上海WTO事务咨询中心

全球贸易投资研究咨询中心
世界产业运行研究咨询中心
首页>WTO动态研究>美“数字民主中心”抨击《欧美隐私盾牌》协定存缺陷

美“数字民主中心”抨击《欧美隐私盾牌》协定存缺陷

17-08-14

去年,欧美之间达成了《欧美隐私盾牌》(EU-US Privacy Shield)协定(以下简称“协定”),该协定规定,用于商业目的的个人数据从欧洲传输到美国后,将享受与在欧盟境内同样的数据保护标准。美国政府部门郑重承诺将严格履行协定中的要求,保证国家安全部门不会对这些个人数据采取任意监控或大规模监控措施。欧美双方还提出建立年度联合审查机制,由欧盟委员会和美国商务部联合实施,用来监督该协定的实施情况。2017年7月5日,为回应欧盟的关切,美国“数字民主中心”(Center for Digital Democracy,以下简称“中心”)致函欧盟委员会司法与消费者总司,抨击了协定存在的缺陷给欧盟公民的数据保护权利带来隐患,敦促欧盟委员会终止该协定,并用“通用数据保护条例”(General Data Protection Regulation)取而代之。以下是该函的主要内容。

中心是一家专注于消费者数据保护问题的美国非政府组织。作为协定首次年度审查的开展方,中心很乐意回应欧盟委员会的关切。自去年生效以来,中心就一直致力于评估该协定。

欧盟的公民和消费者在与加入协定的公司打交道时,其数据保护和隐私权利遭到严重侵蚀,并且协定给欧盟公民提供的保护与欧盟法律给欧盟公民提供的保护不可相提并论。鉴于该协定缺乏数据保护所必要的政策、规则和执行,中心敦促欧盟委员会和欧盟数据保护机构终止该协定,并用“通用数据保护条例”取而代之。

中心审查了加入协定的几家主要美国公司的行为以及这些公司在美国商务部网站上提交的内容。中心将这些公司的声明(其自称如何开展业务)与实际采集的数据作了比较,并辅以从商业数字市场上搜集的信息,如自动“编程”决策和其他消费者导向的应用数据。中心得出如下四点结论:

一、美国没有有效的法律框架来保护消费者隐私,政策的执行力度不足,总体而言未能解决数据的急剧增长

关于制定有效的数据保护规则,美国国会和白宫中存在一些政治反对声音。或许最明显的例子就是2017年3月由美国国会和美国总统特朗普做出的废除美国唯一一个在数十年前颁布的保护消费者隐私条例的决定。2016年10月由美国联邦通信委员会通过的《宽带客户隐私保护规则》将首次为美国公众提供数据搜集和使用方面的保护和权利。该新规则几乎得到美国每一家主要的隐私保护非政府组织和其他关心数据保护政策人士的支持。自1998年美国国会通过《儿童网络隐私保护法》之后,美国就再没有颁布保护消费者网络隐私的法案。这次颁布的《宽带客户隐私保护规则》主要影响互联网服务提供者,尤其是提供宽带连接服务的有线电话公司,为美国的数据搜集系统(包括跟踪、分析、编程、敏感数据等)提供了重要的保护。代表美国最具影响力的数据公司(如谷歌和脸书)的互联网服务提供者和主要贸易团体一道封杀《宽带客户隐私保护规则》,因为该规则使美国走上一条改进美国自身法律框架的道路。与联邦贸易委员会不同,联邦通信委员会拥有发布条例保护公众隐私的权力。今年三月,特朗普总统签署法案,使美国丧失了改善数据隐私保护的唯一机会。虽然一些业内游说者和支持者认为《宽带客户隐私保护规则》并不是必要的,但这种观点对于美国公众来说是一种可悲的笑话。正如公众所知,联邦贸易委员会并没有制定隐私保护规则的权力。

甚至在特朗普总统上任之前,联邦贸易委员会也没有能力有效保护好消费者的数据隐私。欧盟公众目前面临的许多问题,如公司应如何搜集和使用信息,可以归结于联邦贸易委员会未能有效应对数据隐私保护。过去四年来,美国的数字营销公司能够在各种平台上使用实时广告定位投放;识别、跟踪、锁定个人,无论其使用的设备为何;获取一系列消费者的地理位置信息,包括其实际位置和整体地理行为;通过所谓的营销或数据“云”来获取大量的消费者特征信息;与合作方一道获取大量的数据源;即刻将所谓的“第一方”个人数据添加至其他信息,可随时上传至主要的数字定位网站;通过社交、视频、移动和其他数字广告应用程序获取消费者数据;充分利用个人(包括青少年)的隐私和敏感信息,如种族、民族、健康状况和年龄;通过所谓的“用户群扩展”(即在他人不知情的情况下通过个人信息定位他人信息)破坏个人和团体的隐私。上述这些行径通过加入《欧美隐私盾牌》协定的公司输出并适用于欧盟市场,并且欧盟企业也是这么实施的。

联邦贸易委员会并没有试图去处理这些损害隐私的做法,因为该机构没有相应的监管能力。一直以来联邦贸易委员会都呼吁美国国会赋予其规则制定的能力,而这正是美国的数据游说者成功反对的。此外,联邦贸易委员会在处理消费者保护时为何对代表公众利益瞻前顾后,恐怕还存在一些历史原因。

二、《欧美隐私盾牌》协定允许基于无效的“通知和选择”框架使用数据,而欧盟一些关键的数据政策,如目的限制,则遭到忽视

当中心在审查美国Axciom及其“数据载入”子公司LiveRamp提交的材料时发现,欧盟消费者无法在网站上模糊的“数据搜集目的”的表述中找到想要的答案。比如,“LiveRamp的身份连接是一项身份解析服务,该服务可以把数据和真人联系起来,并通过数字渠道使数据载入成为可能”;或者营销人员利用Axciom的LiveRamp“对消费者进行全渠道的观察。。。通过接触点识别消费者。。。将媒体曝光与购买数据联系起来”;或者LiveRamp与数据代理商、数字广告公司等具有深远的合作伙伴关系;或者公司可以利用Axciom来开展诸如“用户群扩展”、“线上至线下属性”等数据定位操作。

另一家《欧美隐私盾牌》协定的加入者Adobe公司,通过大量的营销云应用程序——包括“Adobe Audience Manager”这套软件可以帮助用户建立一套能在任何地方使用的独特的档案,使客户整合第一、第二、第三方数据以全面了解你的客户,识别和定位平台上最有价值的内容——也未能解释其在搜集和使用消费者数据时扮演的实际角色。

同样地,人们也忽略了广告科技公司、协定加入者DataXU在美国商务部网站上递交的文件。据全球著名的市场研究公司Forrester发布的研究报告表明,DataXU公司专门从事“跨设备映射”,使营销人员能够进出口专有数据和设备图。。。DataXU还能使营销人员通过一种算法定制机器学习,可以“给你带来你自己的数据”。此外,DataXU还能通过“线上线下数据、媒体数据、CRM数据、第一和第三方数据、网页数据以及私人的第二方数据”来定位消费者。

欧盟公民认为,自己的地理和位置隐私应受到保护。但是另一家协定加入者Factual可以通过诸如移动设备等“真实世界的行为”加以定位。欧盟公民不知道的是,Factual的“观察图”(Observation Graph)通过对世界的数字理解,从移动设备那整合了位置数据和传感数据,能够对移动用户进行“离散观察”,包括监控基于位置的行为,如访问特定位置、商户和连锁店;活动出席情况,包括音乐会、运动会、文艺演出等;活动监控,包括驾驶和步行;特定用户的位置,如家里和工作场所;以及数字活动,包括所使用的应用程序和设备特征。Factual还承诺,随着数据的不断获取,可以添加新的观察类型。

最后,中心还审查了其他一些协定的加入者,如MediaMath(一家提供“观众评分”的公司)、Trade Desk(一家提供“地理围栏”的公司),但中心还想特别强调一些领先的广告公司(如协定的加入者Omnicom)的作用。Omnicom公司“能以任何形式、任何时间从你最梦寐以求的数据源中提取出每一分价值。。。能在30秒内处理20亿行数据”。与其他广告公司一样,Omnicom也专业从事数据采集和使用。

三、作为保护欧盟公众的一种手段,自我认证既不足够,又存在风险

欧盟委员会应要求美国商务部和联邦贸易委员会审查寻求加入《欧美隐私盾牌》协定申请者的实际数据使用情况。自我认证允许美国公司在欧盟从事数据搜集活动时无视欧盟相关指令的精神和要求,更何况是将来的“通用数据保护条例”。如果欧盟委员会要求美国商务部和联邦贸易委员会审查寻求加入协定的申请者,则可以快速发现这些申请者没有能力——或没有意愿——确保欧盟的数据权利得到保护。

四、《欧美隐私盾牌》协定的网站和提交的内容存在诸多问题,总体上反映出对公众权利的漠视

从协定申请者提交的内容来看,充斥着打印错误、无效链接、数据录入草率等问题。网站本身的搜索功能也做不到用户友好。这表明美国商务部和联邦贸易委员会实际上也没有认真把关上传的内容。

基于上述发现,中心呼吁欧盟委员会终止《欧美隐私盾牌》协定,要求美国制定颁布能够体现“通用数据保护条例”原则和政策的隐私保护法律。协定的加入者能够做出自动化、数据驱动型的决策行为,使欧盟公民和消费者能够公平获得金融服务、健康信息以及购买产品和服务。鉴于美国没有有效的隐私保护法律框架、美国商务部和联邦贸易委员会监督和执法缺位、协定加入者既没有披露其行为又无法确保完全遵照欧盟的数据保护方法等原因,欧盟委员会必须立刻采取行动保护欧盟公众。

“跨大西洋消费者对话”将在今年十月华盛顿举办的公众论坛上提出这些问题,包括要求那些为欧盟市场提供服务的公司也在美国国内实施“通用数据保护条例”。