美國隱私泄露引發(fā)法律風險

魏道培

黑客先后兩次攻入希爾頓公司的內部網絡系統(tǒng)，導致大量客戶信息泄露。這是美國2015年年底披露的一樁大案。最初，這家世界著名酒店公司只想弄清旗下連鎖酒店的財產資料是否泄露。緊接著，美國信息安全技術獨立調查人布里安·克里布斯（Brian Krebs）發(fā)布消息稱，希爾頓公司的餐館、酒吧、禮品店的所有終端都已發(fā)現收集個人財務信息的惡意軟件，大量客戶個人信息可能被劫。

此后，希爾頓再次確認，公司內部系統(tǒng)遭入侵，尤其是HLT0.53%數據系統(tǒng)。這類惡意軟件是專門設計用于收集個人支付卡信息，包括持卡人姓名、支付卡卡號、密碼和有效期。此時，希爾頓公司才意識到他們低估了問題的嚴重性，于是立即開展深入調查并著手強化網絡安全。事實上，他們已無法準確說出，被盜信息中包含了多少持卡人姓名、支付卡賬號、安全代碼和有效期。

個人信息泄露日趨嚴重

希爾頓是世界最著名的酒店服務公司之一。它在全球97個國家和地區(qū)擁有4500家連鎖酒店。此案已發(fā)，若不盡快通知個人客戶，希爾頓公司就可能承擔刑責，或被告上法庭，賠償客戶因此遭遇的財物損失。他們不得不通知一定期限內曾住宿、用餐和購物的所有客戶，要求其查詢并核實自己的銀行賬單，修改密碼，還向一定期限內購買服務的客戶免費提供一年的信用監(jiān)控與查詢服務。其實，黑客盯上的酒店已不止希爾頓，美國萬豪酒店公司曾同意并購擁有120億美元資產的連鎖酒店，但發(fā)現即將并購的外公司有54家的個人客戶信息遭泄露，若并購，那么其他萬豪連鎖酒店也有可能遭入侵。

在美國歷史上，公司曾把客戶的姓名、年齡、購買情況、家庭住址、社會安全代碼和其他個人信息視作有價資產加以收集利用，在某些情況下出售而不經用戶同意。政府在過去也并無監(jiān)管措施。但自從有了互聯(lián)網，個人信息可輕易收集、使用、搜索和分享，因此濫用個人信息越來越普遍，引發(fā)的信息安全問題也越來越突出，這導致涉事機構和個人泄露有價值的信息問題日趨嚴重。為遏制這一勢頭，美國國會與各州議會相繼推出法律規(guī)范措施并規(guī)定，無論是紙質還是電子文檔，只要涉及個人敏感數據，涉事單位或個人都要給予分等級的管控，否則他們將承擔法律責任。

然而，盡管聯(lián)邦法院制定的法規(guī)嚴格限制了收集、使用和分享個人信息，但信息技術日新月異，法律的更新往往落后于技術的發(fā)展。在此之前，美國聯(lián)邦貿易委員會（FTC）也相繼推出行業(yè)自律規(guī)則，包括客戶隱私信息的使用規(guī)范，也制定了隱私數據保護規(guī)定，即未經授權不得隨意使用。

早在2009年初，《美國數據泄露成本研究》發(fā)布報告稱，2008年美國公司信息泄露，導致客戶人均損失202美元，而2007年僅為197美元，更比2005年提高了40%。公司因此造成損失更高，平均達665萬美元。倘若提早應對，即可防患于未然。在過去三年中，美國執(zhí)法部門對機構和個人的數據安全關注度進一步提高，原因是過去制定的相關法規(guī)越來越不適應需要，法不治眾普遍存在，屢次出現大規(guī)模的泄露隱私數據的案情，用立法來遏制這一勢頭已成必然。

個人信息泄露給機構帶來災難

聯(lián)邦貿易委員會已明文規(guī)定，任何機構只要泄露客戶的個人信息，尤其是敏感信息，那么它必須承擔相應的法律責任。公司泄露個人信息不僅要承擔法律責任，而且還意味著丟失潛在的客戶、收益和股份價值，同時也使公司深陷絕境，形象受損。當然，這要取決于公司的類型和泄露數據的性質。最普遍的泄露案件是網絡遭入侵、非安全的無線通信、桌面終端被盜等等，也有郵件、惡意軟件、人為操作和攝像失誤等方式。一份調查發(fā)現，美國約有74%的隱私數據泄露屬于外部劫取，32%屬于商務搭檔搞鬼，另有20%屬內賊竊取。

資金或有價票據的信息泄露時，公司要付出高昂的代價。據彭那蒙研究，美國公司一臺筆記本電腦丟失，平均造成價值20萬美元的數據損失，若加上調查費、客戶咨詢、危機管控、中心呼叫、信用監(jiān)控、律師費、罰款、訴訟費、傳票費、法庭專家認定費等等，損失不可估量。

個人信息的泄露在美國也要分性質和嚴重程度。若敏感信息泄露，如金融機構和健康護理提供商泄露了客戶個人信息，那么他們不僅要承擔法律責任，而且還會作為丑聞曝光，最大限度地披露出來。此外，若公司雇員泄露了未經授權的個人信息，那么這類案件將被刊登在當地頭版頭條新聞上，還會引發(fā)連鎖反應。美國大陸航空公司就是最典型的一例。一筆記本電腦丟失在異地，內有200名乘客的姓名、地址、社會安全代碼和指紋。隨之，美國最大的信用卡支付系統(tǒng)公司之一HPS（Heartland Payment Systems）公司宣布，大陸航空的失竊案造成了美國有史以來最大的個人信息泄露案。竊賊依據盜取的個人社會安全代碼進入這家支付系統(tǒng)公司內網，進行了大量的非法交易，導致該公司月均1億美元被人從銀行刷走，超過17萬商人的賬戶受影響。隨后，這家支付公司被起訴，罪名是，他們未能及時通知相關用戶而造成巨額損失。另一案例是2009年4月，俄克拉荷馬州政府公共事業(yè)部遭遇一次意外事故。竊賊從政府雇員車中盜走一臺筆記本電腦，內裝100萬居民的姓名、地址、家庭電話號碼和社會安全代碼，并且這份文件未加密。2010年，美國最大的折價商業(yè)公司TJX的網絡系統(tǒng)有4570萬張未加密的客戶信用卡和借記卡遭黑客盜取。調查表明，該公司的所有電腦數據和現金記錄機上的所有個人信息都遭到詐騙團伙用技術手段劫走。此案導致該公司直接損失在2.56億-5億美元之間，間接損失高達10億美元，涉及全美眾多的客戶、發(fā)卡銀行、州銀行協(xié)會和股東。此后，美國FBI在全球范圍內抓獲11名相關嫌疑人。2008年，美國俄亥俄州一家醫(yī)療保險公司丟失11張光盤，內含3.6萬雇員和退休人員的個人信息。最終這些光盤被找到，然后在寄往哥倫布市的途中再次丟失。消息一傳出即在美國引發(fā)軒然大波。

公司淡漠客戶個人信息，泄露了本可以避免泄露的客戶敏感信息，他們不僅要造成巨額損失，而且還要面臨法律的制裁并擔刑責，還存在倒閉的風險。2005年，美國凱撒醫(yī)療公司（Kaiser Permanente）的一位雇員由于對老板不滿，竟把公司一份文件鏈接到她自己的博客上，包括醫(yī)療客戶個人姓名、IP地址、計算機代碼，總共導致140名客戶信息泄露。由此，她使公司違反了美國HIPAA法，即《健康保險攜帶和責任法》，該公司被罰20萬美元。又如，2008年美國華盛頓都市地區(qū)高速運輸管理局未經授權把所有雇員的社會安全代碼發(fā)布在網站上。按理說，這是公司內部事務，但由于未經授權，因此被認定為“非法發(fā)布”，一時成為眾矢之的。

美國公民的個人信息丟失引發(fā)的社會犯罪日趨嚴重，最終迫使美國聯(lián)邦政府與州政府兩個層次采取立法措施。聯(lián)邦政府立法部門先后推出系列法律，要求各機構采取措施保護個人信息，尤其是敏感信息，如財務、健康信息，兒童信息也在保護之列。各州立法部門還向個人消費者提供保護個人信息的方法。截至目前，美國已有44個州立法保護個人信息。最近哥倫比亞特區(qū)、美屬維京群島也列入其中，其總的要求是：商業(yè)企業(yè)務必制定嚴密的安全規(guī)章制度，采取自律措施，限制雇員的行為。

美國保護個人信息最著名的聯(lián)邦與州法律措施

*聯(lián)邦政府立法措施

·1996年聯(lián)邦政府頒布并實施HIPAA法，即《健康保險攜帶和責任法》。該法明確規(guī)定，健康信息（PHI）權屬于受保護的個人隱私，任何個人或機構未經授權，無論有意無意或任何形式，不管是紙質還是電子文檔，均在保護之列。

·2009年，美國頒布實施《經濟復蘇及再投資法》，該法再次強制規(guī)定，在披露個人健康信息前必須經由本人同意。

·1999年，克林頓總統(tǒng)簽署了當時最具影響力的《金融服務現代化法》，它要求美國的所有金融機構，一旦發(fā)生個人信息泄露，必須立即通知每一位相關客戶，否則將承擔因此引發(fā)的法律責任。

·2005年，美國立法部門在2003年頒布實施的《公平與準確信用交易法》（FACTA）基礎上，再推出與之配套的《處置規(guī)則》（Disposal Rule），旨在進一步細化管控措施，杜絕非授權使用和其他不當使用個人信息，禁止機構保留、收集或另作他用。

·1998年，美國頒布實施《兒童在線隱私權保護法》（COPPA）。該法旨在賦予父母管控孩子上網使用信息的權利，同時預防不法分子從孩子處收集家庭敏感信息。

·《聯(lián)邦貿易委員會法》（FTC ACT）是在20世紀初就已制定，此后隨著時代的變遷歷經多次修訂。該法禁止不公平競爭或欺騙手段或以非公正的行為影響市場。最新修訂的該法明文規(guī)定，若機構未經授權采集，使用和分享個人信息，將被視作“非公平”、“欺詐”的貿易行為，消費者可直接控告該機構。該法被視作美國最有實用性最普遍的個人信息安全管控法。

*州政府立法措施

美國加利福尼亞州2002年率先制定法律措施保護個人信息安全以來，已有44個州制定了與信息泄露和通知制度相關的法律。這些法律規(guī)定，一旦機構獲知并確信客戶信息被解密或被傳輸到其他機構并將直接影響客戶前，公司應通知客戶。加州該法實施以來已修訂多次，要求通知更詳細。美國賓夕法尼亞州最近通過一項法案，即機構的個人信息被泄露，須在7天內無條件通知相關的州公民個人。緊隨其后，其他州的相關法律也做出類似修訂。其中馬薩諸塞州和內華達州的相關法案更為嚴格，他們要求任何機構把個人信息傳輸給商業(yè)安全系統(tǒng)之外的任何人或機構都必須加密，以確保安全。2010年，馬薩諸塞州修訂相關法律，推出新的個人信息泄露通知的最低標準，即無論是紙質還是電子文檔，只要包含任何個人信息均須以書面的形式通知對方。

*機構的行業(yè)自律措施

美國支付卡行業(yè)數據安全標準（PCI DSS），具體而言，是針對在全天候工作日中處理持卡人數據的金融機構、貿易商和服務提供商提出的要求。它為各行業(yè)自律設置了12個基本的安全要求。迄今為止，它已成為一種強制性行業(yè)標準，即金融機構或其他企業(yè)在處理、儲存、傳輸持卡人數據時必須遵守的規(guī)則。美國金融機構在處理過程中若未加密，監(jiān)管機構一旦發(fā)現就會對其采取懲罰措施。

由于因特網使用頻率越來越高，收集、傳輸和儲存電子記錄文檔所引發(fā)的數據失竊也日趨頻繁，美國聯(lián)邦政府為機構也制定了相關參考指南。