歐盟GDPR重罰谷歌5000萬歐元 美國立法會追隨嗎
馮迪凡
對於大型科技公司而言,在歐洲的日子怕是越來越難過了。
在歐盟《通用資料保護條例》(GDPR)正式生效後,2019年當之無愧成為資料保護的執法元年:新年伊始,法國相關監管機構就依據GDPR向谷歌開出了5000萬歐元(約合3.8億元人民幣)鉅額罰單,理由是谷歌在向用戶定向傳送廣告時缺乏透明度、資訊不足,且未獲得使用者有效許可。
值得注意的是,被稱為GAFA(谷歌Google、蘋果Apple、臉書Facebook和亞馬遜Amazon)的科技巨頭均源於美國,然而美國目前既沒有專門的資料保護法律法規,也沒有對應的職能部門對此進行監管。
好訊息是,監管科技巨頭公司可能是這屆分裂國會上,民主黨和共和黨尋求合作的少數幾個領域之一。而對於GAFA巨頭而言,他們是選擇合作還是選擇對抗?
“如果像歐盟這樣的美國重要貿易伙伴實行嚴格的隱私資訊保護,這對於美國來說不可能沒有任何影響。”德國漢堡Wen & Schomerus律師事務所創使合夥人溫天敏對第一財經記者表示,這個資訊肯定不會被美國的政治家及相關人員忽視。
新年伊始,法國相關監管機構依據GDPR向谷歌開出了5000萬歐元鉅額罰單
GDPR生效,先罰谷歌5000萬歐元
向來注重隱私的歐洲能孕育出GDPR並不令人意外。
溫天敏對第一財經記者表示,普遍來說,德國民眾是比較注重個人資訊保護的,比如相當部分的民眾都堅持在商店裡使用現金購買商品,以便其個人資訊不被除自己之外的人員和機構掌握。
為此,GDPR的效力層級在歐盟是“條例”,編號為EU-DSGVO,其效力僅次於憲法。諮詢公司埃森哲則在最近一份報告中直接將GDPR形容為“近二十年來資料隱私規則領域發生的最重要變化”。
埃森哲在上述報告中指出,GDPR要求責任共擔。在過去,收集和使用資料的資料擁有者需要對資料保護負責。如今,史無前例地,資料處理者(如提供資料處理服務的雲服務提供商等)也需要直接承擔合規風險和義務。在資料保護上,資料供應鏈自上而下的各方都會被問責。網路公司必須與合作伙伴們明確各自的責任和義務。
如不遵守GDPR,後果很嚴重。埃森哲指出,GDPR大大增加了資料保護的強制性和責任性,對違規的處罰金額提高到2000萬歐元或企業全球年營業額的4%(二者取較高值)。
據第一財經記者統計,目前在28個歐盟國家中,已有21個國家將GDPR融入了國內法,其餘國家也紛紛於去年就GDPR的推行問題開展了公開討論或提出修訂草案,一些已經進入了立法程式。
也就是在此背景之下,前述法國資料保護機構國家資訊與自由委員會(CNIL)向谷歌開出了5000萬歐元的罰單。此前,CNIL接到了來自NOYB和LQDN兩家非營利性組織對谷歌的投訴。
在調查中,CNIL發現,在透明度問題上,谷歌將資料處理目的、資料儲存週期及用於個性化廣告的個人資料分類等關鍵資訊分佈在不同的頁面,這造成使用者不得不額外進行5-6次的點選操作才能夠看到相關的完整資訊。
在個性化廣告處理上,根據CNIL的觀察,谷歌也將相關資訊分散在不同的文件中,這讓使用者無法瞭解到其使用程度;當用戶建立賬戶時,不僅要通過點選“更多選擇”的按鈕才能夠到配置頁面,且其中展示個性化廣告的按鈕是預設已選的狀態,此外,如果使用者一旦勾選同意服務的選項即相當於同意谷歌進行所有處理操作,這有違GDPR要求須為每一個目的“具體”給出許可的規定。
CNIL指出,谷歌這種對GDPR規定的違反是長期持續的,整體上違背了GDPR在透明度、資訊披露和明示等三大要素的要求。
目前谷歌對該案件提出了上訴。但監管方對其他科技公司發起的投訴遠遠沒有結束。前述將谷歌告上法國監管機構的NOYB在1月18日再次釋出公告表示,已經以違反GDPR第15條“使用者對資料的訪問權”的名義將包括亞馬遜、蘋果等8家科技企業告上奧地利相關監管機構。
而根據前述“2000萬歐元或企業全球年營業額的4%(二者取較高值)”罰金的原則,外媒計算出這8家最高罰款的總額理論上可達到188億歐元。
美國追趕歐盟GDPR腳步
美國立法者對於GDPR,可謂五味雜陳。實際上,不少美國資料政策專家認為,美國正在失去這一領域的領導者角色。
美國聯邦貿易委員會首席隱私官馬克·格羅曼就指出,“GDPR正在推動全球對話,當別的國家想要打造自己的矽谷時,它們更多地關注歐洲模式。”
在萬豪酒店資料庫遭黑客入侵事件以及劍橋分析公司(Cambridge Analytica)醜聞發酵之後,深受震動的美國參議員丟擲了《社交媒體隱私和消費者權利法案》等立法,試圖尋找在公司使用資料的方式與人的隱私權之間的平衡點。
在州一級層面,已經有案例顯示美國正在效仿GDPR:2018年6月29日,美國加利福尼亞州就簽署了一項資料隱私法案,裡面不少條款同GDPR中的核心條款相同。該法案將從2020年1月開始生效,並適用於加利福尼亞州使用者(矽谷所在地)。該法案規定,對於掌握超過5萬人資訊的公司,使用者有權查閱自己的哪些資料被收集,並要求公司刪除自己的資料,以及拒絕將資料賣給第三方。單次違法將被處以7500美元的罰款。
目前,新一屆美國國會的注意力也轉向了資料保護中的重點領域:公司必須告訴使用者們持有的資料有多少,使用者對該資料有何控制程度,以及公司在資料洩露時將面臨怎樣的處罰。
GAFA等科技巨頭在這一過程中的態度頗令人玩味。考慮到州立法恐怕更加嚴厲(譬如在加利福尼亞州出現的情況),GAFA巨頭們反而傾向於接受在聯邦政府一級設立隱私法的必要性。
這是因為,根據美國憲法的至高條款(Supremacy Clause),當聯邦法律與地方法律發生衝突時,聯邦法優先於州法。
谷歌執行長皮查伊(Sundar Pichai)在2018年12月中旬的一次聽證會上說,“我認為我們最好為使用者提供更多的整體資料保護框架。我認為這樣做會很好。”
蘋果執行長庫克(Tim Cook)今年早些時候也呼籲聯邦隱私立法。微軟執行長納德拉在參加2019年世界經濟論壇期間則表示,對歐盟去年推出新的GDPR資料隱私法表示讚賞,稱這是“一個極好的開端”。
他並指出,對資料保護立法的改革不應該停留在歐洲,美國和世界其他國家也應該效仿。
“我希望在美國我們也會有類似的東西。”納德拉稱,“事實上,我希望世界各地都能達成共同標準。”
華盛頓智庫資訊科技與創新基金會的政策分析師麥奎因(Alan McQueen)指出了科技巨頭們傾向於合作的背後原因:統一的監管機制可以降低應對不同監管制度所產生的額外成本。
在加州隱私法通過後,“科技行業現在正試圖避免美國製定出四分五裂的隱私規則。”麥奎因表示,在更高的透明度、資料可移植性、消費者訪問(consumer access)以及針對濫用私人資料的新執法機制的需求上,美方可能已形成了共識。
對外經貿大學數字經濟與法律創新研究中心執行主任許可在接受第一財經記者採訪時表示,雖然美國會加強個人資料和個人隱私的保護,但美國走的是和歐盟完全不同的路,其原因有三。
首先,最大的不同在於法律制度和雙方立法傳統的不同:歐盟想通過一種自上而下的立法,形成統一的執法,去調控、進行資料保護。而美國更傾向於利用分散的行業市場的力量,通過非成文法的方式去提供保護。其次,美國同歐盟的信念不同:二戰以後,歐盟對個人的保護、對個人資訊的保護是深入骨髓的,而美國人不可能像歐洲人那樣去看待個人資料。
第三,從經濟層面來說,歐盟在全球的數字經濟市場中並不佔優勢,缺乏大企業。許可指出,全球有三分之二的科技企業都是美國的網際網路公司,因此從統計層面上來說,美方也不可能出臺對企業嚴重不利的政策。
(實習記者郝爽言對本文亦有貢獻)
本文來源:第一財經 責任編輯:王鳳枝_NT2541