生死|Facebook在欧洲的生死，将在一个月内决定( 二 ) 欧洲|斯诺登|欧盟|数据保护|生

挑战巨头的普通人
斯诺登事件后，除了欧盟在国家层面调查美欧间数据传输安全，欧洲的个人也开始向跨国互联网巨头发起个人数据安全保卫战。一名奥地利籍法学生Max Schrems，在研读了Facebook的用户协议后向爱尔兰数据保护部门发起了投诉。

文章插图
● 奥地利籍法学生Max Schrems（中）与律师在欧洲法院 / 网络
Schrems认为，Facebook在用户协议中写明会将数据转移至美国，而根据斯诺登爆料的美国政府大规模监听活动，他不信任美国提供了充分数据保护。
2014年6月，爱尔兰最高法院法官将案件提交欧洲法院审理。本案中争议的一个焦点是如果美国法律赋予公权力机关普遍收集和处理大批量数据的权限，包括内容数据如个人通信内容等等，是否从本质上侵犯了基本隐私权利，是否可以认定美国无法提供充分个人数据保护，从而废除安全港框架。

文章插图
● 美国-欧盟安全港框架 / 美国商务部官网
2015年10月，欧洲法院判决废除安全港框架，随后Schrems再次向爱尔兰数据保护机关申诉（Schrems II案件），认为在美国的法律下，Facebook通过替代机制转移至美国的个人数据仍无法得到充分保护，要求暂停或禁止Facebook进行其个人数据的转移行为。
2016年7月12日，作为安全港制度的替代升级版，美国-欧盟隐私盾框架被采用。与安全港相比，隐私盾为美国设置了更多的义务和更强的执行机制。美方必须给予个人数据更多的保障和更强的透明度，为欧盟公民提供更多数据权利和救济路径，并设置了隐私盾监察员制度。由于隐私盾框架是在Schrems II审理期间达成的，欧洲法院对隐私盾框架也进行了审查。

文章插图
● 欧盟-美国隐私盾框架 / 隐私盾官网
2020年7月16日，欧洲法院以美国在数据保护方面缺乏对政府权限必要限制，不能满足数据处理合比例性原则、欧盟数据主体缺乏有效的救济途径、以及隐私盾监察员制度存在缺陷为由，宣判隐私盾无效。
Schrems将自己视为欧盟数据主体的“事实代表”，要求爱尔兰数据保护委员会将自己对Facebook非法传输数据的起诉作为执行欧洲法院判决的“唯一途径”。
数据传输的未来
“隐私权”的概念，诞生于130年前一篇发布于哈佛法学评论的文章。在文章的开头，作者写道：个人和财产应当得到充分保护已经是一项为所有人所接受的古老原则，但随着时代的发展，我们需要定义这种保护的新范围。引起作者思考的社会背景是当时瞬间摄影和报纸业的发展，侵入了神圣的私人领域和家庭生活。文章预测，“机械设备会使得壁橱里的窃窃私语被放到屋顶大声宣扬”。
这一预言早已成真。
虽然第二代欧美数据传输框架已被废止，但并不意味着欧美从此无法传输数据。美国企业仍可以通过标准合同条款，或者通过约束性公司规则（仅限于跨国企业）等形式，单独获得欧盟对企业数据保护力度的认可，从而进行欧盟至美国数据转移。但与安全港或者隐私盾相比，这样的方式需要企业付出多得多的时间、人力和金钱成本。
从斯诺登到Schrems，普通个人正在成为全球个人数据保卫战的先行者。
1993年，纽约客刊登过著名的《在互联网上，没人知道你是一只狗》漫画。但仅仅27年后，纽约客所描绘的互联网身份保密时代已经面目全非，如今不仅是人是狗的秘密早已不复存在，就连前一天晚上的卧室私语也眼看要保不住了。

文章插图
● 在互联网上，没人知道你是一只狗 / 彼得·斯坦纳，《纽约客》，1993
在今天，物联网，大数据和人工智能技术的发展，不仅可以知道你是谁，还能分析出你喜欢的商品，爱听的音乐，性格特征，家庭关系，工作能力，健康状况，乃至性取向等等。在个人数据和隐私本就因科技发展而异常脆弱的今天，我们作为个人，可能需要更多的意识到个人隐私权的存在，思考隐私权的边界到底在哪里。