對於大型科技公司而言,在歐洲的日子怕是越來越難過了。
在歐盟《通用數據保護條例》(GDPR)正式生效後,2019年當之無愧成為數據保護的執法元年:新年伊始,法國相關監管機構就依據GDPR向谷歌開出了5000萬歐元(大約3.8億元人民幣)巨額罰單,理由是谷歌在向用戶定向發送廣告時缺乏透明度、資訊不足,且未獲得用戶有效許可。
值得注意的是,被稱為GAFA(谷歌Google、蘋果Apple、臉書Facebook和亞馬遜Amazon)的科技巨頭均源於美國,然而美國目前既沒有專門的數據保護法律法規,也沒有對應的職能部門對此進行監管。
好消息是,監管科技巨頭公司可能是這屆分裂國會上,民主黨和共和黨尋求合作的少數幾個領域之一。而對於GAFA巨頭而言,他們是選擇合作還是選擇對抗?
“如果像歐盟這樣的美國重要貿易夥伴實行嚴格的隱私資訊保護,這對於美國來說不可能沒有任何影響。”德國漢堡Wen & Schomerus 律師事務所創使合夥人溫天敏對第一財經記者表示,這個資訊肯定不會被美國的政治家及相關人員忽視。
GDPR生效,先罰谷歌5000萬歐元
向來注重隱私的歐洲能孕育出GDPR並不令人意外。
溫天敏對第一財經記者表示,普遍來說,德國民眾是比較注重個人資訊保護的,比如相當部分的民眾都堅持在商店裡使用現金購買商品,以便其個人資訊不被除自己之外的人員和機構掌握。
為此,GDPR的效力層級在歐盟是“條例”,編號為EU-DSGVO,其效力僅次於憲法。谘詢公司埃森哲則在最近一份報告中直接將GDPR形容為“近二十年來數據隱私規則領域發生的最重要變化”。
埃森哲在上述報告中指出,GDPR要求責任共擔。在過去,收集和使用數據的數據擁有者需要對數據保護負責。如今,史無前例地,數據處理者(如提供數據處理服務的雲服務提供商等)也需要直接承擔合規風險和義務。在數據保護上,數據供應鏈自上而下的各方都會被問責。網絡公司必須與合作夥伴們明確各自的責任和義務。
如不遵守GDPR,後果很嚴重。埃森哲指出,GDPR大大增加了數據保護的強製性和責任性,對違規的處罰金額提高到2000萬歐元或企業全球年營業額的4%(二者取較高值)。
據第一財經記者統計,目前在28個歐盟國家中,已有21個國家將GDPR融入了國內法,其余國家也紛紛於去年就GDPR的推行問題開展了公開討論或提出修訂草案,一些已經進入了立法程式。
也就是在此背景之下,前述法國數據保護機構國家資訊與自由委員會(CNIL)向谷歌開出了5000萬歐元的罰單。此前,CNIL接到了來自NOYB和LQDN兩家非營利性組織對谷歌的投訴。
在調查中,CNIL發現,在透明度問題上,谷歌將數據處理目的、數據存儲周期及用於個性化廣告的個人數據分類等關鍵資訊分布在不同的頁面,這造成用戶不得不額外進行5-6次的點擊操作才能夠看到相關的完整資訊。
在個性化廣告處理上,根據CNIL的觀察,谷歌也將相關資訊分散在不同的文檔中,這讓用戶無法了解到其使用程度;當用戶創建账戶時,不僅要通過點擊“更多選擇”的按鈕才能夠到配置頁面,且其中展示個性化廣告的按鈕是默認已選的狀態,此外,如果用戶一旦勾選同意服務的選項即相當於同意谷歌進行所有處理操作,這有違GDPR要求須為每一個目的“具體”給出許可的規定。
CNIL指出,谷歌這種對GDPR規定的違反是長期持續的,整體上違背了GDPR在透明度、資訊披露和明示等三大要素的要求。
目前谷歌對該案件提出了上訴。但監管方對其他科技公司發起的投訴遠遠沒有結束。前述將谷歌告上法國監管機構的NOYB在1月18日再次發布公告表示,已經以違反GDPR第15條“用戶對數據的訪問權”的名義將包括亞馬遜、蘋果等8家科技企業告上奧地利相關監管機構。
而根據前述“2000萬歐元或企業全球年營業額的4%(二者取較高值)”罰金的原則,外媒計算出這8家最高罰款的總額理論上可達到188億歐元。
美國追趕歐盟GDPR腳步
美國立法者對於GDPR,可謂五味雜陳。實際上,不少美國數據政策專家認為,美國正在失去這一領域的長官者角色。
美國聯邦貿易委員會首席隱私官馬克·格羅曼就指出,“GDPR正在推動全球對話,當別的國家想要打造自己的矽谷時,它們更多地關注歐洲模式。”
在萬豪酒店數據庫遭黑客入侵事件以及劍橋分析公司(Cambridge Analytica)醜聞發酵之後,深受震動的美國參議員拋出了《社交媒體隱私和消費者權利法案》等立法,試圖尋找在公司使用數據的方式與人的隱私權之間的平衡點。
在州一級層面,已經有案例顯示美國正在效仿GDPR:2018年6月29日,美國加利福尼亞州就簽署了一項數據隱私法案,裡面不少條款同GDPR中的核心條款相同。該法案將從2020年1月開始生效,並適用於加利福尼亞州用戶(矽谷所在地)。該法案規定,對於掌握超過5萬人資訊的公司,用戶有權查閱自己的哪些數據被收集,並要求公司刪除自己的數據,以及拒絕將數據賣給第三方。單次違法將被處以7500美元的罰款。
目前,新一屆美國國會的注意力也轉向了數據保護中的重點領域:公司必須告訴用戶們持有的數據有多少,用戶對該數據有何控制程度,以及公司在數據洩露時將面臨怎樣的處罰。
GAFA等科技巨頭在這一過程中的態度頗令人玩味。考慮到州立法恐怕更加嚴厲(譬如在加利福尼亞州出現的情況),GAFA巨頭們反而傾向於接受在聯邦政府一級設立隱私法的必要性。
這是因為,根據美國憲法的至高條款(Supremacy Clause),當聯邦法律與地方法律發生衝突時,聯邦法優先於州法。
谷歌首席執行官皮查伊(Sundar Pichai)在2018年12月中旬的一次聽證會上說,“我認為我們最好為用戶提供更多的整體數據保護框架。我認為這樣做會很好。”
他並指出,對數據保護立法的改革不應該停留在歐洲,美國和世界其他國家也應該效仿。
“我希望在美國我們也會有類似的東西。”納德拉稱,“事實上,我希望世界各地都能達成共同標準。”
華盛頓智庫資訊技術與創新基金會的政策分析師麥奎因(Alan McQueen)指出了科技巨頭們傾向於合作的背後原因:統一的監管機制可以降低應對不同監管制度所產生的額外成本。
在加州隱私法通過後,“科技行業現在正試圖避免美國制定出四分五裂的隱私規則。”麥奎因表示,在更高的透明度、數據可移植性、消費者訪問(consumer access)以及針對濫用私人數據的新執法機制的需求上,美方可能已形成了共識。
對外經貿大學數字經濟與法律創新研究中心執行主任許可在接受第一財經記者採訪時表示,雖然美國會加強個人數據和個人隱私的保護,但美國走的是和歐盟完全不同的路,其原因有三。
首先,最大的不同在於法律制度和雙方立法傳統的不同:歐盟想通過一種自上而下的立法,形成統一的執法,去調控、進行數據保護。而美國更傾向於利用分散的行業市場的力量,通過非成文法的方式去提供保護。其次,美國同歐盟的信念不同:二戰以後,歐盟對個人的保護、對個人資訊的保護是深入骨髓的,而美國人不可能像歐洲人那樣去看待個人數據。
第三,從經濟層面來說,歐盟在全球的數字經濟市場中並不佔優勢,缺乏大企業。許可指出,全球有三分之二的科技企業都是美國的互聯網公司,因此從統計層面上來說,美方也不可能頒布對企業嚴重不利的政策。
(實習記者郝爽言對本文亦有貢獻)
香港九龍灣馬來街興發大廈15樓D室