马克斯·施雷姆斯:律师、监管者、国际隐私保护者

大约十年前，欧盟(eu)开始采取不同的行动，改变世界对网络隐私的看法。

其中一项工作是立法，将来自28个成员国的立法者聚集在一起，讨论、起草和部署一套全面的条款，如今，这些条款已经改变了几乎每一家国际公司处理用户个人信息的方式。这项努力的最终法律——《通用数据保护条例》(GDPR)——旨在保护欧盟公民的姓名、地址、地点、信用卡号码、IP地址，甚至(根据上下文)头发颜色，无论他们是客户、雇员还是全球组织的雇主。

第二项努力侧重于诉讼和公众行动，引发了一场运动，至少筹集了近50万美元，用于支持以消费者为中心的诉讼，旨在维护欧盟公民的隐私权，并成功废除了一项已有15年历史的洲际数据传输协议，原因是该协议未能保护欧盟公民的个人数据。2015年的裁决在安全领域引起了轩然大波，迫使各地的公司争相遵守一个陷入动荡的监管体系。

法律通过了。这项运动正在发挥作用。虽然无数人发起了调查、提起诉讼、参与了长达数年的谈判、发表了建议、提出了规定，并获得了议会的批准，但我们可以将这些不同而又相关的努力追溯到一个人——马克西米利安·施雷姆斯。

值得注意的是，随着这两项努力各自取得进展，它们开始相互影响。如今，他们联手保护网络隐私。世界各地的企业都注意到了这一点。

今天GDPR的影响

去年，一家葡萄牙医院、一家德国在线聊天平台和一家加拿大政治咨询公司都面临与gdp相关的罚款。今年1月，法国国家数据保护委员会(CNIL)对谷歌处以5000万欧元罚款在一项调查发现“关于广告个性化缺乏透明度、信息不足和缺乏有效同意”后，这是迄今为止最大的GDPR罚款。

CNIL说，调查是在收到两个组织的法律投诉后开始的:一个是非营利组织La正交网还有非政府组织不关你的事．不关你的事，或者noyb简而言之，施雷姆斯是它的名誉董事。事实上，他在去年帮助众筹成立了这家公司。

在欧盟之外，立法者们正将这两起连击视为激励的源泉。

脸书首席执行官马克·扎克伯格在国会就涉及滥用个人数据、2016年美国总统大选和全球虚假信息运动的丑闻作证时，多次听到要求监管他的公司及其数据挖掘业务的呼声。

来自南达科他州的共和党参议员约翰·图恩说:“问题不再是我们是否需要一部联邦法律来保护消费者的隐私。”“问题是该法律将以何种形式出现。”

弗吉尼亚州民主党参议员马克·华纳(Mark Warner)的说法不同:“社交媒体上的狂野西部时代即将结束。”

一个新的治安官来到镇上

2011年，23岁的施雷姆斯是一名来自奥地利维也纳的法律专业学生，前往美国留学。他参加了圣克拉拉大学法学院的一个隐私研讨会，在那里，他和其他大约22名学生一起，从该领域的一位著名巨头那里了解了在线隐私法。

多萝西·格兰西教授在隐私法与互联网、手机或Facebook有任何关系之前就从事隐私法工作。相反，她在政府监视、窃听和国内间谍活动的世界里遨游。她曾在调查水门阴谋的众多小组委员会之一担任隐私顾问。

后来，她仍在该小组委员会工作，她检查了包含个人身份信息的联邦机构数据库的数量。然后，她帮助起草了1974年的隐私法案，该法案限制了联邦机构收集、使用和共享这些信息的方式。这是美国最早的联邦隐私法之一。

格兰西说，隐私的概念从那时起就在不断发展。它不再仅仅是关于政府的隐私。它还涉及企业的隐私。

格兰西说:“随着时间的推移，很明显，在70年代，关于老大哥和联邦政府的隐私问题，现在已经发展到很多问题都与私人(非政府)收集人们的信息有关。”

2011年，最大的私人、非政府信息收集商之一是Facebook。所以，当Glancy的班级接受Facebook隐私律师Ed Palmieri的客座演讲时，Schrems密切关注，他不喜欢他听到的内容。

首先，Facebook只是拒绝遵守欧洲的数据隐私法。

《60分钟》访谈施雷姆斯说:“显然，无视欧洲隐私法是更便宜的选择。例如，在奥地利，最高罚款为2万欧元。所以，一个律师告诉你如何遵守法律比违反法律更昂贵。”

此外，根据Glancy的说法，Palmieri的陈述表明Facebook对个人隐私和个人信息之间的关系“完全不了解”。这个盲点一直困扰着施雷姆斯。(记者无法联系到帕尔米耶里请其置评。)

格兰西说:“从个人信息或人权问题的意义上讲，人们根本不了解隐私是什么。”麦克斯简直不敢相信。他不太相信Facebook只是不理解。”

所以Schrems进行了调查。(施雷姆斯没有回应多次采访请求，也没有回应他的同事转发的采访请求Noyb．)

回到奥地利后，施雷姆斯决定弄清楚Facebook有多少关于他的信息。答案令人惊讶:Facebook给施雷姆斯发送了一份1200页的PDF文件，详细说明了他的位置历史、联系方式、过去参加过的活动以及他的私人Facebook消息，其中包括一些他认为已经删除的消息。

震惊之下，施雷姆斯成立了一个隐私倡导组织，名为“欧洲诉Facebook，并将自己文件的修订版本上传到该组织的网站上。这些爆料触动了公众的神经——大约4万欧洲人很快就向Facebook索要了他们自己的个人档案。

施雷姆斯随后走上了合法道路。他申请了Facebook在爱尔兰的国际总部向爱尔兰数据保护专员提出22项投诉指控脸书违反了欧盟数据隐私法。这些指控包括:Facebook并没有真正“删除”用户选择删除的帖子，Facebook的隐私政策过于模糊和不明确，无法构成用户有意义的同意，以及Facebook非法“过度处理”用户数据。

爱尔兰数据保护专员将施雷姆斯的投诉纳入了对Facebook的审计，并于2011年12月发布了对该公司的非约束性指导。2012年2月，Facebook的律师还在维也纳与施雷姆斯会面了6个小时。

然后，根据施雷姆斯的网站，只有脸书和爱尔兰数据保护专员办公室的沉默和不作为。公司没有任何有意义的变化。政府没有更强有力的执法。

尽管令人沮丧，施雷姆斯还是继续施压。据Glancy说，幸运的是，他正是这份工作的合适人选。

“他天生好奇，”Glancy说。“一旦他发现有些事情似乎不太对，他就会坚持到底。”

安全港吗?更像是没有安全保障

2013年6月5日，多家报纸曝光了美国国家安全局使用的两个大规模监控项目。其中一个项目当时被称为“棱镜”(PRISM，现在被称为“下游”)，涉及包括Facebook在内的一些全球最大的科技公司。

施雷姆斯做出了他最擅长的回应:他对facebook提出了另一项投诉——他的第23项投诉^{理查德·道金斯}-爱尔兰数据保护专员。施雷姆斯声称，Facebook爱尔兰公司正在将他的数据转移到美国的Facebook公司，据《卫报》报道在美国，NSA享有“大规模访问”用户数据的权利。虽然Facebook和其他公司拒绝他们的参与施雷姆斯对这些说法的准确性表示怀疑。

“有可能的理由相信，‘脸书公司’允许NSA大规模访问其服务器，而不仅仅是基于合理理由的个人请求。”施雷姆斯在诉状中写道．“根据美国法律，‘脸书公司’的声明是不可信的，因为‘脸书公司’受到所谓‘禁言令’的约束。”

施雷姆斯认为，当他的数据离开欧盟边境时，欧盟法律要求这些数据受到“足够程度的保护”。他说，大规模监控违反了这一原则。

爱尔兰数据保护专员不同意．这位专员表示，上述从欧盟到美国的数据传输完全合法，原因是更早前批准的数据隐私保护“安全港”(Safe Harbor)。

1995年，欧盟通过了《数据保护指令》，直到2018年，该指令规范了欧盟公民个人数据的处理。2000年，欧盟委员会(European Commission)批准了该法律的一个例外:美国公司可以同意一套七项原则，称为“反垄断”安全港隐私原则，以允许数据从欧盟转移到美国。事实证明，这种自我认证框架广受欢迎。15年来，几乎每一家将数据从欧盟转移到美国的公司都依赖“安全港”(Safe Harbor)，至少是短暂的依赖。

施雷姆斯不满意，要求爱尔兰高等法院审查数据保护专员的不作为。2013年10月，法院同意了。施雷姆斯对此表示庆祝，并提出了欧盟委员会早些时候的决定。

“(数据保护专员)只是想把这个烫手山芋从他的桌子上拿走，而不是做好他的工作，”施雷姆斯说在当时的一份声明中说．“但当涉及到数百万用户的基本权利和多年来最大的监控丑闻时，他将不得不承担责任，采取行动。”

不到一年之后，爱尔兰高等法院做出了判决-欧盟法院将需要审查安全港计划。

2015年3月24日，法院听取了双方的口头辩论。施雷姆斯的法律团队认为，安全港没有为欧盟公民的数据提供足够的保护。欧盟委员会为爱尔兰DPC之前的决定辩护，提出了相反的观点。

当法院问及欧盟公民如何才能最好地保护自己免受国家安全局的大规模监控时，支持安全港计划的律师做出了惊人的承认:

“如果你有Facebook账户，你可以考虑关闭它，”欧盟委员会(European Commission)的倡导者伯恩哈德·斯奇马(Bernhard Schima)说。他几乎承认，安全港计划无法保护欧盟公民免受海外间谍活动的侵害。当被更直接地问及“安全港”是否为欧盟公民的数据提供了充分的保护时，欧盟委员会(European Commission)的法律团队无法提供保证。

2015年9月23日，最高法院的辩护律师发表了他的初步意见-鉴于国家安全局的大规模监控项目，安全港是无效的。

“这种大规模的、不分青红皂白的监控本质上是不成比例的，是对[尊重隐私、家庭生活和保护个人数据]权利的无理干涉。”意见书说．

不到两周后，整个法院都同意了．

作为一名律师，施雷姆斯对这一决定做出了回应5500字的博客文章(分配了非商业的创作共用公共版权许可)探索当前的数据隐私法、安全港替代方案、公司隐私政策、潜在的安全港2.0和大规模监控。在“有限的时间”里，施雷姆斯感谢读者指出错别字。

一般数据保护条例

在美国最高法院推翻“安全港”法案之前，在爱德华·斯诺登(Edward Snowden)曝光美国国家安全局的大规模监控项目之前，在施雷姆斯收到一份记录他数字生活的1200页PDF文件之前，在格兰西教授在圣克拉拉大学法学院(Santa Clara University School of Law)的隐私研讨会上发表那次决定命运的客座演讲之前，一个改变数据隐私的单独计划已经在进行中。

2010年11月，为欧盟提出立法建议的欧盟委员会(European Commission)考虑了一项目标明确、标题同样明确的新政策:“欧盟个人数据保护的综合方法”。

多年后，它变成了GDPR。

Glancy说，在那些年里，谈判委员会认为Schrems的诉讼提供了大量信息，因为Schrems成功地证明了《欧洲基本人权宪章》及其适用于欧盟数据隐私法之间的关系。忽视这方面的专业知识是愚蠢的。

“马克斯(施雷姆斯)几乎参与了所有(GDPR)委员会的工作。他的诉讼是促使它被采用的部分原因，”Glancy说。“撰写GDPR的人会咨询他是否能解决他的问题，在冗长的写作过程中，有一部分也是关于马克斯(施雷姆斯)不满意的地方。”

由于施雷姆斯没有回应多次采访请求，因此不可能知道他在GDPR中的具体参与情况。他的Twitter和博客上没有关于GDPR通过的可见的对应条目。

然而,公共记录显示GDPR的起草人在法律通过前一年就建议了几个改进领域，包括更明确的“个人信息”定义、欧盟数据监管机构更强大的调查权、更直接的“数据可移植性”，允许公民直接将数据从一家公司转移到另一家公司，同时还可以获得该数据的副本，以及在如何创建欧盟公民的在线档案和针对广告的问题上提高透明度。

GDPR最终变成了一套包含99条的全面条款，严格限制了属于所有欧盟公民的数据的收集、存储、使用、转移和披露，让这些公民更直接地控制他们的数据如何被处理。

例如，公民有“删除权”，他们可以要求公司删除收集到的关于他们的数据。公民还有“访问权”，即公司必须提供收集到的个人数据的副本，以及数据如何收集、与谁共享以及处理原因的信息。

GDPR于2016年4月由议会投票通过，两年后生效。

GDPR的当前和未来影响

2018年5月23日，GDPR的到来不是通过号角，而是通过电子邮件。Facebook、TicketMaster、eBay、普华永道、《卫报》、万豪、KickStarter、GoDaddy、Spotify和无数其他公司通过告诉用户最新的隐私政策，开始了面向公众的GDPR合规战略。的电子邮件泛滥启发排名，躁狂推，甚至一个专门的“我爱GDPR”播放列表．事实上，闪电战规模太大了一些威胁分子利用了这一点，发送虚假的隐私政策更新，以钓鱼方式获取用户信息。

从那以后，合规看起来不那么像电子邮件，而更像是处罚。

今年早些时候，谷歌在法国收到了5000万欧元(合5700万美元)的罚款。去年，一家葡萄牙医院因两起涉嫌违反GDPR规定而被罚款40万欧元。由于2018年7月的数据泄露，德国一家聊天平台被罚款2万欧元。在英国报道的首份GDPR通知中，加拿大政治咨询公司-还是剑桥分析公司的秘密合作伙伴-AggregateIQ收到一份可能被罚款高达2000万欧元的通知．

来Noyb在美国，罚款是个好消息。Gaëtan Goldberg是该非政府组织的隐私律师，他表示，多年来，数据隐私法一直缺乏合规。戈德伯格称GDPR是保护个人数据的“重要一步”，希望它能帮助扭转这一局面。

戈德堡说:“(我们)希望看到欧盟各地的法院和数据保护当局采取强有力的执法措施。”“法国国家反垄断委员会(CNIL)对谷歌处以5000万欧元的罚款，是朝着这个方向迈出的良好开端。”

数据隐私的未来

去年，当参议员华纳告诉扎克伯格，“社交媒体的狂野西部时代即将结束”时，扎克伯格可能没有意识到这一切会以多快的速度成为现实。2018年7月，加利福尼亚州通过了一项全州范围的数据隐私法叫做《加州消费者隐私法案》几个月后，三位美国参议员提出了他们自己的联邦数据隐私法．就在这个月，问责局建议国会通过一项类似GDPR的数据隐私法．

数据隐私不再是一个概念。这就是法律。

在欧盟，这项法律引发了大量的法律投诉。GDPR生效几小时后，Noyb对谷歌、脸书、Instagram和WhatsApp提出了一系列投诉。

戈德堡说，该组织的法律投诉是代表政府进行有意义执法的一个组成部分。请记住:谷歌的巨额罚款始于一项调查，法国当局称该调查是在收到来自Noyb。

此外，隐私组织privacy International对欧洲的数据经纪人和广告技术公司提出了投诉，专注于隐私的网络浏览器Brave也对谷歌和其他数字广告公司提出了投诉。

谷歌和Facebook没有回应他们将如何应对法律投诉的问题。Facebook也没有回应有关之前与施雷姆斯的法律纠纷的问题。

电子前沿基金会国际总监丹尼·奥布莱恩去年写道，在我们等待上述法律投诉的结果时，GDPR已经推动了世界各地的其他隐私转发处罚和法规:

“在意大利，是竞争监管机构罚款Facebook 1000万欧元因为在个人数据操作方面误导用户。巴西通过了自己的国民生产总值式法律今年;智利修改了宪法，纳入了数据保护权利;印度立法者提出了一份广泛的新隐私法律框架草案。”

随着世界向前发展，有一个人——这一切的始作俑者——可能会引人注目地缺席。去年，施雷姆斯表达了退出数据隐私法的愿望。他说，如果有什么不同的话，那就是现在是其他人承担起责任的时候了。

“我知道我会非常投入，尤其是在开始的时候，但从长远来看[Noyb绝对不应该成为马克斯个人的非政府组织，”施雷姆斯在2018年1月的一次采访中告诉《Register》．当被问及他在隐私倡导之外的潜在未来时，施雷姆斯说:“让我们这么说吧，这是从第一线防线上退休……我不想在我的余生里一直提起诉讼。”

令人惊讶的是，在施雷姆斯面向公众和赋予公众权力的所有工作中，他的采访和博客文章有时把他描绘成一个非常谦逊，几乎是害羞的人，同时也有脚踏实地的幽默感。当被问到2016年播客访谈如果他觉得自己会像爱德华·斯诺登(Edward Snowden)一样被人记住，施雷姆斯就会生气。

“实际上一点也不，”施雷姆斯说。“我采取了非常保守的做法。你去法庭，你有你的案子，你带着它，你做你的事。爱德华·斯诺登所做的是完全不同的事情。他几乎放弃了自己的整个人生，很有可能在某种程度上被关进美国监狱。到目前为止，对我来说最糟糕的事情就是上了美国航班的安全名单。”

在同一次采访中，施雷姆斯还偏离了他的搜索结果受欢迎程度。

“现在每个人都知道你的名字了，”主持人说。“如果你喊‘施雷姆斯’，第一个出现的就是‘马克斯·施雷姆斯’和你的案子。”

“是的，但它也是一个非常具体的名字，所以它不像'史密斯'，”施雷姆斯笑着说。“要是叫这个名字，我就不太好过了。”

如果说有什么不同的话，那就是它的受欢迎程度让施雷姆斯感到意外。去年,在接受彭博社采访时在美国，他最初提出22项投诉时，称Facebook是一个“测试案例”。

“我想我应该写一些抱怨，”施雷姆斯说。“我从没想过它会引发如此大的媒体风暴。”

Glancy用同样的方式描述了Schrems对Facebook的初步调查。她说，一开始并不是出于报复，而是出于礼貌。

格兰西说:“他一开始对(Facebook)抱着非常慈善的态度。“在某种程度上，他试图让Facebook清醒过来，看清现实。”

这就是格兰西最了解的施雷姆斯，一个多面性的人，为他人腾出时间，拥有各种各样的兴趣。一个致力于公共服务的人，而不是公众焦点。他还会给她打电话、发邮件，问她法律策略和隐私法方面的问题。一个男人在春假期间和一些朋友开车沿着加利福尼亚海岸行驶。甚至可能是一个厌倦了只被视为网络隐私旗手的人。(他在自己的Twitter个人资料中这样描述自己:“(幸好不只是)法律、隐私和政治。”

“在某种程度上，他认为自己是一名消费者律师，”Glancy说。“他感兴趣的是赋予小人物权力的方式，他们受到大实体的虐待，并不是他们针对他们，而是他们根本不在乎。(人民的)权利没有得到考虑。”

随着GDPR的实施，这些权利以及它们适用的人群现在有了更多的火力。