一个让欧美企业“闻风丧胆”的律师

作者 | 看海外的

来源 | 法律先生

「我要封了TikTok」。

这句话，从特朗普喊到拜登，喊到特朗普又要回来了，美国还在喊，欧洲却先动了手。

5月，爱尔兰数据保护委员会（DPC）对TikTok开出了一张5.3亿欧元的「天价罚单」。

很多人看到第一反应都是，欧洲监管怎么这么狠？而在欧美的法律圈子里，这已经不是新鲜事。

过去10年里，有一个名字不断推动着欧洲隐私保护的边界，让巨头们一次次低头，他就是麦克斯·施雷姆斯（Max Schrems）。

他不是政客，也不是亿万富翁，而是一名普通却让科技巨头们「闻风丧胆」的法律人。

翻译为机翻，截图来自EDPB

施雷姆斯

2011年，美国圣塔克拉拉大学法学院邀请到了硅谷巨头Facebook（FB）隐私法律师做讲座。

施雷姆斯作为奥地利的法学院交换生，举手提出了一个与自己密切的问题：

Facebook是否遵守欧洲的隐私法？

律师微笑回答：「我们尽力」。

含糊、轻巧，却点燃了他的好奇，他决定写一篇关于隐私法的论文。

于是，他向FB提交了一份个人数据访问请求（欧盟法律允许个人请求公司提供自己的所有数据，叫做Right of access）。

2025年FB界面

几周后，他收到了一张1200页数据的CD，里面有他的聊天记录、私信及删过的内容、甚至他自己都忘了的点赞。

我只是想知道他们知道什么，结果发现他们什么都知道。

一个课堂提问，演变成了一场持续十余年的隐私战争。

施雷姆斯向爱尔兰数据委员会（DPC，就是罚了Tiktok的机构，FB的服务器也在此处）发起了针对FB的第一轮起诉。

针对这些投诉，FB高管专门飞到维也纳跟他辩论了6个多小时，结果公司不得不删除部分文件、关闭人脸识别。

小胜一场，却只是序幕，接下来的战斗才真正艰难。

推翻安全港

在2015年之前，欧美之间有个安全港（Safe Harbor）的协议。

允许美国公司通过自我承诺遵守欧盟隐私标准，合法接收欧洲数据，可以理解为靠信用卡押金式的自我承诺。

2013年，施雷姆斯第一次试图推翻安全港，但DPC驳回了投诉，表示无案可答，还称他无聊且无理取闹。

他可不服，继续向高等法院申请司法审查，案件一路递交到欧洲法院，但杳无音信，直到2015年。

当时，斯诺登曝光美国棱镜计划后，欧洲人突然醒过神来，原来美国的承诺只是说说而已，施雷姆斯赶紧抓住这个漏洞推进投诉。

很快，欧洲联盟法院（CJEU）裁定，安全港协议（Safe Harbor）无效。

这几乎切断了美国获取数据的主干道，科技巨头们哀嚎一片，被迫寻找新路线，此案也被称为施雷姆斯1案（Schrems I）。

流亡的斯诺登专门发文恭喜施雷姆斯称：你让世界变得更美好了

一战成名后，施雷姆斯发起了欧洲有史以来规模最大的隐私集体诉讼。

2014年，他在奥地利发起集体诉讼，让FB数万用户交权力给他索赔，几天内报名人数爆到2.5万，但法院以他可能有「商业利益」驳回集体诉讼。

高等法院最终确认，他可以个人起诉FB，虽然没能完全成团体战，但也成为业界传奇，为施雷姆斯2.0做了铺垫。

「关你屁事」

吃一堑长一智，为了能够让更多人参与进来，在2017年施雷姆斯创建非营利机构：

欧洲数字权利中心NOYB（None of your business，意为：关你屁事)。

那一年，《通用数据隐私保护条例》GDPR也开始生效，施雷姆斯针对Google、Facebook、Amazon等巨头递交数十亿欧元投诉。

正式开启施雷姆斯2.0篇章，也恰巧对上了鸟枪换炮的安全港2.0：隐私盾（Privacy Shield)。

有了成功经验的施雷姆斯这次有的放矢，通过FB改用标准合同（SCCs）传数据存在风险为由，再把FB告了。

结果，施雷姆斯2案（Schrems II）判决落地，隐私盾无效，还补充到即使用SCCs，也必须做传输影响评估（TIA）。

也就是说，要多重检查接收国法律靠不靠谱：政府能否随意获取数据？用户若被侵权，有没有地方维权？如果风险无法弥补，再漂亮的合同也没用。

判决一出，企业纷纷暂停欧洲数据向美国传输。

Schrems II确立了核心原则，欧盟数据出境必须在国外享受「实质等同保护」，也就是欧洲基本保障（EGG）标准。

这，也成为了TikTok判罚的法理依据，但接收国法律达不到EGG标准，数据别想出欧盟。

DPC针对罚款的新闻内容

有趣的是，施雷姆斯不是反科技，他还有会用Facebook，Twitter，他只是更相信法律带给每个人的权力。

扎克伯格用网络建立20亿人社交帝国，施雷姆斯用法律和舆论挑战它。

前者相信科技能传播民主，后者提醒，别把掌控生活的权力交给这些硅谷自封集团。

如今，他依然每天在维也纳办公室工作，团队不过15人，在这个「默认同意」的时代，施雷姆斯选择「默认不同意」。

每一次屏幕上的「我同意」，都可能是他十年战斗换来的成果。

隐私，不是技术问题，而是人是否还能做主的问题。

点击「法律先生」阅读原文