Meta被罰破記錄金額 美歐數據傳輸之爭對中美有何啟示?
5月22日,Facebook母公司Meta經過多年法律程序之後被愛爾蘭數據保護委員會(DPC)判定違犯歐盟的《一般資料保護規範》(GDPR),將歐盟用戶個人數據傳送到美國,判罰12億歐元,須在5個月內停止向美國傳送相關數據,在6個月內中止在美國處理歐盟用戶的數據,當中包括相關數據的儲存。
此次罰款金額是科技巨頭因違反私隱保護而遭歐盟判罰的最高一次,打破了2021年亞馬遜被盧森堡相關部門判罰7.56億歐元的記錄。不過,Meta已經表明會提出上訴,繼續拖長這個起自2013年斯諾登事件的迂迴曲折法律程序。
大西洋兩岸的私隱差距
案件的爭議起於歐洲和美國之間的個人數據保護之爭。一直以來,歐盟的數據保護都遠勝美國,其中2018年生效的《一般資料保護規範》要求企業在收集或處理用戶個人數據前先要得到用戶同意,並給予人們存取個人數據、要求將數據刪除、反對其處理的權利。
相較之下,美國卻沒有像歐盟般保護個人數據的「一條鞭法」,而是由一系列針對不同層面的聯邦和州法律所拼湊而成,有專門保護醫療資料、財務資料、兒童網上資料的,而加州、維珍尼亞州、科羅拉多州等不同州份也有各自不同的個人資料私隱保障法律。這種混亂無章的法律架構充滿漏洞,一直為人垢病。2021年美國國會參議院有兩黨議員提出《美國數據私隱和保護法案》(ADPPA),希望普遍地落實對個人資料的保障,卻一直未見立法動力。
歐盟與美國在數據保護上的最大爭議,在於美國2008年修訂《外國情報偵察法》(FISA)所加入的「702條款」給予美國政府權力收集海外非美國人的資訊,而在針對外國情報機構和情報人員的時候更不必法庭手令,此等權力被歐盟認為有可能侵犯歐盟公民的私隱。由於廣泛收集用戶數據的科技巨頭幾乎都是美國公司,因而就使人們對歐盟用戶數據被傳送到美國產生憂慮。
跨大西洋數據協議
美歐之間自2000年起先後有過所謂的「安全港(Safe Harbour)協議」和「私隱盾(Privacy Shield)協議」,去確保美歐對用戶個人數據有同等保護,以便雙方數據交流,但最後都被歐洲法院判定不符合歐盟對於歐盟公民的權利保障,未能阻止美國政府未經許可存取歐盟用戶數據。2020年「私隱盾」被歐洲法院駁回之後,美歐之間的個人數據傳輸就陷入了法律上的不確定狀態。
一直以來,Meta等企業以歐盟的「標準契約條款」(Standard Contractual Clauses)作為美國尚未能改善其個人數據保護前將歐盟個人數據傳送到美國的法律基礎。
而歐盟和美國也一直在商談所謂的「歐盟-美國跨大西洋數據協議」(EU-US Transatlantic Data Agreement)以取代此前的「私隱盾」。雙方早在去年3月已表明達成了「原則共識」,提出建立一個由美國政府以外人員組成的數據保護審查法院來處理歐盟公民的私隱申索,而美國的情報部門亦會建立程序來有效監管新的私隱標準。
不過,有關談判到了一年之後的今天依然在「最後階段」——本年4月就有媒體報道指美國官員正在要求歐盟國家提供他們的情報收集不會侵犯非歐盟公民私隱的法律監管和相關補救措施。
Meta本來希望等到預計可在本年達成的「跨大西洋數據協議」落實,再以新的協議作為其將歐盟用戶數據傳送到美國的法律基礎。不過,這次愛爾蘭的判決認定歐盟的「標準契約條款」不足以保障歐盟公民對於自身個人數據的基本權利,因此就變相為Meta的希望和「跨大西洋數據協議」的達成設下了一個為期5個月的期限。
雖然Meta去年曾要脅過可能會退出歐盟市場,不過歐盟國家佔Meta的廣告收入大約10%,其每用戶平均收入也遠高於美加以外的其他地區,此等威脅大概只是擺擺姿態的空談。而由於《一般資料保護規範》的罰則可高達企業全球收入的4%,對Meta而言相當於超過40億歐元,Meta如果最終敗訴的話,也不可能繼續其違法行為。
同一爭議 美歐和中美的不同
美歐的數據傳輸之爭,從結構上看,與中美之間有關TikTok的爭議頗為類似。兩者皆是出於自認為有較高私隱保障的一方擔心對方政府會存取到己方公民的數據,侵犯私隱,並有可能用於潛在的惡意用途。美歐之爭對中美之爭至少有兩個啟示。
其一,要保護公民的個人數據和私隱,需要像歐盟一般以完善自身法制為基礎,而非武斷地針對某一公司或某一國的公司。
當然,歐盟的《一般資料保護規範》在執行上有着重大缺失,例如負責監管Meta的愛爾蘭數據保護委員會似乎出於「國家利益」的考量對Meta從寬處理,要到歐盟其他國家的監管機構集體反對推翻其原初決定後,才有了這次罰款判決,而愛爾蘭方面在其判決文件上也維持了其不同意判決的立場——經過《一般資料保護規範》的5年落實後,歐盟各國的數據保護機構基本上已進入互相言誅筆伐的狀態,大大阻礙規範的執行。
然而,有法可依總好過像美國般的無法可依,只透過政治或輿論壓力要求科技巨頭自律。在管控TikTok的問題上,美國應該向反求諸己的歐盟學習。
其二,不同法律管轄區對數據保護程度和方法的不同,在互聯網的時代,當然會造成數據跨境傳輸上的爭議,但正如美歐的「跨大西洋數據協議」談判一般,各方都應該透過外交協商去有系統地解決爭端。
美國政客往往喜歡拿着中國《國家情報法》第七條來指涉像TikTok般來自中國的科網企業的國家安全威脅。第七條訂明,「任何組織和公民都應當依法支持、協助和配合國家情報工作,保守所知悉的國家情報工作秘密。」此等情況,跟歐盟官員拿着美國的《外國情報偵察法》「702條款」作為擔心歐盟公民私隱被美國政府侵犯的理據,邏輯上完全對稱。
為何歐盟的應對手法是跟美國進行談判,從而試圖建立一套讓大家都能滿意的機制,而美國對於TikTok卻幾乎只留下全面封殺和賣盤的兩難選項?
這個問題的答案當然是美國有意壓制中國企業,又或者是美國部份人真心相信的「紅色恐怖」,兩者皆非出自旨在解決具體問題的工具理性。
中美之間在不同的場域都有不同的爭議,TikTok的個人數據問題只是其中之一。當我們追問中美關係為何轉差、中美對抗為何看似難以避免,人們首先想到的往往是修昔底德陷阱之類的大國競爭講述,而不是各個場域的具體爭端。這種思考模式也許就是這些問題的根本答案。如果中美都能放下大國競爭的大框架,像美歐數據傳輸之爭一般利用工具理性從具體事務着手,或許才會找到避免競爭升級成衝突的惡性循環的出口。