数据保卫战：GDPR的三年之痒

编按：作为虚拟世界里的“大宗商品”之一，来源于你我身上的个人数据，在集结、倒卖、演变之后，已然变成一股持续的力量，重塑现实世界。2018年5月，被认为“史上最严”的欧盟《通用资料保护规范》（GDPR）正式实施，誓要保证个体自主掌控个人隐私和数据——你也许还记得那时邮箱里忽然出现了一众群发邮件，那是商户企业们纷纷更新隐私政策；你也许还记得，不久后，谷歌就被罚5000万欧元。实施至今，已近3年，GDPR到底做得如何？大棒子打向了哪里，起到了什么样的作用？又有哪些尴尬的缺陷和不足？

这是端传媒将持续推出的“我的隐私，你的生意”个人数据保护系列专题的第一篇。与隐私捆绑的个人数据，可以轻松跨越物理边界或国界，许多固有的管治框架不再适用，而政府或大型跨国企业的决策或应对，却将实际影响到每一个普通人。我们试图看到，这一切是怎样发生的。

巨额罚单背后的“监管江湖”

提到职业生涯的高光时刻，法国互联网维权机构 LQDN（La Quadrature du Net）的法务麦赛（Arthur Messaud）竟有些怨念。“偏偏那天，总统马克龙给谷歌背书，简直打脸监管部门。”在电话另一端，他幽幽地说道。

2019年1月21日——麦赛口中的“那天”，法国数据隐私监管机构 CNIL 对谷歌开出5000万欧元罚单。早在欧盟《通用资料保护规范》（以下简称 GDPR）2018年5月25日生效当天，麦赛所在协会便联合逾万公民，对美国科技巨头发起集体行政诉讼。美国巨头首次被罚，引发不小轰动，公民运动初获胜利，麦赛欣喜不已。可他没想到，就在“那天”，正逢法国举办第二届“选择法国”投资峰会：总统府爱丽舍宫官方推特助兴，大肆宣传的正是谷歌在法的投资。

“像我们这样发起集体诉讼，史无前例，”麦赛重提旧事，有些激动，“但政府却一点儿都不在乎。”麦赛的骄傲有底气在。法国监管方 CNIL 在麦赛所在 LQDN 协会推动下，开出首张罚单，极具象征意义，并为后续案件提供借鉴和启示。可这“骄傲”背后，少不了国家之间的比对和协作，亦或监管方同科技巨头的明争暗斗，曾历经几番曲折和反转，远非表面看上去这般轻松。

欧盟 GDPR 罚款限额高，最高可达2000万欧元或企业全球总营收的4%，被打上“史上最严”标签。只是，在实际执行中，或落入人力不足，且效率低下的臼窠，不免给人留下“雷声大雨点小”的印象。

面对人才济济、游说经验丰富的科技巨头，各国监管机构有心树立威严，但初次释法，免不了小心翼翼，束手束脚。2019年12月，美国政治新闻网站 Politico 便曾指出，美国科技巨头的欧洲总部多集中在爱尔兰和卢森堡，但这两国尚未开启任何调查。

新法生效前6周，麦赛尤其忙，举办座谈会，发布科普视频，鼓动大家签名，且接连接受媒体采访，发声表明立场。用麦赛颇具策略性的话术来讲，“法国的电视广播热衷谈论自由和人权，当然对新条例关注，我们还不得顺势抓住一切机会。”动用媒体资源，增加舆论曝光度，也是间接向法国数据隐私监管机构 CNIL 施压。

CNIL 于1978年成立，致力保障隐私和个人信息，属于国家独立行政机构，虽不隶属任何政府部门，但正常运营依赖国家财政拨款，具有半官方色彩。CNIL 每年接到的公民投诉不下五万份，且自主选择案例进行评判。别说赢了诉讼，LQDN 协会若按部就班发起诉讼，到底能否被立案，在当时看来，都还是未知数。

LQDN 协会的诉讼对象不止谷歌，还包括苹果、脸书、亚马逊和微软，共计五大集团。但 GDPR明确规定，企业总部所在国的监管机构，才有权限发起调查。苹果、脸书和微软欧洲总部设在爱尔兰首都都柏林，亚马逊则将欧洲大本营安置在卢森堡。谷歌有些特殊，虽早指定爱尔兰为欧洲公司总部，但在具体信息处理层面，曾存在诸多模糊之处，导致这个总部并不为欧洲监管机构认可。爱尔兰数据隐私监管机构也早在2018年8月，明确表示自己并非谷歌监管方。这些都为后来的处罚，埋下伏笔。

法国监管方依据 GDPR 第35条款，对谷歌发起调查，并基于三个论据，驳斥了谷歌欧洲总部位于爱尔兰之说。首先，谷歌隐私政策并未提及爱尔兰分部对相关信息处理和目的进行负责。此外，谷歌并未指定数据保护官，整体负责欧盟境内使用者隐私管理。再者，谷歌自己也曾提到，欧盟居民部分数据处理责任于2019年年底，才转入爱尔兰公司名下。后来谷歌提起行政上诉，以失败告终，这同法国监管方前期扎实的准备工作不可分割。

LQDN 协会集体起诉名单中，谷歌旗下的 Gmai l邮箱、视频分享网站 Youtube 和搜索引擎三个产品均上榜。相较之下，5000万欧元罚款的导火索显得有些微不足道：法国监管方实证发现，在安卓手机系统内，设立谷歌账户，用户可获得的知情信息不清楚，此外私人订制广告选项默认为用户同意，这两点均违反GDPR。

麦赛责怪罚单还是太保守，感慨“区区5000万欧元不过是谷歌几个小时的营业额而已”，很难产生震慑效果。这张巨额罚单与其说是法国例外之举，不如称之为欧洲协作产物。法国监管方 CNIL“雷厉风行”，算是欧洲同行里的佼佼者，业内声誉颇佳，这次成功牵头调查谷歌，离不开欧盟成员国其它监管方的共识和支持。

声誉平平的爱尔兰和卢森堡监管机构则至今尚无下文，一想到这，麦赛就有点哭笑不得：“我们的投诉不知道躺在哪个邮箱，至今都没人打开过吧”。

从罚单到跨国数据传输

GDPR主要打击对象是跨国企业，但条例的影响力不限于此。因为牵涉的是对数据保护的原则性理解，当对条例的理解有异，就会产生数据管辖权的争论。换言之，境内合规问题可以升级到跨国数据传输能否继续的问题。

施雷姆斯（Maximilian Schrems）是奥地利的人权律师，他成立的非政府组织“None of Your Business”（NOYB），是德语区最重要的数据保护团体之一；以他命名的 Schrems I 及 Schrems II 案，更令欧盟与美国的数据交换框架骤然停止。

Schrems I 案之始，是施雷姆斯在2013年向爱尔兰数据保护专员发起对脸书爱尔​​兰子公司的投诉。 施雷姆斯认为根据欧盟数据保护法，欧洲总部位于爱尔兰的 脸书，不应在美国未达到“足够保护程度”时，把用户资料传输到美国。爱尔兰数据保护专员拒绝就这投诉作出行动，施雷姆斯就在爱尔兰高等法院提出司法复核。

当时，欧美的数据交换依据“Safe Harbour”框架进行：该框架是一个自我验证的机制，让美国公司可以证明自己遵守一系列的数据保护原则。结果因为事件涉及欧盟层面，案件暂缓并向欧洲法院（Court of Justice of the European Union）寻求指引。2015年10月，欧洲法院认同施雷姆斯的意见，Safe Harbour 不再是欧美数据传输的有效框架。

案后，欧美双方为了让商业机构可以继续交换数据，在2016年2月订立了“Privacy Shield”这一全新框架，在满足框架内的保障及技术要求后，脸书及谷歌这些科技巨头就可以继续输送数据到美国。同时，脸书等企业在合约中加入“标准合约条款”（Standard Contractual Clauses, SSC），企图借此符合法规要求，继续进行数据传输。而事实上，当时，欧洲GDPR已经开始正式执行，“Privacy Shield”与 SCC 两者都未能完全符合GDPR的要求，企业与政府都只是用这些措施，让数据往来可以继续，同时赚取时间商讨共识。由于GDPR的推行，法理基础有变，施雷姆斯在2020年再次入禀法院，是为 Schrems II 案。

Schrems II 案中，施雷姆斯对脸书及“Privacy Shield”框架作出质疑，认为该框架未解决根本问题，美国政府仍有权可以取得欧盟居民的数据，他的人权依然被侵犯。最后，施雷姆斯再次胜诉，“Privacy Shield”被裁定为不通用（invalid），但法院认为， SCC 或提供了一个表面有效的合约机制，去符合欧盟标准的合规程序。法院也强调，SCC 中存在退出机制，该机制允许数据接收者，将不合规情况告知数据出口者，这将有效地暂停数据传输，或让数据出口者能够终止合同。

重要的是，欧洲法院认为欧盟有权监管所有在欧盟境内收集的数据，而且有权监管海外所有涉及欧盟居民的数据——而更复杂的是，欧盟各级司法机关，可以就欧洲法院的判决自行解读及执行。

以德国为例，Schrems II案作出判决后，柏林、汉堡及莱茵兰-伐尔兹邦（Rhineland-Palatinate）的数据保护机构各自发表声明，不约而同地指该案例不只应用于欧盟与美国之间，更适用于中国、俄罗斯、印度等国家。汉堡的数据保护机构更直指中国的“数据保护预防措施，离足够保护还很远”。

“足够保护程度”是欧盟评估他国数据保护是否达到欧盟标准的准则。达标的地区，可以与欧盟进行自由的数据传输。实际操作上，例如美国现在未达足够保护程度，理论上欧盟境内公司不能传送资料到美国，但许多公司仍通过SCC机制，继续传输数据到美国。

在现代社会，要停止跨国数据传输几乎是不可能的。数据在很长的一段时间，被企业视作类近天然资源的存在，拚命开采，从中谋利。而提供数据的用户，根本不理解自己有权要求公司保护其数据。早在 Schrems I 前，斯诺登案已让欧洲广泛讨论跨国数据传输的危险性，当默克尔的个人手机也被美国国家安全局监听，欧盟又能怎样平衡经济及政治上的考虑？

现在，欧盟设立了新标准，表面上其他国家不用遵守，但 Schrems 案告知其他国家：如果不遵守欧盟的数据保护标准，那就会直接影响到在欧盟国家收集数据甚至经营生意。数据保护法从人权出发，但它的影响不只伸及经济，还在政治层面上起作用。美国执法机关需要取得数据的权力，便是从美国国家安全的角度出发的需求，而欧盟则用公民人权的角度，迫使美国作出妥协。

欧洲模式？

欧盟GDPR从诞生之初，便和美国有着千丝万缕的关联。美国曾“未雨绸缪”，绞尽脑汁干预欧盟立法，但抵不过时移势易，最终事与愿违，反扮演起加速器的角色，继而成了追随者。

新法起始点，可追溯到2011年11月17日。这天，德国数据保护和数据安全第35次会议正式开始，欧委会公民权益委员会主任耐密茨（Paul Nemitz）正式宣布，欧盟将制订适用于全体欧盟成员国的数据保护条例，用以进一步完善1995年设定的《欧洲数据保护指令》。

没想到，刚过两个月，欧洲新闻网站 EurActiv 爆料称，美国为维护自身利益，通过外交商贸谈判和各类游说，积极介入欧盟修法。迫于压力，工作人员修改了初版方案，才提交给欧洲议会。一名欧盟外交官曾如此评价：“改革方案还处于初期阶段，第三国对此便尤为关注，太不寻常”。

进入议会程序后，有议员担心 GDPR 会导致经商环境不确定，也怨言颇多。时任欧委会司法专员勒廷（Viviane Reding）还记得，2013年夏天，为了获得多数票，忙得焦头烂额，日夜担心条例无法顺利通过。

不过，“斯诺登事件”爆发，彻底改变了立法格局：美国科技巨头深陷“窃听丑闻”，议员们开始重新审视这个本不受待见的条例。在舆论裹挟下，个人信息保护成为公众关注焦点，顺而激发欧盟官员的政治能动性。2014年3月12日，不出意料，欧洲议会高票（621票支持、10票反对和22票弃权）通过这一条例。

一段时间沉寂后，2018年春——就在GDPR生效前几个月，脸书数据泄漏，牵扯出“剑桥分析公司丑闻”，更将数据隐私的讨论，从欧洲语境，扩展至全球范围。美国境内掀起一场全民性的隐私保护变革；中国方面也将《个人信息保护法》逐渐提上日程。

2020年12月28日，《深圳经济特区数据暂行条例（草案）》提请深圳市人大常委会会议审议，这是中国立法中首次提到“数据权益”保护，例如说涉及隐私的个人数据，需要得到拥有人书面或口头同意授权，企业方能使用，自然人更享有类似“被遗忘权”等的权益。表面上，该条例呼应了欧盟以人权为本的数据保护法规，但同时该草案亦指出，“在为了国家安全、公共利益、企业正当利益等情形下，可以无需征得个人同意收集处理自然人数据。”

其实，这与美国相关的法例面对一样的困局。美国政府同样有权在一定条件下收集数据，即使《爱国者法案》第215条已失效，根据《外国情报监视法案》第702条（Foreign Intelligence Surveillance Act, FISA 702），独立法院可以授权政府发布命令，要求美国的公司披露位于美国境外的特定非美国人员的通信数据。这是欧盟认为美国的数据保护不足够的原因之一。

美国联邦政府没有特定于数据保护的法规，制定的责任落在州政府上。《加利福尼亚州消费者隐私法》（California Consumer Privacy Act, CCPA）就是美国最受重视的相关法规。 CCPA 在2020年1月1日生效，理论上只监管在加州的公司，但由于谷歌、脸书、Apple等巨头总部也设在加州，为免违法，例如谷歌也会建议其用户了解并遵守 CCPA 。依据 CCPA，企业每次违法行为罚款最高为2500美元，每次故意违法的罚款最高为7500美元，向每位消费者的赔偿最高则为750美金。

至今，能符合欧盟“足够保护程度”要求的国家，有日本、新西兰、瑞士、以色列等国。

实施两年多，企业终于做好准备了吗？

GDPR实际效果如何，同样成为各方关注的焦点。各种案例已陆续出炉。2021年1月8日，德国下萨克森邦数据保护局对企业 Notebooksbilliger.de AG 处以1,040万欧元的罚款。它被控对员工进行为期两年没有法律依据的视频监控。下萨克森邦数据保护局指出，这些摄像机记录了工作场所、销售室、仓库和公共区域等地，而企业则称安装摄像机的目的是防止和调查刑事犯罪，并追踪仓库货物的流向。

首次出现在德国法律系统中的“数据保护官员”（Data Protection Officer），已经放进欧盟框架中。根据企业及政府的规模，它们需要聘用指定数量的数据保护官员。这群专业合规人士在最理想的情况下，会肩负与其他员工、公司及政府机构沟通的责任。

不过，如果仅从罚款力度来看，“史上最严”数据保护法，似乎名不符实。据金融网站 Finbold 数据显示，2020年欧盟成员国开出299个罚单，共计1.7亿欧元，意大利、英国和瑞典罚款金额最高。只是，被罚企业虽涉及通讯、零售和航空等各个领域，却鲜有跨国科技巨头。反观美国，“剑桥分析公司丑闻”爆发后，脸书就在美国收到高达50亿美元的罚单，随后不得不迅速整改企业隐私政策。

2019年底，斯诺登在里斯本网络峰会上，曾毫不客气地指出：“只要互联网巨头未收到罚单，行径继续违反 GDPR 及其承载的精神，那这个条例就好比是一个‘纸老虎’”。欧委会也承认，GDPR 生效两年来，在新科技层面，一些规定尚不明晰，反致使本土中小型科技企业深受其累。

不过，在巴黎第九大学教授欧洲法的唐布（Olivia Tambou）对欧洲模式深信不疑。在她看来，美国模式建立在商业竞争之上，巨额罚款或短期内起到立竿见影的效果，但欧洲模式侧重调控，跟企业更处于指导和引领的关系，便于多方面多层次解决问题。“惩罚是手段，不是结果。对监管机构而言，企业能否不断改进才至关重要”，不过唐布也承认，监管机构时常缺预算，少人手，实际操作中，确实没法有序开展监管。以法国监管方 CNIL 为例，2018年新法生效，诉讼数量同比增长32.5%， 但雇员总数仅从200人增长至215人。

至于欧盟面对科技巨头是否太过弱势？唐布也有不同看法，她向端传媒列举称，只有在欧盟境内，谷歌才被迫执行“被遗忘权”，且欧盟公民具备获取个人数据副本权。在这位乐观派眼中，欧盟模式尚在探索中，让科技巨擎低头，只是时间问题。

2018年，GDPR 生效前夕，调查显示，85%的欧洲企业表示尚未做好准备。有的仍在修订数据业务清单，有的急匆匆选择法律条款，为自己的数据使用正名。企业无所适从，背后原因很多，除了条例本身存在争议和语焉不详，监管方也未能及时进行二次阐释。

其实，各国监管部门同涉事企业一样，也在摸索试探，不仅要吃透条例为己所用，还要掌握分寸，避免过度干扰原有经济模式。

法国监管方CNIL针对第三方 cookie（用于存储Web页面的用户信息）释法，经过几番起伏，涉及数字广告从业者、谷歌、公民社会和政府多方，也成为互联网两种速度——更经济，还是更安全——的注脚。

首轮回合发生在两个老相识之间。2019年7月，法国监管方 CNIL 发布文件，重申网站上的cookie和其它用户数据采集系统运行时，需要获取用户的明确同意，但计划自2020年5月起，才对违者进行惩罚。LQDN 协会不认可这一延后惩罚的决定，以监管机构违反 GDPR 为由，向最高行政法院提起上诉，但以失败告终。最高行政法院认为，监管机构推迟一年执行新条例的某条特定条款，合情合理。

法国监管方 CNIL 被两面插刀，一边是公民社会的穷追猛打，另一边的媒体和数字广告从业者，作为被监管方，却似乎对他们的“仁慈大度”并不领情。

2020年中旬，法国媒体网站工会 Geste 质疑 CNIL 对 cookie 使用的解读，将其告上最高行政法庭并获胜。最高行政法庭认为，如果网民拒绝cookie设置，那网站便有权禁止他浏览网页。并解释称：“GDPR规定，信息采集和追踪设置需要获得用户明确同意。但是，CNIL根据这一点便要禁止cookie墙，属于司法越权。”

尽管有这样的法庭先例在，媒体和数字广告从业者对未来的忧虑，丝毫没有减弱。2020年1月14日，谷歌宣布，将在未来两年内逐步取消第三方广告公司利用cookie文件采集用户隐私。谷歌旗下 Chrome 浏览器的全球市场份额约为64%，此举对数字广告市场影响力巨大。

谷歌被列入欧洲头号监管名单，一举一动都被多双眼睛盯着，如此自断小部分利益，与其说是满足用户日益增长的个人隐私保护需求，不如说是某种形式的“弃车保帅”。

如果用一句话解释GDPR，那便是：保证个体自主掌控个人隐私和数据。获得用户明确同意，成为数据使用的出发点。数字广告方大战法国监管案中，为前者辩护的法国数据保护律师德鲁阿尔（Etienne Drouard）认为，条例愿景很美好，但这不会改变商业丛林弱肉强食的法则，“在经济活动中，不少企业为了自保，不惜一切代价转嫁数据保护责任”。正如他的客户面临的困境 ：在本土赢得行政官司，但依旧无法避免强势合作方的“倒戈”。

最坏的和最低限度的

在欧洲，德国有着最悠久数据保护法传统的国家——1970年，世界首个数据保护法就出现在德国。德国黑森州邦（Hessen）是第一个立法机关实行数据保护法，之后，英国等亦推出数据保护法。

在接受端传媒采访时，已于2016年卸任的的前柏林数据保护官员迪克斯（Alexander Dix）强调说：“数据保护是一个容易误导的概念。人们或者会觉得，保护数据本身就是目的，但这是错的。”他不只是柏林的数据保护官员，更是第二十九条资料保护工作小组（Article 29 Working Party）的成员，后者是“欧盟资料保护委员会”（ European Data Protection Board, EDPB）的前身，专门负责 GDPR 执行前的准备工作，及提供 GDPR 的执行指引。基本上，第二十九条资料保护工作小组介定了 GDPR 及 EDPB 的职能。

“数据保护是人权，我们要保护的是数据所指向的个体。”

迪克斯提起了Samuel Warren和Louis Brandeis。120年前，这两位美国律师在《哈佛法律评论》中发表文章《The Right to Privacy》，他们列出不同的私隐权，其中一项就是“不受干扰的权利”（the right to be let alone）。

“这是任何人最基本的权利，”迪克斯如是说。数据保护是人权，可是，对迪克斯而言，最大的挑战永远是改变大众对数据保护专员的印象。他曾在处理图书馆数据问题时备受抨击。当时柏林部分图书馆因为经费不足，需要依靠志工营运。而迪克斯则认为，志工没有权限接触部分个人资料，严格执行数据保护法规。这在当时影响图书馆的日常运作，被视为扰民之举。

在他的经验中，大众视数据保护专员常常被视为为“自寻烦恼，就像是德语里‘Bedenkenträger’这个字。”“Bedenken”在德语意为“问题”、“质疑”，“Bedenkenträger”即是指提出问题者。当维护人权者被视为制造麻烦，“大众”又是站在什么立场呢？

所谓数据，在历史很长的一段时间，对个体并不构成极大的威胁。科技的客观条件，还未足够企业或政府进行无孔不入的行为纪录，直到近年，情况才急转直下。GDPR的重要性也不仅仅是因为巨额罚则。大数据、机械学习、人脸辨识……科技发展让数据成为珍贵资产，甚至可被交易。GDPR 可能令欧盟公司在未来失去部分竞争力。德国作为工业和科技大国，因多少错失了新时代的科技转型，产生了焦躁感，也让许多人对数据保护存有戒心。

近年来，德国深陷于失去科技竞争力的恐惧中。以苹果电脑为例，当 Steve Jobs 于1997年回归苹果时，其市值不及西门子的十分一，到了2020年末，苹果的市值不单是西门子的二十倍，甚至比德国 DAX 指数中德国三十家重要企业加起来，还多出了一万亿美元。

美国科技业以软件、数据等边际报酬较高的项目，在全球攻城掠地。在这危机感下，德国政府希望发展本土的新创企业，希望把柏林发展成欧洲创业者的基地。这个背景，某程度上解释了“数据保护官员”为什么会在德国被视为自寻烦恼，甚至多管闲事——数据，恰是新创企业的命脉。

不过，从德国针对COVID-19疫情所使用的智能手机APP的案例可以看到，公众对个人私隐的关注有所提升。德国政府曾经希望在该APP中使用卫星定位系统及中央数据库，达到更有效的防疫，最后政府在舆论压力下，改用了蓝芽及用户自愿上传资料机制，为了数据保护而折损抗疫效率。

长远来说，就数据保护制定一个最低限度的国际标准将极为重要。迪克斯说：“有些人认为GDPR是国际数据保护的黄金标准。”然而，各国政府会认可欧盟的标准吗？这是否太过理想化？

在迪克斯看来，“最好的剧本是新拜登政府会支持美国联邦私隐法规的立法，同时又会改革国家的监控法例，因为这是数据传输最大的阻碍。”但最差的可能性又是怎样呢？——那就是欧盟以外国家的让步没出现。他说，“取而代之的，会是像中国的社会信用制度被其他国家应用。”