2019年初,美国权威科技创新智库信息技术与创新基金会[1]发布了《关于美国数据隐私立法的最佳方案(A Grand Bargain On DataPrivacy Legislation For America)》[2](以下简称《报告》),介绍了美国现行的隐私保护架构,梳理了前期美国立法、行政部门内部及州层面关于隐私立法的相关提案,分析了隐私保护对消费者、企业、数字经济以及技术创新可能产生的影响。
《报告》提出的立法思路:
基于与对政策干预隐私保护的必要性、可行性的研究,《报告》呼吁建立一个创新型的隐私框架,通过一部统一的联邦层面的隐私立法,取代现有的、分散的隐私保护法律框架,扩展和简化消费者数据隐私权,降低现有州和联邦法规的合规成本,报告建议提高透明度和执法力度,建立明确的、基于数据和敏感性的美国隐私权,同时为更多数据驱动的创新铺平道路。
《报告》提出十项立法原则:
联邦隐私立法应当保护和促进创新;
保障不同州的消费者享有同等水平的保护;
为不同类型的数据创建一套统一的联邦保护措施,废除重复冲突的规则;
根据数据类型和收集数据的实体类型创建不同的数据保护规则;
提高商业实践透明度,使消费者就如何分享个人数据做出更明智的决策;
联邦隐私立法应当创设明确的消费者权利,包括“部分”知情同意权、拒绝权、获得权、可携带权等;
注重解决身份盗窃、歧视以及信用卡欺诈等具体危害,而非预设的危害;
尽量降低企业的合规成本;
加强执法,明确FTC为主要隐私执法机构,提供其更多资源和执法权;
促进国际互操作性,而非简单接受其他国家或地区的要求。
《报告》提出的具体立法建议:
《报告》进一步总结了各国现有立法、监管框架和政策提案中通常包含的30个隐私保护要点,同时比较了世界各国不同的法律和框架如何解决上述问题,在分析在美国背景的具体影响的基础上,针对每个要点提出立法建议如下:
要点 | 建议 |
范围 | 规则适用于所有类型的数据。 |
冲突规则 | 制定全面的联邦数据隐私法,限制州和地方政府通过可能会增加或减少这些规则的立法。 |
一致性 | 取消现有的联邦数据隐私法框架,并创建统一的联邦保护措施;确保特定部门的监管机构在现有水平之上应对这些变化并继续执行。 |
个人数据的定义 | 区分敏感和非敏感的个人数据。 |
去识别数据 | 豁免去识别数据。 |
公开数据 | 豁免公开数据。 |
涵盖实体的定义 | 将被覆盖实体提供的服务子集指定为“关键服务”,这些服务受更高标准和要求的约束,不再根据规模豁免组织。 |
同意方法 | 要求通知非关键服务中使用的非敏感个人数据。当组织提供收集非敏感个人数据的关键服务或收集敏感个人数据的非关键服务时,允许选择退出数据收集。当组织提供收集敏感个人数据的关键服务时,需要选择加入标准。 |
非基于同意的数据 | 为敏感和非敏感个人信息的收集、处理和使用创建特定的、非同意的例外。 |
透明度 | 包括透明度要求,并向消费者提供有关哪些类型的组织可以访问个人数据及其使用方式的信息。 |
访问权 | 包括考虑成本的有限访问权限。 |
数据可携带性 | 包括考虑成本的有限可携带权限。 |
更正权 | 包括对关键服务收集的敏感数据进行更正的有限权利。 |
删除权和被遗忘权 | 不包括删除权或被遗忘权。 |
数据留存 | 不包括数据留存限制。 |
跨境数据流通 | 不限制跨境数据流通。 |
隐私规则设计 | 不包括隐私设计规定。 |
隐私专员要求 | 不包括人员要求。 |
数据安全要求 | 不指定受保护实体如何保护信息,而是要求他们披露有关其安全实践的相关详细信息。 |
数据泄露通知 | 为所有消费者创建单一数据泄露通知标准,同时通过管辖州的冲突法来简化合规性。 |
数据最小化 | 不包括数据最小化条款。 |
目的规范 | 不包括目的规范条款。 |
管辖权 | 在域外扩大保护范围。 |
损害结果 | 重点关注实质性的消费者危害,而不是假设的危害。 |
监管 | 赋予FTC对隐私执法的管辖权,监管应权衡执行的成本。 |
规则制定机构 | 规则制定机构为FTC提供有限的数据隐私规则制定权限。 |
处罚 | 扩大FTC对违反法律的公司的执法权威,采取审慎的方法。 |
隐私投诉 | 明确FTC作为负责接收和处理隐私投诉的联邦机构,并为其提供处理这些投诉所需的资源。 |
私人诉权 | 不包括私人诉权。 |
解析
在数字经济高度发达的今天,歧视、信息泄露、身份盗用及电信诈骗等问题频发,隐私保护的重要性已逐渐成为各国共识,同样达成共识的还有隐私保护与数据利用、技术创新之间的潜在矛盾。出于对数字经济发展的不同路径选择以及相关现实情况,各国对于隐私保护的方法和力度存在较大差异。
从近年来的立法趋势看,如何找到应用与保护、成本与信任之间的最佳平衡,成为各国政策制定者关注的焦点。《通用数据保护条例》(简称GDPR)生效后,欧盟先后发布《非个人隐私数据自由流通条例》(及近期的配套指南)《欧洲数据经济中的私营部门数据共享指南》等文件,反映其在隐私保护基础上鼓励数据流通、共享的政策导向;而出于对愈演愈烈的大规模数据泄露、滥用事件的应对,一向倡导采取分散立法的美国,国内对于出台隐私保护立法的声音也络绎不绝,继2月27日参议院提出《数据隐私法案》(DigitalAccountability and Transparency to Advance Privacy Act or the DATA Privacy Act)提案,4月11日又接连提出《隐私权利法案》(PrivacyBill of Rights Act)提案,此外部分州议会也纷纷针对人脸识别、秘密监听、泄露通知等隐私保护的关键对象、关键环节进行立法规制。
在此背景下,《报告》提出了一套极具“美国特色”的联邦隐私保护立法框架:
强调对创新和发展的保护,注重企业合规成本的控制
《报告》多次提及欧盟严格的隐私保护规则对在线新闻、互联网广告、云计算等产业发展的负面影响,强调当前互联网生态依赖广告收入进而需要利用部分消费者信息的现状,同时承袭了作者前期报告[3]的观点,认为过严的隐私政策并不会对消费者提供更高水平的保护。
提出一套更加灵活的数据利用规则
在上述原则的指引下,为更好的平衡数据利用和隐私保护,《报告》提出了一套新的基于数据类型和应用场景的“知情同意”规则,即将信息分为敏感、非敏感个人信息,同时将应用场景分为提供关键服务所需和非提供关键服务所需,对于不同场景下的数据利用采取不同程度的消费者授权要求,分别为事前知情同意、事后一键退出以及通知。
“同意规则” | 提供关键服务所需 | 非提供关键服务所需 |
敏感个人信息 | OPT-IN | OPT-OUT |
非敏感个人信息 | OPT-OUT | NOTICE |
此外,建议稿摒弃了数据最小化和目的限制原则、不对数据的跨境流动作出限制,鼓励企业间的数据共享,同时否定了CCPA中禁止根据消费者授权向其提供不同质量的服务的做法,这无疑是为数据的流通和充分利用创造了更加自由的环境。
通过统一立法解决分散立法的弊病
事实上,美国特殊的国体和政体使得隐私规则在制定和执行方面困难重重,这种不确定性在一定程度上也阻碍了数字经济的发展。在这个层面,颁布统一的联邦隐私保护法的优势是显而易见的:能够为消费者提供公平的保护、提升政策透明度、降低企业合规成本。
为此,《报告》提出限制各州和地方政府制定额外的隐私立法,确保联邦立法的优先权,同时梳理当前的《公平信用报告法案》《健康保险流通与责任法案》《金融服务现代化法案》《儿童在线隐私保护法案》等相关立法,删除重复和冲突的规定,对于许多州已经颁布的数据泄露等相关规定,通过单一立法进行统一规定并优先适用。
明确执法机关,增加执法力度
最后,为应对当前此起彼伏的隐私侵权案件,规范市场正常的竞争秩序,《报告》提出应针对现存的身份盗用、欺诈、信用卡诈骗等对消费者造成实质性危害的问题进行严厉打击,具体措施包括进一步明确FTC为主要执法主体,进一步赋予其财政经费、执法权限等资源,同时授予其优先的政策制定权,作为单一机构处理隐私相关投诉。但在执法时仍需注意被执法主体成本的可控,体现了其对于执法效率和成本的优先考虑。
总体来看,《报告》总体承袭了美国长期的隐私保护框架,将产业发展和创新置于首要位置,赋予消费者较为有限的隐私权限,致力于为企业提供更加清晰、单一、透明的规则框架,保留消费者和企业在数据利用、隐私架构搭建方面的自主权,降低企业在隐私方面的强制性投入和成本,同时通过有力执法打击不当的数据滥用,以求通过最高效的方式助力美国数字经济的发展。
《报告》对于读者了解美国隐私保护体系及一种立法方向具有一定的参考价值,特附全文翻译。
[1]2006年成立于华盛顿的非营利性研究机构,专注于制造业、信息通信业技术创新与公共政策。
[2]作者为ITIF高级政策分析师ALAN MCQUINN及ITIF数据创新中心主任DANIEL CASTRO。
[3]两位作者曾发布《过度的隐私监管政策将影响隐私保护》报告。
作者简介:李雅文,中国信息通信研究院互联网法律研究中心研究员
报告中文版下载:
https://pan.baidu.com/share/init?surl=j60zLzIMpytNgDAayd6ikQ
提取码:fy1u
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
