兩次扳倒美歐數據協議的法律人

俞飛

日前，歐洲法院一錘定音：鑒于美國數據保護未能達到歐盟標準，《歐美隱私盾牌》協定無效。一石激起千層浪，臉書、谷歌等五千余家美國企業叫苦不迭，歐美跨大西洋聯盟再添新裂痕。路透社指出，這一裁決實際上結束了美國公司在獲取歐盟用戶個人數據上的特權。

外界好奇：本案歐洲發起人從何處獲得靈感，想出起訴美國互聯網巨頭的高招？在近十年的一系列跨國訴訟中，他如何見招拆招，贏得多個勝訴判決？美國與歐盟的監控與隱私大戰，究竟誰能笑到最后？

硅谷初識隱私法奧義

鏡頭拉回到2011年春天，硅谷腹地的圣塔克拉拉大學美不勝收，笑迎從世界各地慕名而來的交換生。24歲的奧地利學生施雷姆斯，快步走進法學院教室。一個學期的國際交換機會難得，他迫不及待地想知道美國法律到底和歐洲法律有何不同。

誰能想到，正是這個還長著青春痘的維也納大學研究生，會因為一門隱私法課程的期末論文，掀起將近十年的美歐隱私權大戰，讓臉書、谷歌、亞馬遜等一干美國互聯網巨頭忌憚三分？

機緣巧合，全美重量級隱私法教授格蘭西開設選修課，施雷姆斯有幸成為25名選課學生之一。女教授滿面春風，誨人不倦，提及在歐盟隱私法里至關重要的個人權利——訪問權，即個人數據主體有權訪問與他處理的所有數據。所有歐盟公民有權向擁有自身數據的政府機構或公司，了解和自己信息相關的事項，公司或政府機構必須遵守，違反者必須支付巨額罰款。

格蘭西教授提醒學生：1995年通過的《數據保護指令》是歐盟隱私法的一大亮點，歐盟公民從此獲得法律保障，有權確認公司或機構是否正在處理與他有關的數據;處理的目的;有關數據的類別;有關數據是否披露給了其他主體等。反觀美國法，在這一方面卻存在巨大漏洞，美國公民隱私和數據保護問題主要是在個人和公司之間的合同法中有所體現。

授課之余，教授運用人脈，請來諸多硅谷業界牛人為學生提供寶貴的實操經驗。這時，臉書發展紅透半邊天，公司首席律師埃德·帕爾米耶里應邀參與講座，分享公司隱私保護策略。

施雷姆斯靈機一動，開腔問了埃德一個問題：“請問，臉書公司是否遵守歐盟隱私法？” 這位大名鼎鼎的律師打起了太極，含糊其辭，欲言又止，讓人大失所望。

法律學生的直覺告訴他，臉書立場曖昧，問題非同小可。征得教授同意，他將審視臉書是否遵守歐盟數據保護法作為期末論文選題。說干就干，就從自己的個人信息入手。

6月2日，施雷姆斯正式向臉書公司發出郵件， 作為奧地利公民，他要求依據歐盟法律向其提供和自己個人信息有關的資料。萬萬沒想到，堂堂互聯網巨頭居然使出“拖字訣”，在回信中指責他提供虛假的用戶名，公司愛莫能助。

經過一番艱難交涉，臉書這才死心，無奈地提供一張關于施雷姆斯要求范圍內的原始隱私數據光盤，好家伙，這里面足足有超過1200頁的 PDF文件！

人多力量大！施雷姆斯振臂一呼，創立歐洲起訴臉書網站，號召更多吃瓜群眾向臉書索取個人信息。媒體紛紛報道，超過4萬歐洲網友踴躍加入，結果卻讓人氣結，很多人只得到一個僅提供部分個人信息的數據下載工具。

店大欺客，就憑這仨瓜倆棗還想打發應付咱們？門都沒有！施雷姆斯決定拿起法律武器，向臉書討一個說法！

先投訴后起訴，官司全面開打

要打這場跨國官司，選擇哪家法院來告？民事訴訟基本法理為原告就被告，要是在臉書美國總部起訴，美國聯邦層面并無統一的個人隱私保護法，勝訴難如登天。

就法言法，歐盟處理個人隱私和數據糾紛，需要個人先行向行政機構投訴，再到法院起訴。 經過反復思考，施雷姆斯決定選擇諸多美國跨國公司歐洲總部群集的愛爾蘭。28個歐盟成員國，小小的愛爾蘭何德何能，吸引了如此之多的跨國公司？

原來愛爾蘭經濟長期落后凋敝，20世紀80年代，為吸引美國資本，以超低稅率誘惑跨國公司在本國設立歐洲總部。臉書、谷歌、微軟、推特、蘋果、領英等美國科技公司，都在愛爾蘭注冊歐洲總部，處理個人數據，愛爾蘭蛻變為凱爾特之虎。

誰會想到，美國跨國公司當年一心只想避稅，卻讓愛爾蘭走上了美歐隱私攻防大戰的主戰場。施雷姆斯告訴記者：“總部設在歐洲讓臉書容易受到法律攻擊。這意味著臉書的所有歐洲用戶都與該公司都柏林（愛爾蘭首都）辦事處簽下合同，使臉書需要服從愛爾蘭嚴格的隱私法。”

兵貴神速！一批憤怒的歐盟臉書用戶向愛爾蘭數據保護專員辦公室（DPC）投訴，稱臉書絲毫不尊重歐盟網友個人數據訪問權。 那段時間，雪花般飄來的投訴，讓僅有十幾個員工的DPC陷入癱瘓。

2011年施雷姆斯向DPC提出申訴，要求知道臉書保存了他的哪些信息，并認為臉書所儲存的個人信息受美國國家機構監控，并不安全。2012年2月臉書兩位高管飛往維也納，與他進行了長達6個小時的交涉。臉書公司隨后停止使用面部識別軟件，刪除若干個人數據。

對臉書進行的隱私調查一直沒有下文，DPC對施雷姆斯投訴回應“無事生非，徒增困擾”。大棒高高舉起，輕輕放下。施雷姆斯拍案而起，走上訴訟之路。他痛斥：“這一決定是基于DPC多年來拒絕正式裁決的事實，甚至沒有授予最基本的程序權利（查閱文件、證據或抗辯）。DPC實際上已經停止了所有形式的溝通，并忽略了所有提交的文件。許多觀察人士認為，這可能是基于愛爾蘭的政治和經濟考慮。”

2013年美國國家安全局承包商前雇員斯諾登披露“棱鏡”監聽項目，美國大規模監控活動被公之于眾，全球為之一震。如此大規模的國家監控豈有此理？對此，施雷姆斯的反應是——我的數據被傳到美國后安全嗎？

他以DPC不作為向愛爾蘭高等法院起訴，法官裁決：此案茲事體大，涉及愛爾蘭法律和歐盟法律，優先適用歐盟法律。案子隨即轉交歐盟最高法院審理。

施雷姆斯強調，歐盟數據保護法規規定，歐盟國家公民的個人數據不能傳輸到非歐盟國家，除非這些數據能夠得到有效保護。2000年歐盟委員會與美國簽訂《安全港協議》，允許網絡運營商在美國與歐盟國家之間合法傳輸網絡數據。該協議沒有為個人提供法律救濟，以尋求訪問數據或刪除或修改數據。 2013年斯諾登事件令歐盟委員會這一行政決定受到質疑。安全港制度侵犯他的隱私權、數據保護的基本權利，以及《歐盟基本權利憲章》規定的公平審判權。

世人皆知，美國國家安全局全球監控：從國家元首到恐怖分子、從律師到激進分子、從非法商販到網絡黑客，從公民到企業主。它向元數據和通信發起攻擊，永不滿足地吞噬著元數據：何人在何時何地使用何種機器與何人通話了多久，所有的細節它都想知道。美國國家安全局利用儲存在美國的數據，查看歐盟公民電郵、監聽電話和在線聊天、查閱瀏覽和搜索歷史記錄、通過后門軟件竊取計算機數據。

2015年3月24日法庭上法官發問：“如果我擔心自己的數據被美國當局掌握，你能給出什么建議。”歐盟委員會律師回答：“如果我有臉書賬戶的話，可能會考慮關閉自己的臉書賬戶。”他表示，歐盟委員會無法保證數據保護得到“充分”保障。施雷姆斯表示，這是他在法庭上聽到的最令人震驚的言論。

9月法官發表意見，宣布安全港協議無效，如果第三方國家侵犯了歐盟的權力，個人數據保護機構可以暫停數據傳輸。10月歐盟最高法院裁定：從歐盟傳輸到美國的數據“達不到適當的保護水平”，15年前簽署的《安全港協議》無效。

“維也納數據叛逆者贏了臉書”“奧地利人打敗臉書”，歐洲各大媒體爭相喝彩。

勝利來之不易，施雷姆斯說：“這一裁決對互聯網私人領域是一個里程碑。歐洲法院明確表示，美國大規模監控侵犯了我們的基本權利，對此用戶可以采取理性的法律步驟。”

接受奧地利《皇冠報》采訪時，他說，打官司“是為了阻止針對網上私人空間的違法行為。對于廣大臉書用戶來說，他們不會因為這一判決受到什么限制，只是不用再忍受美國當局把他們的數據傳輸給情報機構用于監控”。

《安全港協議》失效的裁定影響深遠。該判決加強了對歐盟國家公民基本權利的保護。這一判決給歐盟委員會敲了警鐘：本來“棱鏡”丑聞曝光美國情報機構可以不受限制地拿到臉書、谷歌等美國科技公司的用戶數據后，歐盟方面就應立即吸取教訓，采取相應行動。

歐洲法院還裁定DPC要詳盡地處理施雷姆斯的申訴。日后歐盟各國在處理公民在美國的數據保護問詢時，不能袖手旁觀，或者斷然拒絕。

這一裁決對互聯網行業同樣產生深遠影響。臉書、谷歌、微軟、蘋果等多家美國科技公司擁有安全港證書。目前互聯網用戶大部分云服務器設在美國，美國科技企業不得不重新制定數據存儲方案。

2015年12月2日，他向DPC重新提交對臉書的投訴，還向漢堡和比利時數據保護當局發出類似投訴。此外，他在奧地利法院發起群體訴訟，六天吸引2.5萬人參與，要求臉書向每位參與者象征性賠償500歐元。這起“大衛和歌利亞”官司，成為歐洲有史以來最大的隱私集體訴訟。

隱私盾協議無效?

安全港協議失效后，美歐跨境數據流動岌岌可危。通過緊急談判、協商和多輪修改，2016年7月14日雙方正式通過《歐美隱私盾協議》。

美國政府首度書面承諾：以國家安全為由進行的訪問，都必須受到約束和監管，保證不會對根據隱私盾協議轉移到美境內的個人數據進行不加鑒別的、大規模的監視，批量搜集的公民數據只能用于反恐、防擴散、網絡安全等6個特定目的，且不得破壞隱私盾協議的原則。另外，美建立了獨立于國家安全部門之外的監察專員機制，專門負責跟蹤和處理個人提出的投訴和咨詢。

2018年《歐盟通用數據保護條例》（GDPR）正式生效。法規不要求各國政府通過任何授權立法，具有直接約束力和適用性。法規規范搜集或處理歐盟居民的個人數據，也適用于歐盟以外的組織。嚴重違法者，罰款上限是 2000 萬歐元或對企業而言上一年度全球營業收入的4%，兩者擇其大者。根據對超過20000個云服務的調查分析，只有6%的云服務完全符合GDPR。

此后，施雷姆斯根據GDPR對谷歌和臉書提起訴訟，指控它們強迫用戶接受其數據收集政策。三起投訴共涉及39億歐元。2019年1月他對亞馬遜、蘋果音樂、YouTube等公司提出GDPR投訴，稱八家公司對投訴沒有作出回應，未能提供足夠的背景信息，或提供了不足或難以理解的原始數據，這8家公司的最高罰款總額高達188億歐元。

再接再厲。施雷姆斯反對臉書在不對美國的監控機制做防護措施的情況下將自己的數據傳往美國母公司。他援引斯諾登爆料：臉書在美國有義務向國家安全局、FBI提供用戶數據，而用戶對此無法采取任何行動。美國監控法沒有為歐盟的個人數據提供充分的保護。他要求DPC暫停臉書使用標準合同條款，同時提出了一個激進方案：所有與歐洲人相關的數據，必須托管于在歐盟服務器上。

雙方對簿公堂，愛爾蘭法官再次將案子提交給歐盟最高法院審理。臉書所援引的標準合同條款以及《歐美隱私盾協議》是否符合歐盟數據保護法。

日前法官裁定：《歐美隱私盾協議》無法限制美國政府在獲取數據時滿足“與歐盟法律等同”的要求。同時，在美國服務器上存儲的歐盟居民信息使歐洲人可能受到美國政府的監控，但歐洲人沒有應對這種監控的起訴權利，《隱私盾協議》失效。廣泛使用的將個人資料轉移到美國的標準合同條款仍然有效，但企業必須保證目的地國家能夠對個人數據提供充足保障，歐盟數據保護監管機構有權視個案暫停或禁止轉移。

“美國國內法對美國公共當局獲取和使用從歐盟轉移來的此類數據的限制意味著，歐盟的公民的數據不安全。隱私盾沒有對歐盟公民的個人隱私權提供充分的保護。美國政府大規模數據監控計劃使得美國數據公司不可能保護在美國處理和存儲的個人數據的隱私。”法官強調。

《華爾街日報》評論，這是保護隱私活動人士的一次勝利，他們長期以來一直表示，考慮到美國的監控做法，該國不適合存儲歐洲數據。但這一裁決將帶來令人頭疼的法律問題，是以高昂代價將數據中心轉移到歐洲，還是切斷與該地區的業務。

“這一決定直接影響到在美國做生意的歐洲和美國企業，其中超過70%是中小企業。美國將繼續與歐盟密切合作，以找到一種機制，使歐美之間可以進行必要的、不受阻礙的數據傳輸。”美國國務院回應稱，美方對歐洲法院宣布該協定無效深感失望，正在審查這一判決對5300多家歐洲和美國企業的后果與影響，這些公司為雙方帶來數百萬個跨大西洋的工作崗位和超過7.1萬億美元的商業交易。

根據BSA軟件聯盟提交的證據，如果跨境個人數據流動被嚴重中斷或停止，對歐盟GDP的負面影響可能達到0.8% 到 1.3%。這相當于歐洲在2012年經濟衰退期間經濟衰退的3到4倍。

美國與歐盟在個人數據保護之所以松緊程度不同，主因是雙方互聯網產業美強歐弱，歐盟沒有一家強大的數字技術公司。歐洲多年來淪為美國互聯網數據巨頭砧板肉，“數字奴隸”的財富源源不斷的“數字主人”腰包。

加之雙方在隱私保護上存在基本理念差異，美方主張自由至上，歐方推崇個人尊嚴至高無上。對于隱私和個人數據保護，美國堅持靈活保護的策略，致力于通過企業自律機制，輔之以有限的政府執法;歐盟則傾向于通過廣泛的立法和司法救濟，進行高標準的保護。

7月13日歐洲議會研究服務中心發布《歐洲數據主權》研究報告，“非歐盟科技公司的經濟和社會影響力威脅著歐盟公民對其個人數據的控制，并限制了歐盟高科技公司的成長和歐盟及其成員國在數字環境中的立法和執法能力。因此，歐洲必須尋求加強數字領域戰略自主權的新政策方法，以獲得在數字世界中獨立行動的能力”。

美國監控對決歐盟隱私，這一仗關系重大，究竟誰能笑到最后，答案在風中飄蕩……