刘克佳(中国科学技术部,北京 100862)
摘要:当前,个人数据隐私的立法和监管成为全世界关注的热点问题。本文通过整理汇总美国在个人数据隐私方面的立法和近年来的监管实践,发现美国出于产业利益对数据保护的法律规定较为宽松,坚持以市场为主导,以行业自律为主要手段,辅以政府监管的模式。但由于近年频发的数据隐私泄露丑闻,美国各界针对加强个人数据保护和监管提出了各自的解决方案。美国的问题和经验对我国有重要参考意义。我们应平衡好保护和利用的关系,强化数据安全意识,建立顶层协调机制,完善法律监管体系。
关键词:美国;个人数据隐私;法律法规;监管
随着信息通信技术的不断发展和互联网应用的日趋普及,个人数据隐私(Personal Data Privacy)的保护已成为新的全球性问题。但在立法和监管实践中,如何既保障用户权利,又充分利用数据促进行业发展,值得深入研究。美国在数字经济领域有深厚的积累,了解美国在个人数据隐私保护方面的现行法律和监管体系,了解当前美国国内舆论对上述问题的论点论据,有助于我国更好地建立相应的法律法规体系。
1 美国现行法律和监管体系
美国从产业利益出发,对个人数据持积极利用的态度,数据保护的法律规定较为宽松,坚持以市场为主导、以行业自律为主要手段。美国至今仍没有全面的联邦数据隐私法,执法主要由联邦贸易委员会(FTC)以及联邦通信委员会(FCC)负责。
1.1 联邦层面的法律法规
《隐私权法》(Privacy Act),1974年12月由美国国会通过,是保护公民隐私权和知情权的一项重要法律,针对联邦行政部门收集、利用和保护个人数据等方面做出规定。
《联邦贸易委员会法》(Federal Trade Commission Act)是1914年制定的一部禁止不公平或欺骗行为的联邦消费者保护法。联邦贸易委员会依据此法判定公司是否在消费者数据隐私保护方面存在不公平或欺骗行为,并采取执法行动。
《儿童网上隐私保护法》(Children"s Online Privacy Protection Act)于1998年获国会通过,规定收集13岁以下儿童信息时,必须先征得其家长同意,并确保父母有权修改相关信息。
《金融服务现代化法》(Gramm -Leach-Bliley Act)于1999年颁布,规定了金融信息的收集、使用和披露规则,限制了非公开个人信息的披露,数据主体有选择不共享其信息的自由。
《健康保险便利和责任法案》(HealthInsurance Portability and Accountability Act)于1996年颁布,针对医疗信息的交易规则、医疗隐私、患者身份识别等问题作了详细规定。
《公平信用报告法》(Fair Credit Reporting Act,1970年颁布),连同2003年颁布的《公平准确信用交易法》(Fair and Accurate Credit Transactions Act)明确规定了消费者信用信息的使用用途。
《反垃圾邮件法》(CAN -SPAM Act,2003年颁布)和《电话消费者保护法》(Telephone Consumer Protection Act,1991年颁布)对电子邮箱地址和电话号码的收集和使用做出了规定。
《电子通信隐私法》(Electronic Communications Privacy Act,1986年颁布)和《计算机欺诈和滥用法》(Computer Fraud and Abuse Act,1984年颁布)将针对政府监听个人电话的限制措施扩展到电子数据传输,防止政府未经许可监控私人电子通信。
《澄清域外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act)于 2018年3月通过,规定判断数据管辖权应依据数据控制者,与存储地无关,即只要是在美国实际开展业务的公司,无论数据存储在何处,都属美国管辖。同时,美国的数据,只有符合特定条件的外国政府经美国同意后才能调取。
1.2 部分地方法律法规
加州是第一个颁布数据泄露报告法的州(CIVILCODE Section 1 798.82条),大多数其他州早期的数据泄露报告法都借鉴了该法律。2018年6月,加州通过了美国目前最全面和严格的隐私法《加州消费者隐私法》(California Consumer Privacy Act)。该法赋予了消费者若干新权利,包括:有权要求删除个人数据;有权要求机构公开如何收集和共享信息;有权要求机构不得出售个人数据;对违反本法律的人或机构,消费者有权提出诉讼。此外,法律还要求机构对所有消费者一视同仁,即使他们拒绝机构收集数据。
2018年5月,佛蒙特州通过了第171号法案,规定在佛蒙特州开展业务的数据代理商应在本州注册,并制定全面的数据隐私保护方案。内华达州和明尼苏达州发布隐私法案,对网络运营商储存和共享消费者信息做出了规定。伊利诺伊州、华盛顿州和得克萨斯州也制定了隐私法,要求公司在处理生物特征数据时必须获得同意。截至 2018年3月28日,美国所有50个州以及哥伦比亚特区、波多黎各和美属维尔京群岛均已颁布法律,要求相关机构在发生涉及个人身份信息的数据泄露事件时,要及时通知用户。
1.3 行业监管体系
美国主要依靠行业自律,辅以政府监管的模式,以市场为主导、以行业自治为中心,政府只做适当介入。
1.3.1 政府监管机构
(1)联邦贸易委员会
联邦贸易委员会成立于1914年。目前在联邦层面上,联邦贸易委员会在监督个人数据隐私方面发挥主要作用。其下属的消费者保护局负责处理由消费者、国会和行业组织等提出的互联网隐私投诉,并开展调查。其执法形式主要有:向联邦贸易委员会行政法官提出行政投诉、向联邦地区法院提起诉讼、将投诉提交司法部并协助司法部提起诉讼,或者与违规公司签署和解协议并要求其进行整改。2008年7月至2018年6月,联邦贸易委员会开展了101项关于互联网隐私的执法行动,多以和解形式解决,并曾对15家公司处以民事处罚。近年比较著名的案例有:
2017年9月,美国三大信用报告机构之一Equifax发生个人数据泄露事件,波及1.43亿美国消费者。联邦贸易委员会和美国联邦储备银行(CFPB)分别展开了调查,2019年7月,Equifax与联邦贸易委员会达成和解,并支付4.25亿美元以帮助受数据泄露影响的人。
2018年3月,Facebook卷入剑桥分析公司数据丑闻。剑桥分析公司以不当方式访问了8 700万Facebook用户的个人数据,并将其用于政治目的。Facebook与联邦贸易委员会正在就和解协议进行磋商,联邦贸易委员会可能开出数十亿美元罚单。
2018年11月,万豪连锁酒店宣布其 Starwood预订系统遭遇重大数据泄露,估计暴露了约5亿客人的个人信息。联邦贸易委员会将对万豪酒店展开调查。
2019年2月,视频社交软件 Musical.ly(2017年11月被今日头条收购,并与抖音国际版 TikTok合并)因非法收集13岁以下未成年人的信息,被联邦贸易委员会处以570万美元罚款,并做出整改,删除已经收集到的儿童数据。
(2)联邦通信委员会
联邦通信委员会于1934年依据《通信法》创立,主要职责是对电信行业(电信运营商)进行监管,在监督互联网隐私方面作用有限。2014年,联邦通信委员会对移动网络运营商 Verizon Wireless发起调查,指控其部分违反了《通信法》和联邦通信委员会的《开放互联网透明度规则》,在客户不知情的情况下雇用第三方使用无法删除的“Supercookies”跟踪客户的在线行为。最终,联邦通信委员会与 Verizon达成和解协议,Verizon做出整改并被处以罚款135万美元。
(3)其他联邦机构
卫生与公众服务部民权办公室负责《健康保险便利和责任法案》的执行,有权展开调查和提出诉讼。此外,联邦银行机构和国家保险机构也被授权执行各种隐私法,但实际执法行动并不活跃。
(4)州监管机构
依据各州数据隐私保护法律,各州监管部门有权采取措施,多由州检察官负责调查起诉。例如2017年,美国华盛顿州总检察长 Bob Ferguson起诉Uber公司,指控其违反了该州的数据泄露通知法。
1.3.2 行业自律
在不违背反垄断规则的前提下,行业组织会使用自愿协议、同侪压力等各类方法对行业行为进行自我规范,美国政府发挥监督和指导的作用。例如,2014年广告行业提出网络广告自律计划,要求各行业组织的成员应遵守所在组织的网络广告行为准则,而这些准则在很大程度上反映了联邦贸易委员会的规定。此外,像Google、Verizon等公司,互联网协会、信息技术产业委员会等协会组织,以及电子前沿基金会等数据隐私倡导团体也都提出了自己的隐私准则。
隐私合规认证是另一种重要形式,主要依靠认证公司的行业公信力对网络服务供应商的现有措施进行合规审查,从而实现规范化和合法化。TrustArc、Better Business Bureau是从事合规认证的知名公司。但同时,对隐私合规认证公司权威性和公正性的质疑也由来已久。2002年,Wired杂志发表文章质疑TrustArc包庇客户。2006年,哈佛大学研究人员Benjamin Edelman发表研究称,拥有TrustArc认证的网站违反隐私规定的可能性比未经认证的网站高出50%,而且TrustArc没有及时撤销违规公司的认证合格资格。2014年11月,联邦贸易委员会宣布,TrustArc向消费者虚假陈述了再认证项目及其非营利实体地位,处以20万美元罚款。
2 美国国内对全面的联邦数据隐私法的争论和努力
近年来,多家科技巨头接连爆出数据隐私泄露丑闻,反映出当前法律监管的漏洞和企业自律的缺失。尤其在欧盟《通用数据保护条例》(GDPR)和《加州消费者隐私法》施行后,美国社会要求加强个人数据保护和监管的呼声越来越高。但政府、企业、研究机构等相关各方出于不同立场,提出了各自的解决方案。
2.1 国会和联邦政府
21世纪初部分议员就曾提出一系列法案,希望建立一套适用于所有数据的通用规则。例如,1999年共和党参议员Conrad Burns推出《在线隐私保护法案》,希望填补《儿童在线隐私保护法案》留下的监管空白。2000年,民主党参议员JohnKerry和共和党参议员John McCain推出了《消费者互联网隐私增强法案》,要求网站允许消费者选择不收集个人身份信息。
2011年,奥巴马政府提出一项网络安全立法提案,建议简化和规范美国47个州一级法律中关于个人数据隐私保护的条款。2012年,奥巴马政府提出《消费者隐私权法案》,界定消费者隐私权,加强联邦贸易委员会的执法力量。但科技巨头对此强烈反对,最终未能通过。2014年,总统科学技术顾问委员会(PCAST)发布报告《大数据:技术视角》,建议加强隐私相关研究和教育培训,提出美国应在国际规则制定上发挥领导作用。2015年,白宫发布报告《大数据:抓住机遇、保持价值观》,建议立法规定统一的数据泄露标准、修订《电子通信隐私法》等。2016年7月,国家科技委员会(NSTC)发布《国家隐私研究战略》,建议为隐私研究提供资金,加强政府机构间的协调。2016年10月,联邦通信委员会制定了针对网络服务提供商的隐私条例,极大地限制了转卖客户敏感数据用于商业目的的行为。但特朗普上台后签署替代版的新法令,取消了这些限制。
特朗普政府执政之初,对数据隐私保护较为消极。商务部长Wilbur Ross在一个公开活动中抱怨欧洲的数据保护政策可能构成贸易壁垒。然而2018年发生的一系列数据泄露事件,以及欧盟《通用数据保护条例》的生效对美国有明显的刺激作用。一方面美国社会呼声空前高涨,另一方面美国出于自身在数据产业的优势,不希望丧失在这一领域的领导地位。
2018年6月,特朗普技术、电信和网络政策特别助理Gail Slater表示,政府有兴趣制定一个能平衡《通用数据保护条例》的法律,以便《通用数据保护条例》不会成为事实上的全球标准,但美国也不希望新法律成为欧洲规则的复制品。7月,商务部表示正在与大型互联网公司就数据隐私立法进行协商。白宫也表示正在通过白宫国家经济委员会“制定一项消费者隐私保护政策,这是隐私和繁荣之间的适当平衡。”9月,国家电信和信息管理局(NTIA)就隐私保护政策征求社会意见。
在国会中,各类数据保护法案也大量涌现。民主党参议员Amy Klobuchar和共和党参议员John Kennedy提出《社交媒体隐私保护和消费者权利法案》,要求允许用户拒绝机构收集和使用其数据,并向某些用户提供数据访问权。民主党参议员RonWyden提出《消费者数据保护法案》,提出网络流量“不跟踪”措施,建议对违法者处以相当于年总收入4%的罚款和20年监禁等严厉处罚措施。民主党参议员 Brian Schatz提出《数据保护法》,要求供应商保护用户数据,禁止损害用户利益,并赋予联邦贸易委员会额外的规则制定权。
2.2 企业界
美国科技巨头大多对加强数据隐私保护和制定全面的联邦数据隐私法表示支持。因为全美统一的规则和法律可以降低企业的合规成本,无须同时面对50个州各自不同的法律规定。但在具体如何加强数据隐私保护上,科技巨头们大多持保守态度。
2018年7月,信息技术行业委员会(Information Technology Industry Council)表态支持联邦政府在立法方面的努力,同时还表示“美国有机会为数字经济创建一个新的、一流的隐私规范,同时避免创建一套妨碍创新的法律。”9月,美国参议院商业、科学和运输委员会召开听证会,亚马逊、Google、苹果、AT&T、Charter Communications以及Twitter等一致表示,他们支持制定一个较弱的联邦消费者隐私保护法,以取代严格的《加州消费者隐私法案》。
在企业界内部,各家公司因为商业模式不同以及对数据保护的重视程度不同,对数据隐私立法的态度也有差异。
Google公司此前与其他互联网公司一样抵制监管,但2018年9月,Google发布了一个数据保护立法框架,表示至少可以接受最低限度的监管或是政府制定的一些新规定。
苹果公司因为不需要贩卖用户数据来赢利,其开发的软件也大多提供付费选项,所以在数据隐私保护方面颇为积极。2018年10 月,苹果公司CEOTim Cook呼吁制定全面的联邦隐私保护法规,并抨击一些互联网公司滥用用户数据。苹果公司还在美国、加拿大、澳大利亚、新加坡上线专门的隐私网站,用户可以查看、下载、删除自己被收集的资料。
Facebook公司对数据隐私保护的态度一直较为保守。2018年4月,其CEO Mark Zuckerberg在Vox的专访中称,“如果要建立一个连接起世界上每个人的服务,就会有很多人没有能力为之付费”,以广告收入支撑这套服务是唯一可靠的模式。
欧盟《通用数据保护条例》生效后,Facebook在欧盟已经默认关闭了面部识别功能,以避免违反隐私规定。Google已通知其热门网站流量监控服务Google Analytics的用户,他们必须调整自己的数据保留设置。电子隐私信息中心(EPIC)主席MarcRotenberg认为“《通用数据保护条例》正在制定全球标准,美国大公司已经被要求在欧洲市场上遵守《通用数据保护条例》”。
2.3 智库
美国著名智库多支持全面的数据隐私保护立法,但认为不应效仿欧盟《通用数据保护条例》,要建立符合美国实践的相对宽松灵活的规则。
信息科技和创新基金会(ITIF)认为,过于严格的数据保护不利于数字产业发展和提升消费者福利。2018年5月,信息科技和创新基金会发表文章指出,《通用数据保护条例》的严格标准将大幅提高公司的合规成本,提高消费者的花费,减少在创新上的投资,最终将损害美国数字生态系统和消费者的利益。7月,信息科技和创新基金会发布研究报告称,虽然合理的数据保护水平可以促进消费者对数字行业的信任并促进数字服务的推广和应用,但没有证据表明进一步加强监管将建立额外的信任或鼓励更多应用。8月,信息科技和创新基金会发表文章,以伊利诺伊州《生物特征信息隐私法》为例,提出隐私法善意的初衷未必得到期望的结果,与其对技术应用进行限制,不如鼓励更多地利用技术来提高安全性和生产力。
美国战略与国际问题研究中心(CSIS)2018年1月发文分析了《通用数据保护条例》的影响,认为《通用数据保护条例》将给欧洲消费者、公司和经济体带来非常高的成本,包括高昂的合规成本,迫在眉睫的巨额罚款,因数据访问量减少而造成的业务损失,对GDP、贸易、投资和福利的负面影响。根据欧盟智库 ECIPE估计,欧盟的数据隐私和本地化法规将使欧盟GDP下降0.4%~1.1%,国内投资下降3.9%~5.1%。《通用数据保护条例》与美国的规章制度和美国推动的 APEC跨境隐私规则体系不一致。然而很多新兴市场和发展中国家正在考虑参照《通用数据保护条例》制定规则,这将对美国的数字贸易造成重大影响。
布鲁金斯学会(Brookings Institution)2018年5月发表文章批评特朗普政府和国会在保护美国消费者隐私立法上的倒退,呼吁美国政府成为公民个人隐私保护的领导者。6月,布鲁金斯学会发表文章称《通用数据保护条例》不仅会给公司带来巨大的财务负担,还会因为公司无法收集用户数据而降低服务和产品质量。《通用数据保护条例》通过设置严格但不必要的隐私限制,以牺牲多数人为代价,为少数人创造了一种隐私假象。7月,布鲁金斯学会发文称隐私立法应该让人们相信他们的数据将以符合他们利益的方式被使用、存储和共享。这种信任是数字世界的重要组成部分,将推动知识创新,打造隐私保护屏障。
3 我国个人数据隐私保护的现状和启示
目前,我国关于个人数据隐私的立法和监管体系仍在不断完善中,尚未制定专项法律,数据隐私保护由相对分散的法律条文、行政法规、地方性法规、规范性文件等共同组成。《中华人民共和国宪法》中关于保障人权和隐私的有关规定,是我国个人数据隐私保护的根本来源。2012年全国人大常委会表决通过《关于加强网络信息保护的决定》,首次在法律层面对网络信息保护作出规定。2017年6月,《网络安全法》正式实施,首次成体系地从法律层面对个人数据保护的相关规则进行了梳理和确认。2018年5月,推荐性国家标准《信息安全技术个人信息安全规范》正式实施,对个人信息收集、保存、使用、流转等环节提出具体要求,填补了实践标准的空白。但由于该规范起草小组成员的背景、立场不同,《规范》起草过程中,学术专家和企业专家之间多有博弈,相互之间的妥协也令《规范》留有不少可以改进的空间。
在监督执法方面,我国尚未成立专门的个人数据隐私监督执法机构,仍以多部门协同的方式对各类违法违规活动进行治理。2019年1月,中央网信办、工信部、公安部和市场监管总局宣布开展App违法违规收集使用个人信息专项治理行动,建立个人信息保护的长效监管机制。
个人数据隐私保护不仅关系个人权益保障,也影响相关企业和行业的健康与可持续发展。2018年,阿里巴巴联合《南方都市报》发布《2018网络黑灰产治理研究报告》,估算2017年全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失,估算达915亿元,而且电信诈骗案每年以20%~30%的速度在增长。同时,由于我国个人数据隐私保护力度不及欧美等国,在国际经贸往来中我国公司不得在境内处理欧美客户个人信息,在华外资金融机构却选择将境内客户个人信息转移到新加坡、欧盟处理。另一方面,在个人数据保护不健全的情况下,国外机构还可通过合法或不合法的渠道获得规模化的个人数据,如中国人的生物特征信息、医疗记录信息等,不只借此获得人工智能、大数据等产业优势,更可形成对国家安全的细微洞察,构成对国家安全的潜在威胁。因此,做好个人数据隐私保护工作刻不容缓。建议如下:
(1)强化数据安全意识,建立顶层协调机制
保护个人数据隐私意义不只在于回应社会公众期待、规范市场行为、防范身份盗窃和欺诈等犯罪行为,更是保护我国国家安全的重要组成部分。要树立数据安全就是国家安全的意识,建立多部门联动的长效机制,形成全国一盘棋的思维。从战略层面统筹规划我国的个人数据保护工作。
(2)完善法律监管体系,明确权利责任主体
为进一步加强个人数据隐私保护,应采取统一立法的模式,制定专门的个人数据保护法,从数据的收集、保存、使用到数据的国际传递,形成一整套明确的政策体系,并配套制定具体可落地的操作标准。加强数据出入境的管控。建立长期稳定的监管执法体制,明确监管责任,加强监管力量。
(3)平衡利用保护关系,守住隐私保护底线
相关法律法规应明确个人数据的保护范围,规定不同的使用主体、使用途径及可以合理利用的边界,明确企业和用户的权利和责任。创新无疆界,但创新有规矩。互联网企业应该在设计新产品和新的商业模式时,就把隐私保护考虑进去,守住不拿用户隐私信息做交易的底线,充分尊重用户自由选择的权利和意愿。
(4)制定处突应急预案,做好应急处置演练
要制定大规模个人数据泄露事件的应急预案并不定期进行演练,从而保证在极端情况下发生数据泄露时,可以准确定位到数据泄露的原因及问题所在,并在最短时间内进行处置,以争取将数据泄露风险控制在最低程度。
来源:《全球科技经济瞭望》2019年4月第34卷第4期(总第400期)
声明:本文来自科情智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。