對于大型科技公司而言，在歐洲的日子怕是越來越難過了。在歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效后，2019年當(dāng)之無愧成為數(shù)據(jù)保護(hù)的執(zhí)法元

對于大型科技公司而言，在歐洲的日子怕是越來越難過了。

在歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效后，2019年當(dāng)之無愧成為數(shù)據(jù)保護(hù)的執(zhí)法元年：新年伊始，法國相關(guān)監(jiān)管機(jī)構(gòu)就依據(jù)GDPR向谷歌開出了5000萬歐元(約合3.8億元人民幣)巨額罰單，理由是谷歌在向用戶定向發(fā)送廣告時缺乏透明度、信息不足，且未獲得用戶有效許可。

值得注意的是，被稱為GAFA(谷歌Google、蘋果Apple、臉書Facebook和亞馬遜Amazon)的科技巨頭均源于美國，然而美國目前既沒有專門的數(shù)據(jù)保護(hù)法律法規(guī)，也沒有對應(yīng)的職能部門對此進(jìn)行監(jiān)管。

好消息是，監(jiān)管科技巨頭公司可能是這屆分裂國會上，民主黨和共和黨尋求合作的少數(shù)幾個領(lǐng)域之一。而對于GAFA巨頭而言，他們是選擇合作還是選擇對抗?

“如果像歐盟這樣的美國重要貿(mào)易伙伴實(shí)行嚴(yán)格的隱私信息保護(hù)，這對于美國來說不可能沒有任何影響。”德國漢堡Wen & Schomerus 律師事務(wù)所創(chuàng)使合伙人溫天敏對第一財經(jīng)記者表示，這個信息肯定不會被美國的政治家及相關(guān)人員忽視。

新年伊始，法國相關(guān)監(jiān)管機(jī)構(gòu)依據(jù)GDPR向谷歌開出了5000萬歐元巨額罰單

GDPR生效，先罰谷歌5000萬歐元

向來注重隱私的歐洲能孕育出GDPR并不令人意外。

溫天敏對第一財經(jīng)記者表示，普遍來說，德國民眾是比較注重個人信息保護(hù)的，比如相當(dāng)部分的民眾都堅持在商店里使用現(xiàn)金購買商品，以便其個人信息不被除自己之外的人員和機(jī)構(gòu)掌握。

為此，GDPR的效力層級在歐盟是“條例”，編號為EU-DSGVO，其效力僅次于憲法。咨詢公司埃森哲則在最近一份報告中直接將GDPR形容為“近二十年來數(shù)據(jù)隱私規(guī)則領(lǐng)域發(fā)生的最重要變化”。

埃森哲在上述報告中指出，GDPR要求責(zé)任共擔(dān)。在過去，收集和使用數(shù)據(jù)的數(shù)據(jù)擁有者需要對數(shù)據(jù)保護(hù)負(fù)責(zé)。如今，史無前例地，數(shù)據(jù)處理者(如提供數(shù)據(jù)處理服務(wù)的云服務(wù)提供商等)也需要直接承擔(dān)合規(guī)風(fēng)險和義務(wù)。在數(shù)據(jù)保護(hù)上，數(shù)據(jù)供應(yīng)鏈自上而下的各方都會被問責(zé)。網(wǎng)絡(luò)公司必須與合作伙伴們明確各自的責(zé)任和義務(wù)。

如不遵守GDPR，后果很嚴(yán)重。埃森哲指出，GDPR增加了數(shù)據(jù)保護(hù)的強(qiáng)制性和責(zé)任性，對違規(guī)的處罰金額提高到2000萬歐元或企業(yè)全球年營業(yè)額的4%(二者取較高值)。

據(jù)第一財經(jīng)記者統(tǒng)計，目前在28個歐盟國家中，已有21個國家將GDPR融入了國內(nèi)法，其余國家也紛紛于去年就GDPR的推行問題開展了公開討論或提出修訂草案，一些已經(jīng)進(jìn)入了立法程序。

也就是在此背景之下，前述法國數(shù)據(jù)保護(hù)機(jī)構(gòu)國家信息與自由委員會(CNIL)向谷歌開出了5000萬歐元的罰單。此前，CNIL接到了來自NOYB和LQDN兩家非營利性組織對谷歌的投訴。

在調(diào)查中，CNIL發(fā)現(xiàn)，在透明度問題上，谷歌將數(shù)據(jù)處理目的、數(shù)據(jù)存儲周期及用于個性化廣告的個人數(shù)據(jù)分類等關(guān)鍵信息分布在不同的頁面，這造成用戶不得不額外進(jìn)行5-6次的點(diǎn)擊操作才能夠看到相關(guān)的完整信息。

在個性化廣告處理上，根據(jù)CNIL的觀察，谷歌也將相關(guān)信息分散在不同的文檔中，這讓用戶無法了解到其使用程度;當(dāng)用戶創(chuàng)建賬戶時，不僅要通過點(diǎn)擊“更多選擇”的按鈕才能夠到配置頁面，且其中展示個性化廣告的按鈕是默認(rèn)已選的狀態(tài)，此外，如果用戶一旦勾選同意服務(wù)的選項(xiàng)即相當(dāng)于同意谷歌進(jìn)行所有處理操作，這有違GDPR要求須為每一個目的“具體”給出許可的規(guī)定。

CNIL指出，谷歌這種對GDPR規(guī)定的違反是長期持續(xù)的，整體上違背了GDPR在透明度、信息披露和明示等三大要素的要求。

目前谷歌對該案件提出了上訴。但監(jiān)管方對其他科技公司發(fā)起的投訴遠(yuǎn)遠(yuǎn)沒有結(jié)束。前述將谷歌告上法國監(jiān)管機(jī)構(gòu)的NOYB在1月18日再次發(fā)布公告表示，已經(jīng)以違反GDPR第15條“用戶對數(shù)據(jù)的訪問權(quán)”的名義將包括亞馬遜、蘋果等8家科技企業(yè)告上奧地利相關(guān)監(jiān)管機(jī)構(gòu)。

而根據(jù)前述“2000萬歐元或企業(yè)全球年營業(yè)額的4%(二者取較高值)”罰金的原則，外媒計算出這8家最高罰款的總額理論上可達(dá)到188億歐元。

美國追趕歐盟GDPR腳步

美國立法者對于GDPR，可謂五味雜陳。實(shí)際上，不少美國數(shù)據(jù)政策專家認(rèn)為，美國正在失去這一領(lǐng)域的領(lǐng)導(dǎo)者角色。

美國聯(lián)邦貿(mào)易委員會首席隱私官馬克·格羅曼就指出，“GDPR正在推動全球?qū)υ?，?dāng)別的國家想要打造自己的硅谷時，它們更多地關(guān)注歐洲模式。”

在萬豪酒店數(shù)據(jù)庫遭黑客入侵事件以及劍橋分析公司(Cambridge Analytica)丑聞發(fā)酵之后，深受震動的美國參議員拋出了《社交媒體隱私和消費(fèi)者權(quán)利法案》等立法，試圖尋找在公司使用數(shù)據(jù)的方式與人的隱私權(quán)之間的平衡點(diǎn)。

在州一級層面，已經(jīng)有案例顯示美國正在效仿GDPR：2018年6月29日，美國加利福尼亞州就簽署了一項(xiàng)數(shù)據(jù)隱私法案，里面不少條款同GDPR中的核心條款相同。該法案將從2020年1月開始生效，并適用于加利福尼亞州用戶(硅谷所在地)。該法案規(guī)定，對于掌握超過5萬人信息的公司，用戶有權(quán)查閱自己的哪些數(shù)據(jù)被收集，并要求公司刪除自己的數(shù)據(jù)，以及拒絕將數(shù)據(jù)賣給第三方。單次違法將被處以7500美元的罰款。

目前，新一屆美國國會的注意力也轉(zhuǎn)向了數(shù)據(jù)保護(hù)中的重點(diǎn)領(lǐng)域：公司必須告訴用戶們持有的數(shù)據(jù)有多少，用戶對該數(shù)據(jù)有何控制程度，以及公司在數(shù)據(jù)泄露時將面臨怎樣的處罰。

GAFA等科技巨頭在這一過程中的態(tài)度頗令人玩味?？紤]到州立法恐怕更加嚴(yán)厲(譬如在加利福尼亞州出現(xiàn)的情況)，GAFA巨頭們反而傾向于接受在聯(lián)邦政府一級設(shè)立隱私法的必要性。

這是因?yàn)椋鶕?jù)美國憲法的至高條款(Supremacy Clause)，當(dāng)聯(lián)邦法律與地方法律發(fā)生沖突時，聯(lián)邦法優(yōu)先于州法。

谷歌首席執(zhí)行官皮查伊(Sundar Pichai)在2018年12月中旬的一次聽證會上說，“我認(rèn)為我們最好為用戶提供更多的整體數(shù)據(jù)保護(hù)框架。我認(rèn)為這樣做會很好。”

蘋果首席執(zhí)行官庫克(Tim Cook)今年早些時候也呼吁聯(lián)邦隱私立法。微軟首席執(zhí)行官納德拉在參加2019年世界經(jīng)濟(jì)論壇期間則表示，對歐盟去年推出新的GDPR數(shù)據(jù)隱私法表示贊賞，稱這是“一個極好的開端”。

他并指出，對數(shù)據(jù)保護(hù)立法的改革不應(yīng)該停留在歐洲，美國和世界其他國家也應(yīng)該效仿。

“我希望在美國我們也會有類似的東西。”納德拉稱，“事實(shí)上，我希望世界各地都能達(dá)成共同標(biāo)準(zhǔn)。”

華盛頓智庫信息技術(shù)與創(chuàng)新基金會的政策分析師麥奎因(Alan McQueen)指出了科技巨頭們傾向于合作的背后原因：統(tǒng)一的監(jiān)管機(jī)制可以降低應(yīng)對不同監(jiān)管制度所產(chǎn)生的額外成本。

在加州隱私法通過后，“科技行業(yè)現(xiàn)在正試圖避免美國制定出四分五裂的隱私規(guī)則。”麥奎因表示，在更高的透明度、數(shù)據(jù)可移植性、消費(fèi)者訪問(consumer access)以及針對濫用私人數(shù)據(jù)的新執(zhí)法機(jī)制的需求上，美方可能已形成了共識。

對外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心執(zhí)行主任許可在接受第一財經(jīng)記者采訪時表示，雖然美國會加強(qiáng)個人數(shù)據(jù)和個人隱私的保護(hù)，但美國走的是和歐盟完全不同的路，其原因有三。

首先，最大的不同在于法律制度和雙方立法傳統(tǒng)的不同：歐盟想通過一種自上而下的立法，形成統(tǒng)一的執(zhí)法，去調(diào)控、進(jìn)行數(shù)據(jù)保護(hù)。而美國更傾向于利用分散的行業(yè)市場的力量，通過非成文法的方式去提供保護(hù)。其次，美國同歐盟的信念不同：二戰(zhàn)以后，歐盟對個人的保護(hù)、對個人信息的保護(hù)是深入骨髓的，而美國人不可能像歐洲人那樣去看待個人數(shù)據(jù)。

第三，從經(jīng)濟(jì)層面來說，歐盟在全球的數(shù)字經(jīng)濟(jì)市場中并不占優(yōu)勢，缺乏大企業(yè)。許可指出，全球有三分之二的科技企業(yè)都是美國的互聯(lián)網(wǎng)公司，因此從統(tǒng)計層面上來說，美方也不可能出臺對企業(yè)嚴(yán)重不利的政策。

關(guān)鍵詞： 歐盟GDPR 重罰谷歌 美國