論個人信息隱私權的法律保護——以美國《消費者信息隱私權法案》為例

李明發 孫 昊

（安徽大學，安徽 合肥 230601）

對于美國和其他國家的經濟和社會活動而言，互聯網不可或缺。網絡技術有利于激勵創新，使得全新的商業模式、消費者和企業的信息以及商品服務在全球市場自由流通。

維護公眾對互聯網經濟的信任是促進經濟可持續發展的關鍵。美國網上零售總額平均每年高達一萬四千五百億美元[1]。如果個人信息隱私安全性能得到適當保障，那么合理使用這些信息就能額外增加大量就業機會。維持消費者的信任對于充分實現互聯網技術的社會文化效益也必不可少。如果企業使用個人信息的方式與消費者當初披露這些信息的初衷不符，那么該企業勢必會逐漸喪失消費者的信任。未經授權披露個人敏感信息會侵犯信息所有者的合法權益，造成某些損害或人身性歧視，甚至會導致受害者為了維護合法權益而進行訴訟[2]。

美國的《消費者信息隱私權法案》正是在此背景之下應運而生，其不僅鼓勵改革創新，且有助于加強個人信息隱私的法律保護。以該法案為核心建立的個人信息保護框架主要涵蓋以下四個基本原則。

一、確立了個人信息隱私權保護的基本原則

強化消費者隱私權保護，激發創新活力，需要建立完善的、全方位的、靈活的信息隱私權保護機制。美國極力推崇FIPPS，其最終成為全球性的信息隱私權保護基石，很多國際性信息隱私保護條約至今仍以FIPPS為基礎。但隨著企業收集、儲存、分析個人信息能力的快速發展，其已不能充分滿足時代的發展需求。

在以個人信息處理分散化和普遍化為顯著特征的時代里，《消費者信息隱私權法案》使得FIPPS的有關規定能夠充分發揮作用。大公司和政府機構不再是個人信息的收集、儲存的主力。公司為了實現各種各樣目的逐漸增加個人信息的收集數量；消費者通過各種渠道，更加主動地與他人分享其個人信息。重新使用這類個人信息是提升創新水平的要件之一，在為消費者帶來各種便利的同時也引發了很多隱私問題。

為了更好地應對這種挑戰，《消費者信息隱私權法案》在兩方面繼承發揚了FIPPS的核心原則。首先，該法案明確了一系列消費者權利，公司應當明確告知消費者其將收集、處理何種個人信息。此外，該法案也明確了消費者對其個人信息也負有一定保護義務。其次，該法案著重強調公司使用消費者個人信息的情形，這與FIPPS的核心原則一致。確定使用情形的基礎是消費者為使用某公司產品或服務而能預料到該公司使用其信息的目的，需注意的是公司必須確實能提供該服務，且個人信息交換對于其提供該服務是必不可少的。

《消費者信息隱私權法案》規定了保護消費者個人信息的基本原則，包括個人控制原則、透明度原則、尊重消費者初衷原則、安全性原則、確保訪問暢通和信息精確性原則、責任原則。

此外，對于為了商業目的而使用消費者信息的，也適用該法案。這里的信息是指所有的消費者信息，包括那些與特定個體緊密聯系的信息[3]。

（一）個人控制原則

該原則指消費者有權決定公司可以收集何種個人信息，也可決定這些信息的具體用途。公司應當提供簡明易用的機制，使消費者能夠決定其與他人共享何種信息，選擇公司收集、使用、披露其個人信息的方式，同時該機制應當能全面反映公司收集、使用、披露的個人信息范圍、規模以及敏感程度。此外，公司應允許消費者取消或限制其先前做出的許可。該原則主要包括以下內容：

1.對于收集、使用、披露的信息范圍、規模以及敏感性，公司應為消費者提供適當的選擇。尤其對于那些包括搜索引擎、在線社交平臺在內的有機會接觸消費者互聯網使用記錄的企業，隨時間的推移其能夠逐步建立詳細的個人行為檔案。這些檔案可能包含諸如個人健康信息等的敏感資料。在此情況下，個人選擇機制能夠有效控制公司使用、披露消費者信息。相反，對于那些不收集、使用消費者個人信息的企業，其可為消費者提供相對較少的選擇。

在任何情況下，面向用戶的企業都應為消費者提供適當的選擇，無論是其使用消費者信息，還是披露給他方使用。當面向用戶的企業與第三方簽訂從消費者處收集信息的合同，這些企業有義務了解第三方如何使用這些信息，以及其是否向消費者提供有關信息收集、使用和披露的選擇。第三方也應為消費者提供與其收集信息范圍、規模、敏感性相符的選擇。近年來，有關第三方收集消費者信息的討論主要聚焦在行為廣告上，即為了向消費者投放定向廣告而收集消費者上網信息，以了解消費者興趣愛好。廣告商可以通過分析消費者個人興趣愛好，達到投放定向廣告的目的，而這一切都是以收集消費者的互聯網行為為基礎。許多消費者和隱私權支持者發現類似的追蹤和廣告實踐很容易侵犯公眾的信息隱私權。

2.消費者應當為自己的選擇結果承擔相應的法律責任。消費者選擇了相關的隱私權設置，并決定與他人分享個人信息已成為使用消費者個人信息的開端，這類現象在近年來逐年增加，尤其在網絡社交平臺中。在類似的情形中，消費者應當慎重評估其選擇的潛在風險，并為自己的選擇結果負責。控制初始的信息分享在保護消費者信息隱私權中至關重要。

個人控制原則承認消費者信息中所包含的隱私權持續存在。因此，該原則賦予了消費者撤銷權，使其能夠撤銷同意公司收集、使用其信息的決定。公司為消費者提供的撤銷途徑在數量上應當等同于該公司獲取信息的途徑。

消費者撤銷權的行使存在三個限制性條件。第一，能夠推定消費者與公司的直接聯系從未中斷過；第二，僅僅對于那些在公司支配下的信息，公司才有義務尊重消費者的撤銷權；第三，對于《消費者信息隱私權法案》正式實施之前公司收集的消費者信息并不適用該撤銷制度，除非公司在收集信息時已做出類似聲明。

（二）透明度原則

該原則指消費者有權了解并獲悉與其隱私有關的信息。在消費者能充分理解信息隱私權風險并能實施個人控制的情況下，企業應當向消費者明確解釋其收集何種信息，為何收集該信息，如何使用該信息以及是否與第三方分享該信息，如果分享，又是出于何種目的。

對個人信息的收集、使用、披露進行簡潔的語言陳述有利于消費者理解有關商業條款的相互作用。當這些陳述與判定隱私權風險密切相關時，公司應當確保消費者能夠獲知該陳述。現行的許多隱私聲明平等關注所有潛在的信息使用，與此不同的是，《消費者信息隱私權法案》規定的隱私聲明強調的是如果公司使用個人信息超出消費者預期，就應全面告知消費者。此外，該隱私聲明能將不同公司的信息披露方式逐漸統一起來，引起忽視隱私聲明的消費者注意，甚至有利于促使分屬于不同服務或商品領域的隱私保護政策彼此競爭，更具特色。

此外，公司應當用方便消費者實際閱讀的方式提供隱私聲明。公司有必要以更加人性化的方式為移動消費者提供有關信息，提供服務時應當充分考慮移動設備的自身缺陷，如尺寸小，移動設備特有的隱私風險等。

最后，對于那些不直接面對消費者的公司，如何收集、使用、披露消費者的個人信息需作出切實可行的明確解釋，并向公眾公布解釋的可行方式。此外，對于那些直接面對消費者的公司，當其向第三方提供收集的信息時，需要向消費者解釋該行為的特殊目的。這就要求消費者將更多的精力放在判斷其是否與有關企業建立了聯系。同樣，公司應當明確披露其從第三方獲得的個人信息，第三方的身份以及如何使用該信息，這有利于提升消費者信息隱私權保護的透明度。透明度的提升有利于促進保護隱私技術的發展，并鼓勵消費者使用該技術維護自身的信息隱私權。

（三）尊重消費者初衷原則

該原則指消費者有權期待公司收集、使用、披露其個人信息的方式與消費者提供該信息的初衷相一致。公司使用、披露消費者個人信息應遵從其與消費者達成的協議，法律有明確規定的除外。當《消費者信息隱私權法案》實施之后，如果公司需為其他目的而使用或披露消費者個人信息，該公司就需提供更高層級的透明度和個人控制，可以通過易于消費者接受的方式對所謂的其他目的進行披露。最后，消費者的年齡和對網絡技術的熟悉程度也是適用該原則時需考慮的重要因素。公司必須全面履行該原則所規定的義務，同時履行方式應與消費者的年齡和互聯網水平相適應。尤其需要注意的是，與保護成年人的個人信息相比該法案更注重保護兒童[4]和青少年的個人信息。如不允許網絡服務商收集兒童的個人信息，即使其已取得所需的書面同意，這樣嚴格執行更有利于保護兒童的隱私權。

該原則主要包括以下幾方面內容。

1.該原則區分消費者信息的使用基礎，判斷其與消費者使用該公司服務初衷的聯系程度，同時也審核公司提供該服務所需的必要流程。首先，明確目的，即要求公司在收集個人信息時，向消費者明確釋明其收集該信息目的。其次，限制使用，即要求公司只能為了實現該特定目的而使用其收集的消費者信息。

該原則在兩方面繼承、發展了現有原則。首先，該原則規定了一個實質性的準則，并以該準則指導公司的隱私保護實踐。總的來說，即使是為了實現與消費者提供信息初衷相一致的目的，公司也應當限制使用收集的信息。其次，雖然該原則強調消費者在披露信息時與公司建立相互關系十分重要，但也承認這種關系會隨著時間的推移不斷發生變化。

此外，公司為實現消費者特意要求的某些目標而推斷消費者同意其使用、披露有關信息的，只需消費者對該服務有一般性了解即可。公司也可為一般性目的使用、披露消費者個人信息，即使這些目的并不為消費者所熟知。如為了提升服務質量而分析消費者如何使用該服務，防止欺詐，服從法律強制性規定和其他法定義務以及保護知識產權等。公司在嚴格遵守《消費者信息隱私權法案》的其他基本原則基礎上，可以推斷消費者同意其為了特定目的而使用個人信息。

2.規范公司與消費者間的相互關系是決定該原則適用的另一要件。該原則并非排除所有商業廣告模式，而是要求公司能夠基于不同的個人信息識別不同類型的商業模式，從而判定不同程度的隱私風險。在消費者提供個人信息的同時，公司應當明確告知其享有的權利。對于那些有關就業、保險資格以及其他對消費者有重要影響的信息，網絡廣告公司在收集、使用、披露的過程中保持最大限度的克制。

（四）安全性原則

該原則指消費者有權保護以及負責任地處理其個人信息。公司有義務評估個人信息面臨的隱私權風險以及安全性問題，為了控制有關風險需要履行必要的安全保障義務。

確保個人信息安全的技術和程序對于保護消費者隱私至關重要。涉及個人信息的安全漏洞，無論是源于意外事件還是惡意攻擊，其都會造成一定的經濟損失和人身損害。如果公司對個人信息喪失了控制權，公司的合作伙伴或客戶終止了相互間的協議，那么必將要面臨信譽崩潰的風險。為避免此惡果，公司會竭盡全力維護消費者個人信息安全。對于特定公司來說，建立適當的信息安全預防機制，需要考慮業務類型，收集的個人信息種類，潛在的損害以及其他各種因素。該原則承認這些因素的存在，因此賦予公司一定的自由選擇權，允許選擇最符合公司特質的技術和程序維護消費者信息安全，但仍需遵守現行有效的規范信息安全的法律法規。

（五）確保訪問暢通和信息精確性原則

該原則指消費者有權通過適當的途徑，以適當的方式訪問、修正其個人信息，該途徑和方式必須與信息敏感度相符合。公司應當采取適當的手段確保其持有信息精確無誤。公司也應為消費者提供合理的途徑，使其能夠訪問公司收集或持有的與其相關的個人信息，并允許消費者修正錯誤信息或請求公司刪除或限制使用該錯誤信息。公司在決定采取何種措施確保信息精確性，并允許消費者訪問、修正、刪除的過程中，應當將其收集、持有的個人信息范圍、規模以及敏感性納入考慮之中。

越來越多的企業依賴消費者的個人信息進行決策，這些決策將會從各個方面對消費者產生影響。這些領域以外的情形受到其他特定的聯邦隱私權保護法案的規制，例如HIPAA和公平信用報告法案。雖然現階段消費者尚無權訪問或修改其個人信息，但《消費者信息隱私權法案》頒布以后，美國正致力于以方便移動設備閱讀的方式發布互聯網領域的有關信息[5]。允許消費者訪問其個人信息正是在商業領域作出類似的承諾。政府鼓勵公司將個人信息轉化成特定可行的格式以方便消費者及時訪問、修正。

該原則承認使用錯誤的個人信息會導致一系列嚴重后果。除了公司收集個人信息范圍、規模以及敏感性之外，這些損害風險也有助于判斷在特定情形中，何種訪問和修正是合理的。總之，公司向消費者提供的，允許其訪問個人信息的機制都不能導致額外的隱私或安全風險。

（六）責任原則

該原則指對于公司收集、處理的個人信息，消費者享有所有權，且有權通過特定的途徑確保公司貫徹落實《消費者信息隱私權法案》的規定。公司應就保證堅持以上各項原則而對執法當局和消費者承擔相應的責任。公司也有義務確保員工遵守這些原則。為履行該義務，公司應組織員工進行培訓，確保員工以適當的方式處理消費者個人信息，并定期進行有效評估。如果公司向第三方披露消費者個人信息，那么應承擔最低限度的保證義務，即確保信息接受方在可強制執行的合同義務項下落實這些原則，除非法律明確規定其應履行其他義務。

信息隱私權的保護依賴于公司對消費者和執法機構的負責。然而，該原則已超越傳統意義上的外部責任。能以實際行動證明其圓滿完成了隱私聲明的公司定能進一步維系、加強消費者的信任。有必要以公司規模、業務構成以及信息的敏感度為基礎建立適當的評估機制，該機制可以成為自我評估的手段，并不需完整的審計。

此外，必須將責任與不斷流動的個人信息緊密結合起來。站在《消費者信息隱私權法案》的立場上看，該原則強調的并不是信息披露，而是信息披露是否會導致對個人信息的使用；該信息的使用是否符合消費者初衷；是否能滿足消費者控制信息的要求。因此，如果公司向第三方披露了收集的個人信息，那么該公司不僅要承擔相應的責任，而且有義務確保信息接收者對信息的使用、披露符合該法案。

二、通過多方參與制定強制性的共同行為準則

要想既執行消費者隱私權法案的基本原則，又能激勵使用個人數據，需要通過法定程序確立更多特定的行為方法。美國政府鼓勵私人公司、工業團體、隱私權支持者、消費者組織、專家學者、國際合作伙伴、其他組織團體制定共同行為準則，為有效執行《消費者信息隱私權法案》基本原則奠定基礎。

在消費者個人信息隱私領域，以及其他影響國家互聯網戰略的領域，眾多機構都能為互聯網繁榮做出貢獻是建立在多方參與基礎上的。這促使美國政府將互聯網定義為一個開放的，以消費者為導向多方共同參與的平臺，通過該平臺能增進交流，激勵創新，促進經濟增長[6]。

美國政府之所以支持開放、透明的多方參與架構，是因為一旦建立此架構，就能為參與者提供一定程度的靈活性，分散政策帶來的風險，更有效地應對互聯網領域出現的挑戰。此外，美國在未來幾十年將會面對廣泛、復雜而又全球性的消費者信息隱私問題，建立能在全球范圍內有效運轉的機制顯得尤為重要。

多方參與機制的另一個優勢是與行政法規和其他政策性機構相比，能更有效地提出合適的解決方案。最后，多方參與機制在解決問題時并不依賴單獨的權力機構。特定的多方參與機構能有效應對互聯網領域出現的各種特定類型挑戰。這種特定化不僅能加速解決問題，更能避免參與者重復勞動。

此外，促使參與者加入該機制的誘因是雙重的。公司需要通過與消費者和其他參與者直接互動贏得消費者信任。選擇適用該機制的共同行為準則能進一步取得消費者信任。在該行為準則項下的所有執法行動中，執法機構都會將公司堅持該行為準則作為從輕或減輕處罰的考慮因素。

NTIA有足夠的權力和管理互聯網的專業技術，所以能夠為了解決消費者隱私權保護問題而召集多方參與者共同創設特定的參與機制。創設消費者隱私權保護的多方參與機制的基本程序：①商議制定共同行為準則；②決定采用共同行為準則；③隨著市場和技術的發展逐步修訂共同行為準則[7]。

（一）商議

1.分析消費者信息隱私權保護領域存在的主要問題。在NTIA的協助下，多方參與機構對涉及重大的消費者信息隱私問題的市場或工業領域進行細致分析，為制定共同行為準則做好充分準備。

2.啟動和促進商議進程。NTIA應當采取相應的措施支持更多的參與者加入制定共同行為準則進程。多方參與者的首要任務是建立相應的操作流程。美國政府致力于堅持該過程的開放性和透明性；然而商議過程必須滿足參與者的需求，從而確保參與者遵從商議結果。

3.得出結論。代表所有參與者利益的共同行為準則已準備就緒，只待公司確定采納。在此階段，NTIA需要與參與者共同努力，幫助其解決困難。有些參與者可能會提出某些僵化的條款，對達成共識造成很大阻礙，為將此情形發生的可能性降到最低，參與者需要在準則之外討論、制定有關規則或程序，以此控制達成一致結論的途徑。

（二）采用

當共同行為準則制定完畢，有關公司可能會選擇采用該準則。美國政府期望公司堅持行為準則的承諾最終能產生強制執行力。強制執行力對于確保公司對消費者隱私的保護完全符合承諾至關重要，也有利于贏得消費者信任。

（三）修訂

多方參與機制的核心目標是使參與者能夠不斷修正其隱私保護策略，從而更好地應對科技、消費者期待以及市場環境的迅速變化，確保消費者信息隱私安全。多方參與機制為遵守共同行為準則提供多種方式。考慮到技術和市場的改變，參與者有權在任意時刻宣布共同行為準則對其不再具有任何效力。NTIA也可重新召集參與者，再次制定有關行為準則。美國政府不會修訂共同行為準則，但多方參與組織會在美國政府的指導下完成修訂。

三、由聯邦貿易委員會負責強制執行《消費者信息隱私權法案》

在執行《消費者信息隱私權法案》的過程中，政府機構扮演著不可或缺的角色。聯邦貿易委員會（以下簡稱FTC）是聯邦政府機構中領導保護消費者隱私的權力機關。FTC展開執法行動意味著公司未能嚴格遵守保護消費者隱私的承諾。此外，在公司未采取合理有效措施保護消費者個人信息安全的情況下，FTC可對該公司采取相關措施。FTC之所以能夠應對技術和市場的改變對保護消費者信息隱私帶來挑戰，是因為FTC采取了靈活的執法手段：在其管轄權范圍內，FTC有權強制公司遵守共同行為準則。

無論是否存在消費者個人信息隱私方面的立法，FTC都應為制定行為準則提供幫助和建議。一旦參與者制定了共同行為準則，為了獲得更大程度的確定性并讓客戶確信其正竭盡全力保護消費者的信息隱私，公司會自愿遵守該準則。公司可在不同的業務領域內選擇適用共同行為準則。《消費者信息隱私權法案》的基本原則應該確保共同行為準則是持續存在的。

FTC有權執行《消費者信息隱私權法案》的各個構成要素。對于履行保護消費者信息隱私的義務，企業將擁有明確的路線圖。讓消費者了解美國國會授權FTC在商業領域直接執行完整的隱私保護政策對消費者有利，同時，也能為FTC提供一定程度的靈活性，使其能夠通過特定的符合程序性要求的執法行動有效處置突發公眾隱私問題。

更重要的是，《消費者信息隱私權法案》為企業創造了公平的競爭環境，為消費者提供一致的期望，為FTC的執法行動提供更加明確、透明的基礎。

四、加強國際合作

企業在互聯網的協助下不斷擴展自身業務范圍。這也使大范圍的數據流動成為國內和全球經濟的重要組成部分。信息隱私保護法律的多樣性必然導致企業轉移個人信息的代價上升，因為不同國家的法律標準各不相同，企業要想順利地開展業務，就需要遵守多種法律法規。

雖然為了應對這些挑戰，政府會出臺各種措施，但努力提升信息隱私保護領域的國際合作對于促進互聯網經濟持續發展仍至關重要。靈活的多方參與機制能促進信息隱私保護領域的國際合作。美國正致力于與其合作伙伴一同加強信息隱私保護領域的國際合作。這些努力具體包括：促進相互承認，通過多方參與機制制定共同行為準則，強化國際執法合作。

（一）相互承認

個人信息隱私法案的相互承認是在全球范圍有效保護消費者信息隱私安全的有效途徑。相互承認的基礎是尋求個人信息隱私保護領域的共同價值核心。

當公司在一國領域內承擔某些法定義務，那么相互承認就意味著所有國家都有權要求該公司履行相應的義務。有效的執行是建立國際合作機制的前提。執行機制以及執行機關因國而異，美國政府也承認許多方式都能充分發揮效力。美國主要依靠FTC的個案執行機制，該機制能有效阻止不公正或欺騙行為發生，同時該機制也促使在個人隱私保護領域形成不斷發展的標準。

在相互承認的情況下，問責機制指的是企業有義務明確解釋其對強制性隱私保護政策和程序的執行情況（無論是自愿接受還是法律要求）。問責機制包括自我評估和審計兩方面。促進相互承認的典型范例是APEC的跨境隱私規則體系，該體系的基礎是APEC的隱私保護法案和APEC成員國一致通過的隱私保護原則[8]。

（二）建立多方參與程序，制定共同的國際行為準則

多方參與機制具有靈活性強、效率高等多種特征。當需要制定保護消費者、促進創新的全球性規則時，與傳統的政府管理規則相比，多方參與機制具有很多優勢。多方參與制定共同的國際行為準則，將該準則與現有的相互承認的規則相銜接，能夠顯著降低企業的守法成本。

雖然安全港規則已經證明能夠促進大西洋兩岸的商貿合作，但對部分美國企業而言并非最佳解決方案。對于部分領域，FTC并無管理權限，如金融服務、保險以及電信業，對此安全港規則亦未涉及。這些領域內的部分公司已明確表示希望適用改進后的大西洋數據交換規則[9]。

美國政府計劃以安全港規則為基礎制定額外的機制——如共同制定行為準則，以此促進相互承認彼此的法律，鼓勵信息自由交換，應對不斷出現的信息隱私保護挑戰。共同的國際行為準則代表了在重要的隱私保護問題上，大西洋兩岸的雙方已達成共識，終將有一天共同行為準則能夠成為安全港規則的重要補充。

（三）加強國際執法合作

為了在全球范圍內實現充分保護消費者信息隱私權，健全的國際執法合作機制必不可少。無論該合作是雙邊還是多邊，均有益于加強隱私權保護機構間的信息共享。

在加強與國外伙伴合作方面，FTC享有廣泛權力。FTC設立了全球隱私執法網絡（GPEN）。GPEN致力于進一步提高隱私執法的優先層級，分享最佳的實踐經驗并為聯合執法行動提供必要支持。FTC加入了大量國際組織，包括OECD、APEC、亞太區私隱機構組織論壇。在GPEN、OECE以及APEC中，美國政府的主要職責是加強全球范圍內的隱私調查和執法合作。

五、《消費者信息隱私權法案》特別規定的事由

（一）平衡消費者信息隱私權保護中聯邦和州的關系

該法案強調應當為現行的信息隱私保護體制尚未覆蓋的領域提供全國性標準。設立全國性標準對于企業堅持保護消費者信息隱私是必要的。如果允許各州分別制定更加苛刻的標準，那么必將極大地削弱利益相關者加入多方參與機制的熱情，也會削弱企業采納共同行為準則的動力。因此，美國政府建議國會取消那些已生效的與該法案相抵觸的州法案。

此外，美國聯邦政府推薦的方法在各州制定政策、執行規則中起到了不可忽視的作用。各州應在多方參與機制發揮建設性作用。總的來說，該機制將為各州解決消費者信息隱私問題提供有效途徑，而這些途徑不僅僅取得了各州的共同認可，更在國家層面上保持了一致性。聯邦政府與國會、各州以及其他參與者共同商討是否存在某些特殊領域，在這些領域中需要各州執行各自的規則而又不會破壞聯邦法案的一致性。允許各州在其密切監管的領域如電商零售適用各自的規則保護消費者信息隱私。

（二）維持現有的聯邦隱私保護法律的有效性

消費者信息隱私立法應當最大程度保持現有法案的有效性，將重復規制降到最低，明確消費者的權利和義務，從而為服務消費者和企業提供更好的服務。總體而言，現有特殊領域內的聯邦隱私保護法律創設的義務針對的是該領域內個人敏感信息的使用以及部分普遍做法。如HIPAA及其制定的隱私和安全規則主要規制的是醫療服務提供者、保險人以及健康信息交換中心對個人健康信息的收集、使用和披露。HIPAA默許那些已經被醫療服務提供者普遍接受的個人健康信息的使用實踐，如為治愈疾病，在兩個醫療服務提供者之間相互交換患者的健康信息。

（三）建立安全漏洞通知的國家標準

對于特定領域的安全漏洞通知，美國政府主張建立統一的國家標準，要求企業將未經授權的個人信息披露及時告知消費者。安全漏洞通知規則（SBN）有效保護了敏感個人信息。該規則要求企業在特定情況下告知消費者個人信息已被傳遞給未經授權的主體。及時告知可使消費者免受潛在損害，也激勵企業著重建立更完善的個人信息保護體制。SBN模式已獲得國際社會的廣泛認同，有效保護了消費者的合法權益。

目前，美國的47個州以及哥倫比亞特區已制定SBN規則。各州設立的應對緊急事件的有效機制各不相同，因此建立統一的國家機制的呼聲日益高漲。各州法律的混雜導致企業守法成本激增，同時也未能使消費者明顯受益。作為網絡安全立法方案的一部分，美國政府建議創設非經授權披露消費者個人信息事件通知機制的國家標準。該標準將取代現有的各州標準，也將在該領域中排除適用各州未來的有關立法。

六、對中國立法及司法的借鑒意義

（一）對中國立法的借鑒意義

2000年信息產業部發布了《互聯網電子公告服務管理規定》，其中第12條規定：“電子公告服務提供者應當對上網用戶的個人信息保密，未經上網用戶同意不得向他人泄露。”

2007年商務部印發了《商務部關于促進電子商務規范發展的意見》，其中明確指出：“引導電子商務企業建立健全網絡與信息安全保障制度，采取有效的網站安全保障措施、企業信息保密措施和用戶信息安全措施，防范和制止利用互聯網盜取商業秘密和提供用戶信息給第三方以牟取利益的行為。”

2010年工商總局發布了《網絡商品交易管理暫行辦法》，其中第16條規定：“網絡商品經營者和網絡服務經營者對收集的消費者信息，負有安全保管、合理使用、限期持有和妥善銷毀義務；不得收集與提供商品和服務無關的信息，不得不正當使用，不得公開、出租、出售。但是法律、法規另有規定的除外。”第25條規定：“提供網絡交易平臺服務的經營者應當采取必要措施保護涉及經營者商業秘密或者消費者個人信息的數據資料信息的安全。非經交易當事人同意，不得向任何第三方披露、轉讓、出租或者出售交易當事人名單、交易記錄等涉及經營者商業秘密或者消費者個人信息的數據。”

總的來說，我國保護消費者個人信息的法律條款較為有限，對于互聯網中消費者個人信息隱私保護的條款更是少之又少。并且現行法律法規中關于個人信息保護的條款適用范圍較小，并不能適應當前經濟發展的形勢。而且這些條款散見于各法律法規，缺乏體系上的呼應，使得這些條款難以有效適用。即便這些條款提出對個人信息的保護，但細究內容，多為對信息持有者的保密義務，且沒有規定違反該義務的民事責任。實際上現存為數不多的關于個人信息保護的規定也僅是形式，缺乏可操作性[10]。

在大數據時代，中國立法者應順應時代潮流，將制定完備、可行的保護消費者信息隱私權的法案提上立法日程，并將其作為該領域內的基本法。在法案制定過程中，應廣泛征求科技類公司、工業團體、消費者組織、專家學者、國際合作伙伴以及司法工作者等利益相關者的意見，為更有效地執行基本原則奠定基礎。

（二）對中國司法的借鑒意義

第一，確保消費者信息隱私權基本法的貫徹落實，執行至關重要。為了進一步加強公眾對消費者信息隱私權基本法的信任，促使公司自覺遵守行為準則，有必要成立獨立的自我監管機構，將各個政府部門中涉及到保護消費者信息隱私權的職能或權力集中到該監管機構，由其統一行使執法權，以便其及時發現并糾正各利益相關者的履約問題。

第二，大范圍的數據流動已成為中國國內和全球經濟的重要組成部分。各國的隱私保護法律各不相同，嚴重阻礙企業在全球范圍內自由轉移個人數據。為了應對這些挑戰，提升隱私權保護領域的國際合作至關重要。中國立法者、執法者有必要加快國際合作步伐，尋求個人信息保護領域的共同價值核心，并在此基礎上推動消費者信息隱私保護法案的相互承認。

第三，由于企業利用互聯網不斷在全球范圍內擴展業務，為了充分保護消費者的信息隱私權，全球范圍內的執法合作不可或缺。因此在司法實踐中，必須加強全球范圍內的隱私調查和執法合作。

［1］Census Bureau,E-Stats[EB/OL].[2011-05-16].http://www.census.gov/econ/estats/2009/2009reportfinal.pdf.

［2］Fed.Trade Common,2006 Identity Theft Survey Report[EB/OL].[2007-11-20].http://www.ftc.gov/os/2007/11/SynovateFinalReport IDTheft2006.pdf.

［3］Peter S Frechette.FTC Jurisdiction over Information Privacy is“Plausible,”but How Far can It Go?[J].American University Law Review,2013（62）.

［4］Kate Crawford,Jason Schultz.Big Data and Due Process:Toward a Framework to Redress Predictive Privacy Harms[J].Boston College Law Review,2014（51）.

［5］National Science and Technology Council.A Policy Framework for the 21st Century Grid:Enabling Our Secure Energy Future[EB/OL].[2011-06-15].http://www.whitehouse.gov/sites/default/files/microsites/ostp/nstc-smart-grid-june2011.pdf.

［6］Neil M Richards,Jonathan H King.Big Data Ethics[J].Wake Forest Law Review,2014（34）.

［7］OECD.High-Level Meeting on the Internet Economy:Generating Innovation and Growth[EB/OL].[2011-06-28].http://www.ntia.doc.gov/legacy/ntiahome/privwhitepaper.html.

［8］Michael D Scott.The FTC,the Unfairness Doctrine,and Data Security Breach Litigation:Has the Commission Gone Too Far[J].University of Baltimore Law Review,2008（49）.

［9］Paul Schwartz,Dan Solove.The PII Problem:Privacy and a New Concept of Personally Identifiable Information[J].Harvard Business Law Review,2014（21）.

［10］張巖.電子商務中消費者個人信息的法律保護[D].重慶:西南政法大學,2011.