闫晓丽 赛迪智库网络安全研究所副所长,主要从事网络安全、数据安全等领域法律政策、发展规划和战略研究等工作。先后参与信息通信网络与信息安全、信息通信行业数据安全、网络安全产业发展等国家级或部级规划、政策的编制,主持完成了中央网信办、工业和信息化部、中国工程院、 省市级政府部门等单位委托的一批重大课题和项目,在《新华网》《人民日报》《中国经济时报》发表多篇文章,在网络安全学术期刊发表论文20多篇。2014年参与的中国工程院重大课题《我国信息安全现状、问题与对策战略研究》,以第一获奖人身份获得2016年中国通信学会中国通信学会科学技术奖二等奖。
6月3日,美国众议院和参议院发布了《美国数据隐私和保护法案》(下称《法案》)讨论稿,这是首个获得两党两院支持的全面的联邦隐私立法草案,内容涉及国会近20年来隐私辩论的方方面面。该法案离正式成为联邦法律还有一定的距离,但却反映出数字时代美国数据隐私保护的价值理念,在制度设计上既考虑了增强个人数据权利的国际趋势,又有很多有利于数据价值释放的内容,比如“选择退出”机制、有限的私人诉讼权、数据处理企业的忠诚义务等。这些对我国加强个人信息保护具有很好的借鉴意义。
美国推出联邦隐私法案的主要意图
从联邦层面推动分散的隐私立法走向统一,以更好地保护公民权利。美国没有统一的隐私保护立法,主要是通过行业立法和州立法来保护隐私。行业立法主要用来规范特定行业或特定类别数据的隐私保护,比如《健康保险便携性与问责法》(HIPPA)、《金融服务现代化法》(GLBA)、《儿童在线隐私保护法》(COPPA)等。在州立法层面,除了针对生物特征数据等特定类别数据的隐私立法外,各州近年来纷纷启动了综合性立法工作,仅2022年各州立法机构就提出100多项法案,目前加利福尼亚等5个州已通过了全面的隐私法。随着数字时代数据共享利用与隐私权矛盾的日益突出以及州层面立法进程的加快,美国国内对制定联邦统一立法的呼声日益强烈。在第117届国会(2021-2022 年)会议期间,国会议员提出了多项隐私法案,有些仅涉及一项单独的隐私权利或事项,比如《社交媒体隐私保护和消费者权利法案2021》等;有些则属于综合性隐私立法,比如《消费者数据隐私与安全法案 2021》等,但后者一直未能获得众参两院共同支持。
制衡欧盟GDPR在全球隐私保护领域的影响,推广美国隐私保护理念。2018年施行的欧盟《一般数据保护条例》(GDPR),对全球个人信息和隐私保护立法产生了深远影响,包括日本、韩国、南非、巴西、印度等在内的多个国家也采取类似GDPR的规定,借鉴其个人数据可携权和遗忘权、对违法者予以高额罚款、个人信息保护影响评估等制度,使其在事实上已成为全球隐私立法的引领。这样的结果显然不利于美国科技巨头的市场扩张和数据汇集,尤其是在跨境数据传输上,GDPR明确要求他国应提供与欧盟同等水平的隐私保护,并通过“充分性认定”机制构建包含几千家企业在内的跨境流动圈。在这一背景下,美国亟需推动国内统一的隐私保护立法,将其隐私保护理念推向世界,构建更符合其利益的全球数据和隐私保护体系。早在2018年,特朗普的技术、电信和网络政策特别助理Gail Slater就表示,政府有兴趣制定一部能平衡GDPR的法律,以使GDPR不会成为事实上的全球标准。
数据治理政策旨在推动公共数据的共享利用。欧盟认为,以牺牲公共预算为代价产生的数据应当使社会公众受益,因此要将公共数据共享利用作为数据战略的重要内容。2019年欧盟发布的《开放数据和公共部门信息再利用的指令》,建立了政府数据开放和公共部门信息再利用的基本制度。但该指令并未完全消除数据共享障碍:一是未覆盖健康等共享需求强烈的数据;二是未提及那些包含商业秘密、知识产权等敏感信息的公共数据的再利用;三是对缺乏共享信任问题没有相关规定。基于此,2020年11月欧盟推出《数据治理条例(草案)》,将健康等五类公共数据纳入范围,明确了包含敏感信息的公共数据再利用的基本原则及相关条件,比如,公共部门不承担允许再利用的义务、禁止公共部门签署再利用排他性协议等。该草案还提出了“数据利他主义”,即数据主体可基于一般利益同意他人处理其个人数据,或允许他人使用非个人数据而无需支付报酬。此外,还提出通过中介共享数据的思路,明确了提供数据共享服务的条件等。
限制美国个人数据向中国等国流动,在全球数据资源争夺中获取优势。数据作为基础性战略性资源,是各国战略争夺的重点。美国2018年修订了相关法案,将敏感的个人数据纳入国家安全审查范畴,并据此实施了多起对我国赴美投资企业的安全审查。例如,2020年8月,美国政府禁止任何美国人与TikTok母公司字节跳动以及微信母公司腾讯进行交易,并在应用商店下架或停止更新这两个 APP;2022年1月,美国政府对阿里巴巴云存储业务实施审查,重点关注是否收集和存储美国用户数据,及中国政府是否有可能获得这些数据。限制中国等国获取美国公民数据是近年来美国会立法的重点内容之一。比如,2021年11月美国共和党参议员鲁比奥和民主党参议员沃尔纳克提出《2021年敏感个人数据保护法》,以“威胁国家安全”为由要求进一步限制中国获取美国人的个人数据。此次《法案》明确要求数据处理企业应向消费者说明“数据是否提供给中国、俄罗斯、伊朗或朝鲜”。
《法案》内容平衡了个人隐私保护和数据价值释放
《法案》并未禁止一般个人数据处理活动,而是为个人提供了“选择退出”方式,以促进对个人数据的合理利用。欧盟GDPR和我国《个人信息保护法》都要求个人数据处理活动应具有合法基础,除相关法定事由外,在绝大多数情况下数据处理都要事先取得相关个人同意。但是,《法案》并未采取上述逻辑,仅要求特定的数据处理活动取得个人同意,比如处理敏感数据等,其他情况下则可未经个人事前同意而处理数据,但个人可以“选择退出”,拒绝企业对其数据的收集、传输和处理。这种“选择退出”模式在美国隐私保护实践和州隐私立法中普遍采用,脸谱、谷歌等一些互联网企业在告知用户有权“选择退出”的情况下,收集用户的网络行为数据并进行用户画像,从而实现精准投放广告。与欧盟GDPR采取的“选择同意”模式相比,“选择退出”更有利于企业对个人数据的收集和利用,从而促进数据价值释放。
《法案》增强了个人对其数据的控制,但为避免个人滥用诉讼权利阻碍商业创新,对私人诉讼权作出了种种限制。《法案》采取了类似GDPR的思路,赋予个人对其数据的访问权、更正权、删除权和可携权,并授权联邦贸易委员会(FTC)在必要时颁布法规,建立个人行使其数据权利的相关程序,以增强个人对其数据的控制。但同时,《法案》对私人诉讼权也设定了限制:一是该权利在《法案》施行后四年才可以行使。二是个人需将提起诉讼的意图告知联邦贸易委员会或所在州的总检察长,由他们在60日内决定是否提起诉讼;若在此期间个人向相关实体索取赔偿,该行为则将被视为恶意。三是赔偿限定为补偿性损害赔偿金、禁令或声明性救济、合理的律师费和诉讼费。其实,这种有限的私人诉讼权正是对商业利益妥协的结果,因为广泛的诉讼权将可能导致对诉讼的滥用,使大型企业面临高额赔偿,并增加中小企业的合规成本,阻碍其数据创新。
《法案》为数据处理企业尤其是大型企业设定了多方面义务,但对“忠诚义务”的表述却不够清晰、完整。为保护个人隐私权益,《法案》为数据处理企业设定了多方面的义务。例如,第101节将“数据最小化”作为基线义务,第202节要求企业以易于获取和理解的方式向个人提供隐私政策,第 207 节明确企业不得以歧视或以其他不公平的方式收集、处理或传输数据,并在第208节要求采取数据安全措施以防止数据未经授权的使用和获取。《法案》还将大型数据处理者作为重点规制对象,要求其按年度开展算法影响评估、每两年开展隐私影响评估,且每年向联邦贸易委员会(FTC)提供遵守本法案的证明。值得注意的是,《法案》将数据处理企业视为个人数据的受托人,为其设定了数据最小化、禁止或限制特定敏感数据处理、隐私设计、定价忠诚义务四方面的“忠诚义务”。《法案》中的“忠诚义务”是美国学术界关于企业与个人数据处理关系的体现,此前,美国多部法律提案对此已有表述,但《法案》的规定与之有很大不同,仅列举了四个方面,并未清晰完整地表述企业怎样做才算忠诚履行受托义务。这种分歧将是立法进程中的争议焦点之一。
几点启示
加快个人信息可携带权等具体制度的落地实施。《美国数据隐私和保护法案》很多内容都与欧盟GDPR类似,这表明全球数据隐私保护的很多制度正在趋同。我国《个人信息保护法》也采用了很多符合国际趋势的制度,但目前还缺乏具体的实施细则,应加快推动这些制度的落地实施。一是围绕个人信息可携带权、个人信息去标识化、个人信息保护影响评估和个人信息处理透明度等方面,出台相关指南或规范,推广行业最佳实践。二是针对自动化决策、人脸识别、人工智能等新技术新应用,加强个人信息安全风险评估,推动建立新技术新应用个人信息安全风险评估制度。三是加快个人信息保护认证等第三方评估认证相关的制度设计,推动第三方评估认证服务开展。
强化大型企业义务,同时适当减免中小企业义务。《美国数据隐私和保护法案》在为大型企业设定更严格义务的同时,也豁免了中小企业的部分义务,包括个人数据可携带权、数据安全官、漏洞和风险评估等,以促进中小企业基于数据的创新。这点值得借鉴。目前我国《个人信息保护法》明确了国家网信部门可针对小型个人信息处理者制定专门的个人信息保护规则和标准,建议加快推进该项工作。一是尽快界定小型个人信息处理者的范围,可从企业收入规模、处理的个人信息数量、个人信息处理业务活动占总收入的比重等方面进行考虑。二是考虑小型个人信息处理者成本因素,明确豁免或减轻小型个人信息处理者的相关义务。
对数据经纪人等数据市场化运营主体予以重点关注。《美国数据隐私和保护法案》还对数据经纪人的个人数据处理义务作了特别规定。随着我国数据要素市场化的加快推进,数据经纪人、公共数据运营者等主体逐渐涌现。这类主体会处理大量的个人信息,对其资格、处理活动等未来应予以特别关注。目前我国《个人信息保护法》尚未明确规定这类主体,但在委托处理等章节对相关义务作了规定;《数据安全法》从确保数据交易安全的角度对从事数据交易的中介机构的义务作了规定:一是进一步出台相关细则,明确个人数据处理者委托其它主体处理数据时对该主体的审核义务,以及其它主体数据处理时的相关义务。二是在未来执法活动中,对数据市场化运营主体的个人信息保护合规情况予以重点监督。
本文刊于《赛迪前瞻》总第758期
声明:本文来自赛迪智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。