不滿美國監控做法 歐盟隱私監管機構下令FB停止向美傳輸歐洲用戶數據

一位知情人士說，儘管這一命令只針對Facebook，但該公司可能成為其他美國科技公司的榜樣。他補充說，這關係到美國是否可能被迫修改其監控法，以恢復數據傳輸。

騰訊科技訊 歐盟隱私監管機構已經下令社交媒體巨頭Facebook停止向美國傳輸該公司收集的歐洲用戶數據，理由是對美國政府監控做法感到不滿和擔憂。

據知情人士透露，歐盟隱私監管機構——愛爾蘭數據保護委員會(DPC)已經於8月末向Faceboook發出一項初步命令，要求該公司暫停向美國傳輸其歐盟用戶的數據。這對該公司來說是個新的運營和法律挑戰，也可能會為歐盟監管機構應對其他科技巨頭的類似做法開創先例。

知情人士說，這是歐盟監管機構為執行7月份關於歐盟最高法院數據傳輸的裁決而採取的第一個重要行動。這項裁決限制了Facebook等外國大型科技公司將歐洲用戶的個人數據發送到美國境內的方式，因為法院發現歐洲用戶沒有有效的方式來挑戰美國政府實施的大量監控。

為了遵守DPC的初步命令，Facebook很可能不得不重新設計其服務，以獨立處理其從歐洲用戶那裡收集的大部分數據。或者完全停止為歐中用戶提供服務，至少是暫時停止。如果不遵守命令，DPC將有權對Facebook處以相當於其年收入4%的罰款，即28億美元。

Facebook首席政策和溝通主管尼克·克萊格(Nick Clegg)證實，作為調查的一部分，DPC表示，Facebook實際上不能再利用廣泛使用的協議進行歐盟與美國之間的數據傳輸。克萊格說：「缺乏安全、合法的國際數據傳輸將損害經濟，並阻止歐盟出現數據驅動型企業，就像我們從新冠疫情中尋求復甦一樣。」DPC拒絕置評。

這項初步命令可被視為歐洲隱私維權人士的勝利，他們在監管機構和法庭上爭論了近十年時間，認為他們的數據不應該發送到美國或保存在美國，因為這些數據可能會在秘密要求下移交給政府。

這也是對在歐洲有業務的大型科技公司以及它們極力促進的跨大西洋貿易的警告。一位知情人士說，儘管這一命令只針對Facebook，但該公司可能成為其他美國科技公司的榜樣。這位知情人士補充說，這關係到美國是否可能被迫修改其監控法，以恢復數據傳輸。

科技倡導者說，阻止大型科技公司向美國傳輸數據可能會顛覆數十億美元的跨境數據活動，包括雲計算服務、人力資源和營銷，因為這些活動涉及從美國領土訪問或存儲歐洲用戶的信息。倡導者補充說，類似的舉措也可以用來阻止向其他國家轉移數據，歐盟法院認為美國監控法侵犯了人權。

可以肯定的是，DPC發布的命令是初步的，在最終敲定之前可能會進行修改，這個過程可能需要幾個月的時間。DPC負責領導歐盟對Facebook的隱私執法，因為該公司的地區總部設在這個國家，但愛爾蘭的隱私監管機構必須在跨境案件中與其他歐盟國家的同行進行協調。

知情人士說，DPC已經要求Facebook在9月中旬之前對這一命令做出回應。而在考慮了Facebook的回應後，DPC計劃根據歐盟隱私法的一項合作條款，向其他歐盟國家的26個隱私監管機構發送一份新的命令草案，以供共同批准。

Facebook也可能在法庭上挑戰這一命令。一位知情人士說，在公司內部，Facebook認為DPC的初步命令及其未來影響是一件大事。其他知情人士說，由於其敏感性，該命令的存在正在Facebook內部密切保密，而高管和律師將決定如何做出回應。

自7月份的裁決公布以來，歐盟執行機構歐盟委員會(EC)和美國官員已經開始談判，以建立一種新的方式，讓公司將歐洲用戶的數據發送到美國，以符合法院的要求。但歐盟司法專員迪迪埃·雷恩德斯(Didier Reynders)上周在歐洲議會表示，「不會有快速解決方案」。

有些隱私權律師表示，美國需要修改其監控法，以解決歐盟法院的擔憂。但美國方面說，它的監視做法是合理的，並在法庭上辯稱，歐盟不應該對美國的國家安全做法行使管轄權。

現在的焦點是歐盟的隱私監管機構，看看他們是如何執行7月份裁決的，代表歐盟隱私監管機構的一個委員會上周宣布成立特別工作組來解決這個問題。DPC的行動始終受到密切關注，因為除了Facebook之外，它還領導著歐盟對幾家大型科技公司的隱私執法，包括谷歌、蘋果以及Twitter。

歐盟和美國在跨大西洋數據傳輸問題上就如何平衡隱私和商業行為而爭吵了20多年，DPC命令Facebook停止向美國發送歐洲用戶數據的計劃標誌著一個重大轉變。2015年，歐盟最高法院宣布一項向美國傳輸此類信息的主要法律機制無效。但威脅最終大多是理論上的，沒有任何公司真正停止發送個人信息，數據流動也從未停止。

爭論的焦點是歐盟隱私法的一條基本規定，該規定可以追溯到20世紀90年代。按照規定，公司將歐盟居民的個人信息發送到世界另一地區屬於非法行為，因為該地區基本上沒有提供與歐盟同等的隱私保護，除非在某些有限的情況下。美國沒有全國性的數據隱私法，但在醫療保健等領域有更多針對行業的監管，不過依然沒有達到歐盟的標準。

為了保持數據流動，美國和歐盟在20世紀90年代末通過談判推出了一個特殊的系統，名為「安全港」(Safe Harbor)。在該系統中，將歐洲數據發送到美國的公司可以選擇加入由美國政府執行的歐盟式規則。公司也有其他選擇將數據發送到海外，例如使用預先批准的歐盟合同語言，稱為《標準合同條款》。在該條款中，公司承諾維護歐洲的隱私標準。

對這些系統的法律挑戰始於2013年，當時美國國家安全局(NSA)前合同工愛德華·斯諾登(Edward Snowden)洩露了美國政府監控做法的細節。一位名叫馬克斯·施雷姆斯(Max Schrems)的隱私權活動家認為，「安全港」系統將他在Facebook上的信息暴露給了美國政府。歐盟法院對此表示同意，並在2015年推翻了這一制度。

歐盟和美國很快制定了一個名為「隱私盾牌」(Privacy Shield)的替代框架，增加了一些額外的保護，比如在美國國務院設立監察員來處理歐洲用戶的投訴。但7月份的法院裁決也推翻了這一制度，稱美國仍然沒有向歐洲居民提供挑戰監控的可訴權。

企業最初感到欣慰的是，7月份的裁決沒有同時宣布所謂的《標準合同條款》無效，而是表示，企業必須評估它們發送數據的國家的法律是否允許它們確保受到歐盟法律的充分保護。Facebook是今年夏天表示將依靠這些標準合同條款將數據傳輸到美國的幾家公司之一，因為「隱私盾牌」已經不再有效。

但DPC發出暫停數據傳輸的初步命令表明，它發現根據裁決，這些標準條款依然不夠，至少在Facebook的案例中是這樣。如果這一理由成立，這樣的條款可能也會被裁定對其他大型科技和電信公司無效，這些公司和Facebook一樣，屬於歐盟法院裁決中討論的美國監控法的管轄範圍，包括《外國情報監視法案》第702條。

由施雷姆斯創立的隱私倡導組織Noyb在8月份向歐盟多個隱私監管機構提交針對101家歐洲網站的隱私投訴時，使用了這一理由，並利用歐盟法院的裁決辯稱，這些網站必須停止使用美國的技術提供商發送數據。

Facebook和其他大型科技公司可能不得不停止向美國發送數據，這增加了制定允許此類傳輸的替代框架的努力的賭注。除了與美國就用新系統取代「隱私盾牌」進行談判外，歐盟委員會表示，它還在更新《標準合同條款》的措辭。但目前還不清楚這樣的更新將如何解決法院擔心的監控問題。 （騰訊科技審校/金鹿）