對(duì)于大型科技公司而言，在歐洲的日子怕是越來(lái)越難過(guò)了。在歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效后，2019年當(dāng)之無(wú)愧成為數(shù)據(jù)保護(hù)的執(zhí)法元

對(duì)于大型科技公司而言，在歐洲的日子怕是越來(lái)越難過(guò)了。

在歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效后，2019年當(dāng)之無(wú)愧成為數(shù)據(jù)保護(hù)的執(zhí)法元年：新年伊始，法國(guó)相關(guān)監(jiān)管機(jī)構(gòu)就依據(jù)GDPR向谷歌開(kāi)出了5000萬(wàn)歐元(約合3.8億元人民幣)巨額罰單，理由是谷歌在向用戶定向發(fā)送廣告時(shí)缺乏透明度、信息不足，且未獲得用戶有效許可。

值得注意的是，被稱為GAFA(谷歌Google、蘋(píng)果Apple、臉書(shū)Facebook和亞馬遜Amazon)的科技巨頭均源于美國(guó)，然而美國(guó)目前既沒(méi)有專門(mén)的數(shù)據(jù)保護(hù)法律法規(guī)，也沒(méi)有對(duì)應(yīng)的職能部門(mén)對(duì)此進(jìn)行監(jiān)管。

好消息是，監(jiān)管科技巨頭公司可能是這屆分裂國(guó)會(huì)上，民主黨和共和黨尋求合作的少數(shù)幾個(gè)領(lǐng)域之一。而對(duì)于GAFA巨頭而言，他們是選擇合作還是選擇對(duì)抗?

“如果像歐盟這樣的美國(guó)重要貿(mào)易伙伴實(shí)行嚴(yán)格的隱私信息保護(hù)，這對(duì)于美國(guó)來(lái)說(shuō)不可能沒(méi)有任何影響。”德國(guó)漢堡Wen & Schomerus 律師事務(wù)所創(chuàng)使合伙人溫天敏對(duì)第一財(cái)經(jīng)記者表示，這個(gè)信息肯定不會(huì)被美國(guó)的政治家及相關(guān)人員忽視。

新年伊始，法國(guó)相關(guān)監(jiān)管機(jī)構(gòu)依據(jù)GDPR向谷歌開(kāi)出了5000萬(wàn)歐元巨額罰單

GDPR生效，先罰谷歌5000萬(wàn)歐元

向來(lái)注重隱私的歐洲能孕育出GDPR并不令人意外。

溫天敏對(duì)第一財(cái)經(jīng)記者表示，普遍來(lái)說(shuō)，德國(guó)民眾是比較注重個(gè)人信息保護(hù)的，比如相當(dāng)部分的民眾都堅(jiān)持在商店里使用現(xiàn)金購(gòu)買商品，以便其個(gè)人信息不被除自己之外的人員和機(jī)構(gòu)掌握。

為此，GDPR的效力層級(jí)在歐盟是“條例”，編號(hào)為EU-DSGVO，其效力僅次于憲法。咨詢公司埃森哲則在最近一份報(bào)告中直接將GDPR形容為“近二十年來(lái)數(shù)據(jù)隱私規(guī)則領(lǐng)域發(fā)生的最重要變化”。

埃森哲在上述報(bào)告中指出，GDPR要求責(zé)任共擔(dān)。在過(guò)去，收集和使用數(shù)據(jù)的數(shù)據(jù)擁有者需要對(duì)數(shù)據(jù)保護(hù)負(fù)責(zé)。如今，史無(wú)前例地，數(shù)據(jù)處理者(如提供數(shù)據(jù)處理服務(wù)的云服務(wù)提供商等)也需要直接承擔(dān)合規(guī)風(fēng)險(xiǎn)和義務(wù)。在數(shù)據(jù)保護(hù)上，數(shù)據(jù)供應(yīng)鏈自上而下的各方都會(huì)被問(wèn)責(zé)。網(wǎng)絡(luò)公司必須與合作伙伴們明確各自的責(zé)任和義務(wù)。

如不遵守GDPR，后果很嚴(yán)重。埃森哲指出，GDPR增加了數(shù)據(jù)保護(hù)的強(qiáng)制性和責(zé)任性，對(duì)違規(guī)的處罰金額提高到2000萬(wàn)歐元或企業(yè)全球年?duì)I業(yè)額的4%(二者取較高值)。

據(jù)第一財(cái)經(jīng)記者統(tǒng)計(jì)，目前在28個(gè)歐盟國(guó)家中，已有21個(gè)國(guó)家將GDPR融入了國(guó)內(nèi)法，其余國(guó)家也紛紛于去年就GDPR的推行問(wèn)題開(kāi)展了公開(kāi)討論或提出修訂草案，一些已經(jīng)進(jìn)入了立法程序。

也就是在此背景之下，前述法國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)國(guó)家信息與自由委員會(huì)(CNIL)向谷歌開(kāi)出了5000萬(wàn)歐元的罰單。此前，CNIL接到了來(lái)自NOYB和LQDN兩家非營(yíng)利性組織對(duì)谷歌的投訴。

在調(diào)查中，CNIL發(fā)現(xiàn)，在透明度問(wèn)題上，谷歌將數(shù)據(jù)處理目的、數(shù)據(jù)存儲(chǔ)周期及用于個(gè)性化廣告的個(gè)人數(shù)據(jù)分類等關(guān)鍵信息分布在不同的頁(yè)面，這造成用戶不得不額外進(jìn)行5-6次的點(diǎn)擊操作才能夠看到相關(guān)的完整信息。

在個(gè)性化廣告處理上，根據(jù)CNIL的觀察，谷歌也將相關(guān)信息分散在不同的文檔中，這讓用戶無(wú)法了解到其使用程度;當(dāng)用戶創(chuàng)建賬戶時(shí)，不僅要通過(guò)點(diǎn)擊“更多選擇”的按鈕才能夠到配置頁(yè)面，且其中展示個(gè)性化廣告的按鈕是默認(rèn)已選的狀態(tài)，此外，如果用戶一旦勾選同意服務(wù)的選項(xiàng)即相當(dāng)于同意谷歌進(jìn)行所有處理操作，這有違GDPR要求須為每一個(gè)目的“具體”給出許可的規(guī)定。

CNIL指出，谷歌這種對(duì)GDPR規(guī)定的違反是長(zhǎng)期持續(xù)的，整體上違背了GDPR在透明度、信息披露和明示等三大要素的要求。

目前谷歌對(duì)該案件提出了上訴。但監(jiān)管方對(duì)其他科技公司發(fā)起的投訴遠(yuǎn)遠(yuǎn)沒(méi)有結(jié)束。前述將谷歌告上法國(guó)監(jiān)管機(jī)構(gòu)的NOYB在1月18日再次發(fā)布公告表示，已經(jīng)以違反GDPR第15條“用戶對(duì)數(shù)據(jù)的訪問(wèn)權(quán)”的名義將包括亞馬遜、蘋(píng)果等8家科技企業(yè)告上奧地利相關(guān)監(jiān)管機(jī)構(gòu)。

而根據(jù)前述“2000萬(wàn)歐元或企業(yè)全球年?duì)I業(yè)額的4%(二者取較高值)”罰金的原則，外媒計(jì)算出這8家最高罰款的總額理論上可達(dá)到188億歐元。

美國(guó)追趕歐盟GDPR腳步

美國(guó)立法者對(duì)于GDPR，可謂五味雜陳。實(shí)際上，不少美國(guó)數(shù)據(jù)政策專家認(rèn)為，美國(guó)正在失去這一領(lǐng)域的領(lǐng)導(dǎo)者角色。

美國(guó)聯(lián)邦貿(mào)易委員會(huì)首席隱私官馬克·格羅曼就指出，“GDPR正在推動(dòng)全球?qū)υ?，?dāng)別的國(guó)家想要打造自己的硅谷時(shí)，它們更多地關(guān)注歐洲模式。”

在萬(wàn)豪酒店數(shù)據(jù)庫(kù)遭黑客入侵事件以及劍橋分析公司(Cambridge Analytica)丑聞發(fā)酵之后，深受震動(dòng)的美國(guó)參議員拋出了《社交媒體隱私和消費(fèi)者權(quán)利法案》等立法，試圖尋找在公司使用數(shù)據(jù)的方式與人的隱私權(quán)之間的平衡點(diǎn)。

在州一級(jí)層面，已經(jīng)有案例顯示美國(guó)正在效仿GDPR：2018年6月29日，美國(guó)加利福尼亞州就簽署了一項(xiàng)數(shù)據(jù)隱私法案，里面不少條款同GDPR中的核心條款相同。該法案將從2020年1月開(kāi)始生效，并適用于加利福尼亞州用戶(硅谷所在地)。該法案規(guī)定，對(duì)于掌握超過(guò)5萬(wàn)人信息的公司，用戶有權(quán)查閱自己的哪些數(shù)據(jù)被收集，并要求公司刪除自己的數(shù)據(jù)，以及拒絕將數(shù)據(jù)賣給第三方。單次違法將被處以7500美元的罰款。

目前，新一屆美國(guó)國(guó)會(huì)的注意力也轉(zhuǎn)向了數(shù)據(jù)保護(hù)中的重點(diǎn)領(lǐng)域：公司必須告訴用戶們持有的數(shù)據(jù)有多少，用戶對(duì)該數(shù)據(jù)有何控制程度，以及公司在數(shù)據(jù)泄露時(shí)將面臨怎樣的處罰。

GAFA等科技巨頭在這一過(guò)程中的態(tài)度頗令人玩味?？紤]到州立法恐怕更加嚴(yán)厲(譬如在加利福尼亞州出現(xiàn)的情況)，GAFA巨頭們反而傾向于接受在聯(lián)邦政府一級(jí)設(shè)立隱私法的必要性。

這是因?yàn)?，根?jù)美國(guó)憲法的至高條款(Supremacy Clause)，當(dāng)聯(lián)邦法律與地方法律發(fā)生沖突時(shí)，聯(lián)邦法優(yōu)先于州法。

谷歌首席執(zhí)行官皮查伊(Sundar Pichai)在2018年12月中旬的一次聽(tīng)證會(huì)上說(shuō)，“我認(rèn)為我們最好為用戶提供更多的整體數(shù)據(jù)保護(hù)框架。我認(rèn)為這樣做會(huì)很好。”

蘋(píng)果首席執(zhí)行官庫(kù)克(Tim Cook)今年早些時(shí)候也呼吁聯(lián)邦隱私立法。微軟首席執(zhí)行官納德拉在參加2019年世界經(jīng)濟(jì)論壇期間則表示，對(duì)歐盟去年推出新的GDPR數(shù)據(jù)隱私法表示贊賞，稱這是“一個(gè)極好的開(kāi)端”。

他并指出，對(duì)數(shù)據(jù)保護(hù)立法的改革不應(yīng)該停留在歐洲，美國(guó)和世界其他國(guó)家也應(yīng)該效仿。

“我希望在美國(guó)我們也會(huì)有類似的東西。”納德拉稱，“事實(shí)上，我希望世界各地都能達(dá)成共同標(biāo)準(zhǔn)。”

華盛頓智庫(kù)信息技術(shù)與創(chuàng)新基金會(huì)的政策分析師麥奎因(Alan McQueen)指出了科技巨頭們傾向于合作的背后原因：統(tǒng)一的監(jiān)管機(jī)制可以降低應(yīng)對(duì)不同監(jiān)管制度所產(chǎn)生的額外成本。

在加州隱私法通過(guò)后，“科技行業(yè)現(xiàn)在正試圖避免美國(guó)制定出四分五裂的隱私規(guī)則。”麥奎因表示，在更高的透明度、數(shù)據(jù)可移植性、消費(fèi)者訪問(wèn)(consumer access)以及針對(duì)濫用私人數(shù)據(jù)的新執(zhí)法機(jī)制的需求上，美方可能已形成了共識(shí)。

對(duì)外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心執(zhí)行主任許可在接受第一財(cái)經(jīng)記者采訪時(shí)表示，雖然美國(guó)會(huì)加強(qiáng)個(gè)人數(shù)據(jù)和個(gè)人隱私的保護(hù)，但美國(guó)走的是和歐盟完全不同的路，其原因有三。

首先，最大的不同在于法律制度和雙方立法傳統(tǒng)的不同：歐盟想通過(guò)一種自上而下的立法，形成統(tǒng)一的執(zhí)法，去調(diào)控、進(jìn)行數(shù)據(jù)保護(hù)。而美國(guó)更傾向于利用分散的行業(yè)市場(chǎng)的力量，通過(guò)非成文法的方式去提供保護(hù)。其次，美國(guó)同歐盟的信念不同：二戰(zhàn)以后，歐盟對(duì)個(gè)人的保護(hù)、對(duì)個(gè)人信息的保護(hù)是深入骨髓的，而美國(guó)人不可能像歐洲人那樣去看待個(gè)人數(shù)據(jù)。

第三，從經(jīng)濟(jì)層面來(lái)說(shuō)，歐盟在全球的數(shù)字經(jīng)濟(jì)市場(chǎng)中并不占優(yōu)勢(shì)，缺乏大企業(yè)。許可指出，全球有三分之二的科技企業(yè)都是美國(guó)的互聯(lián)網(wǎng)公司，因此從統(tǒng)計(jì)層面上來(lái)說(shuō)，美方也不可能出臺(tái)對(duì)企業(yè)嚴(yán)重不利的政策。

關(guān)鍵詞： 歐盟GDPR 重罰谷歌 美國(guó)