两次扳倒美欧数据协议的法律人

俞飞

日前，欧洲法院一锤定音：鉴于美国数据保护未能达到欧盟标准，《欧美隐私盾牌》协定无效。一石激起千层浪，脸书、谷歌等五千余家美国企业叫苦不迭，欧美跨大西洋联盟再添新裂痕。路透社指出，这一裁决实际上结束了美国公司在获取欧盟用户个人数据上的特权。

外界好奇：本案欧洲发起人从何处获得灵感，想出起诉美国互联网巨头的高招？在近十年的一系列跨国诉讼中，他如何见招拆招，赢得多个胜诉判决？美国与欧盟的监控与隐私大战，究竟谁能笑到最后？

硅谷初识隐私法奥义

镜头拉回到2011年春天，硅谷腹地的圣塔克拉拉大学美不胜收，笑迎从世界各地慕名而来的交换生。24岁的奥地利学生施雷姆斯，快步走进法学院教室。一个学期的国际交换机会难得，他迫不及待地想知道美国法律到底和欧洲法律有何不同。

谁能想到，正是这个还长着青春痘的维也纳大学研究生，会因为一门隐私法课程的期末论文，掀起将近十年的美欧隐私权大战，让脸书、谷歌、亚马逊等一干美国互联网巨头忌惮三分？

机缘巧合，全美重量级隐私法教授格兰西开设选修课，施雷姆斯有幸成为25名选课学生之一。女教授满面春风，诲人不倦，提及在欧盟隐私法里至关重要的个人权利——访问权，即个人数据主体有权访问与他处理的所有数据。所有欧盟公民有权向拥有自身数据的政府机构或公司，了解和自己信息相关的事项，公司或政府机构必须遵守，违反者必须支付巨额罚款。

格兰西教授提醒学生：1995年通过的《数据保护指令》是欧盟隐私法的一大亮点，欧盟公民从此获得法律保障，有权确认公司或机构是否正在处理与他有关的数据;处理的目的;有关数据的类别;有关数据是否披露给了其他主体等。反观美国法，在这一方面却存在巨大漏洞，美国公民隐私和数据保护问题主要是在个人和公司之间的合同法中有所体现。

授课之余，教授运用人脉，请来诸多硅谷业界牛人为学生提供宝贵的实操经验。这时，脸书发展红透半边天，公司首席律师埃德·帕尔米耶里应邀参与讲座，分享公司隐私保护策略。

施雷姆斯灵机一动，开腔问了埃德一个问题：“请问，脸书公司是否遵守欧盟隐私法？” 这位大名鼎鼎的律师打起了太极，含糊其辞，欲言又止，让人大失所望。

法律学生的直觉告诉他，脸书立场暧昧，问题非同小可。征得教授同意，他将审视脸书是否遵守欧盟数据保护法作为期末论文选题。说干就干，就从自己的个人信息入手。

6月2日，施雷姆斯正式向脸书公司发出邮件， 作为奥地利公民，他要求依据欧盟法律向其提供和自己个人信息有关的资料。万万没想到，堂堂互联网巨头居然使出“拖字诀”，在回信中指责他提供虚假的用户名，公司爱莫能助。

经过一番艰难交涉，脸书这才死心，无奈地提供一张关于施雷姆斯要求范围内的原始隐私数据光盘，好家伙，这里面足足有超过1200页的 PDF文件！

人多力量大！施雷姆斯振臂一呼，创立欧洲起诉脸书网站，号召更多吃瓜群众向脸书索取个人信息。媒体纷纷报道，超过4万欧洲网友踊跃加入，结果却让人气结，很多人只得到一个仅提供部分个人信息的数据下载工具。

店大欺客，就凭这仨瓜俩枣还想打发应付咱们？门都没有！施雷姆斯决定拿起法律武器，向脸书讨一个说法！

先投诉后起诉，官司全面开打

要打这场跨国官司，选择哪家法院来告？民事诉讼基本法理为原告就被告，要是在脸书美国总部起诉，美国联邦层面并无统一的个人隐私保护法，胜诉难如登天。

就法言法，欧盟处理个人隐私和数据纠纷，需要个人先行向行政机构投诉，再到法院起诉。 经过反复思考，施雷姆斯决定选择诸多美国跨国公司欧洲总部群集的爱尔兰。28个欧盟成员国，小小的爱尔兰何德何能，吸引了如此之多的跨国公司？

原来爱尔兰经济长期落后凋敝，20世纪80年代，为吸引美国资本，以超低税率诱惑跨国公司在本国设立欧洲总部。脸书、谷歌、微软、推特、苹果、领英等美国科技公司，都在爱尔兰注册欧洲总部，处理个人数据，爱尔兰蜕变为凯尔特之虎。

谁会想到，美國跨国公司当年一心只想避税，却让爱尔兰走上了美欧隐私攻防大战的主战场。施雷姆斯告诉记者：“总部设在欧洲让脸书容易受到法律攻击。这意味着脸书的所有欧洲用户都与该公司都柏林（爱尔兰首都）办事处签下合同，使脸书需要服从爱尔兰严格的隐私法。”

兵贵神速！一批愤怒的欧盟脸书用户向爱尔兰数据保护专员办公室（DPC）投诉，称脸书丝毫不尊重欧盟网友个人数据访问权。 那段时间，雪花般飘来的投诉，让仅有十几个员工的DPC陷入瘫痪。

2011年施雷姆斯向DPC提出申诉，要求知道脸书保存了他的哪些信息，并认为脸书所储存的个人信息受美国国家机构监控，并不安全。2012年2月脸书两位高管飞往维也纳，与他进行了长达6个小时的交涉。脸书公司随后停止使用面部识别软件，删除若干个人数据。

对脸书进行的隐私调查一直没有下文，DPC对施雷姆斯投诉回应“无事生非，徒增困扰”。大棒高高举起，轻轻放下。施雷姆斯拍案而起，走上诉讼之路。他痛斥：“这一决定是基于DPC多年来拒绝正式裁决的事实，甚至没有授予最基本的程序权利（查阅文件、证据或抗辩）。DPC实际上已经停止了所有形式的沟通，并忽略了所有提交的文件。许多观察人士认为，这可能是基于爱尔兰的政治和经济考虑。”

2013年美国国家安全局承包商前雇员斯诺登披露“棱镜”监听项目，美国大规模监控活动被公之于众，全球为之一震。如此大规模的国家监控岂有此理？对此，施雷姆斯的反应是——我的数据被传到美国后安全吗？

他以DPC不作为向爱尔兰高等法院起诉，法官裁决：此案兹事体大，涉及爱尔兰法律和欧盟法律，优先适用欧盟法律。案子随即转交欧盟最高法院审理。

施雷姆斯强调，欧盟数据保护法规规定，欧盟国家公民的个人数据不能传输到非欧盟国家，除非这些数据能够得到有效保护。2000年欧盟委员会与美国签订《安全港协议》，允许网络运营商在美国与欧盟国家之间合法传输网络数据。该协议没有为个人提供法律救济，以寻求访问数据或删除或修改数据。 2013年斯诺登事件令欧盟委员会这一行政决定受到质疑。安全港制度侵犯他的隐私权、数据保护的基本权利，以及《欧盟基本权利宪章》规定的公平审判权。

世人皆知，美国国家安全局全球监控：从国家元首到恐怖分子、从律师到激进分子、从非法商贩到网络黑客，从公民到企业主。它向元数据和通信发起攻击，永不满足地吞噬着元数据：何人在何时何地使用何种机器与何人通话了多久，所有的细节它都想知道。美国国家安全局利用储存在美国的数据，查看欧盟公民电邮、监听电话和在线聊天、查阅浏览和搜索历史记录、通过后门软件窃取计算机数据。

2015年3月24日法庭上法官发问：“如果我担心自己的数据被美国当局掌握，你能给出什么建议。”欧盟委员会律师回答：“如果我有脸书账户的话，可能会考虑关闭自己的脸书账户。”他表示，欧盟委员会无法保证数据保护得到“充分”保障。施雷姆斯表示，这是他在法庭上听到的最令人震惊的言论。

9月法官发表意见，宣布安全港协议无效，如果第三方国家侵犯了欧盟的权力，个人数据保护机构可以暂停数据传输。10月欧盟最高法院裁定：从欧盟传输到美国的数据“达不到适当的保护水平”，15年前签署的《安全港协议》无效。

“维也纳数据叛逆者赢了脸书”“奥地利人打败脸书”，欧洲各大媒体争相喝彩。

胜利来之不易，施雷姆斯说：“这一裁决对互联网私人领域是一个里程碑。欧洲法院明确表示，美国大规模监控侵犯了我们的基本权利，对此用户可以采取理性的法律步骤。”

接受奥地利《皇冠报》采访时，他说，打官司“是为了阻止针对网上私人空间的违法行为。对于广大脸书用户来说，他们不会因为这一判决受到什么限制，只是不用再忍受美国当局把他们的数据传输给情报机构用于监控”。

《安全港协议》失效的裁定影响深远。该判决加强了对欧盟国家公民基本权利的保护。这一判决给欧盟委员会敲了警钟：本来“棱镜”丑闻曝光美国情报机构可以不受限制地拿到脸书、谷歌等美国科技公司的用户数据后，欧盟方面就应立即吸取教训，采取相应行动。

欧洲法院还裁定DPC要详尽地处理施雷姆斯的申诉。日后欧盟各国在处理公民在美国的数据保护问询时，不能袖手旁观，或者断然拒绝。

这一裁决对互联网行业同样产生深远影响。脸书、谷歌、微软、苹果等多家美国科技公司拥有安全港证书。目前互联网用户大部分云服务器设在美国，美国科技企业不得不重新制定数据存储方案。

2015年12月2日，他向DPC重新提交对脸书的投诉，还向汉堡和比利时数据保护当局发出类似投诉。此外，他在奥地利法院发起群体诉讼，六天吸引2.5万人参与，要求脸书向每位参与者象征性赔偿500欧元。这起“大卫和歌利亚”官司，成为欧洲有史以来最大的隐私集体诉讼。

隐私盾协议无效 

安全港协议失效后，美欧跨境数据流动岌岌可危。通过紧急谈判、协商和多轮修改，2016年7月14日双方正式通过《欧美隐私盾协议》。

美国政府首度书面承诺：以国家安全为由进行的访问，都必须受到约束和监管，保证不会对根据隐私盾协议转移到美境内的个人数据进行不加鉴别的、大规模的监视，批量搜集的公民数据只能用于反恐、防扩散、网络安全等6个特定目的，且不得破坏隐私盾协议的原则。另外，美建立了独立于国家安全部门之外的监察专员机制，专门负责跟踪和处理个人提出的投诉和咨询。

2018年《欧盟通用数据保护条例》（GDPR）正式生效。法规不要求各国政府通过任何授权立法，具有直接约束力和适用性。法规规范搜集或处理欧盟居民的个人数据，也适用于欧盟以外的组织。严重违法者，罚款上限是 2000 万欧元或对企业而言上一年度全球营业收入的4%，两者择其大者。根据对超过20000个云服务的调查分析，只有6%的云服务完全符合GDPR。

此后，施雷姆斯根据GDPR对谷歌和脸书提起诉讼，指控它们强迫用户接受其数据收集政策。三起投诉共涉及39亿欧元。2019年1月他对亚马逊、苹果音乐、YouTube等公司提出GDPR投诉，称八家公司对投诉没有作出回应，未能提供足够的背景信息，或提供了不足或难以理解的原始数据，这8家公司的最高罚款总额高达188亿欧元。

再接再厉。施雷姆斯反对脸书在不对美国的监控机制做防护措施的情况下将自己的数据传往美国母公司。他援引斯诺登爆料：脸书在美国有义务向国家安全局、FBI提供用户数据，而用户对此无法采取任何行动。美国监控法没有为欧盟的个人数据提供充分的保护。他要求DPC暂停脸书使用标准合同条款，同时提出了一个激进方案：所有与欧洲人相关的数据，必须托管于在欧盟服务器上。

双方对簿公堂，爱尔兰法官再次将案子提交给欧盟最高法院审理。脸书所援引的标准合同条款以及《欧美隐私盾协议》是否符合欧盟数据保护法。

日前法官裁定：《欧美隐私盾协议》无法限制美国政府在获取数据时满足“与欧盟法律等同”的要求。同时，在美国服务器上存储的欧盟居民信息使欧洲人可能受到美国政府的监控，但欧洲人没有应对这种监控的起诉权利，《隐私盾协议》失效。广泛使用的将个人资料转移到美国的标准合同条款仍然有效，但企业必须保证目的地国家能够对个人数据提供充足保障，欧盟数据保护监管机构有权视个案暂停或禁止转移。

“美国国内法对美国公共当局获取和使用从欧盟转移来的此类数据的限制意味着，欧盟的公民的数据不安全。隐私盾没有对欧盟公民的个人隐私权提供充分的保护。美国政府大規模数据监控计划使得美国数据公司不可能保护在美国处理和存储的个人数据的隐私。”法官强调。

《华尔街日报》评论，这是保护隐私活动人士的一次胜利，他们长期以来一直表示，考虑到美国的监控做法，该国不适合存储欧洲数据。但这一裁决将带来令人头疼的法律问题，是以高昂代价将数据中心转移到欧洲，还是切断与该地区的业务。

“这一决定直接影响到在美国做生意的欧洲和美国企业，其中超过70%是中小企业。美国将继续与欧盟密切合作，以找到一种机制，使欧美之间可以进行必要的、不受阻碍的数据传输。”美国国务院回应称，美方对欧洲法院宣布该协定无效深感失望，正在审查这一判决对5300多家欧洲和美国企业的后果与影响，这些公司为双方带来数百万个跨大西洋的工作岗位和超过7.1万亿美元的商业交易。

根据BSA软件联盟提交的证据，如果跨境个人数据流动被严重中断或停止，对欧盟GDP的负面影响可能达到0.8% 到 1.3%。这相当于欧洲在2012年经济衰退期间经济衰退的3到4倍。

美国与欧盟在个人数据保护之所以松紧程度不同，主因是双方互联网产业美强欧弱，欧盟没有一家强大的数字技术公司。欧洲多年来沦为美国互联网数据巨头砧板肉，“数字奴隶”的财富源源不断的“数字主人”腰包。

加之双方在隐私保护上存在基本理念差异，美方主张自由至上，欧方推崇个人尊严至高无上。对于隐私和个人数据保护，美国坚持灵活保护的策略，致力于通过企业自律机制，辅之以有限的政府执法;欧盟则倾向于通过广泛的立法和司法救济，进行高标准的保护。

7月13日欧洲议会研究服务中心发布《欧洲数据主权》研究报告，“非欧盟科技公司的经济和社会影响力威胁着欧盟公民对其个人数据的控制，并限制了欧盟高科技公司的成长和欧盟及其成员国在数字环境中的立法和执法能力。因此，欧洲必须寻求加强数字领域战略自主权的新政策方法，以获得在数字世界中独立行动的能力”。

美国监控对决欧盟隐私，这一仗关系重大，究竟谁能笑到最后，答案在风中飘荡……