终于发生了:Meta,前身为 Facebook 的公司,受到正式的停牌令的打击,要求它停止将欧盟用户数据出口到美国进行处理。
欧洲数据保护委员会(EDPB) 今天证实,Meta 已被罚款 12 亿欧元(接近 13 亿美元)——这看起来是欧盟通用数据保护条例 (GDPR) 下的创纪录罚款。 (之前的记录是亚马逊,它在 2021 年因滥用客户数据进行广告定位而被罚款 8.87 亿美元。)
Meta 的制裁是因为违反了泛欧盟法规中规定的条件,该法规规定了将个人数据传输到所谓的第三国(在本例中为美国),而没有确保对人们的信息提供足够的保护。
欧洲法官此前发现美国的监控计划与欧盟的隐私权相冲突。
在宣布今天决定的新闻稿中,EDPB 主席 Andrea Jelinek 说:
EDPB 发现 Meta IE 的侵权行为非常严重,因为它涉及系统性、重复性和连续性的传输。 Facebook 在欧洲拥有数百万用户,因此传输的个人数据量巨大。史无前例的罚款向组织发出了一个强烈信号,即严重的违规行为会产生深远的后果。
在撰写本文时,负责执行 EDPB 具有约束力的决定的机构爱尔兰数据保护委员会 (DPC) 尚未发表评论。 (但它的最终决定可以在这里找到。)
Meta 很快发布了一篇博文,对暂停令作出回应,并确认将提出上诉。它还试图将问题归咎于欧盟和美国法律之间的冲突,而不是其自身的隐私惯例,全球事务总裁尼克克莱格和首席法律官詹妮弗纽斯特德写道:
考虑到这些命令可能造成的伤害,包括对每天使用 Facebook 的数百万用户造成的伤害,我们正在对这些决定提出上诉,并将立即寻求暂停执行期限的法院判决。
早在 4 月份,这家广告技术巨头就警告投资者,如果欧盟数据流暂停实际实施,其全球广告收入的 10% 左右将面临风险。
在做出决定之前被问及为可能的停赛做了哪些准备时,Meta 发言人马修波拉德拒绝提供“额外指导”。相反,他回顾了早些时候的一份声明,该公司在声明中声称此案与“欧盟和美国法律的历史性冲突”有关,并表示正在由正在研究新的跨大西洋数据的欧盟和美国立法者解决这个问题转移安排。然而,波拉德提到的重新启动的跨大西洋数据框架尚未被采用。
还值得注意的是,虽然今天的罚款和暂停令仅限于 Facebook,但 Meta 远非唯一一家受到欧盟-美国数据传输相关法律不确定性影响的公司。
爱尔兰 DPC 的决定源于对 Facebook 爱尔兰子公司的投诉 大约十年前,隐私权活动家 Max Schrems——他一直直言不讳地批评 Meta 在欧盟的主要数据保护监管机构,指责爱尔兰隐私监管机构故意采取漫长而曲折的道路,以阻挠欧盟规则手册的有效执行.
施雷姆斯认为,解决欧盟-美国数据流动厄运循环的唯一可靠方法是让美国抓住难处并改革其监控做法。
施雷姆斯在一份声明中回应今天的命令( 通过他的隐私权非营利组织,noyb ),他说:“我们很高兴看到这个经过十年诉讼的决定。鉴于最高罚款超过 40 亿美元,而且 Meta 已经明知违法以获利十年,罚款本可以高得多。除非美国的监控法得到修复,否则 Meta 将不得不从根本上重组其系统。”
DPC 负责监督地区总部位于爱尔兰的多家科技巨头,它经常拒绝批评其行为对 GDPR 的执行造成瓶颈的批评,认为其流程反映了对复杂的跨境案件进行尽职调查的必要条件。它还经常试图将延迟做出决定的责任转移到其他对其决定草案提出异议的监管机构身上。
然而,值得注意的是,反对 DPC 针对 Big Tech 的决定草案导致通过融入 GDPR 的合作机制实施更强有力的执法——例如 先前的反对决定 元 和 推特。这表明爱尔兰监管机构通常 在最强大的数字平台上对 GDPR 的执行不力,并且这样做的方式会给法规的有效运作带来额外的问题,因为它延长了执行过程。 (例如,在 Facebook 数据流案中,有人对 DPC 的决定草案提出异议 去年八月 – 所以从草案到现在的最终决定和暂停令花了大约九个月的时间。)
如上所述,通过今天的决定,DPC 实际上也在执行 EDPB 上个月做出的具有约束力的决定,以解决对爱尔兰决定草案的持续分歧——今天在 Meta 上订购的大部分内容来自,而不是来自都柏林,但来自欧盟隐私监管机构的监督机构。
这显然包括了罚款的存在——因为董事会指出它指示 DPC 修改其草案以包括罚款,并写道:
鉴于侵权的严重性,EDPB 发现计算罚款的起点应在适用的法定最高金额的 20% 至 100% 之间。 EDPB 还指示 IE DPA 命令 Meta IE 使处理操作符合 GDPR 第五章的规定,在 6 个月内停止在美国非法处理(包括存储)违反 GDPR 传输的欧洲用户的个人数据在 IE SA 的最终决定通知之后。
根据 GDPR,Meta 可以受到的适用法律最高处罚是其全球年营业额的 4%。由于其去年的全年营业额为 1166.1 亿美元,因此在这里可能被罚款的最高金额将超过 40 亿美元。因此,爱尔兰监管机构选择对 Meta 处以远低于其应有的罚款。
在今天的进一步公开讲话中,施雷姆斯再次抨击 DPC 的做法——指责监管机构实质上是在阻挠 GDPR 的执行。 “我们花了十年时间对爱尔兰人提起诉讼 数据中心 得到这个结果。我们不得不提出三个程序来反对 数据中心 并冒着数百万程序成本的风险。爱尔兰监管机构已尽一切努力避免这一决定,但一直被欧洲法院和机构推翻。创纪录的罚款将发给爱尔兰,这有点荒谬——欧盟成员国竭尽全力确保不会发出这笔罚款,”他说。
那么 Facebook 在欧洲接下来会发生什么?
什么都没有。该决定在它必须暂停数据流之前提供了一个过渡期——大约六个月——因此该服务将在此期间继续工作。
Meta 还表示将提出上诉,并寻求在将其论据带回法庭期间继续执行。
施雷姆斯有 以前建议 该公司最终将需要联合 Facebook 的基础设施,以便能够向欧洲用户提供不需要将数据导出到美国进行处理的服务。
但是,在短期内,Meta 似乎能够避免不得不暂停欧盟-美国的数据流,因为今天的决定中的过渡期应该为其争取足够的时间来采纳上述跨大西洋数据传输协议。
此前有报道称,欧盟委员会可能会在 7 月通过新的欧盟-美国数据协议,但它拒绝提供具体日期,因为它表示多个利益相关者参与了这一过程。
这样的时间表将意味着 Meta 获得了一个新的逃生口,以避免不得不暂停 Facebook 在欧盟的服务;只要它存在,就可以一直依赖这个高级机制。
如果这就是这起折磨人的投诉的下一部分的结果,那将意味着对 Facebook 非法数据传输的投诉可以追溯到近十年前,将再次被搁置一旁——这引发了人们对它是否真的存在的质疑欧洲人有可能行使 GDPR 中规定的合法权利吗? (而且,事实上,无论是财力雄厚的科技巨头,他们的队伍中都挤满了高薪律师和 说客,完全可以监管吗?)
与此同时,预计新的跨大西洋数据传输协议将面临法律挑战——而施雷姆斯让欧盟-美国协议在法律审查中幸存下来的机会很小。
因此,Meta 和其他商业模式依赖于导出数据以在池塘中进行处理的美国巨头很快就会发现自己很快就会回到这个厄运循环中。
“Meta 计划在未来依靠新协议进行转会,但这可能不是永久性的解决方案,”施雷姆斯建议道。 “在我看来,新协议可能有百分之十的机会不被欧洲法院否决。除非美国的监控法得到修复,否则 Meta 可能不得不将欧盟数据保留在欧盟。”
这个故事正在发展——刷新更新……
我们是怎么来到这里的?
的确如此。
2013 年,美国国家安全局 (NSA) 举报人爱德华·斯诺登 (Edward Snowden) 泄露了美国政府监控计划如何从社交媒体网站 (aka PRISM ) 收集用户数据的消息后,施雷姆斯的行动引发了人们的担忧,其中包括关于群众规模的无数启示在后来被称为斯诺登泄密事件中的监视行为。
这很重要,因为欧洲法律规定了对个人数据的保护,施雷姆斯怀疑美国法律将国家安全放在首位,并赋予情报机构广泛的权力来窥探互联网用户的信息,从而使这些数据面临风险。
他最初的投诉实际上是针对一些涉嫌遵守美国情报机构 PRISM 数据收集计划的科技巨头。但在2013 年 7 月,针对苹果和 Facebook 的两起投诉被爱尔兰数据保护机构驳回,因为它接受了他们在当时实施的欧盟-美国数据充分性计划(安全港)中的注册,并辩称该计划已解散任何基于监视的担忧。
Schrems 就监管机构的决定向爱尔兰高等法院提出上诉,爱尔兰高等法院将案件转交欧盟法院 (CJEU),并导致2015 年 10 月,在法官裁定数据传输后,欧盟最高法院撤销了安全港交易是不安全的,发现它没有提供欧盟数据保护制度对向美国出口数据所要求的基本等同性。该裁决后来被称为 Schrems I。(等待 Schrems II。)
在 CJEU 抛出重磅炸弹几个月后, 施雷姆斯在爱尔兰重新对 Facebook 提出申诉——要求数据保护机构暂停 Facebook 的欧盟-美国数据流动,他称之为对 Facebook 所带来风险的“非常明确”的判断。美国政府监控计划。
与此同时,安全港的倒台导致欧盟和美国立法者争先恐后地就替代数据传输协议进行谈判,因为受到牵连的不仅仅是 Facebook——数以千计的企业受到法律不确定性云数据的影响出口。在非常短的时间内,双方同意并通过(到2016 年 7 月)欧盟-美国隐私保护盾,因为替代充分性协议(有点不幸)被命名。
然而,作为一项仓促的工作,Privacy Shield 从一开始就受到关注,因为它本质上只是法律分裂上的一块橡皮膏。 Schrems 以一贯严肃的方式提供了一个更发自内心的描述——将其称为“猪口红”。而且,长话短说,CJEU 同意——在2020 年 7 月将盾牌粉碎,这是针对美国监视法与欧盟隐私权之间核心冲突的又一次具有里程碑意义的罢工。
问题是,施雷姆斯实际上并没有直接挑战隐私盾。相反,他更新了他在爱尔兰针对 Facebook 数据出口的投诉,以使用另一种长期存在的数据传输机制,即标准合同合同 (SCC),要求爱尔兰 DPA 暂停 Facebook 使用 SCC。
爱尔兰监管机构再次拒绝这样做。相反,它选择了相当于说“拿着我的啤酒”:选择上法庭挑战 SCC 的(一般)合法性,因为它表示现在担心整个机制不安全。
DPA 对 SCC 的法律挑战实质上搁置了 Schrems 对 Facebook 数据流的投诉,同时行动转向了对整个数据传输机制的评估。但是,随着爱尔兰高等法院继续质疑 Privacy Shield 本身在新提交给 CJEU( 2018 年 4 月)中是否真实,这一法律转折最终再次被打破。而且,你应该知道接下来会发生什么:几年后,欧盟最高法官的回答是,第二种关于充分性的说法是不充分的,因此该机制现在也已失效。 RIP 隐私盾。 (顺序结果称为 Schrems II。)
啊,但 Facebook 使用 SCC 而不是隐私盾来授权这些数据传输,我听到你哭了!事情是,虽然 CJEU 没有使 SCC 无效,但法官明确表示,如果它们被用来将数据出口到所谓的“第三国”(例如美国),那么欧盟数据保护机构有责任注意了解正在发生的事情,并且最重要的是,当他们怀疑人们的数据在风险位置没有得到充分保护时介入……因此,欧洲法院发出的明确信息是必须执行执法。除此之外,法院因美国监控实践引起的安全问题而使 Privacy Shield 无效这一事实很明显,Facebook 经常获取数据的国家/地区被标记为不安全。
这对 Facebook 来说是一个特殊的问题,因为这家美国广告技术巨头的商业模式取决于对用户数据的访问,以便它可以跟踪和分析网络用户以通过行为广告定位他们,因此这家科技巨头无法申请额外的费用安全措施(例如端到端加密),否则可能会提高对欧洲人向美国出口的数据的保护水平。
所有这一切的结果是,爱尔兰现在无法忽视这个问题——美国的数据充分性消失了,而 Facebook 在 CJEU 下令的审查下依赖的替代机制——因此,在短期内( 2020 年 9 月),消息泄露给了据报道,爱尔兰 DPA 已向 Facebook 的母公司 Meta 发出暂停数据流动的初步命令。
这随后引发了一系列新的法律挑战,因为 Meta 获得了命令的延期执行并试图在法庭上对其提出质疑。但是,这些预期的法律转折因爱尔兰监管机构的另一项奇怪决定而变得复杂——此时,该机构选择启动第二个(新)程序,同时暂停原始程序(即 Schrems 的长期投诉)。
施雷姆斯大喊犯规,怀疑有新的拖延战术,并继续对 DPA 的程序进行司法审查——这导致爱尔兰 DPA 于2021 年 1 月同意迅速完成他的投诉。
同年 5 月,爱尔兰法院还启动了 Meta 对 DPC 的法律挑战——取消其继续进行决策过程的能力。因此,爱尔兰现在没有任何借口不继续对 Schrems 的投诉做出决定。这使事件重新回到标准的 GDPR 执法轨道,DPC 在一年中的大部分时间进行调查,以达成修订后的初步决定( 2022 年 2 月),然后将其传递给其他欧盟 DPA 进行审查。
到2022 年 8 月正式提出了对其决定草案的异议。欧盟当局随后未能在彼此之间达成协议——这意味着留给欧洲数据保护委员会 (EDPB) 做出具有约束力的决定( 2023 年 4 月)。
这给了爱尔兰监管机构一个月的硬期限来做出最终决定——实施 EDPB 具有约束力的决定。这意味着今天决定的内容不能归功于都柏林。
欧盟-美国数据隐私框架作为元逃生口
这还不是全部。如上所述,还有另一个明显的细节似乎会影响 Meta 数据流在短期内发生的事情(并可能在未来几年导致 Schrems III):在过去几年中,欧盟和美国立法者一直在举行会谈他们声称,旨在通过解决法官提出的担忧,在 CJEU 破坏隐私盾之后找到一种方法来恢复美国的充分性。
在撰写本文时,实施这项替代数据传输协议的工作仍在进行中——计划在夏季尽可能采用这种安排——但事实证明,达成新协议的途径比上次更具挑战性.
2022 年 3 月宣布了关于上述欧盟-美国数据隐私框架 (DPF) 的政治协议;随后,美国总统拜登在10 月签署了一项行政命令;并且在12 月,委员会宣布了关于该框架的协议草案。但是,如上所述,欧盟的采纳过程尚未完成,因此还没有一个全面的高层框架可供 Meta 锁定。
如果/当 DPF 确实被欧盟采用时,可以肯定的是,Meta 将注册并寻求将其用作其欧盟-美国数据流的新橡皮图章。因此,无论其法律上诉结果如何,这都是 Facebook 避免根据暂停令采取行动的近期途径。
但 DPF 的合法性几乎肯定会受到挑战(如果不是 Schrems 本人,有很多数字权利组织可能会想要介入。)而且,如果发生这种情况,CJEU 肯定有可能再次找到一个缺乏必要的保障——鉴于自上次登记以来我们还没有看到美国监控法的实质性改革,而数据保护专家对修改后的提案提出了各种担忧。
委员会声称,双方已努力解决 CJEU 的担忧——例如,他们指出包含新的语言,他们建议将限制美国监视机构的活动(“必要性和相称性”),以及承诺加强监督,并为个人补救设立所谓的“数据保护审查法庭”。
然而,另一方面,数据保护专家质疑美国间谍是否真的会按照欧盟法律所坚持的必要性和相称性定义进行工作,尤其是因为在该框架下仍然可以进行一些批量收集。他们还争辩说,对个人进行补救看起来仍然很困难,因为被框定为法庭的机构的决定将是秘密的(他们认为,它也不像实际的法庭那样严格独立于政治影响)。
而且,正如我们报道的那样,施雷姆斯本人仍然持怀疑态度。 “我们认为当前的框架不会奏效,”他在 GDPR 实施五周年之前的最近一次简报中告诉记者。 “我们认为这将回到法院,这将是另一个因素,只会在不同层面 [of enforcement] 之间产生很大的紧张关系。”他还建议,将拜登为新安排签署的行政命令与奥巴马总统早些时候的总统政策指令进行比较,法院在考虑隐私盾的合法性时对其进行了审查,并没有显示太多的变化,表明它们“几乎相同”。
“新的技术秩序中有一些新元素,也有一些改进。但大多数在新闻稿和公开辩论中出现的新内容实际上并不新鲜。但以前去过那里,”他还争辩说。 “所以我们经常不明白这应该如何改变,但我们会在未来一两年回到法庭,然后我们可能会到达法院,我们会有第三个决定要么告诉我们一切都不够酷和美妙,我们可以继续前进,要么我们只会在其中停留更长时间。”
所以,虽然 – 如果你听高层次的情绪音乐 – 该框架包含大量修订以修复法律分裂。但是,如果/当 CJEU 在几年后再次权衡时,我们才会真正知道这是否属实。
这意味着在不久的将来,欧盟-美国的充足性肯定有可能再次出现问题。这将再次引发 Facebook 的数据传输问题——这要归功于美国监控实践的侵入性现实,以及对池塘国家安全问题的全面许可,这践踏了外国(欧洲)的隐私和数据保护概念。
欧盟对欧盟数据保护制度的基本等同性的充分要求代表了一个硬道理,软糖不可能永远坚持下去。 (而且,好吧,唐纳德特朗普在 2024 年再次当选美国总统的前景,为 DPF 的生存计算增加了额外的不确定性。)但是,好吧,这是未来几个月和几年的故事。
爱尔兰的 GDPR 执法“瓶颈”
回到 Schrems 为就他的投诉作出决定而进行的近十年的长期斗争,作为延迟数据保护执法的案例研究,这个很难被击败。事实上,它可能代表一个人等待了多长时间的记录(至少如果你忽略监管机构根本没有采取任何行动的所有投诉)。
但需要强调的是,爱尔兰 DPC 在 GDPR 执法方面的记录受到的攻击比它因这一特别曲折的数据流传奇而受到的攻击更为普遍。 (即使是 Schrems 听起来他也很想在这一点上看到他的背影。)
爱尔兰公民自由委员会(ICCL) 本月早些时候对 GDPR 实施五年的分析将执法情况称为“危机”——警告:“欧洲未能执行 GDPR 使每个人都面临数字领域的严重危害年龄和指责爱尔兰的 DPA 是对 Big Tech 执法失败的主要原因。”
ICCL 直接将责任归咎于爱尔兰的 DPC。
“爱尔兰仍然是执法的瓶颈:它很少就重大跨境案件提交决定草案,而当它最终这样做时,其他欧洲执法者通常会以多数票通过投票,迫使其采取更严厉的执法行动,”报告称——在指出之前: “独特的是,爱尔兰在欧盟重大案件中 75% 的 GDPR 调查决定被 EDPB 的欧洲同行以多数票否决,他们要求采取更严厉的执法行动。”
ICCL 还强调,几乎所有 (87%) 向爱尔兰提出的跨境 GDPR 投诉都反复涉及同一少数大型科技公司:谷歌、Meta(Facebook、Instagram、WhatsApp)、苹果、TikTok 和微软。但他表示,许多针对这些科技巨头的投诉甚至从未得到全面调查——从而剥夺了投诉人行使权利的能力。
分析指出, Irish DPC 选择“友好解决”来结束其收到的绝大多数(83%)跨境投诉(引用监督机构自己的统计数据)——进一步指出:“对惯犯使用友好解决,或者对于可能影响许多人的事情,违反了欧洲数据保护委员会的指导方针。”
联系了 DPC 以对分析做出回应,但拒绝发表评论。
ICCL 呼吁委员会介入并解决 GDPR 执法危机,并警告说:“委员会即将提出的改进 DPA 合作方式的提议可能会有所帮助,但还需要做更多的工作来解决 GDPR 执法问题。这场危机的最终责任在于欧盟司法专员 Didier Reynders。我们敦促他采取严肃的行动。”
在经过近十年曲折的程序磨磨蹭蹭之后,今天关于 Facebook 数据流出爱尔兰的最终决定——我们不要忘记,到目前为止,它已经夺走了不止一个,而是两个欧盟-美国高级数据交易的头皮——不会。不要采取任何措施来平息对爱尔兰作为 GDPR 执法瓶颈的批评(不管上周有帮助的新闻泄露,在今天的 Facebook 数据流决定之前,试图通过谈论“创纪录”罚款但没有为监管机构构建积极的叙述提及 EDPB 在约束执法方面的作用)。
事实上,Facebook 数据流传奇的持久遗产,以及其他针对 Big Tech 的系统性隐私滥用而煞费苦心提取的 DPC 执法不力,已经在 Big Tech 的集中监督角色中体现得淋漓尽致,委员会已经为数字服务承担了自己的职责法案和数字市场法案——这一发展认识到监管平台权力对于确保欧洲项目未来的重要性。
图片来源:ICCL 报告:“5 年:GDPR 的危机点:ICCL 关于 EEA 数据保护机构的报告”
话虽如此,爱尔兰的数据保护机构显然无法承担 GDPR 附带的所有无数执法问题。
现实情况是错综复杂的问题阻碍了整个集团的有效执法,正如你所期望的那样,分散的监督结构会影响 27 个成员国的语言和文化差异,以及关于如何最好地在大(和非常个人的)概念之上进行监督的不同意见,如隐私对不同的人可能意味着非常不同的事情。
Schrems 的隐私权非营利组织 noyb 一直在整理有关 GDPR 执法问题拼凑而成的信息——其中包括小型机构资源不足以及普遍缺乏处理数字问题的内部专业知识;投诉人的透明度问题和信息黑洞;阻碍跨境投诉的合作问题和法律障碍;以及对投诉“处理”的各种“创造性”解释——这意味着对投诉无所作为仍然是一个普遍的结果——仅举其遇到的一些问题。
“现实是我们必须告诉人们,在很多情况下,你有权抱怨,但这很可能不会帮助你,也不会解决你的问题。如果我们说我们拥有基本的隐私权,那么这就是一个根本性的问题,而且有所有这些机构,我们向他们投入了数百万欧元。我们必须给人们的答案是说你可以试一试,但很可能它不会帮助你——这是我在 GDPR 实施五年后最大的担忧,不幸的是,这仍然是我们必须给出的答案人,”施雷姆斯说。
然而,爱尔兰在 GDPR 对大型科技公司的执法中确实发挥了巨大的作用——这反过来又对网络用户的权利产生了巨大的影响——这意味着它起草和塑造的决定(或者,实际上,选择不采取)影响了数亿人欧洲消费者。因此,对都柏林的审查水平是当之无愧的。
Meta 被勒令暂停 Facebook 欧盟数据流,因为它受到 12 亿欧元的隐私罚款娜塔莎·洛马斯 (Natasha Lomas)最初在TechCrunch上发布
原文: https://techcrunch.com/2023/05/22/facebook-eu-us-data-flows-decision/