一个隐私法“漏洞” 脸书被这位律师“追杀”了7年

摘要:

电视剧《亮剑》流行的几年里,李云龙说过的那些个口头禅可谓是家喻户晓。记忆最深的是第一集中,李云龙率领 129 师 386 旅新 1 团硬刚坂田联队,当时新 1 团相比坂田联队的差距可不是一点半点。但尽管如此,在李听到副手谈论坂田联队乃精锐部队时还是如此叫嚣道:“什么他娘的精锐,老子打的就是精锐!”结果,新 1 团成功从正面突围并干掉了坂田联队。

影视剧中,诸如以寡敌众这类的热血剧情并不少见,但我们知道这其中虚构成分居多。所以,类似这种事就一定不会在真实世界中出现吗?还真不一定!今天,编辑带大家认识一位巨咖,身为一名奥利地律师,他就访问权问题愣是孤身一人大战互联网巨头企业 Facebook (小扎让他整得,那叫一个巨惨啊!),而且这场无硝烟的战争一打就是 7 年,他就是—— Max Schrems 。

Max Schrems 不是什么打仗专家,更不会像老李那样没事干就说两句口头禅来给弟兄们洗脑,但他敢于亮剑、执着于目标的个性却和这李云龙一模一样。

一堂讲座拉开“抗战”序幕

Max Schrems 的第一次“亮剑”是在圣塔克拉拉大学一次关于隐私法课的讲座上。

2011 年春天,当时的 Max Schrems 只是一名默默无闻的法律系学生,而他上这所大学的原因仅仅是想要了解一下美国的法律和文化。讲座由著名隐私法学者/圣塔克拉拉大学的法学院教授 Dorothy J. Glancy  担任主讲,在这个只有25名学生的课堂上 Max Schrems 第一次学习到了欧洲隐私法里的一项重要原则——访问权。

简单来说,访问权就是指与欧盟政府、企业、个人互动的人,允许出于任何原因向拥有自己数据的公司乃至政府机构了解自己信息的相关情况,且公司、政府机构必须遵守。其中,可了解的信息情况包括该公司/政府机构是否在处理、使用自己的信息数据,处理目的为何,数据的类型以及其用途和去处等。

然而,相比欧洲,美国法律对于访问权并未明确作出规定,隐私和数据保护问题主要是在个人和公司之间的合同法中有所体现。

512px-Max_Schrems_2016_b.jpg

Max Schrems

课堂上, Glancy 不光给学生详细讲解了隐私法原理,更是邀请了不少来自硅谷大机构的专家们进行实战分享。这其中,就包括 Facebook 隐私法律师 Ed Palmieri 。在一节关于 Facebook 的隐私法课上, Ed Palmieri 就 Facebook 在隐私法方面的研究和落实情况进行了分享,并着重讲解了 Faceebook 在拟定合同时如何行使权力保护用户信息数据的。

这引起了 Max Schrems 的注意,在他看来,不光是 Facebook ,苹果、谷歌、微软均在爱尔兰设立了欧洲总部,而对于欧洲的访问权与美国产生分歧这点他感到十分好奇——这些美国企业是如何在欧洲行使访问权的呢?

课堂上, Max Schrems 示意提问:“请问, Facebook 是否遵守欧洲隐私法?”结果, Ed Palmieri 的回答让 Max Schrems 感到大失所望,除了使用一些模糊语言来搪塞问题的本身意义,他觉得这位 Facebook 隐私法律师给出的答案十分草率。

凭借做为法律系学生的觉悟, Max Schrems 相信这次的无意“亮剑”背后似乎隐藏着一个隐私权漏洞的巨大秘密。这堂课之后,他心中暗自决定将检查 Facebook 是否符合欧盟数据保护法这件事做为自己的课后作业来完成。

兴建“新一团”,7年战精锐

Max Schrems 没想到,一份课后作业竟让自己走上了硬刚 Facebook 的不归路。

2011年6月2日, Max Schrems 发送了第一封正式邮件要求 Facebook 提供和自己个人信息相关的全部资料。他回忆:“身为用户,我感到Facebook对于此事的处理很不专业,他们一再推脱,希望我随着时间的流逝忘记这件事情。在我的再三要求下,他们才回复了我一封邮件,可笑的是里面提到我提供的是虚假用户名。”

显然,这不符合 Max Schrems 的预期。于是,他向 Facebook 发送了第二封、第三封邮件......在历经多次艰难的交涉后, Facebook 总算提供了一张符合 Max Schrems 预期的数据 CD ,在这张存有超过 1200 页 pdf 文件的光盘中记录了 Facebook 留言板消息、已删除朋友、对话和用户个人信息等内容。

“ Facebook 收集用户信息数据,而我有权得知它们被用在何处。但是在我得到的光盘中可以明显看出一大部分内容被删除了,而 Facebook 仍然存储着它们。”

同年8月,不甘心的 Max Schrems 将自己的遭遇分享给校友,并呼吁共同向 Facebook 要回本属自己的信息数据。就这样,“新一团”成立了——在 Max Schrems 组织下,超过  4 万名“围观群众”加入了这支要信息数据的队伍。但结果也在意料之中,事情以每人只收到存有部分数据的下载工具而告终。为讨回公道, Max Schrems 协助愤怒的询问者们以“  Facebook  不尊重个人数据‘访问权’”名义向爱尔兰数据保护专员办公室 ODPC 发起投诉,据传那段时间里 ODPC 几乎要被这类要求给“埋”了。

随后, Max Schrems 再对 Facebook 提出诉讼并要求后者向 2 万 5 千名原告每人支付 500 欧元的赔偿金。对此, Facebook 于 2015 年 4 月向维也纳法院提出程序异议。异议中称,质疑 Max Schrems 的 Facebook 个人用户身份,以及原告将权利授予 Max Schrems 的合法性。

最终,法院驳回了诉讼。

之后的几年, Max Schrems 开启了投诉上庭的“走访”之路。期间,他先后 24 次对 Facebook 提出诉讼,但最终结果都没有达到他的预期。

直到 2016 年 5 月 24 日,事情突然出现了转机。

这天,爱尔兰数据保护专员办公室向 Max Schrems 和 Facebook 发布了一份决定草案。草案初步判定前者的投诉有依据来源。经调查发现,欧盟公民的数据已经被转移到美国,而美国至今尚未向欧盟公民提供法律补救措施。

与此同时,德国政府官员 Thilo Weichert 称:调查发现 Facebook 网站中的‘喜欢’功能按键违反了德国和欧洲法律,因为它在用户不知情的情况下帮助美国安全机构获取其信息并用于利益用途。”

对于这些, Facebook 也用了很多拖延时间的办法,比如 Facebook 试图争辩说,因为 Max Schrems  在隐私权抗争中的主导行为,使得他不再具备消费者权益。但是,欧洲法院在 2018 年 1 月 25 日拒绝了这一论调,称 Max Schrems 的活动不能动摇他作为一名拥有私人 Facebook 账户的消费者的地位。

据悉,被判违反爱尔兰法律后 Facebook 可能被罚款约 140000 美元。此外,通过 7 年的硬刚 Max Schrems 先后逼着 Facebook 删除了用户隐私资料、停用了面部识别软件并通过与 Facebook 的官司让欧盟修改了和美国之间的数据传输协议(从“安全港”到“隐私盾”)...... Max Schrems 因此名声大振,不少网友称赞他为保护用户隐私数据做出了巨大贡献。

至此,这场仗 Max Schrems 已经取得了阶段性胜利,正如“新 1 团成功击退坂田联队的精锐部队”一样。

“马团长”:战斗号角刚吹响

你以为到这里就算完事了?在咱们“马团长”看来,上面的这些只不过是为真正战斗做的铺垫而已。

2018 年 5 月 25 日, GDPR (又称《一般数据保护条例》)由欧洲议会(下议院)和欧盟理事会(上议院)通过并正式启动实施。这一年, Max Schrems 的“新一团”褪去了那一身的土味摇身一变成了奥地利的知名非营利组织—— NOYB 。

在 Max Schrems 的牵头下, NOYB 依据 GDPR 分别向法国、奥地利、比利时和德国的数据保护执法机构投诉 Facebook 、 Google 等公司“强制”其用户“同意”其收集和处理个人数据,并要求处以各巨头合计几十亿欧元的罚款。

对于巨头们来说, GDPR 是只“铁老虎”,这短短的四个字母可谓是如雷贯耳。

从上面可以看出, GDPR 的处罚力度之大在同类条例中堪称之最—— GDPR  规定对于违反其规定的,行为轻微的要罚款 1000 万欧元或全年营收的 2% (两者取最高值),行为严重的则要罚款 2000 万欧元或全年营收的 4% (两者取最高值)。

GDPR 发布后,它的实际威慑力到底有多大呢?一句话概括就是“大厂中枪,小厂‘跑路’”。除了 Max Schrems 的老对手 Facebook 外,亚马逊、苹果、  DAZN 、  Spotify 、  SoundCloud 、  YouTube 、 Flimmit 、  Netflix 等公司纷纷遭到投诉,更是有不少企业为了不招惹 GDPR 直接选择退出欧盟市场。

“ GDPR 是目前最严厉的信息数据保护条例,它的正式实施预示着新信息时代的开启, NOYB 将充分利用 GDPR 让欧盟民众的信息数据得到全面保护。” Max Schrems 如此说道。

看来,我们的“马团长”早已不把 Facebook 放在眼里了,他正想着法子让信息数据保护落实到千家万户。

对于 Max Schrems 来说,真正的战斗才刚刚开始!

热门评论

>>共有0条评论,显示0
更多评论
created by ceallan