一個隱私法”漏洞”，臉書被這位律師“追殺”了7年

（原標題：一個隱私法“漏洞”，臉書被這位律師“追殺”了7年）

本文作者：靈火K

電視劇《亮劍》流行的幾年里，李云龍說過的那些個口頭禪可謂是家喻戶曉。

記憶最深的是第一集中，李云龍率領129師386旅新1團硬剛坂田聯隊，當時新1團相比坂田聯隊的差距可不是一點半點。但盡管如此，在李聽到副手談論坂田聯隊乃精銳部隊時還是如此叫囂道：“什么他娘的精銳，老子打的就是精銳！”結果，新 1 團成功從正面突圍并干掉了坂田聯隊。?

影視劇中，諸如以寡敵眾這類的熱血劇情并不少見，但我們知道這其中虛構成分居多。所以，類似這種事就一定不會在真實世界中出現嗎？還真不一定！今天，編輯帶大家認識一位巨咖，身為一名奧利地律師，他就訪問權問題愣是孤身一人大戰互聯網巨頭企業 Facebook （小扎讓他整得，那叫一個巨慘?。。?，而且這場無硝煙的戰爭一打就是 7 年，他就是―― Max Schrems 。

Max Schrems 不是什么打仗專家，更不會像老李那樣沒事干就說兩句口頭禪來給弟兄們洗腦，但他敢于亮劍、執著于目標的個性卻和這李云龍一模一樣。

一堂講座拉開“抗戰”序幕

Max Schrems 的第一次“亮劍”是在圣塔克拉拉大學一次關于隱私法課的講座上。

2011 年春天，當時的 Max Schrems 只是一名默默無聞的法律系學生，而他上這所大學的原因僅僅是想要了解一下美國的法律和文化。講座由著名隱私法學者/圣塔克拉拉大學的法學院教授 Dorothy J. Glancy? 擔任主講，在這個只有25名學生的課堂上 Max Schrems 第一次學習到了歐洲隱私法里的一項重要原則――訪問權。

簡單來說，訪問權就是指與歐盟政府、企業、個人互動的人，允許出于任何原因向擁有自己數據的公司乃至政府機構了解自己信息的相關情況，且公司、政府機構必須遵守。其中，可了解的信息情況包括該公司/政府機構是否在處理、使用自己的信息數據，處理目的為何，數據的類型以及其用途和去處等。

然而，相比歐洲，美國法律對于訪問權并未明確作出規定，隱私和數據保護問題主要是在個人和公司之間的合同法中有所體現。

Max Schrems

課堂上， Glancy 不光給學生詳細講解了隱私法原理，更是邀請了不少來自硅谷大機構的專家們進行實戰分享。這其中，就包括 Facebook 隱私法律師 Ed Palmieri 。在一節關于 Facebook 的隱私法課上， Ed Palmieri 就 Facebook 在隱私法方面的研究和落實情況進行了分享，并著重講解了 Faceebook 在擬定合同時如何行使權力保護用戶信息數據的。

這引起了 Max Schrems 的注意，在他看來，不光是 Facebook ，蘋果、谷歌、微軟均在愛爾蘭設立了歐洲總部，而對于歐洲的訪問權與美國產生分歧這點他感到十分好奇――這些美國企業是如何在歐洲行使訪問權的呢？

課堂上， Max Schrems 示意提問：“請問， Facebook 是否遵守歐洲隱私法？”結果， Ed Palmieri 的回答讓 Max Schrems 感到大失所望，除了使用一些模糊語言來搪塞問題的本身意義，他覺得這位 Facebook 隱私法律師給出的答案十分草率。

憑借做為法律系學生的覺悟， Max Schrems 相信這次的無意“亮劍”背后似乎隱藏著一個隱私權漏洞的巨大秘密。這堂課之后，他心中暗自決定將檢查 Facebook 是否符合歐盟數據保護法這件事做為自己的課后作業來完成。

興建“新一團”，7年戰精銳

Max Schrems 沒想到，一份課后作業竟讓自己走上了硬剛 Facebook 的不歸路。

2011年6月2日， Max Schrems 發送了第一封正式郵件要求 Facebook 提供和自己個人信息相關的全部資料。他回憶：“身為用戶，我感到Facebook對于此事的處理很不專業，他們一再推脫，希望我隨著時間的流逝忘記這件事情。在我的再三要求下，他們才回復了我一封郵件，可笑的是里面提到我提供的是虛假用戶名?！?/p>

顯然，這不符合 Max Schrems 的預期。于是，他向 Facebook 發送了第二封、第三封郵件……在歷經多次艱難的交涉后， Facebook 總算提供了一張符合 Max Schrems 預期的數據 CD ，在這張存有超過 1200 頁 pdf 文件的光盤中記錄了 Facebook 留言板消息、已刪除朋友、對話和用戶個人信息等內容。

“ Facebook 收集用戶信息數據，而我有權得知它們被用在何處。但是在我得到的光盤中可以明顯看出一大部分內容被刪除了，而 Facebook 仍然存儲著它們?！?/p>

同年8月，不甘心的 Max Schrems 將自己的遭遇分享給校友，并呼吁共同向 Facebook 要回本屬自己的信息數據。就這樣，“新一團”成立了――在 Max Schrems 組織下，超過? 4 萬名“圍觀群眾”加入了這支要信息數據的隊伍。但結果也在意料之中，事情以每人只收到存有部分數據的下載工具而告終。為討回公道， Max Schrems 協助憤怒的詢問者們以“? Facebook? 不尊重個人數據‘訪問權’”名義向愛爾蘭數據保護專員辦公室 ODPC 發起投訴，據傳那段時間里 ODPC 幾乎要被這類要求給“埋”了。

隨后， Max Schrems 再對 Facebook 提出訴訟并要求后者向 2 萬 5 千名原告每人支付 500 歐元的賠償金。對此， Facebook 于 2015 年 4 月向維也納法院提出程序異議。異議中稱，質疑 Max Schrems 的 Facebook 個人用戶身份，以及原告將權利授予 Max Schrems 的合法性。

最終，法院駁回了訴訟。

Max Schrems 與律師 Herwig Hofman 在盧森堡歐洲法院

之后的幾年， Max Schrems 開啟了投訴上庭的“走訪”之路。期間，他先后 24 次對 Facebook 提出訴訟，但最終結果都沒有達到他的預期。

直到 2016 年 5 月 24 日，事情突然出現了轉機。

這天，愛爾蘭數據保護專員辦公室向 Max Schrems 和 Facebook 發布了一份決定草案。草案初步判定前者的投訴有依據來源。經調查發現，歐盟公民的數據已經被轉移到美國，而美國至今尚未向歐盟公民提供法律補救措施。

與此同時，德國政府官員 Thilo Weichert 稱：調查發現 Facebook 網站中的‘喜歡’功能按鍵違反了德國和歐洲法律，因為它在用戶不知情的情況下幫助美國安全機構獲取其信息并用于利益用途?！?/p>

對于這些， Facebook 也用了很多拖延時間的辦法，比如 Facebook 試圖爭辯說，因為 Max Schrems? 在隱私權抗爭中的主導行為，使得他不再具備消費者權益。但是，歐洲法院在 2018 年 1 月 25 日拒絕了這一論調，稱 Max Schrems 的活動不能動搖他作為一名擁有私人 Facebook 賬戶的消費者的地位。

據悉，被判違反愛爾蘭法律后 Facebook 可能被罰款約 140000 美元。此外，通過 7 年的硬剛 Max Schrems 先后逼著 Facebook 刪除了用戶隱私資料、停用了面部識別軟件并通過與 Facebook 的官司讓歐盟修改了和美國之間的數據傳輸協議（從“安全港”到“隱私盾”）…… Max Schrems 因此名聲大振，不少網友稱贊他為保護用戶隱私數據做出了巨大貢獻。

至此，這場仗 Max Schrems 已經取得了階段性勝利，正如“新 1 團成功擊退坂田聯隊的精銳部隊”一樣。

“馬團長”：戰斗號角剛吹響

你以為到這里就算完事了？在咱們“馬團長”看來，上面的這些只不過是為真正戰斗做的鋪墊而已。

2018 年 5 月 25 日， GDPR （又稱《一般數據保護條例》）由歐洲議會（下議院）和歐盟理事會（上議院）通過并正式啟動實施。這一年， Max Schrems 的“新一團”褪去了那一身的土味搖身一變成了奧地利的知名非營利組織―― NOYB 。

在 Max Schrems 的牽頭下， NOYB 依據 GDPR 分別向法國、奧地利、比利時和德國的數據保護執法機構投訴 Facebook 、 Google 等公司“強制”其用戶“同意”其收集和處理個人數據，并要求處以各巨頭合計幾十億歐元的罰款。

對于巨頭們來說， GDPR 是只“鐵老虎”，這短短的四個字母可謂是如雷貫耳。

從上面可以看出， GDPR 的處罰力度之大在同類條例中堪稱之最―― GDPR? 規定對于違反其規定的，行為輕微的要罰款 1000 萬歐元或全年營收的 2% （兩者取最高值），行為嚴重的則要罰款 2000 萬歐元或全年營收的 4% （兩者取最高值）。

GDPR 發布后，它的實際威懾力到底有多大呢？一句話概括就是“大廠中槍，小廠‘跑路’”。除了 Max Schrems 的老對手 Facebook 外，亞馬遜、蘋果、? DAZN 、? Spotify 、? SoundCloud 、? YouTube 、 Flimmit 、? Netflix 等公司紛紛遭到投訴，更是有不少企業為了不招惹 GDPR 直接選擇退出歐盟市場。

“ GDPR 是目前最嚴厲的信息數據保護條例，它的正式實施預示著新信息時代的開啟， NOYB 將充分利用 GDPR 讓歐盟民眾的信息數據得到全面保護?！?Max Schrems 如此說道。

看來，我們的“馬團長”早已不把 Facebook 放在眼里了，他正想著法子讓信息數據保護落實到千家萬戶。

對于 Max Schrems 來說，真正的戰斗才剛剛開始！

參考來源：

《一個法律系學生為何“起訴”了巨頭Facebook？》作者：硅谷探秘；

《Facebook’s Privacy Policy Under Scrutiny In Europe, Partly Because Students Complained》作者：HUFFPOST?Gerry Smith

《APUS研究院｜Google和Facebook被投訴了?！》作者：創業邦 ；