Meta威脅退出歐洲背後折射的數據主權之爭
Meta近期向美國證券交易委員會(SEC)提交10-K文件稱,“如果新的跨大西洋數據傳輸框架無法達成,那麼Meta將無法繼續依照《標準合同條款》(SCC)或是其他替代數據傳輸手段,將用戶數據從歐洲傳回美國,可能就無法在歐洲市場提供Facebook、Instagram等諸多產品與服務。”(注:《標準合同條款》是歐盟委員會批准的歐盟與非歐盟國家之間的數據傳輸規定)
超過四億人口的歐盟市場,扎克伯格怎麼會捨得放棄?當然不會。那為什麼Facebook母公司Meta還要公開威脅退出歐盟市場?
真要退出歐盟市場?
這種表述是必須的。因為根據SEC的監管要求,上市公司必須披露可能影響業務與營收的重大事宜。但這種措辭更像是Meta對歐盟的威脅姿態:如果歐盟政府不接受數據傳輸協議,那麼Facebook寧可退出歐洲市場。
歐盟顯然對Meta這種強硬姿態非常不滿,他們也表現出了毫不退讓的姿態。負責擬定歐盟數據保護法規的歐盟委員沃斯(Axel Voss)公開表示,Meta不可能要挾歐盟放棄自己的數據保護標準,離開歐盟市場只是他們自己的損失。
或許擔心觸怒歐盟,Meta隨後又作出了澄清:“公司沒有意願也沒有計劃,退出歐洲市場,但簡單的事實是,Meta和其他諸多企業、機構與服務都依賴於美歐數據傳輸來提供全球業務。因此,Meta正密切關注歐洲業務可能受到的影響。”
歐盟是Meta最重要的市場之一,營收貢獻僅次於北美市場。2021年Meta從歐盟地區獲得了290億美元的營收,約佔年度營收1180億美元的四分之一。而且去年歐盟市場營收增長接近一半,也是Meta增長最為樂觀的市場。
考慮到蘋果iPhone的隱私新規已經給Facebook帶來了沉重損失,預計Meta每年營收會因此下滑100億美元左右(2021年營收1180億美元)。這種情況下,扎克伯格絕無可能與歐盟叫板。
美歐隱私協議無效
那麼,Meta和歐盟到底在鬧什麼呢?這件事背後的核心跨大西洋數據傳輸。Facebook母公司Meta目前陷入了與歐洲監管部門的僵局。雙方對峙的核心是Meta旗下諸多社交產品的數據屬地。而谷歌、Twitter等互聯網公司也面臨著相似的處境。
在此之前,Meta等5000多家互聯網公司都是依照2016年歐美共同達成的《美歐隱私協議》(EU-US Privacy Shield)這一監管框架。他們在歐洲市場提供互聯網服務,將用戶數據傳輸回美國本土服務器,只需要遵守《標準合同條款》。
但情況在2020年7月發生了重大轉變。歐盟法院(CJEU)認定這一協議無效作廢,歐盟需要與美國重新制定新的隱私保護協議。原因很簡單,歐盟法院認為美國政府無法有效保護歐盟用戶的數據安全與個人隱私。
具體而言,歐盟法院認為美國基於所謂國家安全進行的政府監控項目(包括《外國情報監控法》),允許政府收集外國用戶相關信息,沒有明確限制監控的試用範圍,沒有達到嚴格必要以及直接相關的情報收集標準,導致歐盟用戶的數據在美國無法獲得與歐盟境內同等的保護,違反了《歐盟基本權利憲章》。
事件的緣由是前美國國家安全局外包人員斯諾登(Edward Snowden)在2013年5月曝光的“棱鏡門事件”。根據《外國情報監控法》等美國聯邦法律,國家安全局等聯邦機構可以要求諸多互聯網公司交出他們存儲的用戶數據。當然,其中也包括了歐盟用戶的數據。事件曝光之後,2013年10月,奧地利隱私維權人士、律師謝里姆(Max Schrems)在歐盟法庭就這一條款向Facebook提出了訴訟。歐盟法庭認定美國的數字隱私法律不足以保證歐洲用戶數據安全,尤其是考慮到來自美國政府的大規模監視活動。
2020年7月,歐盟法院就此案作出判據,認定《美歐隱私協議》無效,需要重新擬定。這個判決又被稱為Scherem II。與此同時,歐盟法院繼續認可《標準合同條款》(SCC)的有效性,但要求監管部門和各家公司以個案審核的方式確定外國政府的數據獲取是否符合歐盟標準。
因此,在重新擬定新數據傳輸框架的這段時間,歐盟法院允許各家互聯網公司根據《標準合同條款》,將歐盟用戶數據傳輸到另外一個國家,繼續遵守歐盟在2018年通過的《通用數據保護法規》(GDPR)。
Meta等待數據傳輸新規
這個起訴案件雖然影響到所有互聯網公司,但直接針對的是Facebook。在歐盟法院作出這一判決之後,2020年8月Facebook歐洲總部所在的愛爾蘭法庭發出初步命令,要求他們停止將歐盟用戶數據傳回美國,等待安全性評估。愛爾蘭監管部門數據保護委員會在初步評估了Meta的數據傳輸問題之後,表示他們暫時無法解決法律僵局。
因為新規擬定耗時長久,所以一個月之後歐盟決定給予Facebook暫時性豁免,允許他們繼續根據《標準合同條款》來傳輸用戶數據,等待歐盟公佈新的隱私保護協議。愛爾蘭數據保護委員會會在今年上半年公佈最終法規。
這就是Facebook提交那個10-K文件預警風險的背景。Meta在監管文件中表示,如果愛爾蘭監管部門在未來數月給出最終決定,認定Meta目前的數據隱私保護條款不符合歐盟標準,那麼Meta就無法將用戶數據從歐盟傳輸到其他國家(即美國),意味著就無法在歐盟地區繼續提供服務。
Meta對此解釋稱,如果歐盟法律禁止他們傳輸數據,他們的商業模式就會遭到破壞,Meta無法在歐盟地區提供諸多社交服務,會嚴重影響到公司的業務、財務和運營狀況。
但是,如果屆時Meta無法滿足歐盟的新規定,無法將歐盟數據傳回美國的話,那麼Meta就面臨幾個選擇:1、關閉歐盟地區的用戶數據服務;2、根據歐盟新規定在當地設立服務器單獨存儲數據;3、按照全球營收標準繳納至多4%的罰金,相當於一年30-40億美元。
這種美歐監管部門之間的對峙直接影響到了諸多互聯網公司。受到影響的並不只是Meta,去年12月奧地利數據保護局(DPA)判定奧地利一家網站使用谷歌分析(Google Analytics,數據服務器位於美國)違反了歐盟在2018年通過的《通用數據保護法規》(GDPR)。
歐盟對美失去信任
顯而易見,這個問題的核心並不在於歐盟故意為難美國互聯網公司,而是歐盟對美國政府的不信任。要解開問題的關鍵也是歐盟與美國就數據隱私保護達成新的協議。
歐盟的最初要求很明確,美國政府修改數據保護法,達到與歐盟法律相等的保護程序。但美國政府則希望通過談判來化解分歧,提供歐盟可以接受的數據接入規定與隱私保護手段。需要補充的是,英國並不是歐盟成員,英美之間的數據傳輸並不受到這一問題影響。
從2020年夏天開始,歐美監管部門已經就數據保護問題進行了將近兩年的談判,但直到拜登政府上台之後,雙方才開始逐步化解這一分歧。美國商務部長雷蒙多(Gina Raimondo)此前表示,拜登政府將與歐盟達成新的數據保護框架視為一大優先問題,他們正積極與歐盟進行談判。
據美國媒體的報導,雙方已經接近達成初步一致。如果歐盟公民認為美國國家安全機構非法處理自己的用戶數據,允許他們向一家獨立的司法機構提出訴訟。諷刺的是,根據這一安排,屆時歐盟公民可能會享受到比美國公民更多的數據保護權利。
今天夏天歐盟與美國可能會達成Privacy Shield 2.0協議。然而,這一新框架協議也需要通過歐盟委員會的批准,屆時可能會面臨新的法律挑戰。因為根據美國《外國情報監視法》(FISA)的702條款,美國情報部門依然可以要求諸多雲服務商提供數據。
此外,歐盟委員會也在修訂自己的《標準合同條款》,去年通過了兩套新標準,既涉及到個人數據傳輸到第三國的跨境傳輸要求,也涉及到數據控制者和數據處理者之間的委託傳輸要求。新標準擬定之後,中小企業可以更為清晰地了解如何合規進行跨境數據傳輸。
跨太平洋之間的數字經濟對美國科技行業乃至整個經濟意義重大。美國商會2017年的數據顯示,美國數字服務出口占據了美國服務業出口總額的55%,在美國服務業貿易順差中貢獻了68%。其中,美國對歐盟的數字服務出口總額高達2042億美元,帶來了800億美元的服務業貿易順差。以流量來看,歐美之間的數據流動比美國與亞太之間的數據流動高出了50%。
然而,斯諾登曝光的棱鏡門事件嚴重損害了歐盟對美國這個夥伴的信任。但即便如此,歐盟也沒有製定“數據主權”的相關法律,強制要求本地用戶生成的數據必須保存在本地,只是要求和美國就用戶數據及隱私保護達成一致。
對於那些在歐盟運營的中國互聯網公司,跨境的數據傳輸同樣需要遵守《標準合同條款》和2018年的《通用數據保護條例》(GDPR)。但中國並不在歐盟充分性認定的國家與地區之列,需要單獨簽署跨境傳輸的《標準合同條款》,未來法律環境評估前景。因此,在歐盟境內設有實體的中國企業,通常會在本地設立服務器來存儲數據。
數據主權界限分明
數據主權是互聯網過去十年興起的概念,是國家主權在網絡空間中的延續,體現主權國家對本國數據傳輸以及處理的獨立自主權利。儘管歐盟和美國在跨大西洋數據傳輸領域產生了分歧,也影響到了Meta等互聯網巨頭的業務,但歐美之間並不存在數據主權的分歧。
全球數據主權最明顯的邊界存在於中美以及美俄之間。2019年美國通過《國家安全與個人數據保護法》,將中國與俄羅斯等國定為可能威脅國家安全的特別關注國家(COC),也設定了特別關注的科技公司(CTC)。
在涉及到COC和CTC的數據傳輸、使用和存儲設定了嚴格要求,明文規定不得在CTC國家的服務器上存儲美國公民用戶數據。但即便TikTok、微信等科技公司並未將美國用戶數據存在中國服務器,2020年美國總統特朗普依然以危害國家安全的名義對兩家公司進行製裁。(兩家公司通過訴訟推遲了製裁實施,而拜登上台之後取消了訴訟。)
另一方面,中國也先後頒布了《網絡安全法》、《數據安全法》、《個人信息保護法》、等法律,實現了中國數據主權的具體落地與完善立法。這三部法律對中國用戶數據設立了明確的要求,“在中華人民共和國境內開展數據處理活動”,這其中包括了數據的收集、存儲、使用、加工、傳輸等方面。
值得一提的是,正是在2017年的《網絡安全法》頒布之後,蘋果根據法規要求與雲上貴州達成合作,從2018年3月起將中國大陸的iCloud用戶轉到雲上貴州來管理。(新浪科技鄭峻發自美國矽谷)