美國數據與隱私安全保護制度進展述評

趙麗莉，鄭 蕾

(1.山東科技大學 知識產權學院， 山東 青島 266590；2.西安交通大學 a.科技與教育發展研究院; b.網絡信息中心， 陜西 西安 710049)

一、美國現有數據與隱私安全保護立法總體概況

美國沒有統一的、綜合的聯邦層面數據與隱私安全立法，但是基于美國判例法的實踐，聯邦和各州都自成法律體系，有人稱之為“分散立法模式”[1]。梳理這些立法發現(見表1)，美國已經形成一套適用于規范數據收集和使用以及隱私保護的規則，已有立法涉及的主要領域包括用戶財務信息、醫療健康信息、電子信息的收集和使用，在線隱私保護，個人信息披露，數據控制者和處理者的義務等。

(一)分領域立法

《聯邦貿易委員會法》(Federal Trade Commission Act)是一部聯邦消費者權益保護法，立法目標是規范企業之間的公平競爭和保護消費者免受商業行為的欺詐，明確禁止使用欺騙性或虛假廣告，禁止不公平或欺詐行為，該法案被看做是規范隱私和數據安全的重要制度。

《金融服務現代化法》(Gramm-Leach-Bliley Act,簡稱GLB)規定了金融信息的收集、使用和披露。它可以廣泛應用于銀行、證券公司和保險公司等金融機構，以及其他提供金融服務和產品的公司。GLB限制非公開個人信息的披露，并且在某些情況下要求金融機構提供其隱私操作的實踐方式，以及數據主體選擇不共享其信息的機會。此外，國家銀行機構頒布了若干隱私規則，聯邦貿易委員會(Federal Trade Commission,簡稱FTC)頒布了與財務數據保護和處置相關的保障規則、處置規則和紅旗規則。

《健康保險流通與責任法》(Health Insurance Portability and Accountability Act，簡稱HIPAA)規范了醫療信息的收集和使用。它廣泛應用于醫療保健提供者、數據處理者、藥房和其他與醫療信息接觸的主體。《個人可識別健康信息隱私標準》(HIPAA隱私規則)適用于受保護健康信息(PHI)的收集和使用。《電子保護健康信息保護安全標準》(HIPAA安全規則)提供了保護醫療數據的標準。《電子交易標準》(HIPAA交易規則)適用于醫療數據的電子傳輸。

表1 美國隱私立法主要規定

《公平信用報告法》(Fair Credit Reporting Act，簡稱FCRA)是美國聯邦政府頒布的一項法律，旨在提高消費者報告機構文件中所載消費者信息的準確性、公平性和隱私性，保護消費者免受金融機構故意或疏忽地將不準確的信息納入其信用報告中。FCRA與《公平追債法》一起構成了美國消費者權益法的基礎。該法案最初于1970年通過，由美國聯邦貿易委員會(Federal Trade Commission)、消費者金融保護局(Consumer Financial Protection Bureau)和私人訴訟當事人執行。

《電子通信隱私法》(Electronic Communications Privacy Act，簡稱ECPA)和《計算機欺詐和濫用法》(Computer Fraud and Abuse Act )分別對截取電子通信和計算機篡改進行了規定。ECPA是美國聯邦法律，其禁止第三方未經授權截取或披露通信，保護存儲和傳送中的通信。該法案最初是作為1968年《竊聽法》的修正案通過的，適用于政府雇員和普通公民。ECPA被1994年的《通信協助執法法》(CALEA)、2001年的《美國愛國者法》、2006年的《美國愛國者再授權法》和2008年的《外國情報監聽法修正案》大幅修訂。

《計算機欺詐和濫用法》(Computer Fraud and Abuse Act)最初是為了保護美國政府和一些金融機構運行的計算機系統，但在經過幾次修訂后擴大了范圍，不斷趨于成熟和完善。該法案通過細致的法條對計算機網絡犯罪行為進行了規定，明確了計算機欺詐和濫用的范圍，是美國計算機網絡犯罪法律體系的重要組成部分。該法規制的內容確保了計算機技術的健康發展、計算機技術網絡應用的規范化[2]。

《兒童在線隱私保護法案》(Children’s Online Privacy Protection Act，簡稱COPPA)是一部保護13歲以下兒童隱私的法律。該法于1998年由美國國會通過，并于2000年4月生效。COPPA的通過是為了應對20世紀90年代以兒童為目標的在線營銷技術的快速增長，由FTC行使執法權。該法對以下內容做出了規定：網站在收集或使用、披露13歲以下兒童的任何個人信息之前，必須征得其父母的同意；何時以及如何尋求父母或監護人的核實同意；網站經營者對兒童的在線隱私和安全負有何種法律責任，包括限制針對13歲以下兒童的營銷類型和方法。

(二)通過FTC實施強有力的聯邦執法

FTC是執行反壟斷和消費者保護法律的聯邦機構，是美國聯邦層面擁有廣泛的保護消費者權益執法權力的機構，也是數據和隱私保護的主要執法機構。FTC的工作主要是保護消費者免受侵害，阻止不公平或者欺騙性的貿易行為及實踐，為此，FTC采取多重手段來保護消費者隱私和個人信息，形成了強有力的聯邦執法機制，已對未遵守公布的隱私政策和未經授權泄露個人數據的公司采取了許多執法行動。FTC負責確保隱私與安全項目的全面落實，建立兩年一次的獨立專家評估制度，實施對消費者的賠付救濟，不當得利的追繳，刪除非法獲取的消費者信息，為消費者提供高透明度和選擇機制保障。

1.采取強制執法措施

FTC強有力的執法權實施最主要的手段就是采取強制執法措施來制止違法行為，并要求企業采取積極整改措施。FTC的授權主要來自于《聯邦貿易委員會法》第5條，該法禁止在市場中實施不公平或欺騙性的行為。FTC也有權基于《真實借貸法》《反垃圾郵件法》《兒童在線隱私保護法》《平等信用機會法》《公平信用報告法》《公平債務催收實踐法》和《電話營銷與消費欺詐濫用防治法》等授權進行具體領域的數據和隱私安全保護執法。上述授權使得FTC可以將執法范圍覆蓋到與消費者相關的各個方面，包括那些伴隨著新技術應用和商業模式不斷發展而出現的新興領域。

此外，FTC也可能根據一些消費者投訴、公司信件、國會要求以及有關消費者保護、經濟貿易等案件采取執法行動。根據《聯邦貿易委員會法》(FTCA)的規定，FTC擁有對案件進行調查、作出行政命令、提起民事訴訟以及禁止令等權力，案件當事人如果對FTC的決議有異議，可以向聯邦法院提起復審要求。與此同時，FTCA指出，對于某些案件，FTC的決議具有終局性。FTC擁有對從事商業服務的經營者的信息收集、利用、安全維護方面的調查權，可以要求其監管的涉及數據和隱私安全的公司提交市場經營和消費者保護的年度保護數據，并給予國會立法保護建議。

2.針對違法行為訴諸于民事處罰程序

從FTC的執法職能來看，FTC可以基于已有立法確立的隱私保護規則，對違反隱私規則的行為進行民事罰款。處理案件時，如果一家公司違反了FTC的相應指令，確定正在實施欺詐行為，或者涉嫌侵犯消費者的隱私與數據安全，為了阻止欺詐和保護消費者，FTC有權直接向法院申請禁止令、要求民事賠償或消費者賠償。

3.實施和解協議制度

一般情況下，FTC采取的調查活動是非公開的，主要是為了保護企業隱私的同時保護調查活動本身。當認為“欺詐”還只是一種爭議或者當該行為沒有對消費者直接造成損失時，將試圖與相應的網絡經營者(公司)簽署同意令(也成為和解協議)。此前，Facebook涉嫌違背了數據保密的承諾、谷歌用戶虛假陳述等案件均與FTC達成了和解協議，并支付了相應罰款。和解協議通常要求企業采取必要措施，限期改正，以確保消費者利益。通常，這類處理辦法大都發生在隱私保護欺詐案件中，只有當公司拒絕簽署這份同意令或者在執行該同意令期間有所違反規定，FTC才會對其提起相應的民事訴訟。FTC與被調查者之間簽署的和解協議內容會針對不同情形確定，處罰并非必然，但是FTC擁有和解協議后續執行的調查權，FTC一旦發現簽署協議者違反了和解條款，將被處以高額罰款。

(三)形成以自由競爭為基礎、政府引導下的行業自律規則

行業自律在美國傳統消費者保護領域被作為主要的措施之一，在互聯網市場領域也不例外，美國FTC在積極通過立法、制定準則打擊欺詐者的同時，大力促進網絡商業實踐的行業自律的確立，形成了以自由競爭為基礎、政府引導下的行業自律規則。目前，在數據和隱私保護的行業自律形式主要有3類：行業指引、網絡隱私認證、隱私選擇平臺(也有稱之為技術保護模式)。其中，行業指引主要通過成立公司或者協會的方式，發布適用于行業發展的網上隱私保護準則，側重于對行業數據和隱私保護的建議引導，如電子行業的“在線隱私聯盟(Online Privacy Alliances)”；網絡隱私認證主要指第三方隱私認證組織對符合其提出的隱私規則的網站實施隱私認證，并在網站顯示認證標志供用戶識別；隱私選擇平臺模式主要是通過技術手段實現隱私和數據安全保護，如互聯網協會推出的個人隱私選擇平臺，該平臺通過技術手段使用戶選擇對其個人數據和信息的公布權，并可選擇擬公布數據的內容，該模式主要通過技術手段加強用戶對其個人數據和信息公開的選擇權，但實踐中發揮的作用有限。盡管行業自律規則對敦促網絡服務提供者加強隱私保護發揮積極作用是有利的，但是美國推行的行業自律規則應在政府嚴格引導下確立，政府與行業之間有著非常密切的互動關系，FTC在2014年的《隱私和數據安全年終報告》中就曾指責隱私認證組織TRSUTe未按照其發布的認證章程履行年檢責任[3]。

二、美國數據與隱私安全立法的最新進展——基于2018—2019年已生效立法概覽

2018年由于Facebook事件以及GDPR的生效，美國國內也展開了關于數據與隱私安全立法的新探索。

(一) 2018—2019年出臺的美國數據與隱私安全立法

在美國，所有50個州都通過了數據泄漏方面的立法，梳理2018—2019年出臺的法案(見表2)，顯示境外數據合法使用、消費者數據和隱私保護、互聯網設備數據安全等內容成為重點關注內容。

表2 2018—2019年數據與隱私安全保護生效立法一覽表

為強化美國跨境數據的控制地位，2018年3月23日，美國總統簽署《合法使用境外數據明確法》(Clarify Lawful Overseas Use of Data Act，Cloud Act，簡稱“云法案”)。該法案旨在解決美國政府如何合法獲取境外數據及外國政府如何合法獲取美國境內數據問題。針對前者，該法既為執法機構的執法行為提供了合法性依據，也為網絡服務提供商明確了不予執行的抗辯事由。對于后者，該法在美國現行的司法協助程序(MLA)之外，提出了一個新的解決方案——“執行協議”，并對執行協議的實質性和程序性要求做出了明確規定。

2018年6月28日，美國加利福尼亞州通過了《加州消費者隱私法2018》(California Consumer Privacy Act of 2018，簡稱CCPA)以提高加州民眾的隱私保護水平。該法將于2020年1月1日起正式施行。該法主要加強了對消費者的隱私權利和數據安全的保護，并對企業遵循義務做出了規定。該法案被認為是美國國內最嚴格的隱私立法，開啟了美國統一隱私立法的高潮。

2018年9月28日，美國加州通過了《信息隱私：互聯設備法案》(Information privacy：connected devices)，法案要求，自2020年1月1日起，任何“直接或間接”連接到互聯網的設備制造商必須為其配備“合理”的安全功能，防止未經授權的訪問、修改或信息泄露。如果可以使用密碼在局域網外訪問，則需要為每個設備提供唯一的密碼，或強制用戶在第一次連接時設置自己的密碼。

(二)2018—2019年聯邦和州層面的數據與隱私安全保護立法提案

1.2018—2019隱私立法主要提案

2018—2019年針對數據和隱私安全保護問題，美國聯邦和州層面提出了系列立法提案(見表3)，提案內容關注首席數據官設置、運營商使用敏感個人信息規范、擴大FTC權力、在線服務商數據保障義務等內容，具體而言：

2018年5月24日，美國參議院提出了一項新決議，鼓勵企業將歐盟《通用數據保護條例》(GDPR)中的隱私保護要求適用于美國用戶。為加強美國的隱私保護水平，決議對數據控制者和處理者的義務和數據主體的權利做出了規定。

2018年7月31日，美國眾議院提出了一項決議，鼓勵網絡連接提供商(edge providers)、寬帶提供商(broadband providers)和數據經紀人(data brokers)在自身政策中加入明確的數據保護條款。

2018年9月4日，美國眾議院通過《國土安全部首席數據官授權法案》(Department of Homeland Security Chief Data Officer Authorization Act)。法案要求，國土安全部部長應與首席信息官(Chief Information Officer)協商，以指定該部門的首席數據官。首席數據官(Chief Data Officer)應具備數據管理、治理、生成、收集、保護、分析、使用、共享，以及個人身份信息的保護和去識別化方面的培訓和經驗。

2018年9月24日，美國眾議院引入《信息透明度與個人數據控制法案》(Information Transparency & Personal Data Control Act)，要求聯邦貿易委員會(FTC)頒布處理敏感個人信息和行為數據的規定。法案明確規定，FTC應當在該法生效后1年內出臺相關規定，規范運營商收集、使用、銷售、共享或以其他方式使用敏感個人信息或行為數據的行為。其中，運營商是指以商業目的運營網站或提供在線服務、收集并使用個人信息的實體，包括不與用戶直接交互，但購買或銷售個人信息的實體；“敏感個人信息”是指與已識別或可識別的個人相關的財務信息、健康信息、關系信息、13歲以下的兒童信息、社交號碼、生物信息、性取向信息等。

2018年11月9日，美國參議員Ron Wyden提出《聯邦隱私法案》(Federal Privacy Bill)草案，旨在擴大聯邦貿易委員會(FTC)的權力，制定嚴厲的(significant)民事罰款，并賦予刑事處罰以執行某些條款。

用戶在線數據保護規范方面，2018年12月12日，美國參議院引入了《數據保障法案2018》(Data Care Act of 2018)，旨在為個人在線數據保護提供規范。法案重點規定了在線服務提供商的3項義務：保障義務(duty of care)、忠實義務(duty of loyalty)和保密義務(duty of confidentialty)。其中，保障義務包括保護個人識別數據免受未經授權的訪問、及時通知敏感數據泄露；忠實義務包括使用個人數據不得損害用戶權益而使自己獲益；保密義務包括不得披露或出售個人數據，除非滿足相應的要求。

2.隱私提案主要聽證會

據2017年底—2018年10月的統計，國會先后圍繞數據隱私召開了5次聽證會，主題分別如下：(1)在重大數據泄露時保護消費者(2017年11月)[4]。(2)數據安全與漏洞賞金項目(主要針對Uber數據泄漏事件，2018年2月)[5]。(3)評估數據隱私風險(主要針對劍橋分析隱私違規事件，2018年6月)[6]，聽證會中來自New Co的 John Battelle 指出：“我們有責任審查我們目前的立法體系,因為它涉及臉譜等公司如何影響消費者的生活和我們整個社會的規范。當數據等于甚至可能比貨幣更有價值的理解,數據使用者表達使用數據絕不會對消費者造成傷害的推理是有一定缺陷的。作為決策者和知情公民,我們應努力創建一種靈活、安全和有利于創新的數據治理方法，允許最大限度的創新,同時確保所有受影響的各方對數據進行最大限度的控制,包括個人,特別是未來創新的受益者。”(4)研討消費者數據隱私的防護現狀(2018年9月)[7]。(5)歐盟及加州立法在消費者數據方面帶來的教訓(2018年10月)[8]。5次聽證，主題大多側重互聯網企業中個人數據面臨的風險，而來自互聯網企業的專家們主要表達了對統一、聯邦層面以及可遵守的綜合隱私法的期待。

表3 2018—2019年隱私立法主要提案

三、美國隱私保護制度數據隱私立法評述與啟示

(一)推動數字經濟下實施嚴格的隱私保護立法進程

2018年3月，Facebook數據泄露事件曝光之后，加之歐盟GDPR的廣泛影響，建立全美統一隱私立法再次被推向高潮，美國隱私立法實踐顯示其在歐盟GDPR后的統一立法進程。與此同時，各州和各城市也在積極推進和完善自己的隱私數據保護政策。實施嚴格的隱私保護規則已成為全球數字經濟下隱私保護立法的重要趨向。美國涉及隱私保護的一系列法律、法案、提案等內容均顯示了美國聯邦政府以及各州對于數字經濟下數據保護和隱私規則確立的重視，這些規則正日益成為執法機構的執行工具。除此以外，華盛頓州(2021年7月31日生效)、加利福尼亞州(2020年1月1日生效)出臺的隱私權法案均規定了較為嚴格的隱私保護要求，較為具體地對數據收集、信息披露、信息共享等內容進行了規定。美國國會發布的《互聯網隱私》更顯示了美國擬推動類似歐美通用數據保護條例(GDPR)性質的統一立法進程。

智能變革被認為是增大隱私安全風險、強化法律保護的過程，應確立基本法與專門法結合的立法模式[9]。近年來，我國重視數字經濟下個人信息保護立法的問題，陸續出臺《網絡安全法》《民法總則》《未成年人保護法》《刑法修正案(七)》等法律規范和司法解釋，國家互聯網信息辦公室亦相繼發布了涉及個人數據跨境傳輸、云服務安全評估等涉及隱私安全方面的征求意見稿。面對數字經濟的發展，創新傳統隱私權利保護理念的訴求被提出，有研究強調應實施“激勵相容的個人信息保護立法理念”[10]，強調信息控制機制確立。因此，基于應對數據泄露、侵權、詐騙等違法犯罪的預防與控制，我國隱私保護立法應進一步加強監管隱私和數據安全問題，明晰數字經濟下個人隱私的范圍界定和權利邊界，隱私立法中應明確個人對其數據的權利；數據控制者或者利用者對數據保護的義務和規范，明確數據泄露的補償和處罰問題，確立防御數據泄露機制以及數據泄露后的事后救濟機制。

(二)平衡隱私保護與產業發展是其隱私立法的基本定位

立法是利益衡量實現的調節器。美國隱私立法發展實踐顯示，數據泄露和因此產生的隱私安全問題，不僅損害個人隱私安全、消費者信心，也使企業面臨經濟損害，直接影響技術創新和經濟增長。加強個人數據和隱私保護，維護用戶的信任和信息是美國隱私立法的發展趨向。一些立法實踐已提議應實施類似歐盟GDPR同等強度的強有力的隱私保障機制(部分立法實踐已經在推進實施)。與此同時，促進網絡經濟的持續創新和增長依然是美國隱私立法所關注和支持的重點，它支持信息的靈活性和自由流通，以確保工業界和其他人使用數據來創造新的技術、產品和解決方案。故此，美國隱私立法確立了在確保公民隱私受到保護的基礎上，為技術和商業模式的演變提供充分的、靈活性的立法原則與實踐模式，立法的核心強調“商業目的個人資料的收集和處理必須是合理和適當的”，以此尋求數據保護與提供服務間的平衡點。

對中國個人數據與隱私保護立法而言，基于信息技術變革下多方利益均衡的訴求，應立足于實現個人信息保護利益、信息業者利益、國家管理社會公共利益間的均衡[1]。身份可識別性，以及“通知與許可”的隱私保護規則依然是我國隱私保護的基本規則，提供服務的主體應確立清晰的個人數據收集、使用(含二次使用)、共享、許可、轉讓等方面的規則，并具體化“通知與許可”規則的內容[11]。用戶個人數據的使用應不涉及隱私侵權、信息泄露風險，且信息使用者能夠確保信息使用過程中的透明、安全、可信、目的正當。

(三)“選擇退出”機制依然是隱私和數據保障的基本規則

研究認為，大數據時代個人信息保護，包括個人隱私保護應從個人控制走向社會控制[12]。美國已在多領域多層面形成隱私和數據保障規則。按照已有的隱私和數據保護規則，提供金融、健康、通信、消費等服務者，與用戶確立關系前及以后每年應向每個用戶提供隱私通知，隱私聲明必須包括所收集的有關用戶信息的共享位置、如何使用以及如何保護問題，用戶有權選擇退出與無關聯方的信息分享。如果隱私政策在任何時間點發生變化，則必須重新通知用戶接受。每次重新設定隱私通知時,用戶都有權再次選擇退出。在公司與公司之間的隱私政策協議方面，隱私規則明確規定：接收非公開信息的非關聯方應遵守用戶的接受或退出條款。隱私通知表格的范式應使消費者更容易了解服務提供者如何收集和分享消費者信息的。

盡管《推進隱私通用操作規則框架》提出傾向于在數據共享方面為用戶提供選擇進入模式，而非選擇退出模式。但實施用戶“選擇退出”權利機制依然是美國隱私立法規制中的重要內容，也是企業隱私聲明的重要內容，即賦予客戶選擇不允許與非關聯第三方共享他們信息的權利，但是，當信息分享給那些有限提供金融機構服務的、產品或服務市場是針對金融機構的、信息被法律確認需要分享的，用戶不得選擇“退出”。

(四)多層面、多重隱私保護規則訴求企業綜合合規遵從

研究認為激勵相容的個人數據治理路徑應是個人信息立法保護的方向，這可激發外部執法，發揮信息控制者的積極作用[10]。美國隱私立法確立了“多重標準-自我中心”的模式[13]，但是，美國立法實踐總體顯示其形成有多領域多層面的涵蓋信息保護、實施(應用)、共享、泄露懲罰等全鏈條的隱私和數據保障規則。美國隱私立法涵蓋層面廣泛，且隱私規則總體規定的非常具體和明確，有清晰的遵循指示，但由于其散見于不同的領域和不同的層面，這為企業合規遵從提出了較高的標準和要求，企業在進入美國市場提供產品和服務時，應意識到隱私遵守規則的綜合性而非單一性，應擴大對相關數據和隱私政策規則的收集面，充分了解自身產品和服務的市場定位以及可能涉及的數據和隱私遵守規則，如提供金融服務時即可能涉及《金融服務隱私規則》、消費者隱私保護規則、在線用戶隱私規則，涉及兒童的還需遵從兒童隱私保護規則。當然，對于國內互聯網企業而言，首先應制定嚴格的遵守計劃和規則，充分履行保障義務、說明義務、風險控制義務、忠實義務；其次，應持續保護用戶非公開個人信息，對非公開信息處理部門的適時風險進行分析；最后，應加強保護用戶信息技術的開發，完善監控和監測程序，并根據需要更改信息的收集、存儲和使用方式。