一位熟悉此事的消息人士称,在反复无常的新东家埃隆马斯克的领导下,Twitter 不再履行其根据欧盟通用数据保护条例 (GDPR) 声称爱尔兰为其所谓“主要机构”所需的关键义务技术危机。
由于问题的敏感性,我们的消息人士要求匿名并被授予匿名——这可能对 Twitter 和马斯克产生重大影响。
与许多在欧盟拥有客户的大型科技公司一样,Twitter 目前利用 GDPR 中的一种机制,称为一站式服务 (OSS)。这是有益的,因为它允许公司通过能够专门与其“主要成立”的欧盟成员国(在 Twitter 的情况下是爱尔兰)中的首席数据主管进行接触,而不是必须接受来自数据的输入,从而简化监管管理整个集团的保护机构。
然而,在马斯克的混乱统治下——已经见证了 Twitter 员工人数的快速和深度缩减,本月早些时候开始裁员 50%——人们质疑它在爱尔兰的 GDPR 主要机构地位是否仍然有效或不。
上周晚些时候,负责确保安全和隐私合规性的主要高级人员辞职,就 Twitter 的监管情况而言,这看起来就像是煤矿里的金丝雀——首席信息安全官 Lea Kissner;首席隐私官 Damien Kieran;和首席合规官 Marianne Fogarty 一起走出了大门。
鉴于当前由马斯克驱动的疯狂行为,尚不清楚是否有足够资格的个人愿意担任 Twitter 隐私和安全方面的这些关键合规角色——因为任何签署该级别责任的人都有可能在监管时承担个人责任在他们的任期内违反要求。
正如我们周五报道的那样,马斯克的律师和现任 Twitter 法律主管亚历克斯斯皮罗——据报道他在平台的全面改革中发挥了关键作用——代表“埃隆”向所有员工发送电子邮件,声称他们将不承担任何个人责任。肯定会就 Twitter 的发展方向向监管机构敲响警钟。
上周, The Verge还报道了 Twitter 隐私和安全功能内部的动荡,因为标准审查程序被取消,工程师被要求“自我证明”遵守 FTC 规则。其报告还援引了一位不愿透露姓名的公司律师的话说,该律师曾让 Slacked 员工警告他们,Twitter 运营方式的改变正在将个人、专业和法律风险加诸工程师身上,这些工程师被指示不顾后果地执行马斯克的意愿。
与此同时,根据欧盟的 GDPR,Twitter 有义务——只是一个非常基本的要求——有一名数据保护官 (DPO) 来为监管机构提供联络点。
因此,Kieran 的离职是该公司自 2018 年设立该职位以来的第一个也是唯一一个 DPO,爱尔兰的数据保护监管机构并没有忽视这一离职——正如我们周五也报道的那样。但爱尔兰数据保护委员会 (DPC) 的担忧已经超出了 Twitter 对核心人员通知的遵守情况:上周,当局——目前是 Twitter 在 GDPR 的 OSS 下的主要欧盟 DPA——通过发出信号让这家社交媒体公司受到关注当它表示将在定于本周初举行的会议上就其在爱尔兰的主要机构的状况向该公司提出问题时,公众感到担忧,以讨论自马斯克接管以来最近的所有隐私变化。
Twitter 尚未就 DPC 的警告或面向监管机构的高级员工离职发表公开评论。事实上,自马斯克接任以来,其通讯部门似乎已被解散,公司不再回应媒体的置评请求——因此无法从 Twitter 获得关于这些离职或我们报告的实质内容的官方声明。 (如果 Twitter 或 Musk 想给我们发送回复,我们很乐意添加回复。)
对于 Twitter 的业务本身,如果其满足监管要求的能力下降,则会产生许多潜在后果。
如果 DPC 评估(或被马斯克告知)它不再在爱尔兰设有主要机构,该公司将退出 OSS——将其开放给欧盟 27 个成员国的数据保护机构监管,该机构将成为主管监督其业务。
在实践中,这意味着任何欧盟数据保护机构都可以根据其对本地用户数据面临风险的担忧直接采取行动——有权发起自己的调查并采取执法行动。因此,爱尔兰对商业更友好的监管机构将不再领导处理有关 Twitter 的任何 GDPR 问题;调查可以在整个欧盟同时展开——包括在法国和德国等成员国,与爱尔兰相比,数据保护当局以更快(和/或更积极)回应投诉而著称。
如果 Twitter 失去了在爱尔兰拥有主要机构的能力,那么它将大大增加实现 GDPR 合规性的复杂性、成本和风险。 (提醒:根据该规定,处罚最高可达全球年营业额的 4%——因此,普通CEO 不会忽视这些规定。)
GDPR 没有规定评估主要机构的具体标准。但是,在 Twitter 的案例中——为了使其能够满足法规的要求,即“通过稳定的安排,有效和真实地开展管理活动,确定关于处理目的和方式的主要决定”,实际发生在爱尔兰当地,尽管 Twitter 产品开发是在美国之外进行的——我们了解到该公司设计了一个谨慎的法律框架,旨在通过确保这家位于爱尔兰的 Twitter 公司授权爱尔兰实体成为欧盟用户的数据控制者,该公司拥有它自己的董事会受爱尔兰法律约束,对美国主导的产品开发具有监督和影响力。
Twitter 参与 GDPR 的 OSS 所依赖的结构包括一个对新产品进行强制性隐私和安全审查的系统——使爱尔兰实体能够插入其反馈并对产品开发施加影响。
在此框架下,这家爱尔兰公司的董事会能够在发布前提出对计划中的新功能的担忧,然后将意见反馈给美国产品开发团队,以便在发布前将其整合到产品中——因此,假设协议得到正确遵守,增强欧盟内部的地方决策能力。
然而,根据我们的消息来源,自马斯克接管以来 Twitter 的情况是,没有向爱尔兰实体的管理层提供有关美国正在开发哪些产品的信息——爱尔兰实体的管理层也无法提供任何信息马斯克正在开发的产品,因为它不知道正在开发什么。
据我们的消息来源称,Twitter 正在开发的产品甚至不再提交到审核管道,更不用说在发货前进行审核了,他告诉我们该系统基本上已停止运行。
“解决 OSS 将是一场噩梦,因为对于 Twitter 的旧管理层来说,这已经是一场复杂的舞蹈——因为在这种情况下,你实际上有两名员工,他们在公司的地位较低,董事们爱尔兰实体,他们正在指导美国实体做什么,”这位人士说,并补充说:“但在埃隆是唯一的国王、独裁者的世界里,你希望都柏林的一些员工尝试向这个人提供反馈?谁?那永远行不通。”
我们的消息来源对废弃审查流程的描述与Verge报道的正常安全和隐私审查在马斯克接任后陷入混乱的报道相吻合。
其报告援引一名员工的话说,修改后的 Blue 订阅忽视了正常的审查流程——“红队”只在发布前一天晚上审查潜在风险,这意味着他们没有得到足够的通知或时间来进行全面的审查检查,另外,在任何情况下,他们的建议都没有在产品重新发布之前得到实施。
就 Twitter 对 OSS 和 GDPR 的依赖而言,产品审查管道的功能更为具体:它充当信息在美国 Twitter 产品开发团队、关键隐私和安全审查团队和员工之间流动的渠道,和爱尔兰监督实体——使符合监管标准的关键决策能力存在于欧盟。因此,如果爱尔兰实体不再参与产品决策,则很难看出 Twitter 如何可靠地继续参与 OSS。
据我们了解,该爱尔兰实体还有两名董事会成员——他们都位于爱尔兰。根据爱尔兰法律,董事会要求至少有两名董事会成员位于爱尔兰,以达到法定人数。 (这家爱尔兰实体此前有第三名董事会成员——他在美国——但该人似乎已于上个月离开 Twitter。)
据我们所知,剩下的两名爱尔兰实体董事会成员仍受雇于 Twitter(目前)——但我们的消息人士认为,鉴于马斯克推翻了董事会的决策权,董事会被排除在决策之外,情况已经站不住脚了。建立了产品审查监督系统(并且——似乎——忽略和/或不知道它旨在满足的监管要求)。
Twitter 为利用 GDPR 的 OSS 而设计的系统为其爱尔兰监管机构所熟知——该机构持有有关其结构的详细文档,并且应该持续了解其运作方式,例如通过接收董事会会议记录。因此,DPC 很快就会发现已建立的基本流程的任何失败。
我们联系了 DPC,希望对我们的消息来源关于 OSS 已经崩溃的说法做出回应——但截至发稿时,我们无法联系到我们在监管机构的联系人。
如果 Twitter 试图声称它仍然符合欧盟主要机构的 OSS 要求——尽管存在明显的人员和流程差距以及马斯克对快速迭代产品开发的非常公开和漫不经心的方法(这已经错过了明显的风险,比如付费验证导致冒充浪潮)——将由 DPC 评估 OSS 是否仍然有效。
话虽如此,其他关注欧盟的 DPA 可能不会袖手旁观。根据 GDPR,所有这些机构都有权在某些情况下进行紧急干预,从而让他们能够从 OSS 中减损——例如,如果他们觉得本地用户数据面临紧迫的风险。因此,我们可以看到其他 DPA 争取第 66 条的权力,并在自己的市场上针对 Twitter 实施自己的紧急程序。
目前来自 Twitter 的信息(无论是非正式的,通过媒体泄密,还是通过马斯克的神秘推文)肯定描绘了一幅关于产品决策和开发如何进行的彻底改写(或撕毁)的图片 – 特斯拉和 SpaceX 首席执行官处于决策制定的中心,其余员工争先恐后地跟上他反复无常/荒谬的要求。
除了大规模裁员,马斯克在 Twitter 混乱的第一天还经历了一系列激进但显然考虑不周的产品变更和快速发布——随后随着明显的问题扩大到同样不稳定的修改、掉头和产品暂停看法。
这包括前面提到的对现有 Twitter 订阅产品 (Twitter Blue) 的奇怪改造,该产品增加了用户支付接收蓝色复选标记的能力,该平台以前只应用于高知名度和其他著名账户,以作为验证和真实性信号(不是收入驱动因素)——但 Twitter 根本没有对这些付费客户身份执行任何验证检查。
模仿混乱随之而来——还有更多的混乱:推特的某些员工匆忙拿出一个“官方”徽章/第二个灰色复选标记,似乎是为了对关键账户重新应用一层关键验证,但几乎立即被马斯克杀死几乎没有公开解释。
截至周五,该平台似乎在广泛滥用付费验证功能后暂停了 Blue 订阅——尽管马斯克还在推特上表示,它“可能”会在本周末回归。
最近几天,马斯克还在推特上建议了一系列其他即将到来的变化——例如规定强制性模仿披露(显然是为了限制滥用付费验证)——并吹捧“很快”推出的另一项功能,他说这将涉及 Twitter使“组织能够识别哪些其他 Twitter 帐户实际上与他们相关联”(不管那是什么意思)。
一位 Twitter 员工——显然是为了帮助实施马斯克对 Twitter Blue 的彻底反思——最近发推文说“Twitter 的产品中不再有圣牛”。
马斯克对新作案手法的看法更为直率:他上周在推特上表示,Twitter“将在未来几个月做很多愚蠢的事情”——以及“保留有效的,改变无效的”。
如果那不是鼓励监管打压的红布,那什么都不是……
任何人都在猜测 Twitter 产品开发的实际情况。但这不仅仅是困惑的 Twitter 用户(和广告商)的问题,他们试图了解平台如何变化以及它对浮出水面的信息质量可能意味着什么,这对 Twitter 来说是一场日益严重的噩梦——正是因为该公司有法律义务让监管机构了解情况。
如果它做不到这一点,合规成本和风险就会失控——有可能出现全面的车祸场景,从而摧毁企业(根据 Verge 上周获得的内部律师给 Twitter 员工的通知,联邦贸易委员会的罚款因为 Twitter 违反同意令可能会损失数十亿美元);并解散任何可能承担个人责任的剩余员工(例如那些同意以违反 FTC 同意令条款的方式工作的员工)。
(在一个单独的例子中,优步前安全主管最近被判犯有妨碍司法罪——并可能面临监禁——此前旧金山的一个联邦陪审团发现他妨碍司法公正,并在他试图隐瞒有关2016 年 Uber 的数据泄露事件来自公众和一直在调查该事件的联邦贸易委员会——在那种情况下,Uber 与 Twitter 不同,当时还没有联邦贸易委员会的同意令。)
在 GDPR 方面,如果 Twitter 因脱离 OSS 而暴露在整个欧盟的分散监管之下,这可能会导致严重的问题,因为它可能会受到整个地区监管机构的多次 GDPR 罚款——每笔罚款高达 4%它的年营业额。因此,一系列此类罚款可能会很快开始对 Twitter 造成影响(马斯克已经声称 Twitter 可能面临破产)。
最重要的是,Twitter 的业务必须与多个欧盟监管机构打交道,这会增加 GDPR 合规性的成本和复杂性,将不断缩减(并且已经不堪重负)的资源包裹在大量额外的繁文缛节中——以某种方式可能会将平台进一步推向全面业务崩溃的边缘。
因此,确实应该大声敲响警钟,因为 Twitter 的新所有者似乎过于疏远,以至于无法理解或关心维护现有的关键结构,以确保业务能够以一种——到目前为止——让监管机构保持警惕的方式运作,避免了整个世界的监管痛苦落在鸟儿身上并压垮了它的生命。
Elon Musk 的 Twitter 是否即将脱离 GDPR 的一站式服务?作者: Natasha Lomas ,最初发表于TechCrunch