文/黃悅波

美國(guó)個(gè)人信息安全保護(hù)的法權(quán)淵源

美國(guó)個(gè)人信息保護(hù)制度源自對(duì)公民個(gè)人隱私權(quán)的保護(hù)，歷史悠久。不過，迄今為止美國(guó)還沒有聯(lián)邦層面的、統(tǒng)一的綜合性個(gè)人信息保護(hù)法。由此造成的現(xiàn)狀是“個(gè)人信息”（Personal Information）定義在美國(guó)各個(gè)州及其相關(guān)法規(guī)中并不統(tǒng)一。對(duì)此，美國(guó)學(xué)者戲稱美國(guó)個(gè)人信息法為“變色龍”。

美國(guó)隱私權(quán)的法權(quán)淵源如美國(guó)憲法規(guī)范，源自1791年憲法第四修正案的表述：“人民的人身、住宅、文件和財(cái)產(chǎn)不受無理搜查和扣押的權(quán)利，不得侵犯?！辈贿^，此時(shí)隱私權(quán)長(zhǎng)期處于“睡美人”的法權(quán)狀態(tài)，僅為法學(xué)研究的范疇。自1890 年塞繆爾·瓦倫教授在《哈佛法學(xué)評(píng)論》發(fā)表了《隱私的權(quán)利》以來，歷經(jīng)威廉·普羅瑟等學(xué)者延伸闡釋，隱私權(quán)就此深刻影響著美國(guó)法律人群體思維。根據(jù)普通法傳統(tǒng)，基于墮胎權(quán)爭(zhēng)議的幾次激烈辯論的“格里斯沃爾德訴康涅狄格州案”（Griswold v.Connecticut，1965）和“羅訴韋德案”（Roe v.Wade，1973），聯(lián)邦最高法院最終確定了隱私權(quán)為美國(guó)憲法所保障的基本權(quán)利。受此影響，美國(guó)國(guó)會(huì)先后于1970 年制定了《公平信用報(bào)告法》、1974 年制定了《隱私權(quán)法》（典型）、1986 年制定了《電子通信隱私法》等法律，確認(rèn)和保護(hù)了公民的隱私權(quán)。以此為基礎(chǔ)，美國(guó)許多州制定了保護(hù)個(gè)人隱私權(quán)的法律。

美國(guó)個(gè)人信息安全保護(hù)的立法框架

美國(guó)個(gè)人信息安全保護(hù)的立法，主要包括聯(lián)邦、州兩個(gè)層面，涉及對(duì)象包括限制政府機(jī)關(guān)、非政府組織和個(gè)人。聯(lián)邦層面首當(dāng)其沖的是美國(guó)聯(lián)邦憲法，這是抵御美國(guó)國(guó)家機(jī)關(guān)侵害個(gè)人信息安全的“定海神針”，諸如國(guó)土安全部等國(guó)家機(jī)關(guān)使用個(gè)人信息的行為必須符合憲法的規(guī)定。另外，聯(lián)邦層面相關(guān)法律主要包括一般隱私法和特別隱私法。（1）一般隱私法包括：1970 年的《公平信用報(bào)告法》（FCRA，15 美國(guó)法典US Code 第1681-1681u 條）、1974年的《家庭教育權(quán)利和隱私法》（FERPA，20 美國(guó)法典 第1232g 條）、1974 年的《聯(lián)邦隱私法》（5 美國(guó)法典第552a條）、1977 年的《公平債務(wù)催收實(shí)踐法》（15 美國(guó)法典 第1692-1692p 條）、1986 年的《電子通信隱私法案》（18 美國(guó)法典 第2510-2522、2701-2711、3121、1367 條）、1988年的《視頻隱私保護(hù)法》（1988-18 美國(guó)法典 第2710 條）、1994 年的《駕駛員隱私保護(hù)法》（18 美國(guó)法典 第2721 條）、1999 年的《金融服務(wù)現(xiàn)代化法案》（Gramm-Leach-Bliley，GLB，隱私規(guī)則-15 美國(guó)法典 第6801-6809 條）等。（2）特別隱私法包括：1996 年的《健康保險(xiǎn)流通和責(zé)任法案》（HIPAA，45 CFR 第160 和164 條）、1998 年的《聯(lián)邦身份盜竊和假設(shè)威懾法案》（1998-18 美國(guó)法典 第1028 條）、1984 年的《計(jì)算機(jī)欺詐和濫用法案》（1984-18 美國(guó)法典第1030 條）、1988 年《計(jì)算機(jī)匹配和隱私保護(hù)法》【5 美國(guó)法典 第552a (a)(8)-(13)、(e)(12)、(o)、(p)、(q)、(r),&(u) 條】、1998 年的《兒童在線隱私保護(hù)法》（COPPA，15 美國(guó)法典第6501 條及以下）、2003 年的《控制未經(jīng)請(qǐng)求的色情和營(yíng)銷攻擊法案》（CAN-SPAM，15 美國(guó)法典 第7701-7713條）。（3）其他涵蓋個(gè)人信息-隱私保護(hù)的法律，主要是指1966年的《信息自由法》、1970年的《公平信用報(bào)告法》、2012 年的《聯(lián)邦信息安全管理法案》（FISMA）等。值得一提的是，美國(guó)聯(lián)邦貿(mào)易委員會(huì)等2010 年發(fā)布的《個(gè)人身份信息指南》（PII）對(duì)個(gè)人信息的定義采取了開放式例舉模式，強(qiáng)調(diào)“任何可以識(shí)別個(gè)人或提供識(shí)別個(gè)人線索的信息”，這成為當(dāng)前美國(guó)法律實(shí)務(wù)界的重要參考性概念。

州層面?zhèn)€人信息安全保護(hù)的立法，總體上與聯(lián)邦層面保持一致，只不過內(nèi)容更加豐富，并且不同的州的具體規(guī)定也有些差異。加利福尼亞州的個(gè)人信息安全保護(hù)的立法有口皆碑。2018 年的《加州消費(fèi)者隱私法》（CCPA）和2020 年加州再次通過的《加州隱私權(quán)法》（CPRA）構(gòu)建了加州隱私保護(hù)的法律制度框架，并成為美國(guó)目前最具有典型意義的州隱私立法。加州隱私法也區(qū)分為一般隱私法和特別隱私法，并且法權(quán)淵源主要是來自加州民法典，極少數(shù)如身份盜竊類的淵源來自加州刑法典。另外，弗吉尼亞州議會(huì)于2021 年3 月通過了《消費(fèi)者數(shù)據(jù)保護(hù)法》（CDPA），與該州的民法典和刑法典等合圍，弗州由此成為美國(guó)第二個(gè)擁有全面隱私法的州。不過，該法2023 年1月1 日才正式生效。

在支持墮胎權(quán)游行中維持秩序的警察

美國(guó)個(gè)人信息安全保護(hù)的執(zhí)法概況

美國(guó)侵害個(gè)人信息安全的形勢(shì)不容樂觀。以身份盜竊為例，當(dāng)前美國(guó)身份盜竊受害者甚多。身份竊賊以受害者的名義做了很多事情，如開設(shè)新的信用賬戶、獲取汽車貸款、享受醫(yī)療服務(wù)（并進(jìn)行保險(xiǎn)索賠），甚至犯罪并產(chǎn)生犯罪記錄。據(jù)加州司法廳網(wǎng)站提供的信息顯示，2014 年美國(guó)成人的4%即1270 萬成為身份盜竊受害者（包括加州的150 萬人），平均每2.5 秒就有一名受害者。與此同時(shí)，因身份盜用造成的損失也非常大，2014 年，受害的個(gè)人和企業(yè)直接損失就達(dá)到1600 萬美元。美國(guó)個(gè)人信息安全保護(hù)機(jī)制，主要有兩種方式，一是聯(lián)邦和州縣層面的執(zhí)法機(jī)構(gòu)利用行政或刑事權(quán)力加以規(guī)制；二是通過民事訴訟保護(hù)自身權(quán)益。不過，與美國(guó)沒有統(tǒng)一的個(gè)人信息保護(hù)法相對(duì)應(yīng)，其執(zhí)法機(jī)構(gòu)也不統(tǒng)一，主要的執(zhí)法機(jī)構(gòu)包括美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）、聯(lián)邦通信委員會(huì)、證券交易委員會(huì)、消費(fèi)者金融保護(hù)局、衛(wèi)生與公共服務(wù)部、教育部以及司法系統(tǒng)等。

案例一：“藍(lán)色泄露”（Blue Leaks）暴露數(shù)百個(gè)警察部門的文件

2020年6月，一個(gè)名為“分散式拒絕秘密”（Distributed Denial of Secrets）的組織在網(wǎng)絡(luò)上公開了美國(guó)200 多個(gè)警察部門的數(shù)十萬份執(zhí)法機(jī)密數(shù)據(jù)。這些被泄露的數(shù)據(jù)被稱為“藍(lán)色泄露”。這是由黑客從美國(guó)聯(lián)邦調(diào)查局（FBI）、國(guó)家融合中心協(xié)會(huì)（NFCA）及其他執(zhí)法培訓(xùn)機(jī)構(gòu)等的網(wǎng)站竊取后以索引的方式公開發(fā)布的。事后NFCA 發(fā)布警報(bào)指出，這些數(shù)據(jù)容量達(dá)269GB，時(shí)長(zhǎng)跨度達(dá)24 年（從1996 年8 月到2020 年6 月19 日），其數(shù)據(jù)轉(zhuǎn)儲(chǔ)包含電子郵件和相關(guān)附件，內(nèi)容包括姓名、電子郵件地址、電話號(hào)碼、PDF 文檔、圖像和大量文本、視頻、CSV 和 ZIP 文件。據(jù)NFCA 的分析顯示，其中一些文件確實(shí)包含高度敏感的信息，如一些警力資源分布或臥底警察名單等機(jī)密信息。為此，各種犯罪勢(shì)力將利用這些暴露的數(shù)據(jù)，進(jìn)行針對(duì)NFCA 和相關(guān)執(zhí)法機(jī)構(gòu)及其執(zhí)法人員的各種網(wǎng)絡(luò)攻擊和違法犯罪活動(dòng)。另外，由于發(fā)布這些數(shù)據(jù)的日期是6 月19 日，該日也稱為“Juneteenth”（六月節(jié)），這是美國(guó)歷史最悠久的結(jié)束奴隸制的全國(guó)性紀(jì)念活動(dòng)。2020 年5 月因?yàn)閱讨巍じヂ逡恋卤幻髂岚⒉ɡ咕旃驓⒑笠鹆酸槍?duì)警察暴行的廣泛抗議，導(dǎo)致該年這一紀(jì)念日引起了公眾的高度關(guān)注，并由此擔(dān)憂執(zhí)法警察個(gè)人的安全以及這些警察家人的安全。

案例二：生育應(yīng)用程序暴露女性個(gè)人和醫(yī)療信息的風(fēng)險(xiǎn)

加利福尼亞州輝光公司（Glow,Inc.）是一家運(yùn)營(yíng)生育追蹤移動(dòng)應(yīng)用程序的技術(shù)公司，主營(yíng)業(yè)務(wù)是運(yùn)營(yíng)存儲(chǔ)女性生育等個(gè)人敏感信息和醫(yī)療信息。據(jù)加利福尼亞州司法廳警員的多次調(diào)查，該公司應(yīng)用程序存在一系列嚴(yán)重隱私和基本安全問題，如未能充分保護(hù)女性的健康信息，未經(jīng)用戶同意就允許訪問女性私密信息，并且該應(yīng)用程序的密碼更改功能存在其他安全問題，第三方可能會(huì)在未經(jīng)用戶同意的情況下重置用戶賬戶密碼并訪問這些賬戶中的信息。這些問題使女性高度敏感的個(gè)人和醫(yī)療信息處于危險(xiǎn)之中。對(duì)此，加州總檢察長(zhǎng)澤維爾·貝塞拉代表加州對(duì)輝光公司提出了訴訟，最后雙方和解。和解協(xié)議包括輝光公司繳納25 萬美元的民事罰款，并遵守州消費(fèi)者保護(hù)和隱私法的禁令條款，防范隱私安全漏洞，確保女性私密信息不被泄露。事后貝塞拉稱：“輝光公司收集敏感醫(yī)療信息，它應(yīng)該知道，它必須確保顧客的隱私和安全。今天的和解也為每一個(gè)處理敏感私人數(shù)據(jù)的應(yīng)用程序制造商敲響了警鐘?！?/p>

案例三：谷歌因YouTube 違反兒童隱私法受到處罰

多年來，隱私維權(quán)組織一直抱怨谷歌旗下的YouTube在其平臺(tái)上不恰當(dāng)?shù)蒯槍?duì)兒童投放廣告，谷歌由此以定向廣告推送的形式從這些信息中獲利。他們認(rèn)為YouTube在未經(jīng)父母同意的情況下非法收集兒童的個(gè)人信息，違反了《兒童在線隱私保護(hù)法》。總部位于華盛頓特區(qū)的美國(guó)聯(lián)邦貿(mào)易委員會(huì)接到投訴后，聯(lián)合紐約總檢察長(zhǎng)辦公室對(duì)此展開調(diào)查。聯(lián)邦貿(mào)易專員麗貝卡·斯勞特（Rebecca Slaughter）指出，YouTube“使用童謠、卡通和其他內(nèi)容來誘騙兒童，在頻道上出現(xiàn)誘導(dǎo)兒童的內(nèi)容”。紐約總檢察長(zhǎng)萊蒂蒂亞·詹姆斯（Letitia James）在一份聲明中說：“谷歌和YouTube 故意和非法地監(jiān)控、跟蹤和向幼兒投放有針對(duì)性的廣告，只是為了保持廣告收入……這些公司將兒童置于危險(xiǎn)之中并濫用他們的權(quán)力?！?019 年9 月4 日，聯(lián)邦貿(mào)易委員會(huì)在華盛頓特區(qū)召開新聞發(fā)布會(huì)，通報(bào)谷歌旗下YouTube 視頻共享服務(wù)中非法收集來自未經(jīng)父母同意的兒童隱私違法情況。通報(bào)稿顯示，谷歌對(duì)此已同意支付1.7億美元罰款，這成為有史以來涉及《兒童在線隱私保護(hù)法》違法的最嚴(yán)厲處罰。

案例四：個(gè)人信息被盜用作情感欺詐犯罪

情感欺詐（Romance Scams）犯罪是指詐騙者以戀愛的名義在約會(huì)網(wǎng)站和應(yīng)用程序上創(chuàng)建虛假個(gè)人資料，或通過流行社交媒體網(wǎng)站聯(lián)系被害人，一天會(huì)交談或聊天數(shù)次，在取得信任后，他們編造一個(gè)故事并榨取錢財(cái)。聯(lián)邦貿(mào)易委員會(huì)網(wǎng)站信息顯示，當(dāng)前，數(shù)以百萬計(jì)的人轉(zhuǎn)向在線約會(huì)應(yīng)用程序或社交網(wǎng)站來認(rèn)識(shí)某人，但是，許多人沒有找到浪漫，而是發(fā)現(xiàn)騙子試圖誘騙他們匯款。情感欺詐犯罪主要由聯(lián)邦調(diào)查局刑事案件處理部門偵辦金融欺詐案的特工負(fù)責(zé)。據(jù)負(fù)責(zé)偵辦浪漫詐騙的聯(lián)邦調(diào)查局休斯頓分局特工貝寧等介紹，情感騙子通常使用從網(wǎng)絡(luò)上竊取的有吸引力的照片，創(chuàng)建自己虛假的在線個(gè)人資料，通過包裝，吸引潛在的受害者，然后聯(lián)系受害者，在網(wǎng)上分享信息，并假裝有共同的興趣以套取感情，同時(shí)他們又經(jīng)常找一些合理的借口避免見面，例如許多詐騙分子聲稱自己在海外軍隊(duì)服役或在海上石油鉆井平臺(tái)工作。據(jù)聯(lián)邦貿(mào)易委員會(huì)統(tǒng)計(jì)，截至2021 年的前五年中，人們因情感詐騙損失了13 億美元。

負(fù)責(zé)情感詐騙犯罪的FBI 特工貝寧

美國(guó)警察使用臉部識(shí)別技術(shù)辦案

美國(guó)個(gè)人信息安全保護(hù)的新挑戰(zhàn)

隨著互聯(lián)網(wǎng)時(shí)代向縱深發(fā)展，美國(guó)民眾認(rèn)為個(gè)人信息安全受互聯(lián)網(wǎng)的威脅越來越大。2021 年9 月由美聯(lián)社等展開的一項(xiàng)民調(diào)顯示，約64%的美國(guó)人認(rèn)為他們的社交媒體活動(dòng)和物理位置信息在網(wǎng)上得不到保護(hù)，50%的美國(guó)人認(rèn)為他們的網(wǎng)絡(luò)私人對(duì)話信息缺乏安全性。調(diào)查顯示，77%的人不滿意聯(lián)邦政府處理隱私和個(gè)人數(shù)據(jù)方面的努力。對(duì)此，約71%的美國(guó)人認(rèn)為，個(gè)人數(shù)據(jù)隱私應(yīng)被視為國(guó)家安全問題加以重視。另外，根據(jù)加利福尼亞司法廳發(fā)布的《加州數(shù)據(jù)泄露報(bào)告（2016）》，2012-2015 年，司法部長(zhǎng)收到了657 起數(shù)據(jù)泄露事件的報(bào)告，總共影響了超過4900萬條加州人的記錄，即近3/5 的加州人處于危險(xiǎn)之中。當(dāng)前，美國(guó)個(gè)人信息安全面臨的新挑戰(zhàn)主要是“定向廣告”（Behavior Advertising）、“數(shù)據(jù)經(jīng)濟(jì)”（Data Broker）、“人臉識(shí)別”（Facial Recognition）。這其中，人臉識(shí)別技術(shù)受到美國(guó)警方的青睞。佛羅里達(dá)州自2000 年以來就使用和普及人臉識(shí)別技術(shù)并使之成為日常治安維持的一部分。近年來，人臉識(shí)別技術(shù)在美國(guó)發(fā)展迅猛并功能強(qiáng)大，如亞馬遜在2016 年推出了人臉識(shí)別軟件Rekognition，谷歌、IBM、微軟等企業(yè)也都推出了自己的人臉識(shí)別應(yīng)用產(chǎn)品。這些產(chǎn)品被美國(guó)警察等執(zhí)法部門廣泛用來維持社會(huì)治安和打擊犯罪。佛羅里達(dá)州警察甚至稱，他們一個(gè)月要查詢這個(gè)系統(tǒng)4600 次。不過，人臉識(shí)別技術(shù)在美國(guó)引起了巨大爭(zhēng)議，民眾認(rèn)為它違背了美國(guó)憲法第四修正案，會(huì)引發(fā)隱私權(quán)侵害、種族歧視、民主程序違法等問題。面對(duì)巨大的輿論壓力，2020 年6 月亞馬遜宣布為期一年暫時(shí)禁止美國(guó)警方使用自己的人臉識(shí)別技術(shù)Rekognition。隨后，美國(guó)眾議院議員提出了一項(xiàng)警察改革法案，該法案將禁止聯(lián)邦執(zhí)法部門使用實(shí)時(shí)面部識(shí)別。目前，美國(guó)很多州通過立法，限制甚至是禁止警察等執(zhí)法部門使用人臉識(shí)別技術(shù)。2020 年2 月美國(guó)參議員在參議院提出了《道德使用人臉識(shí)別法案》，將在聯(lián)邦層面推進(jìn)全美人臉識(shí)別技術(shù)的規(guī)范使用。這些法案無疑將極大推進(jìn)和完善美國(guó)的個(gè)人信息安全保護(hù)體系。