施雷姆斯在奥地利小有名气,如果你关注了那场横跨大西洋的隐私传奇,你会立刻认出他来。他笑言:“我因为一场隐私的官司而失去了我的隐私。”
隐私,以及美国人对隐私的看法,一直吸引着他。施雷姆斯在17岁时,曾作为高中交换生,被送到佛罗里达州一个“与世隔绝的地方”。那座名为塞布林的小镇对他而言确实是一个巨大的文化冲击,但并不是因为一般人认为的原因。让施雷姆斯迷惑不解的,不是以美国未来农民协会(Future Farmers of America)或南方浸礼会教堂为中心的社交聚会,而是学校追踪学生的方法。他说:“学校里有一整套控制体系,校园内有一个警察局,每个走廊都装有摄像头。从成绩、SAT(学术能力评估测试)分数、出勤率到学生证上允许我们使用互联网的小贴纸,一切都被追踪。”
施雷姆斯骄傲地回忆起他如何帮助美国同学绕过学校对谷歌搜索的屏蔽。他说:“我向他们展示了google.it,这个网站完全可以正常使用,因为学校只屏蔽了google.com。一个交换生向学校介绍了国际顶级域名!”
他告诉我们,回到维也纳真是让他大松一口气,“在这儿我们实在太自由了”。
2011年,24岁的施雷姆斯再次来到美国,在加州圣克拉拉大学的法学院学习了一个学期,他在那时仍然十分关注隐私问题。一位给施雷姆斯讲授隐私课程的客座讲师恰巧是脸书的律师,当施雷姆斯问起他脸书公司根据欧洲隐私法所承担的义务时,那位律师回答说,法律并没有得到执行。施雷姆斯说:“他告诉我们‘你可以做你想做的任何事情’,因为欧洲的惩罚如此微不足道,所以没人会真的执行。显然,他并不知道课堂上有一个欧洲人。”
这次交流促使施雷姆斯更深入地探索,并选择了他认为脸书在遵循欧洲法律义务方面存在的不足作为自己学期论文的主题。
对大多数学生来说,故事本该就此结束,但施莱姆斯并不是一位普通学生。不到一年,他拿着自己的研究成果向位于爱尔兰的数据保护局提出了投诉(脸书的欧洲数据中心位于爱尔兰)。他的投诉直截了当,但有可能颠覆全球经济。他提出,由于国际安全港隐私原则的实施而允许欧洲公民的数据被传输到美国的做法需要废止。他指出,其原因是美国没有足够的法律保障来恰当地保护欧洲的数据。
安全港原则是跨大西洋经济的一个基本支柱,但除了隐私专家外,它鲜为人知。这是欧盟1995年隐私指令的产物,该指令要求欧洲公民的个人信息只有在获得足够隐私保护的情况下才能转移到其他国家。鉴于美国缺乏国家隐私法,需要一些政治创造力来保持数据在大西洋两岸流动。该解决方案于2000年通过,这是一项自愿计划,允许公司自我证明自己遵守了美国商务部认可的7项隐私原则。这些原则反映了欧盟的规则,并使欧盟委员会能够得出结论,即美国按照1995年指令的要求提供了充分的隐私保护4。国际安全港隐私原则就此诞生。
15年后,跨大西洋数据流动呈现爆发式增长。超过4000家公司利用安全港每年提供2400亿美元的数字服务5。这些服务包罗万象,包括从保险和金融服务到图书、音乐和电影的一切。但财务数字只是信息冰山一角。美国公司在欧洲拥有380万名员工,它们需要依靠安全港原则传输包括从薪水到健康福利,以及个人绩效评估等方方面面的个人数据6。美国公司在欧洲的总销售额高达2.9万亿美元,其中大部分业务需要数字数据的流动,以确保货物发送到目的地,销售收入得到准确记录7。这其实已成为世界对数据极度依赖的晴雨表。
虽然政府官员和商界领袖认为安全港是现代社会的必需品,但马克斯·施雷姆斯却看到了完全不同的东西。就像安徒生童话中的那个孩子一样,他研究了安全港原则,然后宣称,实际上“这个皇帝没有穿衣服”。
施雷姆斯自2008年以来一直是脸书的用户,他以此为基础对爱尔兰数据保护专员提出了投诉。2012年,他已返回维也纳。在与脸书进行了“多达22封电子邮件往来”之后,施雷姆斯收到了一张CD,其中包含一份1200页的PDF(便携式文档格式)文件,全是他的个人数据。他说:“这只是脸书拥有的我的个人数据的1/2或1/3,其中300页还是我已经删除的内容。实际上,每一篇帖子上都标记着‘已删除’。”(www.xing528.com)
如他所认为,一项允许脸书以这种方式收集和使用如此多数据的安全港协议,绝对不可能提供欧洲法律所要求的保护。
施雷姆斯公开了自己的投诉,辩称安全港原则应该被废除,并在整个欧洲酿成了一个小型媒体话题。脸书迅速派遣了两名欧洲高管前往维也纳,试图说服他重新考虑自己的观点。他们在机场旁边的酒店会议室里待了6个小时,敦促施雷姆斯缩小投诉范围。但他不肯放弃,坚持说他希望爱尔兰专员解决他的疑虑8。
科技行业和隐私团体的其他人也密切关注着这一问题,但大多数人并不认为施雷姆斯的案件会有什么结果。毕竟,他因为花了太多时间起草投诉书,而不是在圣克拉拉完成他的学期论文,导致这篇论文一直没有完成,不过他得到了教授的延期允许9。不久之后,爱尔兰数据保护专员裁决施雷姆斯败诉,并判定基于2000年欧盟委员会的决定,安全港满足了“充分保护水准”的要求。这个案件似乎画上了句号,施雷姆斯也应该回去写他的法学院论文了。不过,他并没有退缩。
他的案件最终打到了欧洲法院。2015年10月6日,地狱之门被打开了。
当天一大早,我正在佛罗里达州准备和来自拉丁美洲的客户一起参加一个活动,电话突然响起。欧洲法院已经废除了国际安全港隐私原则10。法院判定,欧洲国家数据保护当局有权根据该协定对数据传输自行进行评估。实际上,法院赋予独立监管机构更多的权力,它知道这些机构在审查美国的隐私保护行为方面会更加严格。
人们立刻开始怀疑,这是否意味着我们将回到数字的黑暗时代。跨大西洋的数据流动现在是否会停止?为了应对这种突发事件,我们已采取其他法律措施,以确保我们的客户能够继续使用我们的服务将其数据进行国际转移。我们竭力安抚客户。在整个科技行业,每个人都尽可能表现得很淡定,但欧洲法院的裁决引发了巨大不安。用一位曾参与过安全港谈判的律师的话来说:“我们不能假设任何事情在目前是安全的。这项裁决非常广泛,任何用于从欧洲传输数据的机制都可能受到威胁。”11
这一裁定导致了长达数月的激烈谈判。这有点像试图把摔得粉碎的蛋头先生(Humpty Dumpty[1])重新拼在一起。美国商务部长佩妮·普利茨克和欧洲专员韦拉·朱罗瓦正在努力制定一种更能够令欧洲法院和欧洲各国隐私监管机构满意的方法。2016年1月,我抵达欧盟委员会与朱罗瓦讨论谈判进展,当我在楼下等待出入证时,她突然向我打招呼,令我大吃一惊。她笑着说她刚才出去了一会儿。一位她从未见过的男士在外面认出了她,并走上前说:“我们应该彼此认识一下,我叫马克斯·施雷姆斯。”
在国际谈判紧锣密鼓进行的同时,科技行业也做好了最坏的准备。在微软内部,我们探讨了是否可以利用西雅图靠近加拿大的优势,将关键支持转移到我们在温哥华的设施中。这意味着要让雷德蒙德的一些员工来回奔波,但由于法院的裁定不影响加拿大和欧洲之间的数据传输,我们可以确保更无缝的操作。
所幸,最终我们免去了这些麻烦。2016年2月初,普利茨克和朱罗瓦宣布达成了一项新的协议。他们用隐私护盾(Privacy Shield)取代了安全港原则,新的协议包含了更高的隐私要求和年度双边审查。微软成为第一家承诺遵守新数据保护要求的科技公司12。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
