一個法律系學生為何「起訴」了巨頭Facebook?
矽谷Live / 實地探訪 / 熱點探秘 /深度探討
關於你我「隱私權」的鬥爭。
當一隻蝴蝶煽動一下它的翅膀時,永遠也不會知曉,不久的將來,這將帶來一場風暴。
一個在美國就讀法律系的歐洲學生,因為一堂隱私法課,開始了對Facebook長達7年的「上訪」之路。這個月,Facebook 更可能在歐洲面臨高達1.25億美元的罰款,可以說,恰恰也是敗在了「隱私」二字。
這個傳奇的矽谷故事,要從2011年春天的春天講起。
這一年,位於矽谷腹地的聖塔克拉拉大學像往常一樣,迎來了從世界各地慕名而來的一批外國學生。和其他年輕人一樣,時年24歲,從奧地利來的 Max Schrems 那時還是一個默默無聞的法律學生。而他到聖塔克拉拉大學的目標,大概也僅僅是要在這裡呆上一個學期,了解一下美國的法律和文化而已。
一堂隱私法課戳破了一個「漏洞」
機緣巧合的是,這一年,美國的一位隱私法頂級學者,同時也是聖塔克拉拉大學的法學院教授Dorothy J. Glancy,在學校里開了一個關於隱私法的講座類課程。在這個只有25個學生的講座中,Max 學到了一個在歐洲隱私法里很重要的一項原則——訪問權。
(Dorothy J. Glancy 教授,圖自網路)
這個原則簡單解釋的話是說,任何與歐盟公司或政府機構互動的人,都可以出於任何原因,向擁有關於自己數據的公司或機構,了解和自己信息有關的一些事項,並且,公司或政府機構必須遵守。
了解的事項比如包括:
確認公司或機構是否正在處理與他有關的數據
處理的目的
有關數據的類別
這些數據都披漏給了什麼人以及這些人的類別等
(*感興趣的讀者可以查閱總結在1995年歐盟指令第12條第5節中「關於保護個人資料的處理和這些資料的自由轉移。)
而這一點在美國法律上,實際上並沒有相應的原則,隱私和數據保護問題主要是在個人和公司之間的合同法中有所體現。
在課程中,Glancy 教授不單單和學生們聊了聊隱私法的原理,還請來了很多矽谷大機構的一些專家們。其中,就包括了 Facebook 的隱私法律師 Ed Palmieri。
在這個和 Facebook 有關的講座中,Schrems 碰巧靈機一動,問了 Ed 一個問題「Facebook是否遵守歐洲隱私法」。結果, 答案令 Schrems 十分失望,因為這位律師專家,只給出了一個即模糊又草率的答案。
根據直覺 追查真相
憑著法律學生的直覺,在 Facebook 高管的這次講座後,Schrems 決定把檢查 Facebook 是否符合歐盟數據保護法做為他的課後作業來進行跟進。因為不想依賴未經證實的證據,Schrems 決定以自己的個人信息入手。
2011年6月2日,Schrems 正式向 Facebook 發郵件要求其提供和自己個人信息有關的資料。不出所料,Facebook 對他的要求處理的很不專業。在首次回信中,Facebook 居然指責Schrems 提供了虛假的用戶名。
在經過多次艱難的郵件交涉後,最終,Facebook 提供了一張關於 Schrems 要求範圍內的原始隱私數據光碟,裡面有超過1000頁的 pdf 文件!!
不甘心的 Schrems 緊接著成立了一個組織,號召了更多的人來向 Facebook 索要本人的信息,結果,當時有超過 4萬名「圍觀群眾」加入了要信息的隊伍。結果大概也在意料之中,很多人只被發配了一個僅能提供一些數據的數據下載工具。
為什麼Facebook要遵守歐洲法律?
在 Schrems 的法律知識幫助下,憤怒的信息詢問者們開始湧向愛爾蘭數據保護專員辦公室ODPC(Irish Office of the Data Protection Commissioner)投訴,稱 Facebook 不尊重個人數據的「訪問權」。 聽說,那段時間,ODPC 都被這種要求給「埋」了。
這時候可能大家會迷惑了,Facebook 一個美國公司,為什麼要遵守歐洲的法律啊?而且為什麼大家都要往歐洲的愛爾蘭投訴呢?
其實,這是因為 Facebook 的歐洲總部設在愛爾蘭 —— 這也是包括谷歌和微軟在內的科技巨頭的常見做法,這樣做允許他們避免為外國利潤支付美國所得稅。
用 Schrems 的話說,「總部設在歐洲會讓 Facebook 容易受到攻擊。這意味著 Facebook 的所有歐洲用戶都與該公司的都柏林辦事處(愛爾蘭首都)簽有合同,使 Facebook 需要服從愛爾蘭嚴格的隱私法。」
(Facebook在歐洲愛爾蘭總部的辦公樓,圖自網路)
越戰越勇的法律鬥士
之後的故事就長了,愛爾蘭當局對 Facebook 的首次隱私審計後,也沒能給這個好學的法律學生一個滿意的解釋,於是,Schrems 從此走上了投訴上庭的長期「上訪」之路。小道消息聽說,因為這個,Schrems 的那個作業到現在還沒交。。。
直到2016年5月24日,事情出現了轉機。
愛爾蘭數據保護專員辦公室向 Schrems 和 Facebook 發布了一份決定草案,稱已經初步判定,Schrems 的投訴是有根據的。此外,負責這個事的專員還表示,美國尚未向歐盟公民提供法律補救措施,但是歐盟公民的數據已轉移至美國,並可能面臨以國家安全目的而被美國國家機構訪問和處理的風險。
對於這些,Facebook 也用了很多拖延時間的方法,比如 Facebook 試圖爭辯說,因為Schrems 在隱私權抗爭中的主導行為,使得他不再具備消費者權利。但是,歐洲法院在2018年1月25日拒絕了這一論點,稱 Schrems 的活動並不能取消他作為一名擁有私人 Facebook 賬戶的消費者的地位。
就在同一天,歐洲最高法院還做出了另一個打 Facebook 臉的判決。根據這個判決,Schrems可以在自己的家鄉奧地利對 Facebook 提起訴訟,並通過一系列尷尬的隱私問題挑戰Facebook——例如,美國政府監視程序是否用了 Facebook 的用戶數據? 該公司如何在網路的其他部分全面跟蹤用戶?以及 Facebook 是否因此獲得用戶處理其個人數據的法定許可?
如果 Schrems 在奧地利對 Facebook 起訴的話,這個案子將有望成為一個「判例」。後續很多狗血的內容,也許都會在這個案子上陸續爆出來。吃瓜群眾可以把板凳搬過來等了。
這幾天媒體也報道,Facebook的董事長兼CEO 扎克伯格近日大量拋售公司股票,套現近2.5億美元。而除了小扎外,Facebook 其他董事和高管近期也頻頻拋售公司股票。當然,媒體分析稱,這是為了資金注入扎克伯格與妻子名下的基金Chan Zuckerberg Initiative 。八卦的大膽猜想一下,不知道這件事會不會也是誘因之一。
為什麼歐洲保護隱私意識比較強?
除了歐洲最高法院的判決之外,比利時法庭在本月17日也表示,如果 Facebook 繼續違反隱私法,追蹤第三方網站上的用戶,將對該公司處以最高1億歐元(約合1.25億美元)的罰款。
此外,法庭還判決 Facebook 必須刪除其違法搜集的有關比利時公民的所有數據,其中包括本身不使用 Facebook 的人的數據。這起訴訟是由比利時隱私保護機構提起的。
說到這,可能大家會好奇,為什麼 Facebook 會頻頻在歐洲遭到這麼大的起訴行為,而歐洲國家為什麼在保護隱私方面比較嚴格呢?
耶魯大學教授 Whitman 曾經說過,美國的隱私權觀念建立在自由基礎之上,而歐洲的隱私權觀念建立在人格尊嚴基礎之上。追溯一些歷史原因可以發現,一些歐盟國家過去經歷過對人格尊嚴的嚴重踐踏(例如納粹等),因此,歐洲設立了如此嚴格的保護隱私,來確保未來不會通過控制個人信息,如族裔,信仰等,再次發生大規模的,反人格尊嚴的慘案。
更值得注意的是,從今年5月25日起,歐洲的通用數據保護條例」(GDPR)就正式生效了。
這到底是個什麼法規呢?小探簡單解釋下,這是歐洲議會、歐盟理事會和歐盟委員會打算加強和統一歐盟內所有個人的數據保護的條例。 GDPR的目標主要是,通過統一歐盟內的監管規定,向公民和居民反饋個人數據,並簡化國際業務的監管環境。這個法規不要求國家政府通過任何授權立法,因此具有直接約束力和適用性。
你可能會說,如果我公司不在歐洲設立或註冊,不就不會受限制了嗎?錯了。
如果數據控制器(從歐盟居民收集數據的組織)或處理器(代表數據控制器(例如雲服務提供商)處理數據的組織)或你資料庫里的數據主體(人員)位於歐盟,就都適用該法規。此外,法規收集或處理歐盟居民的個人數據,也適用於歐盟以外的組織。
法規裡面的個人數據包括什麼呢?歐盟委員會稱,「個人資料是指與個人有關的任何信息」,無論是與私人,專業還是公共生活有關的信息,可以是姓名,家庭住址,照片,電子郵件地址,銀行詳細信息,社交網站上的帖子,醫療信息或計算機的IP地址等。
如果違反了會怎麼樣?該法規表示,對於一般性違反此法的對象,罰款上限是 1000 萬歐元或對企業而言上一年度全球營業收入的2%(兩者中取數額大者);對於嚴重違法的,罰款上限是 2000 萬歐元或對企業而言上一年度全球營業收入的4%(兩者中取數額大者)。
所以說,無論你是創業者,還是公司業務跟歐洲有來往的,都應該以史為鑒,儘快對這個法規熟悉起來。不然只能自求多福了。
※DeepBrain Chain 深腦鏈——將區塊鏈與AI相結合的前沿科技
※現代密碼學之父入場區塊鏈,和NKN一起打造未來網路
TAG:矽谷密探 |