从欧洲法院禁止欧盟居民信息传输美国公司，看数据隐私权的重要性_风闻

A.数据隐私权：从一则推特热门侦探游戏挑战案例说起

案例要求玩侦探游戏者从下图一张照片中找出拍摄者具体住在哪家旅馆。

案例提供的信息是——

天空中的飞机是从伦敦飞往香港的波音747。

该照片摄于2019年10月30日。

拍摄者在旅馆里。

当时的天气晴朗。

阴影表明太阳可能在拍摄者的后面。

飞机在天空中的位置。

找出拍摄者在哪家旅馆的正确姿势是——

1. 从飞机的飞行日期和路线入手，弄清当天伦敦和香港之间往返的所有航班和飞机类型。根据Tobi Bluhm 确定该航班是 N617UP，这是UPS的货运航班，于10月30日世界标准时间6:12从伦敦斯坦斯特德机场（Stansted）出发，飞往香港。拍摄者所住的旅馆就应该在这条线的附近。见下图：

玩侦探游戏者还需要一点几何学、历史天气预报和日落计算知识，就可以使用该飞行路径来大幅缩小拍摄者的位置，直到最终找到目标人。

2. 通过FlightRadar 和 FlightAware软件将飞行轨迹下载为KML文件。KML文件包含按时间点记录的一系列地理位置，包括GPS坐标和海拔高度等，飞机旅程每个阶段的确切位置、高度和方向都能看到。在 Google Earth 中查看这些数据，然后通过将 Google Earth 中的视图与照片中的信息进行交叉引用，就可以确定拍摄者的位置。

注册一个Flightradar 帐户，以便能够访问KML文件。在 Google Earth 中打开KML文件时，整个飞行路线都会覆盖在地图上。这是从斯坦斯特德起飞的飞机。

3.根据现在所有的飞行路线数据，再把日落/日出信息和一些几何图形结合起来，将其信息放到 Suncalc 中，结合Flight Aware的航班跟踪日志的摘要，计算拍摄者的可能的位置包括荷兰东部、德国、波兰、白俄罗斯或俄罗斯西部。因为这是飞机在白天和阳光仍然位于东南部时飞过的一系列地点。

4.再结合拍摄者的角度、天气记录、房子光线、飞行路线和时间、飞机飞过柏林时太阳的位置（东南），确定柏林是拍摄者最有可能的所在地。

5.通过KML 文件中找寻足够数据，使用 Google Earth3D功能，以飞机轨迹为参考点，设置非常紧密的参数对柏林进行最终的视觉搜索，再经过一系列3D搜索操作（此处已经省略N个推导步骤），可以几乎完美地再现拍摄者所在的酒店是 H+ Hotel Mitte Berlin，就是下图画圈的窗户。

该案例表明，仅仅依靠有限的数据，以及可视化工具，加之科学合理的推导，一个人的隐私就能够被他人轻松掌握了。

B. 欧洲法院两次裁决：禁止美国互联网公司将欧盟居民个人信息资料大规模传输给美国公司

2020年7月16日，欧洲法院裁定，禁止欧盟居民的个人信息资料大规模传输给美国公司，欧美双方2016年签订的《欧美隐私盾牌协议》无效，且该项裁决不能上诉。美国数字公司想要在欧洲持续经营，必须将其居民个人信息在欧盟内部的服务器上存储才算合法。

欧盟法院在裁决中称——

“隐私权盾没有对欧盟公民的个人隐私权提供充分的保护。美国政府大规模数据监控计划使得美国数据公司不可能保护在美国处理和存储的个人数据的隐私。”

这等于说美国公司多年来干着侵犯欧洲居民个人隐私信息的黑客勾当。这已经是第二次欧洲法院对美国互联网数字公司进行类似裁决了。

第一次欧洲法院的裁决是针对欧盟与美国2000年签订的《欧美安全港协议》。该协议允许美国网络运营商忽略欧盟各国法规差异，在美国与欧盟国家之间合法传输网络数据。包括谷歌、脸书、亚马逊等4000多家美国科技公司在欧洲运营时可以将欧洲用户数据输往美国存贮及分析。

但2013年美国前防务承包商雇员斯诺登爆料，脸书及其他公司和美国政府秘密情报机构合作，将脸书等互联网公司所储存的个人信息置于美国国家机构的监控之下，任由美国政府获取使用。

欧洲法院接受奥地利一名法学家起诉，于2015年10月裁定：美国未能遵从欧盟数据保护法律要求，欧美之间签订的《欧美安全港协议》无效，脸书等美国公司应立即停止将收集到的欧洲用户数据传输至美国。

2016年3月，为保证美国互联网公司在欧洲顺利经营，美国与欧盟再次协商谈判签订了《隐私盾牌协议》，用以取代2000年双方签订的《安全港协议》。

令人想不到的是，时才刚刚过了4年，欧洲法院再次就同一事项作出裁决，“美国政府大规模数据监控计划使得美国数据公司不可能保护在美国处理和存储的个人数据的隐私。”“禁止欧盟居民的个人信息资料大规模传输给美国公司，欧美双方2016年签订的《隐私盾牌协议》无效。”

C. 数据权利：中美欧三方竭力争夺与保护的新经济高地

数字经济的发展，是随着互联网通信技术尤其是移动通信技术的发展而迅速壮大起来的。在起步与发展过程中，谁掌握足够多的居民用户的个人信息，谁就享有了数字经济的巨大红利。美国依靠最先发展起来的强大的互联网通信技术以及英语语言优势，中国依靠互联网通信技术后发优势以及自身巨大人口规模获得了发展，各自涌现出了一批享誉世界的数字公司。但与中美两国的数字经济发展成果比较起来，欧洲本土几乎没有诞生一家数据巨头公司。而数字经济的丰厚果实，却被美国的数字巨头谷歌、脸书、亚马逊以及苹果等公司瓜分殆尽，欧洲几乎就沦为美国公司的“数据奴隶”，不仅经济利益大量流失到美国公司，而且海量个人用户隐私信息掌握在美国公司以及美国政府的监控之中。

在互联网信息时代，数据具有了前所未有的经济利益，欧洲很早就制定了《欧盟隐私保护指令》《电子通讯资料保护指令》，力图在保护居民个人隐私信息的前提下，加快数字经济的发展。

鉴于欧洲多年没有一家在世界上有影响的数据公司。在此情况下，欧盟不得不与美国签订《安全港协议》与《隐私盾牌协议》，以求在引进外来数字公司促进自身发展的同时，尽力保护欧盟居民数据隐私权不受美国数据公司侵犯。

显然，欧盟高估了美国数字公司与美国政府的守法合规自觉性与道德纯洁性，脸书等公司将存储在美国服务器上的欧盟用户隐私信息交于美国政府监管，赤裸裸地侵犯了欧盟居民的隐私信息权利。正是在这一背景下，欧洲法院才两次裁决美国公司侵犯欧盟居民隐私信息，最后才严格禁止美国公司将收集到的欧盟用户数据传输至美国。

数据权是建立在两个方面的框架之上的——

一是数据主权。主要内容包括国家作为主体对数据的管理权和数据的控制权。

二是数据权利。包括人格权和财产权。数据人格权主要包括居民个人数据知情同意权、数据修改权与数据被遗忘权，其主要功能是保障个人的隐私信息；数据财产权的主体是公司企业，主要包括数据采集权、数据可携权、数据使用权和数据收益权，其功能是保证企业合法合理高效利用数据资源，促进社会经济发展与居民生活便利高效，让全社会分享大数据的价值增值红利。

美国数字公司多年来在欧盟的所作所为，一是损害了欧盟的数字主权，违反了欧盟制定的相关保护居民数据隐私权的法律以及与美国签订的相关协议条款；二是造成了欧盟数字企业难以发展，以及数字经济收益的严重流失。

欧盟近年来对美国数字巨头采取的措施是：以保护欧盟数据主权的名义，向美国数字公司征收高额数据税；以保护欧盟居民隐私信息的名义，欧洲法院裁决禁止美国公司将收集到的欧洲用户数据传输至美国服务器存储与分析，美国数字公司在欧洲经营，必须将其居民个人信息在欧盟内部的服务器上存储才算合法。

欧洲法院的裁决给中国的警示是：保护一国数字主权不受侵犯的根本要义，在于发展壮大自身国家的数字经济实力，将数字主权牢牢抓在自己手上。幸运的是，中国的互联网数字公司经过多年的发展，有了与美国分庭抗礼的实力，且数字公司的规模借助中国人口优势仍在迅猛发展，而欧盟国家自身数字企业的发展壮大显然还有很长的路要走。