近期,欧洲数据监管机构向美国数字巨头Meta开出创纪录的天价罚单,处罚其违规数据传输行为对欧盟公民隐私造成严重侵犯。欧洲监管机构已不是第一次对美数字企业的违规行为进行警告,此次处罚也远不是欧洲第一次对美相关企业对欧洲的利益侵蚀作出强烈反击,数据传输更不是欧美间持续博弈与争夺的唯一话题,但其所反映的恰是欧美传统跨大西洋伙伴关系发展到当下无法回避的结构性难题。
当地时间5月22日,爱尔兰数据保护委员会(DPC)对美国社交网络公司“脸书”母公司Meta处以12亿欧元罚款,处罚其将欧洲用户的“脸书”数据非法转移到美国,且未充分确保相关数据安全,认定其违反了欧盟《通用数据保护条例》(GDPR),要求其在接到裁决通知的5个月内暂停向美国传输任何个人数据,并在半年内完成相应整改。据了解,欧盟此前曾于2021年对另一家美国数字巨头亚马逊的侵犯隐私行为处以7.46亿欧元罚款,而此次罚单也是迄今欧盟对违反数据保护条例企业开出的最重罚单。由于Meta的欧洲总部设在爱尔兰,故由爱尔兰数据保护委员会负责监管其在欧盟市场的数据保护事宜,并作出相关裁决。
欧盟监管机构自2020年起就开始对Meta将欧洲用户的个人资料从欧盟转移到美国的行为进行跟踪调查,发现在被称为“标准合同条款”的法律工具中,并没有解决涉及数据主体基本权利与自由的相关风险。欧洲数据保护委员会(EDPB)主席安德里亚·耶利内克指出:“Meta的违规行为极为严重,是对欧盟公民个人数据的系统性、重复性与持续性的转移。‘脸书’在欧洲拥有数百万用户,其传输的个人数据量是巨大的,希望通过巨额罚款发出强烈信号,即严重的侵权行为会带来沉重后果。”Meta方面则对此予以强烈抗议,并在声明中表示,“将对不合理和不必要的罚款提出上诉,并通过法院寻求对这些命令的暂缓执行”,强调“这将为其他无数在欧盟和美国之间转移数据的公司树立一个危险的先例”。
欧美间围绕数据传输的博弈已持续多年,欧洲通过完善、细化司法条款规制美方,以促其尊重欧洲数据保护标准的尝试也已进行了多轮。早在2015年,在欧洲隐私保护领域的非政府组织及活动家的施压与上诉下,欧盟法院最终裁定欧美间于2000年签署的“安全港”数据传输安排无效,认为该协定无法阻止美国政府大规模访问欧洲公民信息。随后,欧美间就如何修复“安全港”协议终止后留下的“条法真空”进行了密集磋商,仅用5个月就草草出台了替补的“隐私盾”协议。虽然美方声称对这一升级版的协议下尽苦功,并联合美商务部、国务院、联邦贸易委员会、交通部、司法部等部门共同站台承诺,但后续的种种事实表明,这份篇幅近130页的“隐私盾”安排最终难逃沦为“一纸空文”的命运。
2020年7月16日,欧盟法院以美方无法提供与欧盟同等的隐私保护为由,否决了以“隐私盾”作为向美国转移欧盟个人数据的法律依据的效力,认为美国政府在执行外国人监视计划时,虽以维护国家安全为目的,但仍存在以公权力访问个人数据等超出“必要限度”的行为、手段,且违规比例失当。在“安全港”折戟、“隐私盾”沉沙后,美数字巨头不得不使用欧委会发布的标准合同条款及2021年的更新版本进行数据传输,并不时在具体操作中寻求灰色的中间地带,而欧美也再次陷入了数据传输领域法律的“黑洞”。目前,欧美双方正继续寻求通过谈判推动一项新的数据转移协议,希望能在今年下半年达成,并紧抓今夏的窗口期进行密集对接。
尽管美方仍在积极争取与欧洲寻求共识性、妥协性的数据传输协议,但当前的外部形势已与本世纪初发生了巨大的变化,欧美间的传统协调基础早已不同往日。随着此次达摩克利斯之剑最终落在Meta头上,部分来自欧洲的声音对未来欧美间能否真正彻底解决双方分歧持保留态度。
有专家认为,必须清醒认识到,欧美间争议的核心正是关于欧盟《通用数据保护条例》与美国大规模情报监视行动间在法律上的严重不相容、彻底满足欧洲在数据保护方面的要求与美国不愿改变其所授权的大规模监控法律间的巨大差异性。业内资深律师索尼娅指出:“美国太需要欧洲的数据了,以至于其未来很难接受欧方提出的任何更进一步的数据保护条款。”
如果说斯诺登曝光的美国“棱镜门”监听情报计划使欧洲开始对美国个人信息保护制度的虚伪性有了清醒认识,那么从2019年法国国家信息与自由委员会对谷歌处以约5000万欧元的罚款,到2020年谷歌与亚马逊被认定违反数据保护相关法律被处以1.35亿欧元罚款,从2021年7月亚马逊因隐私问题被卢森堡政府罚款8.06亿美元,到2022年Meta下的“脸书”与WhatsApp被处以重罚等种种司法重拳,显示出欧洲希望对美在数据领域的无序行为给予强硬回应,并以此为筹码促使美国正视与尊重欧洲的数据主权。
作为欧洲战略自主的坚定推动者,法国在数据治理方面积累了丰富经验,也通过多年来在司法领域的积极尝试以及在产业领域的大力引导,希望向欧洲公司发出明确的政治信号:要么继续押注“美国云”,在客观上削弱欧洲部门,并对欧洲数据主权造成巨大破坏,要么自力更生,依靠OVH、Orange、Telecom Italia等欧洲本土云技术和基础设施,充分捍卫欧洲数据主权的安全与竞争力。有专家提醒,受多重因素影响,欧洲云市场持续增长的同时,欧洲本土企业在欧洲市场中的份额却在持续下降,并在4年时间中从27%下降至13%,且仍处于下滑区间。
如今,“得数据者得天下”已成为各方共识。在此背景下,欧美间围绕数据传输的多年博弈,其本质恰是欧美争夺未来先发优势,根源仍是欧美间仆从与反仆从、控制与反控制、美国优先与欧洲自主等多领域的不可调和的矛盾。其再次凸显出美方在多年固守霸权的过程中,早已过度透支了盟友的信任,传统跨大西洋伙伴关系失去了合作土壤与信任基础,也再次使外界认清了美国霸权的另一种形式就是鼓动商业巨头,无视他国利益与安全顾虑,以贪婪的掘金为本,以傲慢的私利为主,持续侵蚀当地的经济发展红利。对此,欧洲能否真正以自主姿态捍卫自身数据主权,除了与欧洲决策层的政策和战略决心相关,更将考验欧洲未来在短期利益与长期发展、区内建设与全球参与、自主发展与对美规制等多方面的平衡水平与能力。