在全球化和網際網路飛速發展的今天,沒有任何一個國家或地區是一座孤島。
今年7月,歐洲法院判決歐盟與美國之間的個人數據傳輸框架(隱私盾)無效。愛爾蘭數據保護委員會(DPC)據此判決,開始調查美國網際網路巨頭Facebook向美國傳輸歐盟民眾數據是否合法。Facebook隨即發起訴訟,質疑DPC調查不符合程序。目前,愛爾蘭法院要求DPC在最終判決前,暫時中止對Facebook數據傳輸合法性的調查。
一周後的12月15日,愛爾蘭法院將就Facebook訴DPC一案舉行聽證。一個月後的1月13日,同一名法官還將審理奧地利公民Max Schrems訴Facebook非法傳輸個人數據案。
Facebook早前威脅,一旦數據傳輸受到限制,將被迫放棄歐洲市場。網際網路數據全球一體化的夢想還未實現,美歐間的裂痕就已擴大到了無可掩飾的地步。
斯諾登的遺產
其實,歐盟在2000年到2013年之間,也曾對美國網際網路巨頭及美歐間數據傳輸表示過信任。在當時,儘管聯邦制的美國沒有全國層面的統一隱私和數據保護法,歐盟還是做出過針對美國的充分性決定,受聯邦貿易委員會和美國交通部管轄的美國企業可以通過做出相應承諾加入「安全港」,進行與歐盟間的數據傳輸。
斯諾登事件的媒體報道 / 網絡
但2013年,隨著斯諾登逃出美國,歐美數據轉移迎來重大轉折點。
前美國中情局技術分析員斯諾登在2013年6月,通過多家媒體公開了美國政府在全球開展的大規模監聽項目,包括在用戶不知情的情況下,大規模收集個人日常郵件、通話、社交媒體通信內容、以及視頻、照片、個人文件、位置信息等數據,並創建大型資料庫供政府部門進行檢索和過濾。該監聽項目涉及金融,電力,教育,交通等多項關鍵行業, 牽涉微軟,谷歌,Facebook,蘋果等多家美國網際網路巨頭企業。
對於歐盟來說,斯諾登曝光的最驚悚內容不是美國非法收集本國和別國公民的數據隱私,而是這種政府收集他人隱私數據的行為竟然得到了美國多項法律的背書。
斯諾登爆料,中情局以FISA和秘密法院命令為法律基礎開展大規模監視活動。其中外國情報監視法案(FISA)第7.0.2節,允許對美國領土外的特定人員和非美國公民進行數據收集。美國的外國情報監視法院也以FISA為依據頒布了一項秘密法院命令,授予執法部門對民眾通信記錄的無限訪問權限。
「911事件」後通過的《愛國者法》第215條也被美國政府作為大量收集和保留公民通信數據的理由。實踐中,在數據篩查的初級階段,所有數據收集都是批量進行的,而不是針對恐怖分子嫌疑人定向收集。
耳聽八方/ by xxWeAreAnonymousxx
在這樣的法律基礎上,歐盟很難繼續認可美國的數據保護力度。所以斯諾登事件後,儘管表面上美國與其他國家的政治關係沒有大的變化,斯諾登本人也逐漸被媒體遺忘,但歐洲議會卻迅速叫停了所有歐盟至美國的數據傳輸,隨後開始了針對美國的大規模調查,歐美之間的數據傳輸問題遭遇了第一場嚴重危機。
美國遊行者於2013年10月在國會山遊行示威,要求國會調查國家安全局 / AP
在美國本土,美國民眾和非政府組織也發起了大規模支持斯諾登的活動。2014年3月24日,歐巴馬被迫叫停美國國安局大規模數據收集。美國第二巡迴法院於2015年5月7日判決斯諾登披露的美國政府大規模監視活動屬於非法,不符合愛國者法案的規定。2015年5月13日,眾議院通過投票終止國安局大規模情報收集項目。2015年6月2日,歐巴馬政府簽署了美國自由法案,修訂了FISA和愛國者法案中的數據保護缺陷,規定美國國安局只在確認某人或某個組織有恐怖活動嫌疑的時候才能向電信公司和網際網路公司索取相關數據。
可是,美國的一些新法中又出現了新的數據保護隱患。例如,美國於2016年通過的司法救濟法案僅僅賦予了「歐盟公民」更多的數據保護。這一範圍意味著,居住在歐盟的,受《通用數據保護條例》同等保護的他國公民無法得到與歐盟公民同等的保護。後者無法在數據權受侵犯時,依據美國司法救濟法案進行救濟。在這種情況下,「美國提供了充分數據保護」仍然是一個很難被肯定的命題。
挑戰巨頭的普通人
斯諾登事件後,除了歐盟在國家層面調查美歐間數據傳輸安全,歐洲的個人也開始向跨國網際網路巨頭髮起個人數據安全保衛戰。一名奧地利籍法學生Max Schrems,在研讀了Facebook的用戶協議後向愛爾蘭數據保護部門發起了投訴。
奧地利籍法學生Max Schrems(中)與律師在歐洲法院 / 網絡
Schrems認為,Facebook在用戶協議中寫明會將數據轉移至美國,而根據斯諾登爆料的美國政府大規模監聽活動,他不信任美國提供了充分數據保護。
2014年6月,愛爾蘭最高法院法官將案件提交歐洲法院審理。本案中爭議的一個焦點是如果美國法律賦予公權力機關普遍收集和處理大批量數據的權限,包括內容數據如個人通信內容等等,是否從本質上侵犯了基本隱私權利,是否可以認定美國無法提供充分個人數據保護,從而廢除安全港框架。
美國-歐盟安全港框架 / 美國商務部官網
2015年10月,歐洲法院判決廢除安全港框架,隨後Schrems再次向愛爾蘭數據保護機關申訴(Schrems II案件),認為在美國的法律下,Facebook通過替代機制轉移至美國的個人數據仍無法得到充分保護,要求暫停或禁止Facebook進行其個人數據的轉移行為。
2016年7月12日,作為安全港製度的替代升級版,美國-歐盟隱私盾框架被採用。與安全港相比,隱私盾為美國設置了更多的義務和更強的執行機制。美方必須給予個人數據更多的保障和更強的透明度,為歐盟公民提供更多數據權利和救濟路徑,並設置了隱私盾監察員制度。由於隱私盾框架是在Schrems II審理期間達成的,歐洲法院對隱私盾框架也進行了審查。
歐盟-美國隱私盾框架 / 隱私盾官網
2020年7月16日,歐洲法院以美國在數據保護方面缺乏對政府權限必要限制,不能滿足數據處理合比例性原則、歐盟數據主體缺乏有效的救濟途徑、以及隱私盾監察員制度存在缺陷為由,宣判隱私盾無效。
Schrems將自己視為歐盟數據主體的「事實代表」,要求愛爾蘭數據保護委員會將自己對Facebook非法傳輸數據的起訴作為執行歐洲法院判決的「唯一途徑」。
數據傳輸的未來
「隱私權」的概念,誕生於130年前一篇發布於哈佛法學評論的文章。在文章的開頭,作者寫道:個人和財產應當得到充分保護已經是一項為所有人所接受的古老原則,但隨著時代的發展,我們需要定義這種保護的新範圍。引起作者思考的社會背景是當時瞬間攝影和報紙業的發展,侵入了神聖的私人領域和家庭生活。文章預測,「機械設備會使得壁櫥里的竊竊私語被放到屋頂大聲宣揚」。
這一預言早已成真。
雖然第二代歐美數據傳輸框架已被廢止,但並不意味著歐美從此無法傳輸數據。美國企業仍可以通過標準合同條款,或者通過約束性公司規則(僅限於跨國企業)等形式,單獨獲得歐盟對企業數據保護力度的認可,從而進行歐盟至美國數據轉移。但與安全港或者隱私盾相比,這樣的方式需要企業付出多得多的時間、人力和金錢成本。
從斯諾登到Schrems,普通個人正在成為全球個人數據保衛戰的先行者。
1993年,紐約客刊登過著名的《在網際網路上,沒人知道你是一隻狗》漫畫。但僅僅27年後,紐約客所描繪的網際網路身份保密時代已經面目全非,如今不僅是人是狗的秘密早已不復存在,就連前一天晚上的臥室私語也眼看要保不住了。
在網際網路上,沒人知道你是一隻狗 / 彼得·斯坦納,《紐約客》,1993
在今天,物聯網,大數據和人工智慧技術的發展,不僅可以知道你是誰,還能分析出你喜歡的商品,愛聽的音樂,性格特徵,家庭關係,工作能力,健康狀況,乃至性取向等等。在個人數據和隱私本就因科技發展而異常脆弱的今天,我們作為個人,可能需要更多的意識到個人隱私權的存在,思考隱私權的邊界到底在哪裡。(責編 /權文武)