本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:张颖,原文标题:《互联网分裂里程碑:Meta被欧盟罚款13亿美元,欧美数据传输中断》,头图来自:视觉中国


2023年5月22日,社交网络巨头Meta因其长达10年参与美国大规模监控,而被欧盟处以创纪录的13 亿美元(12亿欧元)罚款,并被勒令停止将其数据传输到美国服务器。


欧盟这一处罚决定在多个层面都意义重大且影响深远:


  • 几乎所有与欧洲客户开展跨大西洋业务的美国公司都将受到这一决定的重大影响;


  • 美国拜登政府面临更加紧迫的压力——解决美国和欧盟数据法规之间的重大脱节、加快数据隐私框架 (DPF) 的政治协议的达成;


  • 欧盟这一举措也标志着全球数据治理结构性的转变,“互联网碎片化”不再仅仅存在于警告或是趋势性的研究中。


本文将从美国跨国公司未来运营、美欧数据隐私框架政治谈判以及全球数字治理权争夺三个层面分析Meta遭13亿美元罚单所带来的深远影响。


一、公司维度:罚款、停止传输及删除欧洲数据?


1. Meta罚款创纪录,但并没有那么重要


Meta被处以前所未有的13亿美元罚款,这个数字虽然超过了2021年亚马逊因违反涉及定向广告的隐私标准而被处以的8.87亿美元罚款,创造了新的纪录并成为头条新闻,但这笔罚款相较于其他数额巨大的罚单来说,甚至对Meta本身而言,并没那么重要。


首先,13亿美元并非顶格处罚。根据欧盟的《通用数据保护条例》(GDPR),Meta可以受到的适用法律最高处罚是其全球年营业额的4%。由于其去年的全年营业额为1166.1亿美元,因此在这里可能被罚款的最高金额将超过40亿美元。因此,欧盟对 Meta 的罚款远低于其应有的水平。


其次,罚款对于Meta这10年的利润来说九牛一毛。这笔欧盟的罚单,是源于近十年前奥地利隐私活动家Max Schrems对Facebook爱尔兰子公司的投诉。有人计算过,这10年期间,Meta赚取了5535亿美元的收入,这笔罚款仅占收入的0.2%。甚至有人据此推测,Meta的违法是有意为之,如果可以,它甚至愿意以罚款来换取其在欧盟继续这一利润丰厚的生意。


2. 停止在欧盟和美国之间传输数据的命令对美国公司有巨大影响


Meta过去曾警告说,如果它不能在欧盟和美国之间传输数据,它可能会在欧洲放弃Facebook和Instagram等服务。早在4月份,这家广告技术巨头就告知投资者,如果欧盟数据流暂停实际实施,其全球广告收入的10%左右将面临风险。考虑到欧洲是其在美国以外最大的收入来源以及他们已经开始在欧盟开发数据中心这一事实,Meta退出欧盟市场的可能性极小。


不过更具体地说,欧盟数据保护委员会(EDPB)决定将给予Meta六个月的时间来遵守停止将Facebook的欧盟个人数据传输到美国的命令。由Meta全球事务总裁Nick Clegg和首席法律官Jennifer Newstead发表的一份声明中,确认Meta将提出上诉,并表示将积极寻求暂停执行期限的法院判决。


虽然罚款和暂停令仅限于Facebook,但Meta远非唯一一家受到欧盟-美国数据传输的法律不确定性影响的公司。超过80家公司在公开投资者文件中指出,他们担心在没有适当法律框架的情况下进行国际数据传输,包括微软、谷歌、Salesforce和Zoom在内,这些公司都指出,切断国际数据传输对他们来说是一个重大问题。


暂停这两个地区之间的数据传输,可能意味着无法在欧盟运营或面临使用位于欧盟的服务器的昂贵成本。虽然一些大公司将能够负担得起位于欧盟的数据中心以避免转移到美国,但其他较小的公司不会这么做,他们可能会冒着违反GDPR的风险继续经营,又或者不得不切断欧盟用户数据而放弃某些业务。


3. 是否删除欧盟公民数据才是真正的麻烦


然而在停止令真正执行之前,由于从欧盟到美国的数据传输没有任何法律依据,Meta是否需要删除历史传输的数据,才是一个棘手的问题。


从逻辑上来说,即便欧盟-美国数据隐私框架能够通过,它也只适用于未来的数据流,而不能解决过去数据流的合法性问题。根据Meta内部文件表明,它缺乏对其内部广告数据流的适当控制,因此如果要求其从确定的时间点批量返回或选择性删除欧盟的数据,对Meta来说绝对是“持续且昂贵”的麻烦。


在这一问题上,这一处罚决定却非常模糊。Meta认为,它并不需要删除现有数据;监管者也无法给出明确的回答。


当被问及数据删除问题时,欧盟数据保护委员会(EDPB)的一位女发言人回答:“EDPB有约束力的决定没有具体说明这是否必须通过删除来实现。”成员国爱尔兰数据保护委员会(DPC)专员对此也语焉不详。


当被问及这个未来的美国充分性认定是否能够追溯应用,使非法传输的用户数据合法化时,欧盟数据保护委员会发言人拒绝回答,称这是一个“法律上复杂的问题”,并补充说“我们必须拭目以待”。


二、国家维度:欧盟-美国数据隐私框架作为Meta逃生出口


欧盟数据保护委员会(EDPB)要求Meta停止向美国传输所有欧洲个人数据,是源于这样一个事实——受美国监视法(如 FISA 702)约束的Meta被视为侵犯了欧盟隐私权。


在过去几年中,欧盟和美国立法者一直在举行会谈,旨在通过解决欧盟法官提出的担忧,找到一种方法来恢复美国的充分性认定。


2022年3月欧美双方宣布了关于上述欧盟-美国数据隐私框架(DPF)的政治协议;随后,美国总统拜登在2022年10月签署了一项行政命令;12月,欧盟委员会宣布了关于该框架的协议草案。但是,欧盟对美国的充分性认证尚未完成,此前有报道称,欧盟委员会可能会在7月通过新的欧盟-美国数据协议,但它拒绝提供具体日期。


这样的时间表将意味着Meta获得了一个新的逃生出口,Meta在最近的声明中特别指出正在进行的欧盟-美国数据隐私框架(DPF),并指望这一“潜在的法律冲突得到解决”。


欧盟和美国两个谈判团队都在关注Meta案例的重要性及其意义。然而DPF是否能够通过欧盟审查及其合法性,目前还是问题。


1. 美国数据保护审查法院(DPRC)还未正式成立


美国数据保护审查法院(DPRC)的成立,在欧盟对美国的充分性认证中是一个关键因素。根据概述其结构的法规,该法院将由美国司法部长从政府外部任命的至少六名法官组成。新机构取代了隐私盾的美国监察员角色,负责处理间谍类的投诉,该角色由美国国务院副部长级别的官员负责。新法院旨在不受干扰,做出具有法律约束力的决定。


但目前,虽然美国数据保护审查法院(DPRC)的关键组成部分已经到位,例如预算和建筑物的物理位置,但最重要的方面,即欧盟公民的法官和特别倡导者仍在等待安全许可。


2. 欧盟对DPF的质疑


欧盟议会的建议指出,美国情报机构被禁止收集美国公民的大量数据,但并未将同样的保护扩展到欧盟公民。他们担心数据保护审查法院可能会在没有正当理由或任何上诉方法的情况下,拒绝大量欧洲公民的案件。由于数据保护审查法院(DPRC)程序缺乏透明度,可能无法全面评估这些原则在美国法律秩序中的实施情况。


此外,欧盟议会还担心,美国国会去年未能通过隐私法规,因此缺乏对数据隐私足够的法律上的保障。


3. DPF的合法性挑战:Schrems及欧盟法院


DPF的合法性几乎肯定会受到挑战——即便不是隐私活动家Schrems本人,也可能会有很多数字权利组织想要介入。


Schrems先生表示,当前的框架不会奏效,新协议也可能会被欧盟法院(CJEU)否决,因为隐私盾(Privacy Shield)和安全港协议(Sage Harbor)已经是前车之鉴。他说,除非美国的监视法得到修复,否则Meta可能不得不把欧盟数据保留在欧盟。


三、权力维度:互联网的分裂将导致创新机会减少


Meta的GDPR巨额罚款表明全球对数据治理和隐私法的冲突日益加剧。根据这些决定的结果和Facebook的回应,此案可能预示着互联网碎片化的开始,因为世界上最大的科技公司正在努力遵守日益复杂和矛盾的“区域数据法规矩阵”,其技术回应肯定会为如何在未来构建解决方案设定优先顺序的范本。


下图就展示了世界各国在数据立法方面不同的选择模式:从左至右,对于数据跨境流动的监管由严格到宽松;大致可分为3个阵营,分别是中国所代表的严格谨慎的监管模式,欧盟所代表的规定性方法模式、美国所代表的低干涉模式:


图片来源:联合国贸易和发展会议(UNCTAD)《2021年数字经济报告:跨境数据流动与发展》


然而,国家领导者谈论这些关系时,很少将其作为技术或法律问题,而是更多地从权力的角度进行讨论。由于世界各地的立法机构、法院和执法部门都做出了类似的决定,并且解决方案被设计或重新设计以满足新的限制,互联网管辖区的形成似乎是合乎逻辑的未来,也可以说我们在过去十年中已经处于这个过程中。


互联网碎片化和数字经济碎片化将成为共同生成的过程。数据治理方法的分歧最终可能导致一个“分歧性数据民族主义”的世界,各国在没有国际共识的情况下采取内向的数据政策,导致世界各地数字创新和发展的机会减少。这种碎片化很可能导致一种不理想的结果,即主要基于数据流动的数据驱动型经济的潜在利益不可能实现。


最终,在一个数据民族主义分化的世界里,只有少数赢家和许多输家——某些成熟的数字经济体可能会因其优势的市场规模和技术实力而成为赢家,但大多数小型发展中经济体将失去提高数字竞争力的机会。


本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:张颖