編按:作為虛擬世界裏的「大宗商品」之一,來源於你我身上的個人數據,在集結、倒賣、演變之後,已然變成一股持續的力量,重塑現實世界。2018年5月,被認為「史上最嚴」的歐盟《一般資料保護規範》(GDPR)正式實施,誓要保證個體自主掌控個人隱私和數據——你也許還記得那時郵箱裏忽然出現了一眾群發郵件,那是商戶企業們紛紛更新隱私政策;你也許還記得,不久後,谷歌就被罰5000萬歐元。實施至今,已近3年,GDPR到底做得如何?大棒子打向了哪裏,起到了什麼樣的作用?又有哪些尷尬的缺陷和不足?
這是端傳媒將持續推出的「我的隱私,你的生意」個人數據保護系列專題的第一篇。與隱私綑綁的個人數據,可以輕鬆跨越物理邊界或國界,許多固有的管治框架不再適用,而政府或大型跨國企業的決策或應對,卻將實際影響到每一個普通人。我們試圖看到,這一切是怎樣發生的。
鉅額罰單背後的「監管江湖」
提到職業生涯的高光時刻,法國互聯網維權機構 LQDN(La Quadrature du Net)的法務麥賽(Arthur Messaud)竟有些怨念。「偏偏那天,總統馬克龍給谷歌背書,簡直打臉監管部門。」在電話另一端,他幽幽地說道。
2019年1月21日——麥賽口中的「那天」,法國數據隱私監管機構 CNIL 對谷歌開出5000萬歐元罰單。早在歐盟《一般資料保護規範》(以下簡稱 GDPR)2018年5月25日生效當天,麥賽所在協會便聯合逾萬公民,對美國科技巨頭發起集體行政訴訟。美國巨頭首次被罰,引發不小轟動,公民運動初獲勝利,麥賽欣喜不已。可他沒想到,就在「那天」,正逢法國舉辦第二屆「選擇法國」投資峰會:總統府愛麗舍宮官方推特助興,大肆宣傳的正是谷歌在法的投資。
「像我們這樣發起集體訴訟,史無前例,」麥賽重提舊事,有些激動,「但政府卻一點兒都不在乎。」麥賽的驕傲有底氣在。法國監管方 CNIL 在麥賽所在 LQDN 協會推動下,開出首張罰單,極具象徵意義,並為後續案件提供借鑑和啟示。可這「驕傲」背後,少不了國家之間的比對和協作,亦或監管方同科技巨頭的明爭暗鬥,曾歷經幾番曲折和反轉,遠非表面看上去這般輕鬆。
歐盟 GDPR 罰款限額高,最高可達2000萬歐元或企業全球總營收的4%,被打上「史上最嚴」標籤。只是,在實際執行中,或落入人力不足,且效率低下的臼窠,不免給人留下「雷聲大雨點小」的印象。
面對人才濟濟、遊說經驗豐富的科技巨頭,各國監管機構有心樹立威嚴,但初次釋法,免不了小心翼翼,束手束腳。2019年12月,美國政治新聞網站 Politico 便曾指出,美國科技巨頭的歐洲總部多集中在愛爾蘭和盧森堡,但這兩國尚未開啟任何調查。
新法生效前6周,麥賽尤其忙,舉辦座談會,發布科普視頻,鼓動大家簽名,且接連接受媒體採訪,發聲表明立場。用麥賽頗具策略性的話術來講,「法國的電視廣播熱衷談論自由和人權,當然對新條例關注,我們還不得順勢抓住一切機會。」動用媒體資源,增加輿論曝光度,也是間接向法國數據隱私監管機構 CNIL 施壓。
CNIL 於1978年成立,致力保障隱私和個人信息,屬於國家獨立行政機構,雖不隸屬任何政府部門,但正常運營依賴國家財政撥款,具有半官方色彩。CNIL 每年接到的公民投訴不下五萬份,且自主選擇案例進行評判。別說贏了訴訟,LQDN 協會若按部就班發起訴訟,到底能否被立案,在當時看來,都還是未知數。
LQDN 協會的訴訟對象不止谷歌,還包括蘋果、臉書、亞馬遜和微軟,共計五大集團。但 GDPR明確規定,企業總部所在國的監管機構,才有權限發起調查。蘋果、臉書和微軟歐洲總部設在愛爾蘭首都都柏林,亞馬遜則將歐洲大本營安置在盧森堡。谷歌有些特殊,雖早指定愛爾蘭為歐洲公司總部,但在具體信息處理層面,曾存在諸多模糊之處,導致這個總部並不為歐洲監管機構認可。愛爾蘭數據隱私監管機構也早在2018年8月,明確表示自己並非谷歌監管方。這些都為後來的處罰,埋下伏筆。
法國監管方依據 GDPR 第35條款,對谷歌發起調查,並基於三個論據,駁斥了谷歌歐洲總部位於愛爾蘭之說。首先,谷歌隱私政策並未提及愛爾蘭分部對相關信息處理和目的進行負責。此外,谷歌並未指定數據保護官,整體負責歐盟境內使用者隱私管理。再者,谷歌自己也曾提到,歐盟居民部分數據處理責任於2019年年底,才轉入愛爾蘭公司名下。後來谷歌提起行政上訴,以失敗告終,這同法國監管方前期紮實的準備工作不可分割。
LQDN 協會集體起訴名單中,谷歌旗下的 Gmai l郵箱、視頻分享網站 Youtube 和搜索引擎三個產品均上榜。相較之下,5000萬歐元罰款的導火索顯得有些微不足道:法國監管方實證發現,在安卓手機系統內,設立谷歌賬戶,用戶可獲得的知情信息不清楚,此外私人訂製廣告選項默認為用戶同意,這兩點均違反GDPR。
麥賽責怪罰單還是太保守,感慨「區區5000萬歐元不過是谷歌幾個小時的營業額而已」,很難產生震懾效果。這張鉅額罰單與其說是法國例外之舉,不如稱之為歐洲協作產物。法國監管方 CNIL「雷厲風行」,算是歐洲同行裏的佼佼者,業內聲譽頗佳,這次成功牽頭調查谷歌,離不開歐盟成員國其它監管方的共識和支持。
聲譽平平的愛爾蘭和盧森堡監管機構則至今尚無下文,一想到這,麥賽就有點哭笑不得:「我們的投訴不知道躺在哪個郵箱,至今都沒人打開過吧」。
從罰單到跨國數據傳輸
GDPR主要打擊對象是跨國企業,但條例的影響力不限於此。因為牽涉的是對數據保護的原則性理解,當對條例的理解有異,就會產生數據管轄權的爭論。換言之,境內合規問題可以升級到跨國數據傳輸能否繼續的問題。
施雷姆斯(Maximilian Schrems)是奧地利的人權律師,他成立的非政府組織「None of Your Business」(NOYB),是德語區最重要的數據保護團體之一;以他命名的 Schrems I 及 Schrems II 案,更令歐盟與美國的數據交換框架驟然停止。
Schrems I 案之始,是施雷姆斯在2013年向愛爾蘭數據保護專員發起對臉書愛爾蘭子公司的投訴。 施雷姆斯認為根據歐盟數據保護法,歐洲總部位於愛爾蘭的臉書,不應在美國未達到「足夠保護程度」時,把用戶資料傳輸到美國。愛爾蘭數據保護專員拒絕就這投訴作出行動,施雷姆斯就在愛爾蘭高等法院提出司法覆核。
當時,歐美的數據交換依據「Safe Harbour」框架進行:該框架是一個自我驗證的機制,讓美國公司可以證明自己遵守一系列的數據保護原則。結果因為事件涉及歐盟層面,案件暫緩並向歐洲法院(Court of Justice of the European Union)尋求指引。2015年10月,歐洲法院認同施雷姆斯的意見,Safe Harbour 不再是歐美數據傳輸的有效框架。
案後,歐美雙方為了讓商業機構可以繼續交換數據,在2016年2月訂立了「Privacy Shield」這一全新框架,在滿足框架內的保障及技術要求後,臉書及谷歌這些科技巨頭就可以繼續輸送數據到美國。同時,臉書等企業在合約中加入「標準合約條款」(Standard Contractual Clauses, SSC),企圖藉此符合法規要求,繼續進行數據傳輸。而事實上,當時,歐洲GDPR已經開始正式執行,「Privacy Shield」與 SCC 兩者都未能完全符合GDPR的要求,企業與政府都只是用這些措施,讓數據往來可以繼續,同時賺取時間商討共識。由於GDPR的推行,法理基礎有變,施雷姆斯在2020年再次入稟法院,是為 Schrems II 案。
Schrems II 案中,施雷姆斯對臉書及「Privacy Shield」框架作出質疑,認為該框架未解決根本問題,美國政府仍有權可以取得歐盟居民的數據,他的人權依然被侵犯。最後,施雷姆斯再次勝訴,「Privacy Shield」被裁定為不通用(invalid),但法院認為, SCC 或提供了一個表面有效的合約機制,去符合歐盟標準的合規程序。法院也強調,SCC 中存在退出機制,該機制允許數據接收者,將不合規情況告知數據出口者,這將有效地暫停數據傳輸,或讓數據出口者能夠終止合同。
重要的是,歐洲法院認為歐盟有權監管所有在歐盟境內收集的數據,而且有權監管海外所有涉及歐盟居民的數據——而更復雜的是,歐盟各級司法機關,可以就歐洲法院的判決自行解讀及執行。
以德國為例,Schrems II案作出判決後,柏林、漢堡及萊茵蘭-伐爾茲邦(Rhineland-Palatinate)的數據保護機構各自發表聲明,不約而同地指該案例不只應用於歐盟與美國之間,更適用於中國、俄羅斯、印度等國家。漢堡的數據保護機構更直指中國的「數據保護預防措施,離足夠保護還很遠」。
「足夠保護程度」是歐盟評估他國數據保護是否達到歐盟標準的準則。達標的地區,可以與歐盟進行自由的數據傳輸。實際操作上,例如美國現在未達足夠保護程度,理論上歐盟境內公司不能傳送資料到美國,但許多公司仍通過SCC機制,繼續傳輸數據到美國。
在現代社會,要停止跨國數據傳輸幾乎是不可能的。數據在很長的一段時間,被企業視作類近天然資源的存在,拚命開採,從中謀利。而提供數據的用戶,根本不理解自己有權要求公司保護其數據。早在 Schrems I 前,斯諾登案已讓歐洲廣泛討論跨國數據傳輸的危險性,當默克爾的個人手機也被美國國家安全局監聽,歐盟又能怎樣平衡經濟及政治上的考慮?
現在,歐盟設立了新標準,表面上其他國家不用遵守,但 Schrems 案告知其他國家:如果不遵守歐盟的數據保護標準,那就會直接影響到在歐盟國家收集數據甚至經營生意。數據保護法從人權出發,但它的影響不只伸及經濟,還在政治層面上起作用。美國執法機關需要取得數據的權力,便是從美國國家安全的角度出發的需求,而歐盟則用公民人權的角度,迫使美國作出妥協。
歐洲模式?
歐盟GDPR從誕生之初,便和美國有着千絲萬縷的關聯。美國曾「未雨綢繆」,絞盡腦汁干預歐盟立法,但抵不過時移勢易,最終事與願違,反扮演起加速器的角色,繼而成了追隨者。
新法起始點,可追溯到2011年11月17日。這天,德國數據保護和數據安全第35次會議正式開始,歐委會公民權益委員會主任耐密茨(Paul Nemitz)正式宣布,歐盟將制訂適用於全體歐盟成員國的數據保護條例,用以進一步完善1995年設定的《歐洲數據保護指令》。
沒想到,剛過兩個月,歐洲新聞網站 EurActiv 爆料稱,美國為維護自身利益,通過外交商貿談判和各類遊說,積極介入歐盟修法。迫於壓力,工作人員修改了初版方案,才提交給歐洲議會。一名歐盟外交官曾如此評價:「改革方案還處於初期階段,第三國對此便尤為關注,太不尋常」。
進入議會程序後,有議員擔心 GDPR 會導致經商環境不確定,也怨言頗多。時任歐委會司法專員勒廷(Viviane Reding)還記得,2013年夏天,為了獲得多數票,忙得焦頭爛額,日夜擔心條例無法順利通過。
不過,「斯諾登事件」爆發,徹底改變了立法格局:美國科技巨頭深陷「竊聽醜聞」,議員們開始重新審視這個本不受待見的條例。在輿論裹挾下,個人信息保護成為公眾關注焦點,順而激發歐盟官員的政治能動性。2014年3月12日,不出意料,歐洲議會高票(621票支持、10票反對和22票棄權)通過這一條例。
一段時間沉寂後,2018年春——就在GDPR生效前幾個月,臉書數據泄漏,牽扯出「劍橋分析公司醜聞」,更將數據隱私的討論,從歐洲語境,擴展至全球範圍。美國境內掀起一場全民性的隱私保護變革;中國方面也將《個人信息保護法》逐漸提上日程。
2020年12月28日,《深圳經濟特區數據暫行條例(草案)》提請深圳市人大常委會會議審議,這是中國立法中首次提到「數據權益」保護,例如說涉及隱私的個人數據,需要得到擁有人書面或口頭同意授權,企業方能使用,自然人更享有類似「被遺忘權」等的權益。表面上,該條例呼應了歐盟以人權為本的數據保護法規,但同時該草案亦指出,「在為了國家安全、公共利益、企業正當利益等情形下,可以無需徵得個人同意收集處理自然人數據。」
其實,這與美國相關的法例面對一樣的困局。美國政府同樣有權在一定條件下收集數據,即使《愛國者法案》第215條已失效,根據《外國情報監視法案》第702條(Foreign Intelligence Surveillance Act, FISA 702),獨立法院可以授權政府發布命令,要求美國的公司披露位於美國境外的特定非美國人員的通信數據。這是歐盟認為美國的數據保護不足夠的原因之一。
美國聯邦政府沒有特定於數據保護的法規,制定的責任落在州政府上。《加利福尼亞州消費者隱私法》(California Consumer Privacy Act, CCPA)就是美國最受重視的相關法規。 CCPA 在2020年1月1日生效,理論上只監管在加州的公司,但由於谷歌、臉書、蘋果等巨頭總部也設在加州,為免違法,例如谷歌也會建議其用戶了解並遵守 CCPA 。依據 CCPA,企業每次違法行為罰款最高為2500美元,每次故意違法的罰款最高為7500美元,向每位消費者的賠償最高則為750美金。
至今,能符合歐盟「足夠保護程度」要求的國家,有日本、新西蘭、瑞士、以色列等國。
實施兩年多,企業終於做好準備了嗎?
GDPR實際效果如何,同樣成為各方關注的焦點。各種案例已陸續出爐。2021年1月8日,德國下薩克森邦數據保護局對企業 Notebooksbilliger.de AG 處以1,040萬歐元的罰款。它被控對員工進行為期兩年沒有法律依據的視頻監控。下薩克森邦數據保護局指出,這些攝像機記錄了工作場所、銷售室、倉庫和公共區域等地,而企業則稱安裝攝像機的目的是防止和調查刑事犯罪,並追蹤倉庫貨物的流向。
首次出現在德國法律系統中的「數據保護官員」(Data Protection Officer),已經放進歐盟框架中。根據企業及政府的規模,它們需要聘用指定數量的數據保護官員。這群專業合規人士在最理想的情況下,會肩負與其他員工、公司及政府機構溝通的責任。
不過,如果僅從罰款力度來看,「史上最嚴」數據保護法,似乎名不符實。據金融網站 Finbold 數據顯示,2020年歐盟成員國開出299個罰單,共計1.7億歐元,意大利、英國和瑞典罰款金額最高。只是,被罰企業雖涉及通訊、零售和航空等各個領域,卻鮮有跨國科技巨頭。反觀美國,「劍橋分析公司醜聞」爆發後,臉書就在美國收到高達50億美元的罰單,隨後不得不迅速整改企業隱私政策。
2019年底,斯諾登在里斯本網絡峰會上,曾毫不客氣地指出:「只要互聯網巨頭未收到罰單,行徑繼續違反 GDPR 及其承載的精神,那這個條例就好比是一個『紙老虎』」。歐委會也承認,GDPR 生效兩年來,在新科技層面,一些規定尚不明晰,反致使本土中小型科技企業深受其累。
不過,在巴黎第九大學教授歐洲法的唐布(Olivia Tambou)對歐洲模式深信不疑。在她看來,美國模式建立在商業競爭之上,鉅額罰款或短期內起到立竿見影的效果,但歐洲模式側重調控,跟企業更處於指導和引領的關係,便於多方面多層次解決問題。「懲罰是手段,不是結果。對監管機構而言,企業能否不斷改進才至關重要」,不過唐布也承認,監管機構時常缺預算,少人手,實際操作中,確實沒法有序開展監管。以法國監管方 CNIL 為例,2018年新法生效,訴訟數量同比增長32.5%, 但僱員總數僅從200人增長至215人。
至於歐盟面對科技巨頭是否太過弱勢?唐布也有不同看法,她向端傳媒列舉稱,只有在歐盟境內,谷歌才被迫執行「被遺忘權」,且歐盟公民具備獲取個人數據副本權。在這位樂觀派眼中,歐盟模式尚在探索中,讓科技巨擎低頭,只是時間問題。
2018年,GDPR 生效前夕,調查顯示,85%的歐洲企業表示尚未做好準備。有的仍在修訂數據業務清單,有的急匆匆選擇法律條款,為自己的數據使用正名。企業無所適從,背後原因很多,除了條例本身存在爭議和語焉不詳,監管方也未能及時進行二次闡釋。
其實,各國監管部門同涉事企業一樣,也在摸索試探,不僅要吃透條例為己所用,還要掌握分寸,避免過度干擾原有經濟模式。
法國監管方CNIL針對第三方 cookie(用於存儲Web頁面的用戶信息)釋法,經過幾番起伏,涉及數字廣告從業者、谷歌、公民社會和政府多方,也成為互聯網兩種速度——更經濟,還是更安全——的註腳。
首輪回合發生在兩個老相識之間。2019年7月,法國監管方 CNIL 發布文件,重申網站上的cookie和其它用戶數據採集系統運行時,需要獲取用戶的明確同意,但計劃自2020年5月起,才對違者進行懲罰。LQDN 協會不認可這一延後懲罰的決定,以監管機構違反 GDPR 為由,向最高行政法院提起上訴,但以失敗告終。最高行政法院認為,監管機構推遲一年執行新條例的某條特定條款,合情合理。
法國監管方 CNIL 被兩面插刀,一邊是公民社會的窮追猛打,另一邊的媒體和數字廣告從業者,作為被監管方,卻似乎對他們的「仁慈大度」並不領情。
2020年中旬,法國媒體網站工會 Geste 質疑 CNIL 對 cookie 使用的解讀,將其告上最高行政法庭並獲勝。最高行政法庭認為,如果網民拒絕cookie設置,那網站便有權禁止他瀏覽網頁。並解釋稱:「GDPR規定,信息採集和追蹤設置需要獲得用戶明確同意。但是,CNIL根據這一點便要禁止cookie牆,屬於司法越權。」
儘管有這樣的法庭先例在,媒體和數字廣告從業者對未來的憂慮,絲毫沒有減弱。2020年1月14日,谷歌宣布,將在未來兩年內逐步取消第三方廣告公司利用cookie文件採集用戶隱私。谷歌旗下 Chrome 瀏覽器的全球市場份額約為64%,此舉對數字廣告市場影響力巨大。
谷歌被列入歐洲頭號監管名單,一舉一動都被多雙眼睛盯着,如此自斷小部分利益,與其說是滿足用戶日益增長的個人隱私保護需求,不如說是某種形式的「棄車保帥」。
如果用一句話解釋GDPR,那便是:保證個體自主掌控個人隱私和數據。獲得用戶明確同意,成為數據使用的出發點。數字廣告方大戰法國監管案中,為前者辯護的法國數據保護律師德魯阿爾(Etienne Drouard)認為,條例願景很美好,但這不會改變商業叢林弱肉強食的法則,「在經濟活動中,不少企業為了自保,不惜一切代價轉嫁數據保護責任」。正如他的客戶面臨的困境 :在本土贏得行政官司,但依舊無法避免強勢合作方的「倒戈」。
最壞的和最低限度的
在歐洲,德國有着最悠久數據保護法傳統的國家——1970年,世界首個數據保護法就出現在德國。德國黑森州邦(Hessen)是第一個立法機關實行數據保護法,之後,英國等亦推出數據保護法。
在接受端傳媒採訪時,已於2016年卸任的的前柏林數據保護官員迪克斯(Alexander Dix)強調說:「數據保護是一個容易誤導的概念。人們或者會覺得,保護數據本身就是目的,但這是錯的。」他不只是柏林的數據保護官員,更是第二十九條資料保護工作小組(Article 29 Working Party)的成員,後者是「歐盟資料保護委員會」( European Data Protection Board, EDPB)的前身,專門負責 GDPR 執行前的準備工作,及提供 GDPR 的執行指引。基本上,第二十九條資料保護工作小組介定了 GDPR 及 EDPB 的職能。
「數據保護是人權,我們要保護的是數據所指向的個體。」
迪克斯提起了Samuel Warren和Louis Brandeis。120年前,這兩位美國律師在《哈佛法律評論》中發表文章《The Right to Privacy》,他們列出不同的私隱權,其中一項就是「不受干擾的權利」(the right to be let alone)。
「這是任何人最基本的權利,」迪克斯如是說。數據保護是人權,可是,對迪克斯而言,最大的挑戰永遠是改變大眾對數據保護專員的印象。他曾在處理圖書館數據問題時備受抨擊。當時柏林部分圖書館因為經費不足,需要依靠志工營運。而迪克斯則認為,志工沒有權限接觸部分個人資料,嚴格執行數據保護法規。這在當時影響圖書館的日常運作,被視為擾民之舉。
在他的經驗中,大眾視數據保護專員常常被視為為「自尋煩惱,就像是德語裏『Bedenkenträger』這個字。」「Bedenken」在德語意為「問題」、「質疑」,「Bedenkenträger」即是指提出問題者。當維護人權者被視為製造麻煩,「大眾」又是站在什麼立場呢?
所謂數據,在歷史很長的一段時間,對個體並不構成極大的威脅。科技的客觀條件,還未足夠企業或政府進行無孔不入的行為紀錄,直到近年,情況才急轉直下。GDPR的重要性也不僅僅是因為鉅額罰則。大數據、機械學習、人臉辨識……科技發展讓數據成為珍貴資產,甚至可被交易。GDPR 可能令歐盟公司在未來失去部分競爭力。德國作為工業和科技大國,因多少錯失了新時代的科技轉型,產生了焦躁感,也讓許多人對數據保護存有戒心。
近年來,德國深陷於失去科技競爭力的恐懼中。以蘋果電腦為例,當 Steve Jobs 於1997年回歸蘋果時,其市值不及西門子的十分一,到了2020年末,蘋果的市值不單是西門子的二十倍,甚至比德國 DAX 指數中德國三十家重要企業加起來,還多出了一萬億美元。
美國科技業以軟件、數據等邊際報酬較高的項目,在全球攻城掠地。在這危機感下,德國政府希望發展本土的新創企業,希望把柏林發展成歐洲創業者的基地。這個背景,某程度上解釋了「數據保護官員」為什麼會在德國被視為自尋煩惱,甚至多管閒事——數據,恰是新創企業的命脈。
不過,從德國針對COVID-19疫情所使用的智能手機APP的案例可以看到,公眾對個人私隱的關注有所提升。德國政府曾經希望在該APP中使用衞星定位系統及中央數據庫,達到更有效的防疫,最後政府在輿論壓力下,改用了藍芽及用戶自願上傳資料機制,為了數據保護而折損抗疫效率。
長遠來說,就數據保護制定一個最低限度的國際標準將極為重要。迪克斯說:「有些人認為GDPR是國際數據保護的黃金標準。」然而,各國政府會認可歐盟的標準嗎?這是否太過理想化?
在迪克斯看來,「最好的劇本是新拜登政府會支持美國聯邦私隱法規的立法,同時又會改革國家的監控法例,因為這是數據傳輸最大的阻礙。」但最差的可能性又是怎樣呢?——那就是歐盟以外國家的讓步沒出現。他說,「取而代之的,會是像中國的社會信用制度被其他國家應用。」
回楼下,蓝芽不算错字,是港台通用称法
错字 蓝芽 巨擎
好文章,謝謝端。