像微信、Facebook 这样的社交平台,是怎样保护我们隐私的?
图片:《社交网络》
探秘全球科技精华|公众号guigudiyixian
为了回答这个问题,小探想要说一个很有意思的故事。
一个在美国就读法律系的欧洲学生,因为一堂隐私法课,开始了对 Facebook 长达 7 年的“上访”之路。这个月,Facebook 更可能在欧洲面临高达 1.25 亿美元的罚款,可以说,恰恰也是败在了“隐私”二字。
这个传奇的硅谷故事,要从 2011 年春天的春天讲起。
这一年,位于硅谷腹地的圣塔克拉拉大学像往常一样,迎来了从世界各地慕名而来的一批外国学生。和其他年轻人一样,时年 24 岁,从奥地利来的 Max Schrems 那时还是一个默默无闻的法律学生。而他到圣塔克拉拉大学的目标,大概也仅仅是要在这里呆上一个学期,了解一下美国的法律和文化而已。
一堂隐私法课戳破了一个“漏洞”
机缘巧合的是,这一年,美国的一位隐私法顶级学者,同时也是圣塔克拉拉大学的法学院教授 Dorothy J. Glancy,在学校里开了一个关于隐私法的讲座类课程。在这个只有 25 个学生的讲座中,Max 学到了一个在欧洲隐私法里很重要的一项原则——访问权。
这个原则简单解释的话是说,任何与欧盟公司或政府机构互动的人,都可以出于任何原因,向拥有关于自己数据的公司或机构,了解和自己信息有关的一些事项,并且,公司或政府机构必须遵守。
了解的事项比如包括:
- 确认公司或机构是否正在处理与他有关的数据
- 处理的目的
- 有关数据的类别
- 这些数据都披漏给了什么人以及这些人的类别等
(* 感兴趣的读者可以查阅总结在 1995 年欧盟指令第 12 条第 5 节中“关于保护个人资料的处理和这些资料的自由转移。)
而这一点在美国法律上,实际上并没有相应的原则,隐私和数据保护问题主要是在个人和公司之间的合同法中有所体现。
在课程中,Glancy 教授不单单和学生们聊了聊隐私法的原理,还请来了很多硅谷大机构的一些专家们。其中,就包括了 Facebook 的隐私法律师 Ed Palmieri。
在这个和 Facebook 有关的讲座中,Schrems 碰巧灵机一动,问了 Ed 一个问题“Facebook 是否遵守欧洲隐私法”。结果, 答案令 Schrems 十分失望,因为这位律师专家,只给出了一个即模糊又草率的答案。
根据直觉 追查真相
凭着法律学生的直觉,在 Facebook 高管的这次讲座后,Schrems 决定把检查 Facebook 是否符合欧盟数据保护法做为他的课后作业来进行跟进。因为不想依赖未经证实的证据,Schrems 决定以自己的个人信息入手。
2011 年 6 月 2 日,Schrems 正式向 Facebook 发邮件要求其提供和自己个人信息有关的资料。不出所料,Facebook 对他的要求处理的很不专业。在首次回信中,Facebook 居然指责 Schrems 提供了虚假的用户名。
在经过多次艰难的邮件交涉后,最终,Facebook 提供了一张关于 Schrems 要求范围内的原始隐私数据光盘,里面有超过 1000 页的 pdf 文件!!
不甘心的 Schrems 紧接着成立了一个组织,号召了更多的人来向 Facebook 索要本人的信息,结果,当时有超过 4 万名“围观群众”加入了要信息的队伍。结果大概也在意料之中,很多人只被发配了一个仅能提供一些数据的数据下载工具。
为什么 Facebook 要遵守欧洲法律?
在 Schrems 的法律知识帮助下,愤怒的信息询问者们开始涌向爱尔兰数据保护专员办公室 ODPC(Irish Office of the Data Protection Commissioner)投诉,称 Facebook 不尊重个人数据的“访问权”。 听说,那段时间,ODPC 都被这种要求给“埋”了。
这时候可能大家会迷惑了,Facebook 一个美国公司,为什么要遵守欧洲的法律啊?而且为什么大家都要往欧洲的爱尔兰投诉呢?
其实,这是因为 Facebook 的欧洲总部设在爱尔兰 —— 这也是包括谷歌和微软在内的科技巨头的常见做法,这样做允许他们避免为外国利润支付美国所得税。
用 Schrems 的话说,“总部设在欧洲会让 Facebook 容易受到攻击。这意味着 Facebook 的所有欧洲用户都与该公司的都柏林办事处(爱尔兰首都)签有合同,使 Facebook 需要服从爱尔兰严格的隐私法。”
越战越勇的法律斗士
之后的故事就长了,爱尔兰当局对 Facebook 的首次隐私审计后,也没能给这个好学的法律学生一个满意的解释,于是,Schrems 从此走上了投诉上庭的长期“上访”之路。小道消息听说,因为这个,Schrems 的那个作业到现在还没交。。。
直到 2016 年 5 月 24 日,事情出现了转机。
爱尔兰数据保护专员办公室向 Schrems 和 Facebook 发布了一份决定草案,称已经初步判定,Schrems 的投诉是有根据的。此外,负责这个事的专员还表示,美国尚未向欧盟公民提供法律补救措施,但是欧盟公民的数据已转移至美国,并可能面临以国家安全目的而被美国国家机构访问和处理的风险。
对于这些,Facebook 也用了很多拖延时间的方法,比如 Facebook 试图争辩说,因为 Schrems 在隐私权抗争中的主导行为,使得他不再具备消费者权利。但是,欧洲法院在 2018 年 1 月 25 日拒绝了这一论点,称 Schrems 的活动并不能取消他作为一名拥有私人 Facebook 账户的消费者的地位。
就在同一天,欧洲最高法院还做出了另一个打 Facebook 脸的判决。根据这个判决,Schrems 可以在自己的家乡奥地利对 Facebook 提起诉讼,并通过一系列尴尬的隐私问题挑战 Facebook——例如,美国政府监视程序是否用了 Facebook 的用户数据? 该公司如何在网络的其他部分全面跟踪用户?以及 Facebook 是否因此获得用户处理其个人数据的法定许可?
如果 Schrems 在奥地利对 Facebook 起诉的话,这个案子将有望成为一个“判例”。后续很多狗血的内容,也许都会在这个案子上陆续爆出来。吃瓜群众可以把板凳搬过来等了。
这几天媒体也报道,Facebook 的董事长兼 CEO 扎克伯格近日大量抛售公司股票,套现近 2.5 亿美元。而除了小扎外,Facebook 其他董事和高管近期也频频抛售公司股票。当然,媒体分析称,这是为了资金注入扎克伯格与妻子名下的基金 Chan Zuckerberg Initiative 。八卦的大胆猜想一下,不知道这件事会不会也是诱因之一。
为什么欧洲保护隐私意识比较强?
除了欧洲最高法院的判决之外,比利时法庭在本月 17 日也表示,如果 Facebook 继续违反隐私法,追踪第三方网站上的用户,将对该公司处以最高 1 亿欧元(约合 1.25 亿美元)的罚款。
此外,法庭还判决 Facebook 必须删除其违法搜集的有关比利时公民的所有数据,其中包括本身不使用 Facebook 的人的数据。这起诉讼是由比利时隐私保护机构提起的。
说到这,可能大家会好奇,为什么 Facebook 会频频在欧洲遭到这么大的起诉行为,而欧洲国家为什么在保护隐私方面比较严格呢?
耶鲁大学教授 Whitman 曾经说过,美国的隐私权观念建立在自由基础之上,而欧洲的隐私权观念建立在人格尊严基础之上。追溯一些历史原因可以发现,一些欧盟国家过去经历过对人格尊严的严重践踏(例如纳粹等),因此,欧洲设立了如此严格的保护隐私,来确保未来不会通过控制个人信息,如族裔,信仰等,再次发生大规模的,反人格尊严的惨案。
更值得注意的是,从今年 5 月 25 日起,欧洲的通用数据保护条例”(GDPR)就正式生效了。
这到底是个什么法规呢?小探简单解释下,这是欧洲议会、欧盟理事会和欧盟委员会打算加强和统一欧盟内所有个人的数据保护的条例。 GDPR 的目标主要是,通过统一欧盟内的监管规定,向公民和居民反馈个人数据,并简化国际业务的监管环境。这个法规不要求国家政府通过任何授权立法,因此具有直接约束力和适用性。
你可能会说,如果我公司不在欧洲设立或注册,不就不会受限制了吗?错了。
如果数据控制器(从欧盟居民收集数据的组织)或处理器(代表数据控制器(例如云服务提供商)处理数据的组织)或你数据库里的数据主体(人员)位于欧盟,就都适用该法规。此外,法规收集或处理欧盟居民的个人数据,也适用于欧盟以外的组织。
法规里面的个人数据包括什么呢?欧盟委员会称,“个人资料是指与个人有关的任何信息”,无论是与私人,专业还是公共生活有关的信息,可以是姓名,家庭住址,照片,电子邮件地址,银行详细信息,社交网站上的帖子,医疗信息或计算机的 IP 地址等。
如果违反了会怎么样?该法规表示,对于一般性违反此法的对象,罚款上限是 1000 万欧元或对企业而言上一年度全球营业收入的 2%(两者中取数额大者);对于严重违法的,罚款上限是 2000 万欧元或对企业而言上一年度全球营业收入的 4%(两者中取数额大者)。
所以说,无论你是创业者,还是公司业务跟欧洲有来往的,都应该以史为鉴,尽快对这个法规熟悉起来。不然只能自求多福了。
欢迎关注 :硅谷密探