對于大型科技公司而言，在歐洲的日子怕是越來越難過了。在歐盟《通用數(shù)據(jù)保護條例》(GDPR)正式生效后，2019年當之無愧成為數(shù)據(jù)保護的執(zhí)法元

對于大型科技公司而言，在歐洲的日子怕是越來越難過了。

在歐盟《通用數(shù)據(jù)保護條例》(GDPR)正式生效后，2019年當之無愧成為數(shù)據(jù)保護的執(zhí)法元年：新年伊始，法國相關監(jiān)管機構就依據(jù)GDPR向谷歌開出了5000萬歐元(約合3.8億元人民幣)巨額罰單，理由是谷歌在向用戶定向發(fā)送廣告時缺乏透明度、信息不足，且未獲得用戶有效許可。

值得注意的是，被稱為GAFA(谷歌Google、蘋果Apple、臉書Facebook和亞馬遜Amazon)的科技巨頭均源于美國，然而美國目前既沒有專門的數(shù)據(jù)保護法律法規(guī)，也沒有對應的職能部門對此進行監(jiān)管。

好消息是，監(jiān)管科技巨頭公司可能是這屆分裂國會上，民主黨和共和黨尋求合作的少數(shù)幾個領域之一。而對于GAFA巨頭而言，他們是選擇合作還是選擇對抗?

“如果像歐盟這樣的美國重要貿易伙伴實行嚴格的隱私信息保護，這對于美國來說不可能沒有任何影響。”德國漢堡Wen & Schomerus 律師事務所創(chuàng)使合伙人溫天敏對第一財經記者表示，這個信息肯定不會被美國的政治家及相關人員忽視。

新年伊始，法國相關監(jiān)管機構依據(jù)GDPR向谷歌開出了5000萬歐元巨額罰單

GDPR生效，先罰谷歌5000萬歐元

向來注重隱私的歐洲能孕育出GDPR并不令人意外。

溫天敏對第一財經記者表示，普遍來說，德國民眾是比較注重個人信息保護的，比如相當部分的民眾都堅持在商店里使用現(xiàn)金購買商品，以便其個人信息不被除自己之外的人員和機構掌握。

為此，GDPR的效力層級在歐盟是“條例”，編號為EU-DSGVO，其效力僅次于憲法。咨詢公司埃森哲則在最近一份報告中直接將GDPR形容為“近二十年來數(shù)據(jù)隱私規(guī)則領域發(fā)生的最重要變化”。

埃森哲在上述報告中指出，GDPR要求責任共擔。在過去，收集和使用數(shù)據(jù)的數(shù)據(jù)擁有者需要對數(shù)據(jù)保護負責。如今，史無前例地，數(shù)據(jù)處理者(如提供數(shù)據(jù)處理服務的云服務提供商等)也需要直接承擔合規(guī)風險和義務。在數(shù)據(jù)保護上，數(shù)據(jù)供應鏈自上而下的各方都會被問責。網絡公司必須與合作伙伴們明確各自的責任和義務。

如不遵守GDPR，后果很嚴重。埃森哲指出，GDPR增加了數(shù)據(jù)保護的強制性和責任性，對違規(guī)的處罰金額提高到2000萬歐元或企業(yè)全球年營業(yè)額的4%(二者取較高值)。

據(jù)第一財經記者統(tǒng)計，目前在28個歐盟國家中，已有21個國家將GDPR融入了國內法，其余國家也紛紛于去年就GDPR的推行問題開展了公開討論或提出修訂草案，一些已經進入了立法程序。

也就是在此背景之下，前述法國數(shù)據(jù)保護機構國家信息與自由委員會(CNIL)向谷歌開出了5000萬歐元的罰單。此前，CNIL接到了來自NOYB和LQDN兩家非營利性組織對谷歌的投訴。

在調查中，CNIL發(fā)現(xiàn)，在透明度問題上，谷歌將數(shù)據(jù)處理目的、數(shù)據(jù)存儲周期及用于個性化廣告的個人數(shù)據(jù)分類等關鍵信息分布在不同的頁面，這造成用戶不得不額外進行5-6次的點擊操作才能夠看到相關的完整信息。

在個性化廣告處理上，根據(jù)CNIL的觀察，谷歌也將相關信息分散在不同的文檔中，這讓用戶無法了解到其使用程度;當用戶創(chuàng)建賬戶時，不僅要通過點擊“更多選擇”的按鈕才能夠到配置頁面，且其中展示個性化廣告的按鈕是默認已選的狀態(tài)，此外，如果用戶一旦勾選同意服務的選項即相當于同意谷歌進行所有處理操作，這有違GDPR要求須為每一個目的“具體”給出許可的規(guī)定。

CNIL指出，谷歌這種對GDPR規(guī)定的違反是長期持續(xù)的，整體上違背了GDPR在透明度、信息披露和明示等三大要素的要求。

目前谷歌對該案件提出了上訴。但監(jiān)管方對其他科技公司發(fā)起的投訴遠遠沒有結束。前述將谷歌告上法國監(jiān)管機構的NOYB在1月18日再次發(fā)布公告表示，已經以違反GDPR第15條“用戶對數(shù)據(jù)的訪問權”的名義將包括亞馬遜、蘋果等8家科技企業(yè)告上奧地利相關監(jiān)管機構。

而根據(jù)前述“2000萬歐元或企業(yè)全球年營業(yè)額的4%(二者取較高值)”罰金的原則，外媒計算出這8家最高罰款的總額理論上可達到188億歐元。

美國追趕歐盟GDPR腳步

美國立法者對于GDPR，可謂五味雜陳。實際上，不少美國數(shù)據(jù)政策專家認為，美國正在失去這一領域的領導者角色。

美國聯(lián)邦貿易委員會首席隱私官馬克·格羅曼就指出，“GDPR正在推動全球對話，當別的國家想要打造自己的硅谷時，它們更多地關注歐洲模式。”

在萬豪酒店數(shù)據(jù)庫遭黑客入侵事件以及劍橋分析公司(Cambridge Analytica)丑聞發(fā)酵之后，深受震動的美國參議員拋出了《社交媒體隱私和消費者權利法案》等立法，試圖尋找在公司使用數(shù)據(jù)的方式與人的隱私權之間的平衡點。

在州一級層面，已經有案例顯示美國正在效仿GDPR：2018年6月29日，美國加利福尼亞州就簽署了一項數(shù)據(jù)隱私法案，里面不少條款同GDPR中的核心條款相同。該法案將從2020年1月開始生效，并適用于加利福尼亞州用戶(硅谷所在地)。該法案規(guī)定，對于掌握超過5萬人信息的公司，用戶有權查閱自己的哪些數(shù)據(jù)被收集，并要求公司刪除自己的數(shù)據(jù)，以及拒絕將數(shù)據(jù)賣給第三方。單次違法將被處以7500美元的罰款。

目前，新一屆美國國會的注意力也轉向了數(shù)據(jù)保護中的重點領域：公司必須告訴用戶們持有的數(shù)據(jù)有多少，用戶對該數(shù)據(jù)有何控制程度，以及公司在數(shù)據(jù)泄露時將面臨怎樣的處罰。

GAFA等科技巨頭在這一過程中的態(tài)度頗令人玩味?？紤]到州立法恐怕更加嚴厲(譬如在加利福尼亞州出現(xiàn)的情況)，GAFA巨頭們反而傾向于接受在聯(lián)邦政府一級設立隱私法的必要性。

這是因為，根據(jù)美國憲法的至高條款(Supremacy Clause)，當聯(lián)邦法律與地方法律發(fā)生沖突時，聯(lián)邦法優(yōu)先于州法。

谷歌首席執(zhí)行官皮查伊(Sundar Pichai)在2018年12月中旬的一次聽證會上說，“我認為我們最好為用戶提供更多的整體數(shù)據(jù)保護框架。我認為這樣做會很好。”

蘋果首席執(zhí)行官庫克(Tim Cook)今年早些時候也呼吁聯(lián)邦隱私立法。微軟首席執(zhí)行官納德拉在參加2019年世界經濟論壇期間則表示，對歐盟去年推出新的GDPR數(shù)據(jù)隱私法表示贊賞，稱這是“一個極好的開端”。

他并指出，對數(shù)據(jù)保護立法的改革不應該停留在歐洲，美國和世界其他國家也應該效仿。

“我希望在美國我們也會有類似的東西。”納德拉稱，“事實上，我希望世界各地都能達成共同標準。”

華盛頓智庫信息技術與創(chuàng)新基金會的政策分析師麥奎因(Alan McQueen)指出了科技巨頭們傾向于合作的背后原因：統(tǒng)一的監(jiān)管機制可以降低應對不同監(jiān)管制度所產生的額外成本。

在加州隱私法通過后，“科技行業(yè)現(xiàn)在正試圖避免美國制定出四分五裂的隱私規(guī)則。”麥奎因表示，在更高的透明度、數(shù)據(jù)可移植性、消費者訪問(consumer access)以及針對濫用私人數(shù)據(jù)的新執(zhí)法機制的需求上，美方可能已形成了共識。

對外經貿大學數(shù)字經濟與法律創(chuàng)新研究中心執(zhí)行主任許可在接受第一財經記者采訪時表示，雖然美國會加強個人數(shù)據(jù)和個人隱私的保護，但美國走的是和歐盟完全不同的路，其原因有三。

首先，最大的不同在于法律制度和雙方立法傳統(tǒng)的不同：歐盟想通過一種自上而下的立法，形成統(tǒng)一的執(zhí)法，去調控、進行數(shù)據(jù)保護。而美國更傾向于利用分散的行業(yè)市場的力量，通過非成文法的方式去提供保護。其次，美國同歐盟的信念不同：二戰(zhàn)以后，歐盟對個人的保護、對個人信息的保護是深入骨髓的，而美國人不可能像歐洲人那樣去看待個人數(shù)據(jù)。

第三，從經濟層面來說，歐盟在全球的數(shù)字經濟市場中并不占優(yōu)勢，缺乏大企業(yè)。許可指出，全球有三分之二的科技企業(yè)都是美國的互聯(lián)網公司，因此從統(tǒng)計層面上來說，美方也不可能出臺對企業(yè)嚴重不利的政策。

關鍵詞： 歐盟GDPR 重罰谷歌 美國