头Facebook向美国传输欧盟民众数据是否合法。Facebook随即发起诉讼,质疑DPC调查不符合程序。目前,爱尔兰法院要求DPC在最终判决前,暂时中止对Facebook数据传输合法性的调查。
一周后的12月15日,爱尔兰法院将就Facebook诉DPC一案举行听证。一个月后的1月13日,同一名法官还将审理奥地利公民Max Schrems诉Facebook非法传输个人数据案。
Facebook早前威胁,一旦数据传输受到限制,将被迫放弃欧洲市场。互联网数据全球一体化的梦想还未实现,美欧间的裂痕就已扩大到了无可掩饰的地步。
斯诺登的遗产
其实,欧盟在2000年到2013年之间,也曾对美国互联网巨头及美欧间数据传输表示过信任。在当时,尽管联邦制的美国没有全国层面的统一隐私和数据保护法,欧盟还是做出过针对美国的充分性决定,受联邦贸易委员会和美国交通部管辖的美国企业可以通过做出相应承诺加入“安全港”,进行与欧盟间的数据传输。
但2013年,随着斯诺登逃出美国,欧美数据转移迎来重大转折点。
前美国中情局技术分析员斯诺登在2013年6月,通过多家媒体公开了美国政府在全球开展的大规模监听项目,包括在用户不知情的情况下,大规模收集个人日常邮件、通话、社交媒体通信内容、以及视频、照片、个人文件、位置信息等数据,并创建大型数据库供政府部门进行检索和过滤。该监听项目涉及金融,电力,教育,交通等多项关键行业, 牵涉微软,谷歌,Facebook,苹果等多家美国互联网巨头企业。
对于欧盟来说,斯诺登曝光的最惊悚内容不是美国非法收集本国和别国公民的数据隐私,而是这种政府收集他人隐私数据的行为竟然得到了美国多项法律的背书。
斯诺登爆料,中情局以FISA和秘密法院命令为法律基础开展大规模监视活动。其中外国情报监视法案(FISA)第7.0.2节,允许对美国领土外的特定人员和非美国公民进行数据收集。美国的外国情报监视法院也以FISA为依据颁布了一项秘密法院命令,授予执法部门对民众通信记录的无限访问权限。
“911事件”后通过的《爱国者法》第215条也被美国政府作为大量收集和保留公民通信数据的理由。实践中,在数据筛查的初级阶段,所有数据收集都是批量进行的,而不是针对恐怖分子嫌疑人定向收集。
耳听八方/ by xxWeAreAnonymousxx
在这样的法律基础上,欧盟很难继续认可美国的数据保护力度。所以斯诺登事件后,尽管表面上美国与其他国家的政治关系没有大的变化,斯诺登本人也逐渐被媒体遗忘,但欧洲议会却迅速叫停了所有欧盟至美国的数据传输,随后开始了针对美国的大规模调查,欧美之间的数据传输问题遭遇了第一场严重危机。
美国游行者于2013年10月在国会山游行示威,要求国会调查国家安全局 / AP
在美国本土,美国民众和非政府组织也发起了大规模支持斯诺登的活动。2014年3月24日,奥巴马被迫叫停美国国安局大规模数据收集。美国第二巡回法院于2015年5月7日判决斯诺登披露的美国政府大规模监视活动属于非法,不符合爱国者法案的规定。
2015年5月13日,众议院通过投票终止国安局大规模情报收集项目。2015年6月2日,奥巴马政府签署了美国自由法案,修订了FISA和爱国者法案中的数据保护缺陷,规定美国国安局只在确认某人或某个组织有恐怖活动嫌疑的时候才能向电信公司和互联网公司索取相关数据。
可是,美国的一些新法中又出现了新的数据保护隐患。例如,美国于2016年通过的司法救济法案仅仅赋予了“欧盟公民”更多的数据保护。这一范围意味着,居住在欧盟的,受《通用数据保护条例》同等保护的他国公民无法得到与欧盟公民同等的保护。后者无法在数据权受侵犯时,依据美国司法救济法案进行救济。在这种情况下,“美国提供了充分数据保护”仍然是一个很难被肯定的命题。
挑战巨头的普通人
斯诺登事件后,除了欧盟在国家层面调查美欧间数据传输安全,欧洲的个人也开始向跨国互联网巨头发起个人数据安全保卫战。一名奥地利籍法学生Max Schrems,在研读了Facebook的用户协议后向爱尔兰数据保护部门发起了投诉。
Schrems认为,Facebook在用户协议中写明会将数据转移至美国,而根据斯诺登爆料的美国政府大规模监听活动,他不信任美国提供了充分数据保护。
2014年6月,爱尔兰最高法院法官将案件提交欧洲法院审理。本案中争议的一个焦点是如果美国法律赋予公权力机关普遍收集和处理大批量数据的权限,包括内容数据如个人通信内容等等,是否从本质上侵犯了基本隐私权利,是否可以认定美国无法提供充分个人数据保护,从而废除安全港框架。
美国—欧盟安全港框架 / 美国商务部官网
2015年10月,欧洲法院判决废除安全港框架,随后Schrems再次向爱尔兰数据保护机关申诉(Schrems II案件),认为在美国的法律下,Facebook通过替代机制转移至美国的个人数据仍无法得到充分保护,要求暂停或禁止Facebook进行其个人数据的转移行为。
2016年7月12日,作为安全港制度的替代升级版,美国—欧盟隐私盾框架被采用。与安全港相比,隐私盾为美国设置了更多的义务和更强的执行机制。美方必须给予个人数据更多的保障和更强的透明度,为欧盟公民提供更多数据权利和救济路径,并设置了隐私盾监察员制度。由于隐私盾框架是在Schrems II审理期间达成的,欧洲法院对隐私盾框架也进行了审查。
欧盟—美国隐私盾框架 / 隐私盾官网
2020年7月16日,欧洲法院以美国在数据保护方面缺乏对政府权限必要限制,不能满足数据处理合比例性原则、欧盟数据主体缺乏有效的救济途径、以及隐私盾监察员制度存在缺陷为由,宣判隐私盾无效。
Schrems将自己视为欧盟数据主体的“事实代表”,要求爱尔兰数据保护委员会将自己对Facebook非法传输数据的起诉作为执行欧洲法院判决的“唯一途径”。
数据传输的未来
“隐私权”的概念,诞生于130年前一篇发布于哈佛法学评论的文章。在文章的开头,作者写道:个人和财产应当得到充分保护已经是一项为所有人所接受的古老原则,但随着时代的发展,我们需要定义这种保护的新范围。引起作者思考的社会背景是当时瞬间摄影和报纸业的发展,侵入了神圣的私人领域和家庭生活。文章预测,“机械设备会使得壁橱里的窃窃私语被放到屋顶大声宣扬”。
这一预言早已成真。
虽然第二代欧美数据传输框架已被废止,但并不意味着欧美从此无法传输数据。美国企业仍可以通过标准合同条款,或者通过约束性公司规则(仅限于跨国企业)等形式,单独获得欧盟对企业数据保护力度的认可,从而进行欧盟至美国数据转移。但与安全港或者隐私盾相比,这样的方式需要企业付出多得多的时间、人力和金钱成本。
从斯诺登到Schrems,普通个人正在成为全球个人数据保卫战的先行者。
1993年,纽约客刊登过著名的《在互联网上,没人知道你是一只狗》漫画。但仅仅27年后,纽约客所描绘的互联网身份保密时代已经面目全非,如今不仅是人是狗的秘密早已不复存在,就连前一天晚上的卧室私语也眼看要保不住了。
在互联网上,没人知道你是一只狗 / 彼得·斯坦纳,《纽约客》,1993
在今天,物联网,大数据和人工智能技术的发展,不仅可以知道你是谁,还能分析出你喜欢的商品,爱听的音乐,性格特征,家庭关系,工作能力,健康状况,乃至性取向等等。在个人数据和隐私本就因科技发展而异常脆弱的今天,我们作为个人,可能需要更多的意识到个人隐私权的存在,思考隐私权的边界到底在哪里。
本文来自微信公众号:世界说(ID:globusnews),作者:一元,责编:权文武