数据保卫战:GDPR的三年之痒

罚单与投资、数据与国界、隐私与扰民⋯⋯实施近三年,GDPR的跨境「数据监管江湖」。

#GDPR · #我的隐私,你的生意

2021-03-03

源文出自 匡翘、姚采旻、胡文燕 之笔,整理排版后留作存档。

作为虚拟世界里的「大宗商品」之一,来源于你我身上的个人数据,在集结、倒卖、演变之后,已然变成一股持续的力量,重塑现实世界。2018年5月,被认为「史上最严」的欧盟《一般数据保护规范》(GDPR)正式实施,誓要保证个体自主掌控个人隐私和数据——你也许还记得那时邮箱里忽然出现了一众群发邮件,那是商户企业们纷纷更新隐私政策;你也许还记得,不久后,谷歌就被罚5000万欧元。实施至今,已近3年,GDPR到底做得如何?大棒子打向了哪里,起到了什幺样的作用?又有哪些尴尬的缺陷和不足?

巨额罚单背后的「监管江湖」

提到职业生涯的高光时刻,法国互联网维权机构 LQDN(La Quadrature du Net)的法务麦赛(Arthur Messaud)竟有些怨念。「偏偏那天,总统马克龙给谷歌背书,简直打脸监管部门。」在电话另一端,他幽幽地说道。

2019年1月21日——麦赛口中的「那天」,法国数据隐私监管机构 CNIL 对谷歌开出5000万欧元罚单。早在欧盟《一般数据保护规范》(以下简称 GDPR)2018年5月25日生效当天,麦赛所在协会便联合逾万公民,对美国科技巨头发起集体行政诉讼。美国巨头首次被罚,引发不小轰动,公民运动初获胜利,麦赛欣喜不已。可他没想到,就在「那天」,正逢法国举办第二届「选择法国」投资峰会:总统府爱丽舍宫官方推特助兴,大肆宣传的正是谷歌在法的投资。

「像我们这样发起集体诉讼,史无前例,」麦赛重提旧事,有些激动,「但政府却一点儿都不在乎。」麦赛的骄傲有底气在。法国监管方 CNIL 在麦赛所在 LQDN 协会推动下,开出首张罚单,极具象征意义,并为后续案件提供借鉴和启示。可这「骄傲」背后,少不了国家之间的比对和协作,亦或监管方同科技巨头的明争暗斗,曾历经几番曲折和反转,远非表面看上去这般轻松。

欧盟 GDPR 罚款限额高,最高可达2000万欧元或企业全球总营收的4%,被打上「史上最严」标签。只是,在实际运行中,或落入人力不足,且效率低下的臼窠,不免给人留下「雷声大雨点小」的印象。

面对人才济济、游说经验丰富的科技巨头,各国监管机构有心树立威严,但初次释法,免不了小心翼翼,束手束脚。2019年12月,美国政治新闻网站 Politico 便曾指出,美国科技巨头的欧洲总部多集中在爱尔兰和卢森堡,但这两国尚未打开任何调查。

新法生效前6周,麦赛尤其忙,举办座谈会,发布科普视频,鼓动大家签名,且接连接受媒体采访,发声表明立场。用麦赛颇具策略性的话术来讲,「法国的电视广播热衷谈论自由和人权,当然对新条例关注,我们还不得顺势抓住一切机会。」动用媒体资源,增加舆论曝光度,也是间接向法国数据隐私监管机构 CNIL 施压。

CNIL 于1978年成立,致力保障隐私和个人信息,属于国家独立行政机构,虽不隶属任何政府部门,但正常运营依赖国家财政拨款,具有半官方色彩。CNIL 每年接到的公民投诉不下五万份,且自主选择案例进行评判。别说赢了诉讼,LQDN 协会若按部就班发起诉讼,到底能否被立案,在当时看来,都还是未知数。

LQDN 协会的诉讼对象不止谷歌,还包括苹果、脸书、亚马逊和微软,共计五大集团。但 GDPR明确规定,企业总部所在国的监管机构,才有权限发起调查。苹果、脸书和微软欧洲总部设在爱尔兰首都都柏林,亚马逊则将欧洲大本营安置在卢森堡。谷歌有些特殊,虽早指定爱尔兰为欧洲公司总部,但在具体信息处理层面,曾存在诸多模糊之处,导致这个总部并不为欧洲监管机构认可。爱尔兰数据隐私监管机构也早在2018年8月,明确表示自己并非谷歌监管方。这些都为后来的处罚,埋下伏笔。

法国监管方依据 GDPR 第35条款,对谷歌发起调查,并基于三个论据,驳斥了谷歌欧洲总部位于爱尔兰之说。首先,谷歌隐私政策并未提及爱尔兰分部对相关信息处理和目的进行负责。此外,谷歌并未指定数据保护官,整体负责欧盟境内用户隐私管理。再者,谷歌自己也曾提到,欧盟居民部分数据处理责任于2019年年底,才转入爱尔兰公司名下。后来谷歌提起行政上诉,以失败告终,这同法国监管方前期扎实的准备工作不可分割。

LQDN 协会集体起诉名单中,谷歌旗下的 Gmai l邮箱、视频分享网站 Youtube 和搜索引擎三个产品均上榜。相较之下,5000万欧元罚款的导火索显得有些微不足道:法国监管方实证发现,在安卓手机系统内,设立谷歌账户,用户可获得的知情信息不清楚,此外私人订制广告选项默认为用户同意,这两点均违反GDPR。

麦赛责怪罚单还是太保守,感慨「区区5000万欧元不过是谷歌几个小时的营业额而已」,很难产生震慑效果。这张巨额罚单与其说是法国例外之举,不如称之为欧洲协作产物。法国监管方 CNIL「雷厉风行」,算是欧洲同行里的佼佼者,业内声誉颇佳,这次成功牵头调查谷歌,离不开欧盟成员国其它监管方的共识和支持。

声誉平平的爱尔兰和卢森堡监管机构则至今尚无下文,一想到这,麦赛就有点哭笑不得:「我们的投诉不知道躺在哪个邮箱,至今都没人打开过吧」。

从罚单到跨国数据传输

GDPR主要打击对象是跨国企业,但条例的影响力不限于此。因为牵涉的是对数据保护的原则性理解,当对条例的理解有异,就会产生数据管辖权的争论。换言之,境内合规问题可以升级到跨国数据传输能否继续的问题。

施雷姆斯(Maximilian Schrems)是奥地利的人权律师,他成立的非政府组织「None of Your Business」(NOYB),是德语区最重要的数据保护团体之一;以他命名的 Schrems I 及 Schrems II 案,更令欧盟与美国的数据交换框架骤然停止。

Schrems I 案之始,是施雷姆斯在2013年向爱尔兰数据保护专员发起对脸书爱尔​​兰子公司的投诉。 施雷姆斯认为根据欧盟数据保护法,欧洲总部位于爱尔兰的脸书,不应在美国未达到「足够保护程度」时,把用户数据传输到美国。爱尔兰数据保护专员拒绝就这投诉作出行动,施雷姆斯就在爱尔兰高等法院提出司法覆核。

当时,欧美的数据交换依据「Safe Harbour」框架进行:该框架是一个自我验证的机制,让美国公司可以证明自己遵守一系列的数据保护原则。结果因为事件涉及欧盟层面,案件暂缓并向欧洲法院(Court of Justice of the European Union)寻求指引。2015年10月,欧洲法院认同施雷姆斯的意见,Safe Harbour 不再是欧美数据传输的有效框架。

案后,欧美双方为了让商业机构可以继续交换数据,在2016年2月订立了「Privacy Shield」这一全新框架,在满足框架内的保障及技术要求后,脸书及谷歌这些科技巨头就可以继续输送数据到美国。同时,脸书等企业在合约中加入「标准合约条款」(Standard Contractual Clauses, SSC),企图借此符合法规要求,继续进行数据传输。而事实上,当时,欧洲GDPR已经开始正式运行,「Privacy Shield」与 SCC 两者都未能完全符合GDPR的要求,企业与政府都只是用这些措施,让数据往来可以继续,同时赚取时间商讨共识。由于GDPR的推行,法理基础有变,施雷姆斯在2020年再次入禀法院,是为 Schrems II 案。

Schrems II 案中,施雷姆斯对脸书及「Privacy Shield」框架作出质疑,认为该框架未解决根本问题,美国政府仍有权可以取得欧盟居民的数据,他的人权依然被侵犯。最后,施雷姆斯再次胜诉,「Privacy Shield」被裁定为不通用(invalid),但法院认为, SCC 或提供了一个表面有效的合约机制,去符合欧盟标准的合规进程。法院也强调,SCC 中存在退出机制,该机制允许数据接收者,将不合规情况告知数据出口者,这将有效地暂停数据传输,或让数据出口者能够终止合同。

重要的是,欧洲法院认为欧盟有权监管所有在欧盟境内收集的数据,而且有权监管海外所有涉及欧盟居民的数据——而更复杂的是,欧盟各级司法机关,可以就欧洲法院的判决自行解读及运行。

以德国为例,Schrems II案作出判决后,柏林、汉堡及莱茵兰-伐尔兹邦(Rhineland-Palatinate)的数据保护机构各自发表声明,不约而同地指该案例不只应用于欧盟与美国之间,更适用于中国、俄罗斯、印度等国家。汉堡的数据保护机构更直指中国的「数据保护预防措施,离足够保护还很远」。

「足够保护程度」是欧盟评估他国数据保护是否达到欧盟标准的准则。达标的地区,可以与欧盟进行自由的数据传输。实际操作上,例如美国现在未达足够保护程度,理论上欧盟境内公司不能发送数据到美国,但许多公司仍通过SCC机制,继续传输数据到美国。

在现代社会,要停止跨国数据传输几乎是不可能的。数据在很长的一段时间,被企业视作类近天然资源的存在,拚命开采,从中谋利。而提供数据的用户,根本不理解自己有权要求公司保护其数据。早在 Schrems I 前,斯诺登案已让欧洲广泛讨论跨国数据传输的危险性,当默克尔的个人手机也被美国国家安全局监听,欧盟又能怎样平衡经济及政治上的考虑?

现在,欧盟设立了新标准,表面上其他国家不用遵守,但 Schrems 案告知其他国家:如果不遵守欧盟的数据保护标准,那就会直接影响到在欧盟国家收集数据甚至经营生意。数据保护法从人权出发,但它的影响不只伸及经济,还在政治层面上起作用。美国执法机关需要取得数据的权力,便是从美国国家安全的角度出发的需求,而欧盟则用公民人权的角度,迫使美国作出妥协。

欧洲模式?

欧盟GDPR从诞生之初,便和美国有着千丝万缕的关联。美国曾「未雨绸缪」,绞尽脑汁干预欧盟立法,但抵不过时移势易,最终事与愿违,反扮演起加速器的角色,继而成了追随者。

新法起始点,可追溯到2011年11月17日。这天,德国数据保护和数据安全第35次会议正式开始,欧委会公民权益委员会主任耐密茨(Paul Nemitz)正式宣布,欧盟将制订适用于全体欧盟成员国的数据保护条例,用以进一步完善1995年设置的《欧洲数据保护指令》。

没想到,刚过两个月,欧洲新闻网站 EurActiv 爆料称,美国为维护自身利益,通过外交商贸谈判和各类游说,积极介入欧盟修法。迫于压力,工作人员修改了初版方案,才提交给欧洲议会。一名欧盟外交官曾如此评价:「改革方案还处于初期阶段,第三国对此便尤为关注,太不寻常」。

进入议会进程后,有议员担心 GDPR 会导致经商环境不确定,也怨言颇多。时任欧委会司法专员勒廷(Viviane Reding)还记得,2013年夏天,为了获得多数票,忙得焦头烂额,日夜担心条例无法顺利通过。

不过,「斯诺登事件」爆发,彻底改变了立法格局:美国科技巨头深陷「窃听丑闻」,议员们开始重新审视这个本不受待见的条例。在舆论裹挟下,个人信息保护成为公众关注焦点,顺而激发欧盟官员的政治能动性。2014年3月12日,不出意料,欧洲议会高票(621票支持、10票反对和22票弃权)通过这一条例。

一段时间沉寂后,2018年春——就在GDPR生效前几个月,脸书数据泄漏,牵扯出「剑桥分析公司丑闻」,更将数据隐私的讨论,从欧洲语境,扩展至全球范围。美国境内掀起一场全民性的隐私保护变革;中国方面也将《个人信息保护法》逐渐提上日程。

2020年12月28日,《深圳经济特区数据暂行条例(草案)》提请深圳市人大常委会会议审议,这是中国立法中首次提到「数据权益」保护,例如说涉及隐私的个人数据,需要得到拥有人书面或口头同意授权,企业方能使用,自然人更享有类似「被遗忘权」等的权益。表面上,该条例呼应了欧盟以人权为本的数据保护法规,但同时该草案亦指出,「在为了国家安全、公共利益、企业正当利益等情形下,可以无需征得个人同意收集处理自然人数据。」

其实,这与美国相关的法例面对一样的困局。美国政府同样有权在一定条件下收集数据,即使《爱国者法案》第215条已失效,根据《外国情报监视法案》第702条(Foreign Intelligence Surveillance Act, FISA 702),独立法院可以授权政府发布命令,要求美国的公司披露位于美国境外的特定非美国人员的通信数据。这是欧盟认为美国的数据保护不足够的原因之一。

美国联邦政府没有特定于数据保护的法规,制定的责任落在州政府上。《加利福尼亚州消费者隐私法》(California Consumer Privacy Act, CCPA)就是美国最受重视的相关法规。 CCPA 在2020年1月1日生效,理论上只监管在加州的公司,但由于谷歌、脸书、苹果等巨头总部也设在加州,为免违法,例如谷歌也会建议其用户了解并遵守 CCPA 。依据 CCPA,企业每次违法行为罚款最高为2500美元,每次故意违法的罚款最高为7500美元,向每位消费者的赔偿最高则为750美金。

至今,能符合欧盟「足够保护程度」要求的国家,有日本、新西兰、瑞士、以色列等国。

实施两年多,企业终于做好准备了吗?

GDPR实际效果如何,同样成为各方关注的焦点。各种案例已陆续出炉。2021年1月8日,德国下萨克森邦数据保护局对企业 Notebooksbilliger.de AG 处以1,040万欧元的罚款。它被控对员工进行为期两年没有法律依据的视频监控。下萨克森邦数据保护局指出,这些摄像机记录了工作场所、销售室、仓库和公共区域等地,而企业则称安装摄像机的目的是防止和调查刑事犯罪,并追踪仓库货物的流向。

首次出现在德国法律系统中的「数据保护官员」(Data Protection Officer),已经放进欧盟框架中。根据企业及政府的规模,它们需要聘用指定数量的数据保护官员。这群专业合规人士在最理想的情况下,会肩负与其他员工、公司及政府机构沟通的责任。

不过,如果仅从罚款力度来看,「史上最严」数据保护法,似乎名不符实。据金融网站 Finbold 数据显示,2020年欧盟成员国开出299个罚单,共计1.7亿欧元,意大利、英国和瑞典罚款金额最高。只是,被罚企业虽涉及通信、零售和航空等各个领域,却鲜有跨国科技巨头。反观美国,「剑桥分析公司丑闻」爆发后,脸书就在美国收到高达50亿美元的罚单,随后不得不迅速整改企业隐私政策。

2019年底,斯诺登在里斯本网络峰会上,曾毫不客气地指出:「只要互联网巨头未收到罚单,行径继续违反 GDPR 及其承载的精神,那这个条例就好比是一个『纸老虎』」。欧委会也承认,GDPR 生效两年来,在新科技层面,一些规定尚不明晰,反致使本土中小型科技企业深受其累。

不过,在巴黎第九大学教授欧洲法的唐布(Olivia Tambou)对欧洲模式深信不疑。在她看来,美国模式创建在商业竞争之上,巨额罚款或短期内起到立竿见影的效果,但欧洲模式侧重调控,跟企业更处于指导和引领的关系,便于多方面多层次解决问题。「惩罚是手段,不是结果。对监管机构而言,企业能否不断改进才至关重要」,不过唐布也承认,监管机构时常缺预算,少人手,实际操作中,确实没法有序开展监管。以法国监管方 CNIL 为例,2018年新法生效,诉讼数量同比增长32.5%, 但雇员总数仅从200人增长至215人。

至于欧盟面对科技巨头是否太过弱势?唐布也有不同看法,她向端传媒枚举称,只有在欧盟境内,谷歌才被迫运行「被遗忘权」,且欧盟公民具备获取个人数据副本权。在这位乐观派眼中,欧盟模式尚在探索中,让科技巨擎低头,只是时间问题。

2018年,GDPR 生效前夕,调查显示,85%的欧洲企业表示尚未做好准备。有的仍在修订数据业务清单,有的急匆匆选择法律条款,为自己的数据使用正名。企业无所适从,背后原因很多,除了条例本身存在争议和语焉不详,监管方也未能及时进行二次阐释。

其实,各国监管部门同涉事企业一样,也在摸索试探,不仅要吃透条例为己所用,还要掌握分寸,避免过度干扰原有经济模式。

法国监管方CNIL针对第三方 cookie(用于存储Web页面的用户信息)释法,经过几番起伏,涉及数字广告从业者、谷歌、公民社会和政府多方,也成为互联网两种速度——更经济,还是更安全——的注脚。

首轮回合发生在两个老相识之间。2019年7月,法国监管方 CNIL 发布文档,重申网站上的cookie和其它用户数据采集系统运行时,需要获取用户的明确同意,但计划自2020年5月起,才对违者进行惩罚。LQDN 协会不认可这一延后惩罚的决定,以监管机构违反 GDPR 为由,向最高行政法院提起上诉,但以失败告终。最高行政法院认为,监管机构推迟一年运行新条例的某条特定条款,合情合理。

法国监管方 CNIL 被两面插刀,一边是公民社会的穷追猛打,另一边的媒体和数字广告从业者,作为被监管方,却似乎对他们的「仁慈大度」并不领情。

2020年中旬,法国媒体网站工会 Geste 质疑 CNIL 对 cookie 使用的解读,将其告上最高行政法庭并获胜。最高行政法庭认为,如果网民拒绝cookie设置,那网站便有权禁止他浏览网页。并解释称:「GDPR规定,信息采集和追踪设置需要获得用户明确同意。但是,CNIL根据这一点便要禁止cookie墙,属于司法越权。」

尽管有这样的法庭先例在,媒体和数字广告从业者对未来的忧虑,丝毫没有减弱。2020年1月14日,谷歌宣布,将在未来两年内逐步取消第三方广告公司利用cookie文档采集用户隐私。谷歌旗下 Chrome 浏览器的全球市场份额约为64%,此举对数字广告市场影响力巨大。

谷歌被列入欧洲头号监管名单,一举一动都被多双眼睛盯着,如此自断小部分利益,与其说是满足用户日益增长的个人隐私保护需求,不如说是某种形式的「弃车保帅」。

如果用一句话解释GDPR,那便是:保证个体自主掌控个人隐私和数据。获得用户明确同意,成为数据使用的出发点。数字广告方大战法国监管案中,为前者辩护的法国数据保护律师德鲁阿尔(Etienne Drouard)认为,条例愿景很美好,但这不会改变商业丛林弱肉强食的法则,「在经济活动中,不少企业为了自保,不惜一切代价转嫁数据保护责任」。正如他的客户面临的困境 :在本土赢得行政官司,但依旧无法避免强势合作方的「倒戈」。

最坏的和最低限度的

在欧洲,德国有着最悠久数据保护法传统的国家——1970年,世界首个数据保护法就出现在德国。德国黑森州邦(Hessen)是第一个立法机关实行数据保护法,之后,英国等亦推出数据保护法。

在接受端传媒采访时,已于2016年卸任的的前柏林数据保护官员迪克斯(Alexander Dix)强调说:「数据保护是一个容易误导的概念。人们或者会觉得,保护数据本身就是目的,但这是错的。」他不只是柏林的数据保护官员,更是第二十九条数据保护工作小组(Article 29 Working Party)的成员,后者是「欧盟数据保护委员会」( European Data Protection Board, EDPB)的前身,专门负责 GDPR 运行前的准备工作,及提供 GDPR 的运行指引。基本上,第二十九条数据保护工作小组介定了 GDPR 及 EDPB 的职能。

「数据保护是人权,我们要保护的是数据所指向的个体。」

迪克斯提起了Samuel Warren和Louis Brandeis。120年前,这两位美国律师在《哈佛法律评论》中发表文章《The Right to Privacy》,他们列出不同的私隐权,其中一项就是「不受干扰的权利」(the right to be let alone)。

「这是任何人最基本的权利,」迪克斯如是说。数据保护是人权,可是,对迪克斯而言,最大的挑战永远是改变大众对数据保护专员的印象。他曾在处理图书馆数据问题时备受抨击。当时柏林部分图书馆因为经费不足,需要依靠志工营运。而迪克斯则认为,志工没有权限接触部分个人数据,严格运行数据保护法规。这在当时影响图书馆的日常运作,被视为扰民之举。

在他的经验中,大众视数据保护专员常常被视为为「自寻烦恼,就像是德语里『Bedenkenträger』这个字。」「Bedenken」在德语意为「问题」、「质疑」,「Bedenkenträger」即是指提出问题者。当维护人权者被视为制造麻烦,「大众」又是站在什么立场呢?

所谓数据,在历史很长的一段时间,对个体并不构成极大的威胁。科技的客观条件,还未足够企业或政府进行无孔不入的行为纪录,直到近年,情况才急转直下。GDPR的重要性也不仅仅是因为巨额罚则。大数据、机械学习、人脸辨识……科技发展让数据成为珍贵资产,甚至可被交易。GDPR 可能令欧盟公司在未来失去部分竞争力。德国作为工业和科技大国,因多少错失了新时代的科技转型,产生了焦躁感,也让许多人对数据保护存有戒心。

近年来,德国深陷于失去科技竞争力的恐惧中。以苹果电脑为例,当 Steve Jobs 于1997年回归苹果时,其市值不及西门子的十分一,到了2020年末,苹果的市值不单是西门子的二十倍,甚至比德国 DAX 指数中德国三十家重要企业加起来,还多出了一万亿美元。

美国科技业以软件、数据等边际报酬较高的项目,在全球攻城掠地。在这危机感下,德国政府希望发展本土的新创企业,希望把柏林发展成欧洲创业者的基地。这个背景,某程度上解释了「数据保护官员」为什么会在德国被视为自寻烦恼,甚至多管闲事——数据,恰是新创企业的命脉。

不过,从德国针对COVID-19疫情所使用的智能手机APP的案例可以看到,公众对个人私隐的关注有所提升。德国政府曾经希望在该APP中使用衞星定位系统及中央数据库,达到更有效的防疫,最后政府在舆论压力下,改用了蓝牙及用户自愿上传数据机制,为了数据保护而折损抗疫效率。

长远来说,就数据保护制定一个最低限度的国际标准将极为重要。迪克斯说:「有些人认为GDPR是国际数据保护的黄金标准。」然而,各国政府会认可欧盟的标准吗?这是否太过理想化?

在迪克斯看来,「最好的剧本是新拜登政府会支持美国联邦私隐法规的立法,同时又会改革国家的监控法例,因为这是数据传输最大的阻碍。」但最差的可能性又是怎样呢?——那就是欧盟以外国家的让步没出现。他说,「取而代之的,会是像中国的社会信用制度被其他国家应用。」