超过四亿人口的欧盟市场,扎克伯格怎么会舍得放弃?当然不会。那为什么 Facebook 母公司 Meta 还要公开威胁退出欧盟市场?
Meta 近期向美国证券交易委员会(SEC)提交 10-K 文件称,“如果新的跨大西洋数据传输框架无法达成,那么 Meta 将无法继续依照《标准合同条款》(SCC)或是其他替代数据传输手段,将用户数据从欧洲传回美国,可能就无法在欧洲市场提供 Facebook、Instagram 等诸多产品与服务。”(注:《标准合同条款》是欧盟委员会批准的欧盟与非欧盟国家之间的数据传输规定)
这种表述是必须的。因为根据 SEC 的监管要求,上市公司必须披露可能影响业务与营收的重大事宜。但这种措辞更像是 Meta 对欧盟的威胁姿态:如果欧盟政府不接受数据传输协议,那么 Facebook 宁可退出欧洲市场。
欧盟显然对 Meta 这种强硬姿态非常不满,他们也表现出了毫不退让的姿态。负责拟定欧盟数据保护法规的欧盟委员沃斯(Axel Voss)公开表示,Meta 不可能要挟欧盟放弃自己的数据保护标准,离开欧盟市场只是他们自己的损失。
或许担心触怒欧盟,Meta 随后又作出了澄清:“公司没有意愿也没有计划,退出欧洲市场,但简单的事实是,Meta 和其他诸多企业、机构与服务都依赖于美欧数据传输来提供全球业务。因此,Meta 正密切关注欧洲业务可能受到的影响。”
欧盟是 Meta 最重要的市场之一,营收贡献仅次于北美市场。2021 年 Meta 从欧盟地区获得了 290 亿美元的营收,约占年度营收 1180 亿美元的四分之一。而且去年欧盟市场营收增长接近一半,也是 Meta 增长最为乐观的市场。
考虑到苹果 iPhone 的隐私新规已经给 Facebook 带来了沉重损失,预计 Meta 每年营收会因此下滑 100 亿美元左右(2021 年营收 1180 亿美元)。这种情况下,扎克伯格绝无可能与欧盟叫板。
那么,Meta 和欧盟到底在闹什么呢?这件事背后的核心跨大西洋数据传输。Facebook 母公司 Meta 目前陷入了与欧洲监管部门的僵局。双方对峙的核心是 Meta 旗下诸多社交产品的数据属地。而谷歌、Twitter 等互联网公司也面临着相似的处境。
在此之前,Meta 等 5000 多家互联网公司都是依照 2016 年欧美共同达成的《美欧隐私协议》(EU-US Privacy Shield)这一监管框架。他们在欧洲市场提供互联网服务,将用户数据传输回美国本土服务器,只需要遵守《标准合同条款》。
但情况在 2020 年 7 月发生了重大转变。欧盟法院(CJEU)认定这一协议无效作废,欧盟需要与美国重新制定新的隐私保护协议。原因很简单,欧盟法院认为美国政府无法有效保护欧盟用户的数据安全与个人隐私。
具体而言,欧盟法院认为美国基于所谓国家安全进行的政府监控项目(包括《外国情报监控法》),允许政府收集外国用户相关信息,没有明确限制监控的试用范围,没有达到严格必要以及直接相关的情报收集标准,导致欧盟用户的数据在美国无法获得与欧盟境内同等的保护,违反了《欧盟基本权利宪章》。
事件的缘由是前美国国家安全局外包人员斯诺登(Edward Snowden)在 2013 年 5 月曝光的“棱镜门事件”。根据《外国情报监控法》等美国联邦法律,国家安全局等联邦机构可以要求诸多互联网公司交出他们存储的用户数据。当然,其中也包括了欧盟用户的数据。事件曝光之后,2013 年 10 月,奥地利隐私维权人士、律师谢里姆(Max Schrems)在欧盟法庭就这一条款向 Facebook 提出了诉讼。欧盟法庭认定美国的数字隐私法律不足以保证欧洲用户数据安全,尤其是考虑到来自美国政府的大规模监视活动。
2020 年 7 月,欧盟法院就此案作出判据,认定《美欧隐私协议》无效,需要重新拟定。这个判决又被称为 Scherem II。与此同时,欧盟法院继续认可《标准合同条款》(SCC)的有效性,但要求监管部门和各家公司以个案审核的方式确定外国政府的数据获取是否符合欧盟标准。
因此,在重新拟定新数据传输框架的这段时间,欧盟法院允许各家互联网公司根据《标准合同条款》,将欧盟用户数据传输到另外一个国家,继续遵守欧盟在 2018 年通过的《通用数据保护法规》(GDPR)。
这个起诉案件虽然影响到所有互联网公司,但直接针对的是 Facebook。在欧盟法院作出这一判决之后,2020 年 8 月 Facebook 欧洲总部所在的爱尔兰法庭发出初步命令,要求他们停止将欧盟用户数据传回美国,等待安全性评估。爱尔兰监管部门数据保护委员会在初步评估了 Meta 的数据传输问题之后,表示他们暂时无法解决法律僵局。
因为新规拟定耗时长久,所以一个月之后欧盟决定给予 Facebook 暂时性豁免,允许他们继续根据《标准合同条款》来传输用户数据,等待欧盟公布新的隐私保护协议。爱尔兰数据保护委员会会在今年上半年公布最终法规。
这就是 Facebook 提交那个 10-K 文件预警风险的背景。Meta 在监管文件中表示,如果爱尔兰监管部门在未来数月给出最终决定,认定 Meta 目前的数据隐私保护条款不符合欧盟标准,那么 Meta 就无法将用户数据从欧盟传输到其他国家(即美国),意味着就无法在欧盟地区继续提供服务。
Meta 对此解释称,如果欧盟法律禁止他们传输数据,他们的商业模式就会遭到破坏,Meta 无法在欧盟地区提供诸多社交服务,会严重影响到公司的业务、财务和运营状况。
但是,如果届时 Meta 无法满足欧盟的新规定,无法将欧盟数据传回美国的话,那么 Meta 就面临几个选择:1、关闭欧盟地区的用户数据服务;2、根据欧盟新规定在当地设立服务器单独存储数据;3、按照全球营收标准缴纳至多 4% 的罚金,相当于一年 30-40 亿美元。
这种美欧监管部门之间的对峙直接影响到了诸多互联网公司。受到影响的并不只是 Meta,去年 12 月奥地利数据保护局(DPA)判定奥地利一家网站使用谷歌分析(Google Analytics,数据服务器位于美国)违反了欧盟在 2018 年通过的《通用数据保护法规》(GDPR)。
显而易见,这个问题的核心并不在于欧盟故意为难美国互联网公司,而是欧盟对美国政府的不信任。要解开问题的关键也是欧盟与美国就数据隐私保护达成新的协议。
欧盟的最初要求很明确,美国政府修改数据保护法,达到与欧盟法律相等的保护程序。但美国政府则希望通过谈判来化解分歧,提供欧盟可以接受的数据接入规定与隐私保护手段。需要补充的是,英国并不是欧盟成员,英美之间的数据传输并不受到这一问题影响。
从 2020 年夏天开始,欧美监管部门已经就数据保护问题进行了将近两年的谈判,但直到现任美国总统政府上台之后,双方才开始逐步化解这一分歧。美国商务部长雷蒙多(Gina Raimondo)此前表示,现任美国总统政府将与欧盟达成新的数据保护框架视为一大优先问题,他们正积极与欧盟进行谈判。
据美国媒体的报道,双方已经接近达成初步一致。如果欧盟公民认为美国国家安全机构非法处理自己的用户数据,允许他们向一家独立的司法机构提出诉讼。讽刺的是,根据这一安排,届时欧盟公民可能会享受到比美国公民更多的数据保护权利。
今天夏天欧盟与美国可能会达成 Privacy Shield 2.0 协议。然而,这一新框架协议也需要通过欧盟委员会的批准,届时可能会面临新的法律挑战。因为根据美国《外国情报监视法》(FISA)的 702 条款,美国情报部门依然可以要求诸多云服务商提供数据。
此外,欧盟委员会也在修订自己的《标准合同条款》,去年通过了两套新标准,既涉及到个人数据传输到第三国的跨境传输要求,也涉及到数据控制者和数据处理者之间的委托传输要求。新标准拟定之后,中小企业可以更为清晰地了解如何合规进行跨境数据传输。
跨太平洋之间的数字经济对美国科技行业乃至整个经济意义重大。美国商会 2017 年的数据显示,美国数字服务出口占据了美国服务业出口总额的 55%,在美国服务业贸易顺差中贡献了 68%。其中,美国对欧盟的数字服务出口总额高达 2042 亿美元,带来了 800 亿美元的服务业贸易顺差。以流量来看,欧美之间的数据流动比美国与亚太之间的数据流动高出了 50%。
然而,斯诺登曝光的棱镜门事件严重损害了欧盟对美国这个伙伴的信任。但即便如此,欧盟也没有制定“数据主权”的相关法律,强制要求本地用户生成的数据必须保存在本地,只是要求和美国就用户数据及隐私保护达成一致。
对于那些在欧盟运营的中国互联网公司,跨境的数据传输同样需要遵守《标准合同条款》和 2018 年的《通用数据保护条例》(GDPR)。但中国并不在欧盟充分性认定的国家与地区之列,需要单独签署跨境传输的《标准合同条款》,未来法律环境评估前景。因此,在欧盟境内设有实体的中国企业,通常会在本地设立服务器来存储数据。
数据主权是互联网过去十年兴起的概念,是国家主权在网络空间中的延续,体现主权国家对本国数据传输以及处理的独立自主权利。尽管欧盟和美国在跨大西洋数据传输领域产生了分歧,也影响到了 Meta 等互联网巨头的业务,但欧美之间并不存在数据主权的分歧。
全球数据主权最明显的边界存在于中美以及美俄之间。2019 年美国通过《国家安全与个人数据保护法》,将中国与俄罗斯等国定为可能威胁国家安全的特别关注国家(COC),也设定了特别关注的科技公司(CTC)。
在涉及到 COC 和 CTC 的数据传输、使用和存储设定了严格要求,明文规定不得在 CTC 国家的服务器上存储美国公民用户数据。但即便 TikTok、微信等科技公司并未将美国用户数据存在中国服务器,2020 年美国总统依然以危害国家安全的名义对两家公司进行制裁。(两家公司通过诉讼推迟了制裁实施,而现任美国总统上台之后取消了诉讼。)
另一方面,中国也先后颁布了《网络安全法》、《数据安全法》、《个人信息保护法》、等法律,实现了中国数据主权的具体落地与完善立法。这三部法律对中国用户数据设立了明确的要求,“在中华人民共和国境内开展数据处理活动”,这其中包括了数据的收集、存储、使用、加工、传输等方面。
值得一提的是,正是在 2017 年的《网络安全法》颁布之后,苹果根据法规要求与云上贵州达成合作,从 2018 年 3 月起将中国大陆的 iCloud 用户转到云上贵州来管理。