數據保衞戰：GDPR的三年之癢

編按：作為虛擬世界裏的「大宗商品」之一，來源於你我身上的個人數據，在集結、倒賣、演變之後，已然變成一股持續的力量，重塑現實世界。2018年5月，被認為「史上最嚴」的歐盟《一般資料保護規範》（GDPR）正式實施，誓要保證個體自主掌控個人隱私和數據——你也許還記得那時郵箱裏忽然出現了一眾群發郵件，那是商戶企業們紛紛更新隱私政策；你也許還記得，不久後，谷歌就被罰5000萬歐元。實施至今，已近3年，GDPR到底做得如何？大棒子打向了哪裏，起到了什麼樣的作用？又有哪些尷尬的缺陷和不足？

這是端傳媒將持續推出的「我的隱私，你的生意」個人數據保護系列專題的第一篇。與隱私綑綁的個人數據，可以輕鬆跨越物理邊界或國界，許多固有的管治框架不再適用，而政府或大型跨國企業的決策或應對，卻將實際影響到每一個普通人。我們試圖看到，這一切是怎樣發生的。

鉅額罰單背後的「監管江湖」

提到職業生涯的高光時刻，法國互聯網維權機構 LQDN（La Quadrature du Net）的法務麥賽（Arthur Messaud）竟有些怨念。「偏偏那天，總統馬克龍給谷歌背書，簡直打臉監管部門。」在電話另一端，他幽幽地說道。

2019年1月21日——麥賽口中的「那天」，法國數據隱私監管機構 CNIL 對谷歌開出5000萬歐元罰單。早在歐盟《一般資料保護規範》（以下簡稱 GDPR）2018年5月25日生效當天，麥賽所在協會便聯合逾萬公民，對美國科技巨頭發起集體行政訴訟。美國巨頭首次被罰，引發不小轟動，公民運動初獲勝利，麥賽欣喜不已。可他沒想到，就在「那天」，正逢法國舉辦第二屆「選擇法國」投資峰會：總統府愛麗舍宮官方推特助興，大肆宣傳的正是谷歌在法的投資。

「像我們這樣發起集體訴訟，史無前例，」麥賽重提舊事，有些激動，「但政府卻一點兒都不在乎。」麥賽的驕傲有底氣在。法國監管方 CNIL 在麥賽所在 LQDN 協會推動下，開出首張罰單，極具象徵意義，並為後續案件提供借鑑和啟示。可這「驕傲」背後，少不了國家之間的比對和協作，亦或監管方同科技巨頭的明爭暗鬥，曾歷經幾番曲折和反轉，遠非表面看上去這般輕鬆。

歐盟 GDPR 罰款限額高，最高可達2000萬歐元或企業全球總營收的4%，被打上「史上最嚴」標籤。只是，在實際執行中，或落入人力不足，且效率低下的臼窠，不免給人留下「雷聲大雨點小」的印象。

面對人才濟濟、遊說經驗豐富的科技巨頭，各國監管機構有心樹立威嚴，但初次釋法，免不了小心翼翼，束手束腳。2019年12月，美國政治新聞網站 Politico 便曾指出，美國科技巨頭的歐洲總部多集中在愛爾蘭和盧森堡，但這兩國尚未開啟任何調查。

新法生效前6周，麥賽尤其忙，舉辦座談會，發布科普視頻，鼓動大家簽名，且接連接受媒體採訪，發聲表明立場。用麥賽頗具策略性的話術來講，「法國的電視廣播熱衷談論自由和人權，當然對新條例關注，我們還不得順勢抓住一切機會。」動用媒體資源，增加輿論曝光度，也是間接向法國數據隱私監管機構 CNIL 施壓。

CNIL 於1978年成立，致力保障隱私和個人信息，屬於國家獨立行政機構，雖不隸屬任何政府部門，但正常運營依賴國家財政撥款，具有半官方色彩。CNIL 每年接到的公民投訴不下五萬份，且自主選擇案例進行評判。別說贏了訴訟，LQDN 協會若按部就班發起訴訟，到底能否被立案，在當時看來，都還是未知數。

LQDN 協會的訴訟對象不止谷歌，還包括蘋果、臉書、亞馬遜和微軟，共計五大集團。但 GDPR明確規定，企業總部所在國的監管機構，才有權限發起調查。蘋果、臉書和微軟歐洲總部設在愛爾蘭首都都柏林，亞馬遜則將歐洲大本營安置在盧森堡。谷歌有些特殊，雖早指定愛爾蘭為歐洲公司總部，但在具體信息處理層面，曾存在諸多模糊之處，導致這個總部並不為歐洲監管機構認可。愛爾蘭數據隱私監管機構也早在2018年8月，明確表示自己並非谷歌監管方。這些都為後來的處罰，埋下伏筆。

法國監管方依據 GDPR 第35條款，對谷歌發起調查，並基於三個論據，駁斥了谷歌歐洲總部位於愛爾蘭之說。首先，谷歌隱私政策並未提及愛爾蘭分部對相關信息處理和目的進行負責。此外，谷歌並未指定數據保護官，整體負責歐盟境內使用者隱私管理。再者，谷歌自己也曾提到，歐盟居民部分數據處理責任於2019年年底，才轉入愛爾蘭公司名下。後來谷歌提起行政上訴，以失敗告終，這同法國監管方前期紮實的準備工作不可分割。

LQDN 協會集體起訴名單中，谷歌旗下的 Gmai l郵箱、視頻分享網站 Youtube 和搜索引擎三個產品均上榜。相較之下，5000萬歐元罰款的導火索顯得有些微不足道：法國監管方實證發現，在安卓手機系統內，設立谷歌賬戶，用戶可獲得的知情信息不清楚，此外私人訂製廣告選項默認為用戶同意，這兩點均違反GDPR。

麥賽責怪罰單還是太保守，感慨「區區5000萬歐元不過是谷歌幾個小時的營業額而已」，很難產生震懾效果。這張鉅額罰單與其說是法國例外之舉，不如稱之為歐洲協作產物。法國監管方 CNIL「雷厲風行」，算是歐洲同行裏的佼佼者，業內聲譽頗佳，這次成功牽頭調查谷歌，離不開歐盟成員國其它監管方的共識和支持。

聲譽平平的愛爾蘭和盧森堡監管機構則至今尚無下文，一想到這，麥賽就有點哭笑不得：「我們的投訴不知道躺在哪個郵箱，至今都沒人打開過吧」。

從罰單到跨國數據傳輸

GDPR主要打擊對象是跨國企業，但條例的影響力不限於此。因為牽涉的是對數據保護的原則性理解，當對條例的理解有異，就會產生數據管轄權的爭論。換言之，境內合規問題可以升級到跨國數據傳輸能否繼續的問題。

施雷姆斯（Maximilian Schrems）是奧地利的人權律師，他成立的非政府組織「None of Your Business」（NOYB），是德語區最重要的數據保護團體之一；以他命名的 Schrems I 及 Schrems II 案，更令歐盟與美國的數據交換框架驟然停止。

Schrems I 案之始，是施雷姆斯在2013年向愛爾蘭數據保護專員發起對臉書愛爾​​蘭子公司的投訴。 施雷姆斯認為根據歐盟數據保護法，歐洲總部位於愛爾蘭的臉書，不應在美國未達到「足夠保護程度」時，把用戶資料傳輸到美國。愛爾蘭數據保護專員拒絕就這投訴作出行動，施雷姆斯就在愛爾蘭高等法院提出司法覆核。

當時，歐美的數據交換依據「Safe Harbour」框架進行：該框架是一個自我驗證的機制，讓美國公司可以證明自己遵守一系列的數據保護原則。結果因為事件涉及歐盟層面，案件暫緩並向歐洲法院（Court of Justice of the European Union）尋求指引。2015年10月，歐洲法院認同施雷姆斯的意見，Safe Harbour 不再是歐美數據傳輸的有效框架。

案後，歐美雙方為了讓商業機構可以繼續交換數據，在2016年2月訂立了「Privacy Shield」這一全新框架，在滿足框架內的保障及技術要求後，臉書及谷歌這些科技巨頭就可以繼續輸送數據到美國。同時，臉書等企業在合約中加入「標準合約條款」（Standard Contractual Clauses, SSC），企圖藉此符合法規要求，繼續進行數據傳輸。而事實上，當時，歐洲GDPR已經開始正式執行，「Privacy Shield」與 SCC 兩者都未能完全符合GDPR的要求，企業與政府都只是用這些措施，讓數據往來可以繼續，同時賺取時間商討共識。由於GDPR的推行，法理基礎有變，施雷姆斯在2020年再次入稟法院，是為 Schrems II 案。

Schrems II 案中，施雷姆斯對臉書及「Privacy Shield」框架作出質疑，認為該框架未解決根本問題，美國政府仍有權可以取得歐盟居民的數據，他的人權依然被侵犯。最後，施雷姆斯再次勝訴，「Privacy Shield」被裁定為不通用（invalid），但法院認為， SCC 或提供了一個表面有效的合約機制，去符合歐盟標準的合規程序。法院也強調，SCC 中存在退出機制，該機制允許數據接收者，將不合規情況告知數據出口者，這將有效地暫停數據傳輸，或讓數據出口者能夠終止合同。

重要的是，歐洲法院認為歐盟有權監管所有在歐盟境內收集的數據，而且有權監管海外所有涉及歐盟居民的數據——而更復雜的是，歐盟各級司法機關，可以就歐洲法院的判決自行解讀及執行。

以德國為例，Schrems II案作出判決後，柏林、漢堡及萊茵蘭-伐爾茲邦（Rhineland-Palatinate）的數據保護機構各自發表聲明，不約而同地指該案例不只應用於歐盟與美國之間，更適用於中國、俄羅斯、印度等國家。漢堡的數據保護機構更直指中國的「數據保護預防措施，離足夠保護還很遠」。

「足夠保護程度」是歐盟評估他國數據保護是否達到歐盟標準的準則。達標的地區，可以與歐盟進行自由的數據傳輸。實際操作上，例如美國現在未達足夠保護程度，理論上歐盟境內公司不能傳送資料到美國，但許多公司仍通過SCC機制，繼續傳輸數據到美國。

在現代社會，要停止跨國數據傳輸幾乎是不可能的。數據在很長的一段時間，被企業視作類近天然資源的存在，拚命開採，從中謀利。而提供數據的用戶，根本不理解自己有權要求公司保護其數據。早在 Schrems I 前，斯諾登案已讓歐洲廣泛討論跨國數據傳輸的危險性，當默克爾的個人手機也被美國國家安全局監聽，歐盟又能怎樣平衡經濟及政治上的考慮？

現在，歐盟設立了新標準，表面上其他國家不用遵守，但 Schrems 案告知其他國家：如果不遵守歐盟的數據保護標準，那就會直接影響到在歐盟國家收集數據甚至經營生意。數據保護法從人權出發，但它的影響不只伸及經濟，還在政治層面上起作用。美國執法機關需要取得數據的權力，便是從美國國家安全的角度出發的需求，而歐盟則用公民人權的角度，迫使美國作出妥協。

歐洲模式？

歐盟GDPR從誕生之初，便和美國有着千絲萬縷的關聯。美國曾「未雨綢繆」，絞盡腦汁干預歐盟立法，但抵不過時移勢易，最終事與願違，反扮演起加速器的角色，繼而成了追隨者。

新法起始點，可追溯到2011年11月17日。這天，德國數據保護和數據安全第35次會議正式開始，歐委會公民權益委員會主任耐密茨（Paul Nemitz）正式宣布，歐盟將制訂適用於全體歐盟成員國的數據保護條例，用以進一步完善1995年設定的《歐洲數據保護指令》。

沒想到，剛過兩個月，歐洲新聞網站 EurActiv 爆料稱，美國為維護自身利益，通過外交商貿談判和各類遊說，積極介入歐盟修法。迫於壓力，工作人員修改了初版方案，才提交給歐洲議會。一名歐盟外交官曾如此評價：「改革方案還處於初期階段，第三國對此便尤為關注，太不尋常」。

進入議會程序後，有議員擔心 GDPR 會導致經商環境不確定，也怨言頗多。時任歐委會司法專員勒廷（Viviane Reding）還記得，2013年夏天，為了獲得多數票，忙得焦頭爛額，日夜擔心條例無法順利通過。

不過，「斯諾登事件」爆發，徹底改變了立法格局：美國科技巨頭深陷「竊聽醜聞」，議員們開始重新審視這個本不受待見的條例。在輿論裹挾下，個人信息保護成為公眾關注焦點，順而激發歐盟官員的政治能動性。2014年3月12日，不出意料，歐洲議會高票（621票支持、10票反對和22票棄權）通過這一條例。

一段時間沉寂後，2018年春——就在GDPR生效前幾個月，臉書數據泄漏，牽扯出「劍橋分析公司醜聞」，更將數據隱私的討論，從歐洲語境，擴展至全球範圍。美國境內掀起一場全民性的隱私保護變革；中國方面也將《個人信息保護法》逐漸提上日程。

2020年12月28日，《深圳經濟特區數據暫行條例（草案）》提請深圳市人大常委會會議審議，這是中國立法中首次提到「數據權益」保護，例如說涉及隱私的個人數據，需要得到擁有人書面或口頭同意授權，企業方能使用，自然人更享有類似「被遺忘權」等的權益。表面上，該條例呼應了歐盟以人權為本的數據保護法規，但同時該草案亦指出，「在為了國家安全、公共利益、企業正當利益等情形下，可以無需徵得個人同意收集處理自然人數據。」

其實，這與美國相關的法例面對一樣的困局。美國政府同樣有權在一定條件下收集數據，即使《愛國者法案》第215條已失效，根據《外國情報監視法案》第702條（Foreign Intelligence Surveillance Act, FISA 702），獨立法院可以授權政府發布命令，要求美國的公司披露位於美國境外的特定非美國人員的通信數據。這是歐盟認為美國的數據保護不足夠的原因之一。

美國聯邦政府沒有特定於數據保護的法規，制定的責任落在州政府上。《加利福尼亞州消費者隱私法》（California Consumer Privacy Act, CCPA）就是美國最受重視的相關法規。 CCPA 在2020年1月1日生效，理論上只監管在加州的公司，但由於谷歌、臉書、蘋果等巨頭總部也設在加州，為免違法，例如谷歌也會建議其用戶了解並遵守 CCPA 。依據 CCPA，企業每次違法行為罰款最高為2500美元，每次故意違法的罰款最高為7500美元，向每位消費者的賠償最高則為750美金。

至今，能符合歐盟「足夠保護程度」要求的國家，有日本、新西蘭、瑞士、以色列等國。

實施兩年多，企業終於做好準備了嗎？

GDPR實際效果如何，同樣成為各方關注的焦點。各種案例已陸續出爐。2021年1月8日，德國下薩克森邦數據保護局對企業 Notebooksbilliger.de AG 處以1,040萬歐元的罰款。它被控對員工進行為期兩年沒有法律依據的視頻監控。下薩克森邦數據保護局指出，這些攝像機記錄了工作場所、銷售室、倉庫和公共區域等地，而企業則稱安裝攝像機的目的是防止和調查刑事犯罪，並追蹤倉庫貨物的流向。

首次出現在德國法律系統中的「數據保護官員」（Data Protection Officer），已經放進歐盟框架中。根據企業及政府的規模，它們需要聘用指定數量的數據保護官員。這群專業合規人士在最理想的情況下，會肩負與其他員工、公司及政府機構溝通的責任。

不過，如果僅從罰款力度來看，「史上最嚴」數據保護法，似乎名不符實。據金融網站 Finbold 數據顯示，2020年歐盟成員國開出299個罰單，共計1.7億歐元，意大利、英國和瑞典罰款金額最高。只是，被罰企業雖涉及通訊、零售和航空等各個領域，卻鮮有跨國科技巨頭。反觀美國，「劍橋分析公司醜聞」爆發後，臉書就在美國收到高達50億美元的罰單，隨後不得不迅速整改企業隱私政策。

2019年底，斯諾登在里斯本網絡峰會上，曾毫不客氣地指出：「只要互聯網巨頭未收到罰單，行徑繼續違反 GDPR 及其承載的精神，那這個條例就好比是一個『紙老虎』」。歐委會也承認，GDPR 生效兩年來，在新科技層面，一些規定尚不明晰，反致使本土中小型科技企業深受其累。

不過，在巴黎第九大學教授歐洲法的唐布（Olivia Tambou）對歐洲模式深信不疑。在她看來，美國模式建立在商業競爭之上，鉅額罰款或短期內起到立竿見影的效果，但歐洲模式側重調控，跟企業更處於指導和引領的關係，便於多方面多層次解決問題。「懲罰是手段，不是結果。對監管機構而言，企業能否不斷改進才至關重要」，不過唐布也承認，監管機構時常缺預算，少人手，實際操作中，確實沒法有序開展監管。以法國監管方 CNIL 為例，2018年新法生效，訴訟數量同比增長32.5%， 但僱員總數僅從200人增長至215人。

至於歐盟面對科技巨頭是否太過弱勢？唐布也有不同看法，她向端傳媒列舉稱，只有在歐盟境內，谷歌才被迫執行「被遺忘權」，且歐盟公民具備獲取個人數據副本權。在這位樂觀派眼中，歐盟模式尚在探索中，讓科技巨擎低頭，只是時間問題。

2018年，GDPR 生效前夕，調查顯示，85%的歐洲企業表示尚未做好準備。有的仍在修訂數據業務清單，有的急匆匆選擇法律條款，為自己的數據使用正名。企業無所適從，背後原因很多，除了條例本身存在爭議和語焉不詳，監管方也未能及時進行二次闡釋。

其實，各國監管部門同涉事企業一樣，也在摸索試探，不僅要吃透條例為己所用，還要掌握分寸，避免過度干擾原有經濟模式。

法國監管方CNIL針對第三方 cookie（用於存儲Web頁面的用戶信息）釋法，經過幾番起伏，涉及數字廣告從業者、谷歌、公民社會和政府多方，也成為互聯網兩種速度——更經濟，還是更安全——的註腳。

首輪回合發生在兩個老相識之間。2019年7月，法國監管方 CNIL 發布文件，重申網站上的cookie和其它用戶數據採集系統運行時，需要獲取用戶的明確同意，但計劃自2020年5月起，才對違者進行懲罰。LQDN 協會不認可這一延後懲罰的決定，以監管機構違反 GDPR 為由，向最高行政法院提起上訴，但以失敗告終。最高行政法院認為，監管機構推遲一年執行新條例的某條特定條款，合情合理。

法國監管方 CNIL 被兩面插刀，一邊是公民社會的窮追猛打，另一邊的媒體和數字廣告從業者，作為被監管方，卻似乎對他們的「仁慈大度」並不領情。

2020年中旬，法國媒體網站工會 Geste 質疑 CNIL 對 cookie 使用的解讀，將其告上最高行政法庭並獲勝。最高行政法庭認為，如果網民拒絕cookie設置，那網站便有權禁止他瀏覽網頁。並解釋稱：「GDPR規定，信息採集和追蹤設置需要獲得用戶明確同意。但是，CNIL根據這一點便要禁止cookie牆，屬於司法越權。」

儘管有這樣的法庭先例在，媒體和數字廣告從業者對未來的憂慮，絲毫沒有減弱。2020年1月14日，谷歌宣布，將在未來兩年內逐步取消第三方廣告公司利用cookie文件採集用戶隱私。谷歌旗下 Chrome 瀏覽器的全球市場份額約為64%，此舉對數字廣告市場影響力巨大。

谷歌被列入歐洲頭號監管名單，一舉一動都被多雙眼睛盯着，如此自斷小部分利益，與其說是滿足用戶日益增長的個人隱私保護需求，不如說是某種形式的「棄車保帥」。

如果用一句話解釋GDPR，那便是：保證個體自主掌控個人隱私和數據。獲得用戶明確同意，成為數據使用的出發點。數字廣告方大戰法國監管案中，為前者辯護的法國數據保護律師德魯阿爾（Etienne Drouard）認為，條例願景很美好，但這不會改變商業叢林弱肉強食的法則，「在經濟活動中，不少企業為了自保，不惜一切代價轉嫁數據保護責任」。正如他的客戶面臨的困境 ：在本土贏得行政官司，但依舊無法避免強勢合作方的「倒戈」。

最壞的和最低限度的

在歐洲，德國有着最悠久數據保護法傳統的國家——1970年，世界首個數據保護法就出現在德國。德國黑森州邦（Hessen）是第一個立法機關實行數據保護法，之後，英國等亦推出數據保護法。

在接受端傳媒採訪時，已於2016年卸任的的前柏林數據保護官員迪克斯（Alexander Dix）強調說：「數據保護是一個容易誤導的概念。人們或者會覺得，保護數據本身就是目的，但這是錯的。」他不只是柏林的數據保護官員，更是第二十九條資料保護工作小組（Article 29 Working Party）的成員，後者是「歐盟資料保護委員會」（ European Data Protection Board, EDPB）的前身，專門負責 GDPR 執行前的準備工作，及提供 GDPR 的執行指引。基本上，第二十九條資料保護工作小組介定了 GDPR 及 EDPB 的職能。

「數據保護是人權，我們要保護的是數據所指向的個體。」

迪克斯提起了Samuel Warren和Louis Brandeis。120年前，這兩位美國律師在《哈佛法律評論》中發表文章《The Right to Privacy》，他們列出不同的私隱權，其中一項就是「不受干擾的權利」（the right to be let alone）。

「這是任何人最基本的權利，」迪克斯如是說。數據保護是人權，可是，對迪克斯而言，最大的挑戰永遠是改變大眾對數據保護專員的印象。他曾在處理圖書館數據問題時備受抨擊。當時柏林部分圖書館因為經費不足，需要依靠志工營運。而迪克斯則認為，志工沒有權限接觸部分個人資料，嚴格執行數據保護法規。這在當時影響圖書館的日常運作，被視為擾民之舉。

在他的經驗中，大眾視數據保護專員常常被視為為「自尋煩惱，就像是德語裏『Bedenkenträger』這個字。」「Bedenken」在德語意為「問題」、「質疑」，「Bedenkenträger」即是指提出問題者。當維護人權者被視為製造麻煩，「大眾」又是站在什麼立場呢？

所謂數據，在歷史很長的一段時間，對個體並不構成極大的威脅。科技的客觀條件，還未足夠企業或政府進行無孔不入的行為紀錄，直到近年，情況才急轉直下。GDPR的重要性也不僅僅是因為鉅額罰則。大數據、機械學習、人臉辨識……科技發展讓數據成為珍貴資產，甚至可被交易。GDPR 可能令歐盟公司在未來失去部分競爭力。德國作為工業和科技大國，因多少錯失了新時代的科技轉型，產生了焦躁感，也讓許多人對數據保護存有戒心。

近年來，德國深陷於失去科技競爭力的恐懼中。以蘋果電腦為例，當 Steve Jobs 於1997年回歸蘋果時，其市值不及西門子的十分一，到了2020年末，蘋果的市值不單是西門子的二十倍，甚至比德國 DAX 指數中德國三十家重要企業加起來，還多出了一萬億美元。

美國科技業以軟件、數據等邊際報酬較高的項目，在全球攻城掠地。在這危機感下，德國政府希望發展本土的新創企業，希望把柏林發展成歐洲創業者的基地。這個背景，某程度上解釋了「數據保護官員」為什麼會在德國被視為自尋煩惱，甚至多管閒事——數據，恰是新創企業的命脈。

不過，從德國針對COVID-19疫情所使用的智能手機APP的案例可以看到，公眾對個人私隱的關注有所提升。德國政府曾經希望在該APP中使用衞星定位系統及中央數據庫，達到更有效的防疫，最後政府在輿論壓力下，改用了藍芽及用戶自願上傳資料機制，為了數據保護而折損抗疫效率。

長遠來說，就數據保護制定一個最低限度的國際標準將極為重要。迪克斯說：「有些人認為GDPR是國際數據保護的黃金標準。」然而，各國政府會認可歐盟的標準嗎？這是否太過理想化？

在迪克斯看來，「最好的劇本是新拜登政府會支持美國聯邦私隱法規的立法，同時又會改革國家的監控法例，因為這是數據傳輸最大的阻礙。」但最差的可能性又是怎樣呢？——那就是歐盟以外國家的讓步沒出現。他說，「取而代之的，會是像中國的社會信用制度被其他國家應用。」