当地时间5月22日,欧盟数据隐私监管机构爱尔兰数据保护委员会作出决定,对脸书母公司Meta处以创纪录的12亿欧元巨额罚款。
爱尔兰数据保护委员会表示,对Meta重罚的原因,是因其将欧盟用户数据转移到了美国,而没有解决相关欧盟用户的“基本权利和自由所面临的风险”。
除罚款外,Meta还被要求5个月内“暂停今后向美国转移任何个人数据”,6个月内停止“非法处理在美国的”已被传输的欧盟个人数据。
此前,欧盟曾多次因用户隐私保护问题对美国互联网巨头处以重罚。如卢森堡曾在2021年对亚马逊公司重罚7.46亿欧元。而Meta在此次被欧盟处罚前,就已累积了13亿欧元的罚款金额。至于此次重罚,其实爱尔兰数据保护委员会话说得很明白:就是担心欧盟用户数据被美国“非法处理”。
这折射出欧美围绕数字主权的博弈又迎来了一波高潮。
欧盟开出罚单的时机耐人寻味
距离欧盟上一次对Meta开出罚单的时间并不远。
今年1月4日,爱尔兰数据保护委员会刚刚对Meta开出了3.9亿欧元的罚单,理由是脸书在欧盟区域内违规向用户投放广告。爱尔兰数据保护委员会当时表示,还有11项针对Meta的调查正在进行中。此次对Meta开出12亿欧元的巨额罚单,应是这11项调查得出结论后的决定的一部分。
在不到5个月的时间里,欧盟数据隐私监管机构接连对Meta出重手,实在耐人寻味。
今年正值欧盟新版《通用数据保护条例》实施五周年。GDPR被认为是当今最严厉的数据隐私保护法规。
其中关于处罚设置了两级罚款力度:第一级罚款是1000万欧元或公司上年度全球总营业额的2%,以较高者为准;第二级罚款是2000万欧元或公司上年度全球总营业额的4%,以较高者为准。也许此次对于Meta的重罚就是要显示GDPR的威力。
但比GDPR实施五周年这个纪念性时机更吊诡的是,去年10月,欧美之间的“跨大西洋数据隐私框架”刚刚生效。
这项新协议原本就是要解决欧盟对于数据传输到美国的担忧的。但如今看来,欧盟数据隐私监管机构并不认为 “跨大西洋数据隐私框架”能有什么用。爱尔兰数据保护委员会要求Meta暂停向美国传输数据,等于把刚生效的“跨大西洋数据隐私框架”废除了。
欧盟法院已废除两份欧美数据传输协议
这是欧盟第三次废除欧美之间的数据传输协议了。
在2022年10月欧美达成新的“跨大西洋数据隐私框架”前,欧美曾签署过两份数据传输协议,分别是2000年签署的《安全港协议》和2016年签署的《隐私盾协议》。
2000年签署《安全港协议》时,互联网用户还不够多,线上经济也远没有后来那么发达,所以欧盟认为搞个协议就有了“安全港”了。
到2016年时,美国互联网巨头已控制了欧盟的舆论场和大量数据,所以欧盟法院判决《安全港协议》无效,又搞出了一个《隐私盾协议》。
随着美国互联网巨头持续扩张,越来越多的欧洲人感到担忧。最终,欧盟法院在2020年再次判决《隐私盾协议》无效。
表面上看,欧盟屡屡废除欧美数据传输协议似乎是理念之争:欧盟更注重保护用户隐私,认为这属于绝对的个人权利;而美国更注重保护数据采集者将数据变成生产力的能力。
但实际上更大的分歧在于,欧盟认为美国互联网巨头的强势已经危及欧盟安全。欧盟法院就曾发出警告称,欧盟用户的数据在被运往大西洋彼岸的服务器后,不能保证不会受到美国安全部门的“窥探”。
欧盟在悄悄强化数字主权
近年来,因为时不时踩进欧盟GDPR的坑里,所以美国互联网巨头在欧盟的经营通常都采取标准合同条款的方式。微软公司还专门出来表示,欧洲大陆的所有数据传回美国后,都会实行隔离保护。
但美国互联网巨头的这些规避性动作,一点也没有减少欧盟的担忧。因为表面上欧盟是在与美国互联网巨头交手,实际上指向的是美国安全部门无所不在的黑手。只不过,欧盟数据隐私监管机构管不着、也不敢管美国安全部门的“窥探者”。
所以Meta这些首当其冲的美国互联网巨头就倒了霉——被罚款还在其次,像这次欧盟要求Meta暂停向美国传输数据,意味着Meta将暂时无法再向欧洲用户精准投放广告,而这是互联网企业的主要营利模式之一。
很少人注意到,这几年欧盟一直在培植本土的云服务商,以把数据掌握到自己手里。
在法国和德国带领下,欧盟25国2021年就推出了“GAIA-X项目”。这个项目是一个能够明确数字主权的云平台,目的是为欧洲企业存储、处理、交换数据服务。这是针对欧洲企业的数据大部分被美国云提供商掌握所作出的部署。
说到这里大概就可以了解,欧盟之所以重罚Meta,不只针对的是Meta违反欧盟GDPR的行为,更是围绕数据隐私对于美国发起的又一次反击。
这是欧美在看不见的战线上的缠斗。而目前靠美欧价值观同盟在国际政治舞台撑场面的美国,无论对欧盟的这次反击作出什么样的回应,都难免尴尬。
插个嘴
一字节数据,就是一滴数字石油,一寸数字国土。珍贵神圣,不容侵犯。