超過四億人口的歐盟市場，扎克伯格怎麼會捨得放棄？當然不會。那為什麼 Facebook 母公司 Meta 還要公開威脅退出歐盟市場？

真要退出歐盟市場？

Meta 近期向美國證券交易委員會（SEC）提交 10-K 檔案稱，“如果新的跨大西洋資料傳輸框架無法達成，那麼 Meta 將無法繼續依照《標準合同條款》（SCC）或是其他替代資料傳輸手段，將使用者資料從歐洲傳回美國，可能就無法在歐洲市場提供 Facebook、Instagram 等諸多產品與服務。”（注：《標準合同條款》是歐盟委員會批准的歐盟與非歐盟國家之間的資料傳輸規定）

這種表述是必須的。因為根據 SEC 的監管要求，上市公司必須披露可能影響業務與營收的重大事宜。但這種措辭更像是 Meta 對歐盟的威脅姿態：如果歐盟政府不接受資料傳輸協議，那麼 Facebook 寧可退出歐洲市場。

歐盟顯然對 Meta 這種強硬姿態非常不滿，他們也表現出了毫不退讓的姿態。負責擬定歐盟資料保護法規的歐盟委員沃斯（Axel Voss）公開表示，Meta 不可能要挾歐盟放棄自己的資料保護標準，離開歐盟市場只是他們自己的損失。

或許擔心觸怒歐盟，Meta 隨後又作出了澄清：“公司沒有意願也沒有計劃，退出歐洲市場，但簡單的事實是，Meta 和其他諸多企業、機構與服務都依賴於美歐資料傳輸來提供全球業務。因此，Meta 正密切關注歐洲業務可能受到的影響。”

歐盟是 Meta 最重要的市場之一，營收貢獻僅次於北美市場。2021 年 Meta 從歐盟地區獲得了 290 億美元的營收，約佔年度營收 1180 億美元的四分之一。而且去年歐盟市場營收增長接近一半，也是 Meta 增長最為樂觀的市場。

考慮到蘋果 iPhone 的隱私新規已經給 Facebook 帶來了沉重損失，預計 Meta 每年營收會因此下滑 100 億美元左右（2021 年營收 1180 億美元）。這種情況下，扎克伯格絕無可能與歐盟叫板。

美歐隱私協議無效

那麼，Meta 和歐盟到底在鬧什麼呢？這件事背後的核心跨大西洋資料傳輸。Facebook 母公司 Meta 目前陷入了與歐洲監管部門的僵局。雙方對峙的核心是 Meta 旗下諸多社交產品的資料屬地。而谷歌、Twitter 等網際網路公司也面臨著相似的處境。

在此之前，Meta 等 5000 多家網際網路公司都是依照 2016 年歐美共同達成的《美歐隱私協議》（EU-US Privacy Shield）這一監管框架。他們在歐洲市場提供網際網路服務，將使用者資料傳輸回美國本土伺服器，只需要遵守《標準合同條款》。

但情況在 2020 年 7 月發生了重大轉變。歐盟法院（CJEU）認定這一協議無效作廢，歐盟需要與美國重新制定新的隱私保護協議。原因很簡單，歐盟法院認為美國政府無法有效保護歐盟使用者的資料安全與個人隱私。

具體而言，歐盟法院認為美國基於所謂國家安全進行的政府監控專案（包括《外國情報監控法》），允許政府收集外國使用者相關資訊，沒有明確限制監控的適用範圍，沒有達到嚴格必要以及直接相關的情報收集標準，導致歐盟使用者的資料在美國無法獲得與歐盟境內同等的保護，違反了《歐盟基本權利憲章》。

事件的緣由是前美國國家安全域性外包人員斯諾登（Edward Snowden）在 2013 年 5 月曝光的“稜鏡門事件”。根據《外國情報監控法》等美國聯邦法律，國家安全域性等聯邦機構可以要求諸多網際網路公司交出他們儲存的使用者資料。當然，其中也包括了歐盟使用者的資料。事件曝光之後，2013 年 10 月，奧地利隱私維權人士、律師謝里姆（Max Schrems）在歐盟法庭就這一條款向 Facebook 提出了訴訟。歐盟法庭認定美國的數字隱私法律不足以保證歐洲使用者資料安全，尤其是考慮到來自美國政府的大規模監視活動。

2020 年 7 月，歐盟法院就此案作出判據，認定《美歐隱私協議》無效，需要重新擬定。這個判決又被稱為 Scherem II。與此同時，歐盟法院繼續認可《標準合同條款》（SCC）的有效性，但要求監管部門和各家公司以個案稽核的方式確定外國政府的資料獲取是否符合歐盟標準。

因此，在重新擬定新資料傳輸框架的這段時間，歐盟法院允許各家網際網路公司根據《標準合同條款》，將歐盟使用者資料傳輸到另外一個國家，繼續遵守歐盟在 2018 年通過的《通用資料保護法規》（GDPR）。

Meta 等待資料傳輸新規

這個起訴案件雖然影響到所有網際網路公司，但直接針對的是 Facebook。在歐盟法院作出這一判決之後，2020 年 8 月 Facebook 歐洲總部所在的愛爾蘭法庭發出初步命令，要求他們停止將歐盟使用者資料傳回美國，等待安全性評估。愛爾蘭監管部門資料保護委員會在初步評估了 Meta 的資料傳輸問題之後，表示他們暫時無法解決法律僵局。

因為新規擬定耗時長久，所以一個月之後歐盟決定給予 Facebook 暫時性豁免，允許他們繼續根據《標準合同條款》來傳輸使用者資料，等待歐盟公佈新的隱私保護協議。愛爾蘭資料保護委員會會在今年上半年公佈最終法規。

這就是 Facebook 提交那個 10-K 檔案預警風險的背景。Meta 在監管檔案中表示，如果愛爾蘭監管部門在未來數月給出最終決定，認定 Meta 目前的資料隱私保護條款不符合歐盟標準，那麼 Meta 就無法將使用者資料從歐盟傳輸到其他國家（即美國），意味著就無法在歐盟地區繼續提供服務。

Meta 對此解釋稱，如果歐盟法律禁止他們傳輸資料，他們的商業模式就會遭到破壞，Meta 無法在歐盟地區提供諸多社交服務，會嚴重影響到公司的業務、財務和運營狀況。

但是，如果屆時 Meta 無法滿足歐盟的新規定，無法將歐盟資料傳回美國的話，那麼 Meta 就面臨幾個選擇：1、關閉歐盟地區的使用者資料服務；2、根據歐盟新規定在當地設立伺服器單獨儲存資料；3、按照全球營收標準繳納至多 4% 的罰金，相當於一年 30-40 億美元。

這種美歐監管部門之間的對峙直接影響到了諸多網際網路公司。受到影響的並不只是 Meta，去年 12 月奧地利資料保護局（DPA）判定奧地利一家網站使用谷歌分析（Google Analytics，資料伺服器位於美國）違反了歐盟在 2018 年通過的《通用資料保護法規》（GDPR）。

歐盟對美失去信任

顯而易見，這個問題的核心並不在於歐盟故意為難美國網際網路公司，而是歐盟對美國政府的不信任。要解開問題的關鍵也是歐盟與美國就資料隱私保護達成新的協議。

歐盟的最初要求很明確，美國政府修改資料保護法，達到與歐盟法律相等的保護程式。但美國政府則希望通過談判來化解分歧，提供歐盟可以接受的資料接入規定與隱私保護手段。需要補充的是，英國並不是歐盟成員，英美之間的資料傳輸並不受到這一問題影響。

從 2020 年夏天開始，歐美監管部門已經就資料保護問題進行了將近兩年的談判，但直到現任美國總統政府上臺之後，雙方才開始逐步化解這一分歧。美國商務部長雷蒙多（Gina Raimondo）此前表示，現任美國總統政府將與歐盟達成新的資料保護框架視為一大優先問題，他們正積極與歐盟進行談判。

據美國媒體的報道，雙方已經接近達成初步一致。如果歐盟公民認為美國國家安全機構非法處理自己的使用者資料，允許他們向一家獨立的司法機構提出訴訟。諷刺的是，根據這一安排，屆時歐盟公民可能會享受到比美國公民更多的資料保護權利。

今天夏天歐盟與美國可能會達成 Privacy Shield 2.0 協議。然而，這一新框架協議也需要通過歐盟委員會的批准，屆時可能會面臨新的法律挑戰。因為根據美國《外國情報監視法》（FISA）的 702 條款，美國情報部門依然可以要求諸多雲服務商提供資料。

此外，歐盟委員會也在修訂自己的《標準合同條款》，去年通過了兩套新標準，既涉及到個人資料傳輸到第三國的跨境傳輸要求，也涉及到資料控制者和資料處理者之間的委託傳輸要求。新標準擬定之後，中小企業可以更為清晰地瞭解如何合規進行跨境資料傳輸。

跨太平洋之間的數字經濟對美國科技行業乃至整個經濟意義重大。美國商會 2017 年的資料顯示，美國數字服務出口佔據了美國服務業出口總額的 55%，在美國服務業貿易順差中貢獻了 68%。其中，美國對歐盟的數字服務出口總額高達 2042 億美元，帶來了 800 億美元的服務業貿易順差。以流量來看，歐美之間的資料流動比美國與亞太之間的資料流動高出了 50%。

然而，斯諾登曝光的稜鏡門事件嚴重損害了歐盟對美國這個夥伴的信任。但即便如此，歐盟也沒有制定“資料主權”的相關法律，強制要求本地使用者生成的資料必須儲存在本地，只是要求和美國就使用者資料及隱私保護達成一致。

對於那些在歐盟運營的中國網際網路公司，跨境的資料傳輸同樣需要遵守《標準合同條款》和 2018 年的《通用資料保護條例》（GDPR）。但中國並不在歐盟充分性認定的國家與地區之列，需要單獨簽署跨境傳輸的《標準合同條款》，未來法律環境評估前景。因此，在歐盟境內設有實體的中國企業，通常會在本地設立伺服器來儲存資料。

資料主權界限分明

資料主權是網際網路過去十年興起的概念，是國家主權在網路空間中的延續，體現主權國家對本國資料傳輸以及處理的獨立自主權利。儘管歐盟和美國在跨大西洋資料傳輸領域產生了分歧，也影響到了 Meta 等網際網路巨頭的業務，但歐美之間並不存在資料主權的分歧。

全球資料主權最明顯的邊界存在於中美以及美俄之間。2019 年美國通過《國家安全與個人資料保護法》，將中國與俄羅斯等國定為可能威脅國家安全的特別關注國家（COC），也設定了特別關注的科技公司（CTC）。

在涉及到 COC 和 CTC 的資料傳輸、使用和儲存設定了嚴格要求，明文規定不得在 CTC 國家的伺服器上儲存美國公民使用者資料。但即便 TikTok、微信等科技公司並未將美國使用者資料存在中國伺服器，2020 年美國總統依然以危害國家安全的名義對兩家公司進行制裁。（兩家公司通過訴訟推遲了制裁實施，而現任美國總統上臺之後取消了訴訟。）

另一方面，中國也先後頒佈了《網路安全法》、《資料安全法》、《個人資訊保護法》、等法律，實現了中國資料主權的具體落地與完善立法。這三部法律對中國使用者資料設立了明確的要求，“在中華人民共和國境內開展資料處理活動”，這其中包括了資料的收集、儲存、使用、加工、傳輸等方面。

值得一提的是，正是在 2017 年的《網路安全法》頒佈之後，蘋果根據法規要求與雲上貴州達成合作，從 2018 年 3 月起將中國大陸的 iCloud 使用者轉到雲上貴州來管理。