趙麗莉，鄭 蕾

(1.山東科技大學(xué) 知識(shí)產(chǎn)權(quán)學(xué)院， 山東 青島 266590；2.西安交通大學(xué) a.科技與教育發(fā)展研究院; b.網(wǎng)絡(luò)信息中心， 陜西 西安 710049)

一、美國(guó)現(xiàn)有數(shù)據(jù)與隱私安全保護(hù)立法總體概況

美國(guó)沒(méi)有統(tǒng)一的、綜合的聯(lián)邦層面數(shù)據(jù)與隱私安全立法，但是基于美國(guó)判例法的實(shí)踐，聯(lián)邦和各州都自成法律體系，有人稱之為“分散立法模式”[1]。梳理這些立法發(fā)現(xiàn)(見(jiàn)表1)，美國(guó)已經(jīng)形成一套適用于規(guī)范數(shù)據(jù)收集和使用以及隱私保護(hù)的規(guī)則，已有立法涉及的主要領(lǐng)域包括用戶財(cái)務(wù)信息、醫(yī)療健康信息、電子信息的收集和使用，在線隱私保護(hù)，個(gè)人信息披露，數(shù)據(jù)控制者和處理者的義務(wù)等。

(一)分領(lǐng)域立法

《聯(lián)邦貿(mào)易委員會(huì)法》(Federal Trade Commission Act)是一部聯(lián)邦消費(fèi)者權(quán)益保護(hù)法，立法目標(biāo)是規(guī)范企業(yè)之間的公平競(jìng)爭(zhēng)和保護(hù)消費(fèi)者免受商業(yè)行為的欺詐，明確禁止使用欺騙性或虛假?gòu)V告，禁止不公平或欺詐行為，該法案被看做是規(guī)范隱私和數(shù)據(jù)安全的重要制度。

《金融服務(wù)現(xiàn)代化法》(Gramm-Leach-Bliley Act,簡(jiǎn)稱GLB)規(guī)定了金融信息的收集、使用和披露。它可以廣泛應(yīng)用于銀行、證券公司和保險(xiǎn)公司等金融機(jī)構(gòu)，以及其他提供金融服務(wù)和產(chǎn)品的公司。GLB限制非公開(kāi)個(gè)人信息的披露，并且在某些情況下要求金融機(jī)構(gòu)提供其隱私操作的實(shí)踐方式，以及數(shù)據(jù)主體選擇不共享其信息的機(jī)會(huì)。此外，國(guó)家銀行機(jī)構(gòu)頒布了若干隱私規(guī)則，聯(lián)邦貿(mào)易委員會(huì)(Federal Trade Commission,簡(jiǎn)稱FTC)頒布了與財(cái)務(wù)數(shù)據(jù)保護(hù)和處置相關(guān)的保障規(guī)則、處置規(guī)則和紅旗規(guī)則。

《健康保險(xiǎn)流通與責(zé)任法》(Health Insurance Portability and Accountability Act，簡(jiǎn)稱HIPAA)規(guī)范了醫(yī)療信息的收集和使用。它廣泛應(yīng)用于醫(yī)療保健提供者、數(shù)據(jù)處理者、藥房和其他與醫(yī)療信息接觸的主體。《個(gè)人可識(shí)別健康信息隱私標(biāo)準(zhǔn)》(HIPAA隱私規(guī)則)適用于受保護(hù)健康信息(PHI)的收集和使用?！峨娮颖Ｗo(hù)健康信息保護(hù)安全標(biāo)準(zhǔn)》(HIPAA安全規(guī)則)提供了保護(hù)醫(yī)療數(shù)據(jù)的標(biāo)準(zhǔn)。《電子交易標(biāo)準(zhǔn)》(HIPAA交易規(guī)則)適用于醫(yī)療數(shù)據(jù)的電子傳輸。

表1 美國(guó)隱私立法主要規(guī)定

《公平信用報(bào)告法》(Fair Credit Reporting Act，簡(jiǎn)稱FCRA)是美國(guó)聯(lián)邦政府頒布的一項(xiàng)法律，旨在提高消費(fèi)者報(bào)告機(jī)構(gòu)文件中所載消費(fèi)者信息的準(zhǔn)確性、公平性和隱私性，保護(hù)消費(fèi)者免受金融機(jī)構(gòu)故意或疏忽地將不準(zhǔn)確的信息納入其信用報(bào)告中。FCRA與《公平追債法》一起構(gòu)成了美國(guó)消費(fèi)者權(quán)益法的基礎(chǔ)。該法案最初于1970年通過(guò)，由美國(guó)聯(lián)邦貿(mào)易委員會(huì)(Federal Trade Commission)、消費(fèi)者金融保護(hù)局(Consumer Financial Protection Bureau)和私人訴訟當(dāng)事人執(zhí)行。

《電子通信隱私法》(Electronic Communications Privacy Act，簡(jiǎn)稱ECPA)和《計(jì)算機(jī)欺詐和濫用法》(Computer Fraud and Abuse Act )分別對(duì)截取電子通信和計(jì)算機(jī)篡改進(jìn)行了規(guī)定。ECPA是美國(guó)聯(lián)邦法律，其禁止第三方未經(jīng)授權(quán)截取或披露通信，保護(hù)存儲(chǔ)和傳送中的通信。該法案最初是作為1968年《竊聽(tīng)法》的修正案通過(guò)的，適用于政府雇員和普通公民。ECPA被1994年的《通信協(xié)助執(zhí)法法》(CALEA)、2001年的《美國(guó)愛(ài)國(guó)者法》、2006年的《美國(guó)愛(ài)國(guó)者再授權(quán)法》和2008年的《外國(guó)情報(bào)監(jiān)聽(tīng)法修正案》大幅修訂。

《計(jì)算機(jī)欺詐和濫用法》(Computer Fraud and Abuse Act)最初是為了保護(hù)美國(guó)政府和一些金融機(jī)構(gòu)運(yùn)行的計(jì)算機(jī)系統(tǒng)，但在經(jīng)過(guò)幾次修訂后擴(kuò)大了范圍，不斷趨于成熟和完善。該法案通過(guò)細(xì)致的法條對(duì)計(jì)算機(jī)網(wǎng)絡(luò)犯罪行為進(jìn)行了規(guī)定，明確了計(jì)算機(jī)欺詐和濫用的范圍，是美國(guó)計(jì)算機(jī)網(wǎng)絡(luò)犯罪法律體系的重要組成部分。該法規(guī)制的內(nèi)容確保了計(jì)算機(jī)技術(shù)的健康發(fā)展、計(jì)算機(jī)技術(shù)網(wǎng)絡(luò)應(yīng)用的規(guī)范化[2]。

《兒童在線隱私保護(hù)法案》(Children’s Online Privacy Protection Act，簡(jiǎn)稱COPPA)是一部保護(hù)13歲以下兒童隱私的法律。該法于1998年由美國(guó)國(guó)會(huì)通過(guò)，并于2000年4月生效。COPPA的通過(guò)是為了應(yīng)對(duì)20世紀(jì)90年代以兒童為目標(biāo)的在線營(yíng)銷技術(shù)的快速增長(zhǎng)，由FTC行使執(zhí)法權(quán)。該法對(duì)以下內(nèi)容做出了規(guī)定：網(wǎng)站在收集或使用、披露13歲以下兒童的任何個(gè)人信息之前，必須征得其父母的同意；何時(shí)以及如何尋求父母或監(jiān)護(hù)人的核實(shí)同意；網(wǎng)站經(jīng)營(yíng)者對(duì)兒童的在線隱私和安全負(fù)有何種法律責(zé)任，包括限制針對(duì)13歲以下兒童的營(yíng)銷類型和方法。

(二)通過(guò)FTC實(shí)施強(qiáng)有力的聯(lián)邦執(zhí)法

FTC是執(zhí)行反壟斷和消費(fèi)者保護(hù)法律的聯(lián)邦機(jī)構(gòu)，是美國(guó)聯(lián)邦層面擁有廣泛的保護(hù)消費(fèi)者權(quán)益執(zhí)法權(quán)力的機(jī)構(gòu)，也是數(shù)據(jù)和隱私保護(hù)的主要執(zhí)法機(jī)構(gòu)。FTC的工作主要是保護(hù)消費(fèi)者免受侵害，阻止不公平或者欺騙性的貿(mào)易行為及實(shí)踐，為此，F(xiàn)TC采取多重手段來(lái)保護(hù)消費(fèi)者隱私和個(gè)人信息，形成了強(qiáng)有力的聯(lián)邦執(zhí)法機(jī)制，已對(duì)未遵守公布的隱私政策和未經(jīng)授權(quán)泄露個(gè)人數(shù)據(jù)的公司采取了許多執(zhí)法行動(dòng)。FTC負(fù)責(zé)確保隱私與安全項(xiàng)目的全面落實(shí)，建立兩年一次的獨(dú)立專家評(píng)估制度，實(shí)施對(duì)消費(fèi)者的賠付救濟(jì)，不當(dāng)?shù)美淖防U，刪除非法獲取的消費(fèi)者信息，為消費(fèi)者提供高透明度和選擇機(jī)制保障。

1.采取強(qiáng)制執(zhí)法措施

FTC強(qiáng)有力的執(zhí)法權(quán)實(shí)施最主要的手段就是采取強(qiáng)制執(zhí)法措施來(lái)制止違法行為，并要求企業(yè)采取積極整改措施。FTC的授權(quán)主要來(lái)自于《聯(lián)邦貿(mào)易委員會(huì)法》第5條，該法禁止在市場(chǎng)中實(shí)施不公平或欺騙性的行為。FTC也有權(quán)基于《真實(shí)借貸法》《反垃圾郵件法》《兒童在線隱私保護(hù)法》《平等信用機(jī)會(huì)法》《公平信用報(bào)告法》《公平債務(wù)催收實(shí)踐法》和《電話營(yíng)銷與消費(fèi)欺詐濫用防治法》等授權(quán)進(jìn)行具體領(lǐng)域的數(shù)據(jù)和隱私安全保護(hù)執(zhí)法。上述授權(quán)使得FTC可以將執(zhí)法范圍覆蓋到與消費(fèi)者相關(guān)的各個(gè)方面，包括那些伴隨著新技術(shù)應(yīng)用和商業(yè)模式不斷發(fā)展而出現(xiàn)的新興領(lǐng)域。

此外，F(xiàn)TC也可能根據(jù)一些消費(fèi)者投訴、公司信件、國(guó)會(huì)要求以及有關(guān)消費(fèi)者保護(hù)、經(jīng)濟(jì)貿(mào)易等案件采取執(zhí)法行動(dòng)。根據(jù)《聯(lián)邦貿(mào)易委員會(huì)法》(FTCA)的規(guī)定，F(xiàn)TC擁有對(duì)案件進(jìn)行調(diào)查、作出行政命令、提起民事訴訟以及禁止令等權(quán)力，案件當(dāng)事人如果對(duì)FTC的決議有異議，可以向聯(lián)邦法院提起復(fù)審要求。與此同時(shí)，F(xiàn)TCA指出，對(duì)于某些案件，F(xiàn)TC的決議具有終局性。FTC擁有對(duì)從事商業(yè)服務(wù)的經(jīng)營(yíng)者的信息收集、利用、安全維護(hù)方面的調(diào)查權(quán)，可以要求其監(jiān)管的涉及數(shù)據(jù)和隱私安全的公司提交市場(chǎng)經(jīng)營(yíng)和消費(fèi)者保護(hù)的年度保護(hù)數(shù)據(jù)，并給予國(guó)會(huì)立法保護(hù)建議。

2.針對(duì)違法行為訴諸于民事處罰程序

從FTC的執(zhí)法職能來(lái)看，F(xiàn)TC可以基于已有立法確立的隱私保護(hù)規(guī)則，對(duì)違反隱私規(guī)則的行為進(jìn)行民事罰款。處理案件時(shí)，如果一家公司違反了FTC的相應(yīng)指令，確定正在實(shí)施欺詐行為，或者涉嫌侵犯消費(fèi)者的隱私與數(shù)據(jù)安全，為了阻止欺詐和保護(hù)消費(fèi)者，F(xiàn)TC有權(quán)直接向法院申請(qǐng)禁止令、要求民事賠償或消費(fèi)者賠償。

3.實(shí)施和解協(xié)議制度

一般情況下，F(xiàn)TC采取的調(diào)查活動(dòng)是非公開(kāi)的，主要是為了保護(hù)企業(yè)隱私的同時(shí)保護(hù)調(diào)查活動(dòng)本身。當(dāng)認(rèn)為“欺詐”還只是一種爭(zhēng)議或者當(dāng)該行為沒(méi)有對(duì)消費(fèi)者直接造成損失時(shí)，將試圖與相應(yīng)的網(wǎng)絡(luò)經(jīng)營(yíng)者(公司)簽署同意令(也成為和解協(xié)議)。此前，F(xiàn)acebook涉嫌違背了數(shù)據(jù)保密的承諾、谷歌用戶虛假陳述等案件均與FTC達(dá)成了和解協(xié)議，并支付了相應(yīng)罰款。和解協(xié)議通常要求企業(yè)采取必要措施，限期改正，以確保消費(fèi)者利益。通常，這類處理辦法大都發(fā)生在隱私保護(hù)欺詐案件中，只有當(dāng)公司拒絕簽署這份同意令或者在執(zhí)行該同意令期間有所違反規(guī)定，F(xiàn)TC才會(huì)對(duì)其提起相應(yīng)的民事訴訟。FTC與被調(diào)查者之間簽署的和解協(xié)議內(nèi)容會(huì)針對(duì)不同情形確定，處罰并非必然，但是FTC擁有和解協(xié)議后續(xù)執(zhí)行的調(diào)查權(quán)，F(xiàn)TC一旦發(fā)現(xiàn)簽署協(xié)議者違反了和解條款，將被處以高額罰款。

(三)形成以自由競(jìng)爭(zhēng)為基礎(chǔ)、政府引導(dǎo)下的行業(yè)自律規(guī)則

行業(yè)自律在美國(guó)傳統(tǒng)消費(fèi)者保護(hù)領(lǐng)域被作為主要的措施之一，在互聯(lián)網(wǎng)市場(chǎng)領(lǐng)域也不例外，美國(guó)FTC在積極通過(guò)立法、制定準(zhǔn)則打擊欺詐者的同時(shí)，大力促進(jìn)網(wǎng)絡(luò)商業(yè)實(shí)踐的行業(yè)自律的確立，形成了以自由競(jìng)爭(zhēng)為基礎(chǔ)、政府引導(dǎo)下的行業(yè)自律規(guī)則。目前，在數(shù)據(jù)和隱私保護(hù)的行業(yè)自律形式主要有3類：行業(yè)指引、網(wǎng)絡(luò)隱私認(rèn)證、隱私選擇平臺(tái)(也有稱之為技術(shù)保護(hù)模式)。其中，行業(yè)指引主要通過(guò)成立公司或者協(xié)會(huì)的方式，發(fā)布適用于行業(yè)發(fā)展的網(wǎng)上隱私保護(hù)準(zhǔn)則，側(cè)重于對(duì)行業(yè)數(shù)據(jù)和隱私保護(hù)的建議引導(dǎo)，如電子行業(yè)的“在線隱私聯(lián)盟(Online Privacy Alliances)”；網(wǎng)絡(luò)隱私認(rèn)證主要指第三方隱私認(rèn)證組織對(duì)符合其提出的隱私規(guī)則的網(wǎng)站實(shí)施隱私認(rèn)證，并在網(wǎng)站顯示認(rèn)證標(biāo)志供用戶識(shí)別；隱私選擇平臺(tái)模式主要是通過(guò)技術(shù)手段實(shí)現(xiàn)隱私和數(shù)據(jù)安全保護(hù)，如互聯(lián)網(wǎng)協(xié)會(huì)推出的個(gè)人隱私選擇平臺(tái)，該平臺(tái)通過(guò)技術(shù)手段使用戶選擇對(duì)其個(gè)人數(shù)據(jù)和信息的公布權(quán)，并可選擇擬公布數(shù)據(jù)的內(nèi)容，該模式主要通過(guò)技術(shù)手段加強(qiáng)用戶對(duì)其個(gè)人數(shù)據(jù)和信息公開(kāi)的選擇權(quán)，但實(shí)踐中發(fā)揮的作用有限。盡管行業(yè)自律規(guī)則對(duì)敦促網(wǎng)絡(luò)服務(wù)提供者加強(qiáng)隱私保護(hù)發(fā)揮積極作用是有利的，但是美國(guó)推行的行業(yè)自律規(guī)則應(yīng)在政府嚴(yán)格引導(dǎo)下確立，政府與行業(yè)之間有著非常密切的互動(dòng)關(guān)系，F(xiàn)TC在2014年的《隱私和數(shù)據(jù)安全年終報(bào)告》中就曾指責(zé)隱私認(rèn)證組織TRSUTe未按照其發(fā)布的認(rèn)證章程履行年檢責(zé)任[3]。

二、美國(guó)數(shù)據(jù)與隱私安全立法的最新進(jìn)展——基于2018—2019年已生效立法概覽

2018年由于Facebook事件以及GDPR的生效，美國(guó)國(guó)內(nèi)也展開(kāi)了關(guān)于數(shù)據(jù)與隱私安全立法的新探索。

(一) 2018—2019年出臺(tái)的美國(guó)數(shù)據(jù)與隱私安全立法

在美國(guó)，所有50個(gè)州都通過(guò)了數(shù)據(jù)泄漏方面的立法，梳理2018—2019年出臺(tái)的法案(見(jiàn)表2)，顯示境外數(shù)據(jù)合法使用、消費(fèi)者數(shù)據(jù)和隱私保護(hù)、互聯(lián)網(wǎng)設(shè)備數(shù)據(jù)安全等內(nèi)容成為重點(diǎn)關(guān)注內(nèi)容。

表2 2018—2019年數(shù)據(jù)與隱私安全保護(hù)生效立法一覽表

為強(qiáng)化美國(guó)跨境數(shù)據(jù)的控制地位，2018年3月23日，美國(guó)總統(tǒng)簽署《合法使用境外數(shù)據(jù)明確法》(Clarify Lawful Overseas Use of Data Act，Cloud Act，簡(jiǎn)稱“云法案”)。該法案旨在解決美國(guó)政府如何合法獲取境外數(shù)據(jù)及外國(guó)政府如何合法獲取美國(guó)境內(nèi)數(shù)據(jù)問(wèn)題。針對(duì)前者，該法既為執(zhí)法機(jī)構(gòu)的執(zhí)法行為提供了合法性依據(jù)，也為網(wǎng)絡(luò)服務(wù)提供商明確了不予執(zhí)行的抗辯事由。對(duì)于后者，該法在美國(guó)現(xiàn)行的司法協(xié)助程序(MLA)之外，提出了一個(gè)新的解決方案——“執(zhí)行協(xié)議”，并對(duì)執(zhí)行協(xié)議的實(shí)質(zhì)性和程序性要求做出了明確規(guī)定。

2018年6月28日，美國(guó)加利福尼亞州通過(guò)了《加州消費(fèi)者隱私法2018》(California Consumer Privacy Act of 2018，簡(jiǎn)稱CCPA)以提高加州民眾的隱私保護(hù)水平。該法將于2020年1月1日起正式施行。該法主要加強(qiáng)了對(duì)消費(fèi)者的隱私權(quán)利和數(shù)據(jù)安全的保護(hù)，并對(duì)企業(yè)遵循義務(wù)做出了規(guī)定。該法案被認(rèn)為是美國(guó)國(guó)內(nèi)最嚴(yán)格的隱私立法，開(kāi)啟了美國(guó)統(tǒng)一隱私立法的高潮。

2018年9月28日，美國(guó)加州通過(guò)了《信息隱私：互聯(lián)設(shè)備法案》(Information privacy：connected devices)，法案要求，自2020年1月1日起，任何“直接或間接”連接到互聯(lián)網(wǎng)的設(shè)備制造商必須為其配備“合理”的安全功能，防止未經(jīng)授權(quán)的訪問(wèn)、修改或信息泄露。如果可以使用密碼在局域網(wǎng)外訪問(wèn)，則需要為每個(gè)設(shè)備提供唯一的密碼，或強(qiáng)制用戶在第一次連接時(shí)設(shè)置自己的密碼。

(二)2018—2019年聯(lián)邦和州層面的數(shù)據(jù)與隱私安全保護(hù)立法提案

1.2018—2019隱私立法主要提案

2018—2019年針對(duì)數(shù)據(jù)和隱私安全保護(hù)問(wèn)題，美國(guó)聯(lián)邦和州層面提出了系列立法提案(見(jiàn)表3)，提案內(nèi)容關(guān)注首席數(shù)據(jù)官設(shè)置、運(yùn)營(yíng)商使用敏感個(gè)人信息規(guī)范、擴(kuò)大FTC權(quán)力、在線服務(wù)商數(shù)據(jù)保障義務(wù)等內(nèi)容，具體而言：

2018年5月24日，美國(guó)參議院提出了一項(xiàng)新決議，鼓勵(lì)企業(yè)將歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)中的隱私保護(hù)要求適用于美國(guó)用戶。為加強(qiáng)美國(guó)的隱私保護(hù)水平，決議對(duì)數(shù)據(jù)控制者和處理者的義務(wù)和數(shù)據(jù)主體的權(quán)利做出了規(guī)定。

2018年7月31日，美國(guó)眾議院提出了一項(xiàng)決議，鼓勵(lì)網(wǎng)絡(luò)連接提供商(edge providers)、寬帶提供商(broadband providers)和數(shù)據(jù)經(jīng)紀(jì)人(data brokers)在自身政策中加入明確的數(shù)據(jù)保護(hù)條款。

2018年9月4日，美國(guó)眾議院通過(guò)《國(guó)土安全部首席數(shù)據(jù)官授權(quán)法案》(Department of Homeland Security Chief Data Officer Authorization Act)。法案要求，國(guó)土安全部部長(zhǎng)應(yīng)與首席信息官(Chief Information Officer)協(xié)商，以指定該部門的首席數(shù)據(jù)官。首席數(shù)據(jù)官(Chief Data Officer)應(yīng)具備數(shù)據(jù)管理、治理、生成、收集、保護(hù)、分析、使用、共享，以及個(gè)人身份信息的保護(hù)和去識(shí)別化方面的培訓(xùn)和經(jīng)驗(yàn)。

2018年9月24日，美國(guó)眾議院引入《信息透明度與個(gè)人數(shù)據(jù)控制法案》(Information Transparency & Personal Data Control Act)，要求聯(lián)邦貿(mào)易委員會(huì)(FTC)頒布處理敏感個(gè)人信息和行為數(shù)據(jù)的規(guī)定。法案明確規(guī)定，F(xiàn)TC應(yīng)當(dāng)在該法生效后1年內(nèi)出臺(tái)相關(guān)規(guī)定，規(guī)范運(yùn)營(yíng)商收集、使用、銷售、共享或以其他方式使用敏感個(gè)人信息或行為數(shù)據(jù)的行為。其中，運(yùn)營(yíng)商是指以商業(yè)目的運(yùn)營(yíng)網(wǎng)站或提供在線服務(wù)、收集并使用個(gè)人信息的實(shí)體，包括不與用戶直接交互，但購(gòu)買或銷售個(gè)人信息的實(shí)體；“敏感個(gè)人信息”是指與已識(shí)別或可識(shí)別的個(gè)人相關(guān)的財(cái)務(wù)信息、健康信息、關(guān)系信息、13歲以下的兒童信息、社交號(hào)碼、生物信息、性取向信息等。

2018年11月9日，美國(guó)參議員Ron Wyden提出《聯(lián)邦隱私法案》(Federal Privacy Bill)草案，旨在擴(kuò)大聯(lián)邦貿(mào)易委員會(huì)(FTC)的權(quán)力，制定嚴(yán)厲的(significant)民事罰款，并賦予刑事處罰以執(zhí)行某些條款。

用戶在線數(shù)據(jù)保護(hù)規(guī)范方面，2018年12月12日，美國(guó)參議院引入了《數(shù)據(jù)保障法案2018》(Data Care Act of 2018)，旨在為個(gè)人在線數(shù)據(jù)保護(hù)提供規(guī)范。法案重點(diǎn)規(guī)定了在線服務(wù)提供商的3項(xiàng)義務(wù)：保障義務(wù)(duty of care)、忠實(shí)義務(wù)(duty of loyalty)和保密義務(wù)(duty of confidentialty)。其中，保障義務(wù)包括保護(hù)個(gè)人識(shí)別數(shù)據(jù)免受未經(jīng)授權(quán)的訪問(wèn)、及時(shí)通知敏感數(shù)據(jù)泄露；忠實(shí)義務(wù)包括使用個(gè)人數(shù)據(jù)不得損害用戶權(quán)益而使自己獲益；保密義務(wù)包括不得披露或出售個(gè)人數(shù)據(jù)，除非滿足相應(yīng)的要求。

2.隱私提案主要聽(tīng)證會(huì)

據(jù)2017年底—2018年10月的統(tǒng)計(jì)，國(guó)會(huì)先后圍繞數(shù)據(jù)隱私召開(kāi)了5次聽(tīng)證會(huì)，主題分別如下：(1)在重大數(shù)據(jù)泄露時(shí)保護(hù)消費(fèi)者(2017年11月)[4]。(2)數(shù)據(jù)安全與漏洞賞金項(xiàng)目(主要針對(duì)Uber數(shù)據(jù)泄漏事件，2018年2月)[5]。(3)評(píng)估數(shù)據(jù)隱私風(fēng)險(xiǎn)(主要針對(duì)劍橋分析隱私違規(guī)事件，2018年6月)[6]，聽(tīng)證會(huì)中來(lái)自New Co的 John Battelle 指出：“我們有責(zé)任審查我們目前的立法體系,因?yàn)樗婕澳樧V等公司如何影響消費(fèi)者的生活和我們整個(gè)社會(huì)的規(guī)范。當(dāng)數(shù)據(jù)等于甚至可能比貨幣更有價(jià)值的理解,數(shù)據(jù)使用者表達(dá)使用數(shù)據(jù)絕不會(huì)對(duì)消費(fèi)者造成傷害的推理是有一定缺陷的。作為決策者和知情公民,我們應(yīng)努力創(chuàng)建一種靈活、安全和有利于創(chuàng)新的數(shù)據(jù)治理方法，允許最大限度的創(chuàng)新,同時(shí)確保所有受影響的各方對(duì)數(shù)據(jù)進(jìn)行最大限度的控制,包括個(gè)人,特別是未來(lái)創(chuàng)新的受益者?！?4)研討消費(fèi)者數(shù)據(jù)隱私的防護(hù)現(xiàn)狀(2018年9月)[7]。(5)歐盟及加州立法在消費(fèi)者數(shù)據(jù)方面帶來(lái)的教訓(xùn)(2018年10月)[8]。5次聽(tīng)證，主題大多側(cè)重互聯(lián)網(wǎng)企業(yè)中個(gè)人數(shù)據(jù)面臨的風(fēng)險(xiǎn)，而來(lái)自互聯(lián)網(wǎng)企業(yè)的專家們主要表達(dá)了對(duì)統(tǒng)一、聯(lián)邦層面以及可遵守的綜合隱私法的期待。

表3 2018—2019年隱私立法主要提案

三、美國(guó)隱私保護(hù)制度數(shù)據(jù)隱私立法評(píng)述與啟示

(一)推動(dòng)數(shù)字經(jīng)濟(jì)下實(shí)施嚴(yán)格的隱私保護(hù)立法進(jìn)程

2018年3月，F(xiàn)acebook數(shù)據(jù)泄露事件曝光之后，加之歐盟GDPR的廣泛影響，建立全美統(tǒng)一隱私立法再次被推向高潮，美國(guó)隱私立法實(shí)踐顯示其在歐盟GDPR后的統(tǒng)一立法進(jìn)程。與此同時(shí)，各州和各城市也在積極推進(jìn)和完善自己的隱私數(shù)據(jù)保護(hù)政策。實(shí)施嚴(yán)格的隱私保護(hù)規(guī)則已成為全球數(shù)字經(jīng)濟(jì)下隱私保護(hù)立法的重要趨向。美國(guó)涉及隱私保護(hù)的一系列法律、法案、提案等內(nèi)容均顯示了美國(guó)聯(lián)邦政府以及各州對(duì)于數(shù)字經(jīng)濟(jì)下數(shù)據(jù)保護(hù)和隱私規(guī)則確立的重視，這些規(guī)則正日益成為執(zhí)法機(jī)構(gòu)的執(zhí)行工具。除此以外，華盛頓州(2021年7月31日生效)、加利福尼亞州(2020年1月1日生效)出臺(tái)的隱私權(quán)法案均規(guī)定了較為嚴(yán)格的隱私保護(hù)要求，較為具體地對(duì)數(shù)據(jù)收集、信息披露、信息共享等內(nèi)容進(jìn)行了規(guī)定。美國(guó)國(guó)會(huì)發(fā)布的《互聯(lián)網(wǎng)隱私》更顯示了美國(guó)擬推動(dòng)類似歐美通用數(shù)據(jù)保護(hù)條例(GDPR)性質(zhì)的統(tǒng)一立法進(jìn)程。

智能變革被認(rèn)為是增大隱私安全風(fēng)險(xiǎn)、強(qiáng)化法律保護(hù)的過(guò)程，應(yīng)確立基本法與專門法結(jié)合的立法模式[9]。近年來(lái)，我國(guó)重視數(shù)字經(jīng)濟(jì)下個(gè)人信息保護(hù)立法的問(wèn)題，陸續(xù)出臺(tái)《網(wǎng)絡(luò)安全法》《民法總則》《未成年人保護(hù)法》《刑法修正案(七)》等法律規(guī)范和司法解釋，國(guó)家互聯(lián)網(wǎng)信息辦公室亦相繼發(fā)布了涉及個(gè)人數(shù)據(jù)跨境傳輸、云服務(wù)安全評(píng)估等涉及隱私安全方面的征求意見(jiàn)稿。面對(duì)數(shù)字經(jīng)濟(jì)的發(fā)展，創(chuàng)新傳統(tǒng)隱私權(quán)利保護(hù)理念的訴求被提出，有研究強(qiáng)調(diào)應(yīng)實(shí)施“激勵(lì)相容的個(gè)人信息保護(hù)立法理念”[10]，強(qiáng)調(diào)信息控制機(jī)制確立。因此，基于應(yīng)對(duì)數(shù)據(jù)泄露、侵權(quán)、詐騙等違法犯罪的預(yù)防與控制，我國(guó)隱私保護(hù)立法應(yīng)進(jìn)一步加強(qiáng)監(jiān)管隱私和數(shù)據(jù)安全問(wèn)題，明晰數(shù)字經(jīng)濟(jì)下個(gè)人隱私的范圍界定和權(quán)利邊界，隱私立法中應(yīng)明確個(gè)人對(duì)其數(shù)據(jù)的權(quán)利；數(shù)據(jù)控制者或者利用者對(duì)數(shù)據(jù)保護(hù)的義務(wù)和規(guī)范，明確數(shù)據(jù)泄露的補(bǔ)償和處罰問(wèn)題，確立防御數(shù)據(jù)泄露機(jī)制以及數(shù)據(jù)泄露后的事后救濟(jì)機(jī)制。

(二)平衡隱私保護(hù)與產(chǎn)業(yè)發(fā)展是其隱私立法的基本定位

立法是利益衡量實(shí)現(xiàn)的調(diào)節(jié)器。美國(guó)隱私立法發(fā)展實(shí)踐顯示，數(shù)據(jù)泄露和因此產(chǎn)生的隱私安全問(wèn)題，不僅損害個(gè)人隱私安全、消費(fèi)者信心，也使企業(yè)面臨經(jīng)濟(jì)損害，直接影響技術(shù)創(chuàng)新和經(jīng)濟(jì)增長(zhǎng)。加強(qiáng)個(gè)人數(shù)據(jù)和隱私保護(hù)，維護(hù)用戶的信任和信息是美國(guó)隱私立法的發(fā)展趨向。一些立法實(shí)踐已提議應(yīng)實(shí)施類似歐盟GDPR同等強(qiáng)度的強(qiáng)有力的隱私保障機(jī)制(部分立法實(shí)踐已經(jīng)在推進(jìn)實(shí)施)。與此同時(shí)，促進(jìn)網(wǎng)絡(luò)經(jīng)濟(jì)的持續(xù)創(chuàng)新和增長(zhǎng)依然是美國(guó)隱私立法所關(guān)注和支持的重點(diǎn)，它支持信息的靈活性和自由流通，以確保工業(yè)界和其他人使用數(shù)據(jù)來(lái)創(chuàng)造新的技術(shù)、產(chǎn)品和解決方案。故此，美國(guó)隱私立法確立了在確保公民隱私受到保護(hù)的基礎(chǔ)上，為技術(shù)和商業(yè)模式的演變提供充分的、靈活性的立法原則與實(shí)踐模式，立法的核心強(qiáng)調(diào)“商業(yè)目的個(gè)人資料的收集和處理必須是合理和適當(dāng)?shù)摹保源藢で髷?shù)據(jù)保護(hù)與提供服務(wù)間的平衡點(diǎn)。

對(duì)中國(guó)個(gè)人數(shù)據(jù)與隱私保護(hù)立法而言，基于信息技術(shù)變革下多方利益均衡的訴求，應(yīng)立足于實(shí)現(xiàn)個(gè)人信息保護(hù)利益、信息業(yè)者利益、國(guó)家管理社會(huì)公共利益間的均衡[1]。身份可識(shí)別性，以及“通知與許可”的隱私保護(hù)規(guī)則依然是我國(guó)隱私保護(hù)的基本規(guī)則，提供服務(wù)的主體應(yīng)確立清晰的個(gè)人數(shù)據(jù)收集、使用(含二次使用)、共享、許可、轉(zhuǎn)讓等方面的規(guī)則，并具體化“通知與許可”規(guī)則的內(nèi)容[11]。用戶個(gè)人數(shù)據(jù)的使用應(yīng)不涉及隱私侵權(quán)、信息泄露風(fēng)險(xiǎn)，且信息使用者能夠確保信息使用過(guò)程中的透明、安全、可信、目的正當(dāng)。

(三)“選擇退出”機(jī)制依然是隱私和數(shù)據(jù)保障的基本規(guī)則

研究認(rèn)為，大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)，包括個(gè)人隱私保護(hù)應(yīng)從個(gè)人控制走向社會(huì)控制[12]。美國(guó)已在多領(lǐng)域多層面形成隱私和數(shù)據(jù)保障規(guī)則。按照已有的隱私和數(shù)據(jù)保護(hù)規(guī)則，提供金融、健康、通信、消費(fèi)等服務(wù)者，與用戶確立關(guān)系前及以后每年應(yīng)向每個(gè)用戶提供隱私通知，隱私聲明必須包括所收集的有關(guān)用戶信息的共享位置、如何使用以及如何保護(hù)問(wèn)題，用戶有權(quán)選擇退出與無(wú)關(guān)聯(lián)方的信息分享。如果隱私政策在任何時(shí)間點(diǎn)發(fā)生變化，則必須重新通知用戶接受。每次重新設(shè)定隱私通知時(shí),用戶都有權(quán)再次選擇退出。在公司與公司之間的隱私政策協(xié)議方面，隱私規(guī)則明確規(guī)定：接收非公開(kāi)信息的非關(guān)聯(lián)方應(yīng)遵守用戶的接受或退出條款。隱私通知表格的范式應(yīng)使消費(fèi)者更容易了解服務(wù)提供者如何收集和分享消費(fèi)者信息的。

盡管《推進(jìn)隱私通用操作規(guī)則框架》提出傾向于在數(shù)據(jù)共享方面為用戶提供選擇進(jìn)入模式，而非選擇退出模式。但實(shí)施用戶“選擇退出”權(quán)利機(jī)制依然是美國(guó)隱私立法規(guī)制中的重要內(nèi)容，也是企業(yè)隱私聲明的重要內(nèi)容，即賦予客戶選擇不允許與非關(guān)聯(lián)第三方共享他們信息的權(quán)利，但是，當(dāng)信息分享給那些有限提供金融機(jī)構(gòu)服務(wù)的、產(chǎn)品或服務(wù)市場(chǎng)是針對(duì)金融機(jī)構(gòu)的、信息被法律確認(rèn)需要分享的，用戶不得選擇“退出”。

(四)多層面、多重隱私保護(hù)規(guī)則訴求企業(yè)綜合合規(guī)遵從

研究認(rèn)為激勵(lì)相容的個(gè)人數(shù)據(jù)治理路徑應(yīng)是個(gè)人信息立法保護(hù)的方向，這可激發(fā)外部執(zhí)法，發(fā)揮信息控制者的積極作用[10]。美國(guó)隱私立法確立了“多重標(biāo)準(zhǔn)-自我中心”的模式[13]，但是，美國(guó)立法實(shí)踐總體顯示其形成有多領(lǐng)域多層面的涵蓋信息保護(hù)、實(shí)施(應(yīng)用)、共享、泄露懲罰等全鏈條的隱私和數(shù)據(jù)保障規(guī)則。美國(guó)隱私立法涵蓋層面廣泛，且隱私規(guī)則總體規(guī)定的非常具體和明確，有清晰的遵循指示，但由于其散見(jiàn)于不同的領(lǐng)域和不同的層面，這為企業(yè)合規(guī)遵從提出了較高的標(biāo)準(zhǔn)和要求，企業(yè)在進(jìn)入美國(guó)市場(chǎng)提供產(chǎn)品和服務(wù)時(shí)，應(yīng)意識(shí)到隱私遵守規(guī)則的綜合性而非單一性，應(yīng)擴(kuò)大對(duì)相關(guān)數(shù)據(jù)和隱私政策規(guī)則的收集面，充分了解自身產(chǎn)品和服務(wù)的市場(chǎng)定位以及可能涉及的數(shù)據(jù)和隱私遵守規(guī)則，如提供金融服務(wù)時(shí)即可能涉及《金融服務(wù)隱私規(guī)則》、消費(fèi)者隱私保護(hù)規(guī)則、在線用戶隱私規(guī)則，涉及兒童的還需遵從兒童隱私保護(hù)規(guī)則。當(dāng)然，對(duì)于國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)而言，首先應(yīng)制定嚴(yán)格的遵守計(jì)劃和規(guī)則，充分履行保障義務(wù)、說(shuō)明義務(wù)、風(fēng)險(xiǎn)控制義務(wù)、忠實(shí)義務(wù)；其次，應(yīng)持續(xù)保護(hù)用戶非公開(kāi)個(gè)人信息，對(duì)非公開(kāi)信息處理部門的適時(shí)風(fēng)險(xiǎn)進(jìn)行分析；最后，應(yīng)加強(qiáng)保護(hù)用戶信息技術(shù)的開(kāi)發(fā)，完善監(jiān)控和監(jiān)測(cè)程序，并根據(jù)需要更改信息的收集、存儲(chǔ)和使用方式。