Facebook威胁退出欧洲?背后是数据主权之争
本文来自微信公众号: 新浪科技(ID:techsina) ,作者:郑峻,题图来自:视觉中国
超过四亿人口的欧盟市场,扎克伯格怎么会舍得放弃?当然不会。那为什么Facebook母公司Meta还要公开威胁退出欧盟市场?
真要退出欧盟市场?
Meta近期向美国证券交易委员会 (SEC) 提交10-K文件称,“如果新的跨大西洋数据传输框架无法达成,那么Meta将无法继续依照《标准合同条款》 (SCC) 或是其他替代数据传输手段,将用户数据从欧洲传回美国,可能就无法在欧洲市场提供Facebook、Instagram等诸多产品与服务。” (注:《标准合同条款》是欧盟委员会批准的欧盟与非欧盟国家之间的数据传输规定。)
这种表述是必须的。因为根据SEC的监管要求,上市公司必须披露可能影响业务与营收的重大事宜。但这种措辞更像是Meta对欧盟的威胁姿态: 如果欧盟政府不接受数据传输协议,那么Facebook宁可退出欧洲市场。
欧盟显然对Meta这种强硬姿态非常不满,他们也表现出了毫不退让的姿态。负责拟定欧盟数据保护法规的欧盟委员沃斯公开表示,Meta不可能要挟欧盟放弃自己的数据保护标准,离开欧盟市场只是他们自己的损失。
或许担心触怒欧盟,Meta随后又作出了澄清:“公司没有意愿也没有计划退出欧洲市场,但简单的事实是,Meta和其他诸多企业、机构与服务都依赖于美欧数据传输来提供全球业务。因此,Meta正密切关注欧洲业务可能受到的影响。”
欧盟是Meta最重要的市场之一,营收贡献仅次于北美市场。 2021年Meta从欧盟地区获得了290亿美元的营收,约占年度营收1180亿美元的四分之一。而且去年欧盟市场营收增长接近一半,也是Meta增长最为乐观的市场。
考虑到苹果iPhone的隐私新规已经给Facebook带来了损失,预计Meta每年营收会因此下滑100亿美元左右 (2021年营收1180亿美元) 。这种情况下,扎克伯格绝无可能与欧盟叫板。
美欧隐私协议无效
那么,Meta和欧盟到底在闹什么呢?这件事背后的核心是跨大西洋数据传输 。Facebook母公司Meta目前陷入了与欧洲监管部门的僵局。双方对峙的核心是Meta旗下诸多社交产品的数据属地。而谷歌、Twitter等互联网公司也面临着相似的处境。
在此之前,Meta等5000多家互联网公司都是依照2016年欧美共同达成的《美欧隐私协议》 (EU-US Privacy Shield) 这一监管框架。他们在欧洲市场提供互联网服务,将用户数据传输回美国本土服务器,只需要遵守《标准合同条款》。
但情况在2020年7月发生了重大转变。欧盟法院 (CJEU) 认定这一协议无效作废,欧盟需要与美国重新制定新的隐私保护协议。 原因很简单,欧盟法院认为美国政府无法有效保护欧盟用户的数据安全与个人隐私。
具体而言,欧盟法院认为美国基于所谓国家安全进行的政府监控项目 (包括《外国情报监控法》) ,允许政府收集外国用户相关信息,没有明确限制监控的试用范围,没有达到严格必要以及直接相关的情报收集标准,导致欧盟用户的数据在美国无法获得与欧盟境内同等的保护,违反了《欧盟基本权利宪章》。
事件的缘由是前美国国家安全局外包人员斯诺登在2013年5月曝光的“棱镜门事件”。根据《外国情报监控法》等美国联邦法律,国家安全局等联邦机构可以要求诸多互联网公司交出他们存储的用户数据。当然,其中也包括了欧盟用户的数据。事件曝光之后,2013年10月,奥地利隐私维权人士、律师谢里姆 (Max Schrems) 在欧盟法庭就这一条款向Facebook提出了诉讼。欧盟法庭认定美国的数字隐私法律不足以保证欧洲用户数据安全,尤其是考虑到来自美国政府的大规模监视活动。
2020年7月,欧盟法院就此案作出判据,认定《美欧隐私协议》无效,需要重新拟定。这个判决又被称为Scherem II。与此同时,欧盟法院继续认可《标准合同条款》 (SCC) 的有效性,但要求监管部门和各家公司以个案审核的方式确定外国政府的数据获取是否符合欧盟标准。
因此,在重新拟定新数据传输框架的这段时间,欧盟法院允许各家互联网公司根据《标准合同条款》,将欧盟用户数据传输到另外一个国家,继续遵守欧盟在2018年通过的《通用数据保护法规》 (GDPR) 。
Meta等待数据传输新规
这个起诉案件虽然影响到所有互联网公司,但直接针对的是Facebook。在欧盟法院作出这一判决之后,2020年8月Facebook欧洲总部所在的爱尔兰法庭发出初步命令,要求他们停止将欧盟用户数据传回美国,等待安全性评估。爱尔兰监管部门数据保护委员会在初步评估了Meta的数据传输问题之后,表示他们暂时无法解决法律僵局。
因为新规拟定耗时长久,所以一个月之后欧盟决定给予Facebook暂时性豁免,允许他们继续根据《标准合同条款》来传输用户数据,等待欧盟公布新的隐私保护协议。爱尔兰数据保护委员会会在今年上半年公布最终法规。
这就是Facebook提交那个10-K文件预警风险的背景。Meta在监管文件中表示,如果爱尔兰监管部门在未来数月给出最终决定,认定Meta目前的数据隐私保护条款不符合欧盟标准,那么Meta就无法将用户数据从欧盟传输到其他国家 (即美国) ,意味着就无法在欧盟地区继续提供服务。
Meta对此解释称,如果欧盟法律禁止他们传输数据,他们的商业模式就会遭到破坏,Meta无法在欧盟地区提供诸多社交服务,会严重影响到公司的业务、财务和运营状况。
但是,如果届时Meta无法满足欧盟的新规定,无法将欧盟数据传回美国的话,那么Meta就面临几个选择: 1. 关闭欧盟地区的用户数据服务;2. 根据欧盟新规定在当地设立服务器单独存储数据;3. 按照全球营收标准缴纳至多4%的罚金,相当于一年30-40亿美元。
这种美欧监管部门之间的对峙直接影响到了诸多互联网公司。受到影响的并不只是Meta,去年12月奥地利数据保护局 (DPA) 判定奥地利一家网站使用谷歌分析 (Google Analytics,数据服务器位于美国) 违反了欧盟在2018年通过的《通用数据保护法规》。
欧盟对美国失去信任
显而易见,这个问题的核心并不在于欧盟故意为难美国互联网公司,而是欧盟对美国政府的不信任。要解开问题的关键也是欧盟与美国就数据隐私保护达成新的协议。
欧盟的最初要求很明确,美国政府修改数据保护法,达到与欧盟法律相等的保护程序。但美国政府则希望通过谈判来化解分歧,提供欧盟可以接受的数据接入规定与隐私保护手段。需要补充的是,英国并不是欧盟成员,英美之间的数据传输并不受到这一问题影响。
从2020年夏天开始,欧美监管部门已经就数据保护问题进行了将近两年的谈判,但直到拜登政府上台之后,双方才开始逐步化解这一分歧。美国商务部长雷蒙多 (Gina Raimondo) 此前表示,拜登政府将与欧盟达成新的数据保护框架视为一大优先问题,他们正积极与欧盟进行谈判。
据美国媒体的报道,双方已经接近达成初步一致。如果欧盟公民认为美国国家安全机构非法处理自己的用户数据,允许他们向一家独立的司法机构提出诉讼。 讽刺的是,根据这一安排,届时欧盟公民可能会享受到比美国公民更多的数据保护权利。
今天夏天欧盟与美国可能会达成Privacy Shield 2.0协议。然而,这一新框架协议也需要通过欧盟委员会的批准,届时可能会面临新的法律挑战。因为根据美国《外国情报监视法》 (FISA) 的702条款,美国情报部门依然可以要求诸多云服务商提供数据。
此外,欧盟委员会也在修订自己的《标准合同条款》,去年通过了两套新标准,既涉及到个人数据传输到第三国的跨境传输要求,也涉及到数据控制者和数据处理者之间的委托传输要求。新标准拟定之后,中小企业可以更为清晰地了解如何合规进行跨境数据传输。
跨太平洋之间的数字经济对美国科技行业乃至整个国家经济意义重大。 美国商会2017年的数据显示,美国数字服务出口占据了美国服务业出口总额的55%,在美国服务业贸易顺差中贡献了68%。其中,美国对欧盟的数字服务出口总额高达2042亿美元,带来了800亿美元的服务业贸易顺差。以流量来看,欧美之间的数据流动比美国与亚太之间的数据流动高出了50%。
然而,斯诺登曝光的棱镜门事件严重损害了欧盟对美国这个伙伴的信任。但即便如此,欧盟也没有制定“数据主权”的相关法律,强制要求本地用户生成的数据必须保存在本地,只是要求和美国就用户数据及隐私保护达成一致。
对于那些在欧盟运营的中国互联网公司,跨境的数据传输同样需要遵守《标准合同条款》和2018年的《通用数据保护条例》。但中国并不在欧盟充分性认定的国家与地区之列,需要单独签署跨境传输的《标准合同条款》,未来法律环境评估前景。因此, 在欧盟境内设有实体的中国企业,通常会在本地设立服务器来存储数据。
数据主权界限分明
数据主权是互联网过去十年兴起的概念,是国家主权在网络空间中的延续,体现主权国家对本国数据传输以及处理的独立自主权利。尽管欧盟和美国在跨大西洋数据传输领域产生了分歧,也影响到了Meta等互联网巨头的业务,但欧美之间并不存在数据主权的分歧。
全球数据主权最明显的边界存在于中美以及美俄之间。 2019年美国通过《国家安全与个人数据保护法》,将中国与俄罗斯等国定为可能威胁国家安全的特别关注国家 (COC) ,也设定了特别关注的科技公司 (CTC) 。
在涉及到COC和CTC的数据传输、使用和存储设定了严格要求,明文规定不得在CTC国家的服务器上存储美国公民用户数据。但即便TikTok、微信等科技公司并未将美国用户数据存在中国服务器,2020年美国总统特朗普依然以危害国家安全的名义对两家公司进行制裁。 (两家公司通过诉讼推迟了制裁实施,而拜登上台之后取消了诉讼。)
另一方面,中国也先后颁布了《网络安全法》《数据安全法》《个人信息保护法》等法律,实现了中国数据主权的具体落地与完善立法。这三部法律对中国用户数据设立了明确的要求,“在中华人民共和国境内开展数据处理活动”,这其中包括了数据的收集、存储、使用、加工、传输等方面。
值得一提的是,正是在2017年的《网络安全法》颁布之后,苹果根据法规要求与云上贵州达成合作,从2018年3月起将中国大陆的iCloud用户转到云上贵州来管理。
本文来自微信公众号: 新浪科技(ID:techsina) ,作者:郑峻