美国联邦隐私立法重要文件选译
崔卫红等
译者前言
在联邦层面通过一部统一性(all-encompassing federal legislation)的个人信息保护立法,在美国一直停留在公众舆论而已。但随着“剑桥分析事件”、外国势力在互联网平台上发动的信息战(information warfare)等,让美国社会各界都认识到个人信息保护不仅关于个人的合法权益更关乎国家安全。
西方主流媒体,如《纽约时报》提出“Facebook不是真正问题所在,宽松的隐私规则才是”(“ Facebook Is Not the Problem. Lax Privacy Rules Are”;《经济学人》建议“美国应当效仿欧盟的数据隐私法律” (“America should borrow from Europe’ s data-privacy law”);《华尔街日报》报道:除Facebook之外,Apple、Amazon和Google都接受在未来美国将会有更严胳的隐私监管(“Apple,Amazon andGoogle Also Are Bracing for Privacy Regulations” )。
会不会又是“雷声大,雨点小”?毕竟在美国历史上,不乏有呼吁统一性立法的声音。但这次与以往显著不同的一点是,美国知名的行业协会在近期纷纷提出了个人信息保护立法的框架。这样的举动史无前例,侧面说明美国朝野观念上的质变,以及国会两党形成了应当加强个人信息监管的共识,否则精于“计算”和 “运作” 的他们,又何必多 此一举?正如IBM政府和监管事务副总裁ChrisPadilla所说,“对于隐私问题,局势已经发生根本变化”(“There has been d complete shift on privacy”,“目前的广泛认识是,不希望隐私规则的公司再也不可能仅仅说不了”。( “There is now broad recognition that companies that were resistantthe privacy rules can no longer just say no. ”)
Internet Association、 SoftwareAlliance (BSA)、Information Technology Industry Council (ITI)均为鼎鼎有名的行业利益代表。近期,他们之间似乎取得充分 “默契”,都赶在国会和政府当局抛出立法草案之前提出自己的立场文件,试图为即将来临的立法流程提前确立基调(set the stage) 。
翻译和研究他们的立场文件,有着什么样的意义?首先,他们的立场文件最能代表美国行业和企业的利益。《纽约时报》在8月底的一篇报道(“Tech Industry Pursues a Federal Privacy Law, on Its Own Terms”)中透露,近期Facebook、Google、IBM、Microsoft及其他公司正对特朗普当局和其他有关方面就联邦隐私法律展开 “猛烈的游说攻势”。他们一是希望联邦立法能够推翻加州立法(CCPA),二是希望立法能够确立对个人信息处理相对宽松的规则。这些公司的具体观点、游说的具体内容,我们不得而知,但是通过这些行业组织发布的立场文件,我们能掌握个八九不离十,有助于我们观察美国未来的立法走向。
其次,他们的立场文件能让我们看到,所谓的有利于发展和创新的个人信息保护框架到底长啥样。按照“个人信息保护法要在发展与安全之间取得平衡”的说法,行业协会的立场文件毋庸置疑倾向于前者。目前在我国国内,存在很强的声音批评欧盟《通用数据保护条例》(GD- PH)为代表的保护思路,认为这样的立法会扼杀企业、行业的发展。但在批评之余,这股声音几乎没能提出自己的方案。所以,如果未来我国的《个人信息保护法》打算与GDPR拉开距离,那么翻译和研究行业协会的立场文件,能够提供非常有价值的参考。除上述这些文件外,我们还翻译了由《纽约时报》首次披露的民主党领袖提出“互联网权利法案”(the Internet Bill of Rights)。总的来说,这些文件集中反映了美国目前国内对隐私保护立法和政策的趋势和未来会采取的路径。
显然,美国人不喜欢GDPR那样“管得太细、太严”的立法风格,更希望联邦层面的立法是原则性的(principle-based),把具体如何开展个人信息保护的策略、控制措施等,留给企业自由裁量。这样的思路,在美国网络安全方面立法,也非常明显。因此,未来至少有两种立法策略可供中国参考。
此外,这些文件从不同层面涉及了个人信息处理的启动要件是不是个人同意、个人信息收集要不要限制、目的限制原则还要不要等等一系列非常重要且有趣的内容。令人非常出乎意料的是,私营部门提出的框架都赞同个人具有数据可携带权。
数据保护官(DPO)沙龙将持续跟踪美国联邦层面的立法努力,并在后期推出对上述文件详尽的比较分析。
洪延青
一、商业软件联盟(BSA)隐私框架
BSA推行用户导向型的隐私保护模式,并且支持确保个人数据的使用与消费者预期相一致的隐私框架。
商业软件联盟(BSA)是全球软件产业的主要倡导者,处于开发包括云计算、数据分析以及人工智能在内的尖端创新科技的前沿。软件赋能的技术越来越多地依赖于数据,在某些情况下甚至是个人数据来发挥功能。因此,保护个人数据对于 BSA 的成员来说是需要优先考虑的重中之重,我们也意识到它是建立起消费者信赖的一个关键部分。为此,BSA推行用户导向型的隐私保护路径(user-centric approach),向消费者提供一种控制个人数据的机制。其所支持的隐私框架既能确保个人数据 的使用符合消费者的预期,同时也使公司能够追逐合法的商业利益。
具体来说,BSA支持遵循以下最佳实践的立法:提高个人数据收集和使用的透明度;通过监管该等收集和使用行为来保障和尊重知情选择;为消费者提供其个人数据的控制权;提供强有力的安全措施;推动基于合法商业目的的数据使用。如下所示,BSA概述了隐私框架的十种要素以助于实现这些目标。
1.透明度
组织应当就其处理个人数据的实操提供清晰的、可获取的说明,包括其收集的个人数据种类、共享数据的第三方类型,以及关于该组织保持的用于审阅、修改、索要副本或删除个人数据的流程描述。
2.目的具体化
个人数据应当与以合法方式收集和获取该数据时的目的相关。组织应当告知消费者其收集个人数据的目的,并且保证数据用途与相关解释、交易背景或消费者的合理预期相符,或者以其他符合数据收集原始目的的方式使用数据。组织应当使用监管系统来确保个人数据的使用和共享与组织声明的目的相一致。
3.知情的选择
组织应当提供充分的信息以便消费者做出知情的选择,并在切实可行的情况下,让消费者能够选择退出(opt out)对其个人数据的处理。
BSA承认某些数据如金融账户信息或者健康状况信息可能会尤其敏感。如果敏感数据的使用牵涉更高的隐私风险,组织应当保证敏感信息被收集的消费者能够提供肯定(affirmative)、明示(express)的同意。
某些现行的美国法律,如《美国儿童在线隐私保护法》(Childen’s Online Privacy Protection Act,简称COPPA)、《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act,简称 HIPAA)、《格兰姆-里奇-布利雷法》(Gramm-Leach-Bliley,简称GLB)以及 《公平信用报告法》(The FairCredit Reporting Act,简称FCRA)亦为处理其本身涵盖的敏感个人数据提供了重要保护,因此应予以保留。
4.数据质量
个人数据应当与其使用目的有关,并在目的所需范围内保证精确、完整和实时鲜活的(current)。
5.消费者控制
消费者应能要求知悉组织是否持有关于他们的个人信息以及该信息的性质,并应能索要该信息副本,质疑其准确性,以及在合理的范围内纠正或者删除该等信息。
决定个人信息处理方式和目的的组织应主要负责回应此类请求。组织可在如下情况中拒绝该要求:此行为的负担或成本不合理,或与消费者面临的隐私风险不相称;为了遵从法律规定;为了确保网络安全;为保护其他商业机密仅将数据用于研究目的;为避免侵犯其他消费者的隐私、言论自由或其他权利时。
6.安全性
组织应当根据数据体量、敏感度、业务规模和复杂性以及可用工具的成本,采取适当的安全措施以阻止未经授权的访问、破坏、使用、修改以及泄露行为。
7.促进为合法商业利益而使用数据
隐私框架应当促进基于合法商业目的的数据使用。此目的可以包括为其他的商业客户或者消费者提供服务。一旦数据的处理会给消费者隐私带来风险,隐私框架应当采取基于风险(risk-based)的方法,针对可能造成实质性损害的环境制定具体保护措施。
8.归责制
组织应当制定政策和程序,提供本框架所概述的防护措施,包括指定人员协调实施这些防护措施并提供员工培训和管理;定期监测和评估这些防护措施的实施;以及在需要时调整实践以解决出现的问题。
9.法律合规与法律效力
决定个人信息的处理方式和目的的组织,应当对满足合法的隐私要求和安全义务负主要责任。代表那些组织处理数据的实体则有责任遵从所接受的指示。
任何统一的联邦隐私法应当与州法律的规定相协调。联邦贸易委员会拥有着强有力的执法记录,应当拥有必要的工具和资源来有效履行其使命。
10.国际互用性
隐私框架应当促进和鼓励全球数据流通以巩固全球经济。当不同的隐私制度之间存在差异时,政府应创建工具来弥合那些差异,既保护隐私又促进数据的自由流通。
二、互联网协会(Internet Association)隐私原则:现代国家监管框架
介绍
现在,使我们的联邦法规现代化,并为消费者隐私制定国家框架的时机已经成熟。该框架应在全国范围内保持一致、与其相称、灵活适用,并鼓励公司充当称职的管家来管理个体提供的私人数据。
鉴于政策制定者和利益相关者致力于更新保护隐私的方法,我们必须确保国家隐私框架:
Ø 通过使个体了解其在个人信息收集、使用和共享方面所拥有的权 利来保护个人信息并增进信任;
Ø 满足个人的合理期望,即有关其提供给公司的个人信息如何被收集、使和共享,以及他们在不同场景下所具有的选择;
Ø 促进创新和经济增长,使在线服务能够创造就业机会并支撑我们的经济;
Ø 展现美国在创新和技术政策方面的全球领导地位;
Ø 注意规则对中小企业的影响;
Ø 在所有实体中统一进行适用一只要它们尚未在联邦层面受到监管。
原则背景
我们国家充满活力的互联网生态系统为个体提供了前所未有的个人利益、社会利益、职业利益、教育利益和经济利益,为美国的GDP做出了约6%的贡献,并提供了近300万的就业岗位。互联网通过提供创新工具、服务、信息和对资源的更有效利用,使各级政府和经济体的每个部门都能够更加以公民和消费者为中心。
IA成员认为信任是他们与个人关系的基础。我们的会员公司知道,要取得成功,他们必须满足个人的合理期望——关于提供给公司的个人信息如何被收集、使用和分享。这就是为什么我们致力于透明公开的数据实践,并不断完善面向消费者的政策,使其清晰、准确且易于大众理解。此外,我们的会员公司开发了许多工具和功能,使个人可以轻松管理他们共享的个人信息以及在线经历。
目前存在一系列强有力的隐私、数据安全、消费者保护和反歧视法律,其中包括《联邦贸易委员会法》第5节(Section 5 of the FTC Act)和《克莱顿反托拉斯法》(Clayton Act),以及超过15个与特定行业或特定活动相关的其他联邦法规和实施条例。此外,还有大量关于隐私和数据安全的州法律,由州总检察长或私人诉讼当事人执行,包括州数据泄露通知法;不公平和欺诈法案和惯例法;数据安全和加密法律;以及与网络隐私、社保号码和数据代理相关的各种其他隐私法律。我们的 会员公司遵守这些现行法律,同时遵循自我监管的原则和制度来经营运 作。然而,这一系列法律也产生了“拼凑(patchwork)”效应,导致合规工作复杂化和用户体验不一致的问题。一个全新的、综合的国家框架将创建更加一致的隐私保护规则,以加强消费者的隐私保护并缓解公司的合规压力。
本文件规定了:(1)国家隐私框架的原则;(2)政策制定者在评估此类国家隐私框架时的考虑因素。
1.隐私原则
这些隐私原则旨在保护个体的个人信息,即任何能够用来识别出特定个人或属于该个人设备的任何信息。
Ø 透明度。国家隐私框架应该使个人能够知晓他们提供给公司的个人信息是否。如果信息被共享,则应告知共享的对象类别及目的。
Ø 控制权。个体对其所提供个人信息的收集、使用和共享方式应具有有意义的控制,除非此信息对企业的基本运作必不可少,或行使这样的控制可能会违反法律。
Ø 访问权。个体对其提供的个人信息应享有合理的访问权。为了向 个人提供服务,公司可能会对个人信息进行处理、汇总和分析 公司应当采取保护措施,确保赋予个体个人信息访问权不会不合理地侵犯他人隐私,或妨碍安全及公司的业务运营。
Ø 更正权。个体应被允许更正他们向公司提供的个人信息,除非公司基于合法需求或法律义务要求维持原状。
Ø 删除权。个人应有权要求删除公司提供服务时不再需要的个人信 息,除非公司基于合法需求或法律义务要求继续保有。
Ø 可携带权(Portability)。个体应有权取得他们向公司提供的个人信息,并将其提供给另一家需要此信息来提供相似服务的公司。
采用上述原则将增强对个人隐私的保护并确保个人的信任。为保证国家隐私框架的有效性,还必须与以下因素相权衡:
(1)相冲突的个人权利,包括言论和表达自由;
(2)他方的隐私利益;
(3)数据安全利益;
(4)公司防止欺诈或其他非法活动的需要,或个人安全;
(5)公司遵守有效执法或司法程序的要求;
(6)在特定情况下,所赋予的个人权利的行使是否过度繁冗或超过必要限度;
(7)个人权利的行使是否要求公司收集或处理该个体的其他个人信息。
2. 政策制定者应考虑的因素
促进隐私和安全创新。国家框架不应妨碍公司设计和实施增强个人隐私保护的内部系统和程序。公司在设计和更新服务时应考虑隐私和数据安全。例如,通过去标识、假名化或数据聚合来实现这一目的。
全国性的数据泄露通知法。国家框架尤其应该取代来自全部50个州和哥伦比亚特区不同数据泄露通知法的拼凑产物,以便为个人和公司提供一致性规则。该国家标准应:通过明确的通知来保护个人及其个人信息;界定基于伤害的通知触发机制从而避免通知疲劳(notice fatigue); 允许公司灵活的告知个人未经授权的私人信息访问。
技术和部门中立。针对产品和服务,国家隐私框架应为个人提供始终如一的保护。这样的框架应同时保持技术中立 (没有针对特定技术的硬性要求(technologymandates))和部门中立(同样地适用于线上和线下公司)。
基于绩效标准的方法。国家隐私框架应聚焦实现隐私和数据的安全保护,但法律法规应避免采用对安全保护措施的具体例举,因为这种方法未必适用于所有的公司,并且可能因技术的快速发展而过时。
基于风险的框架。国家隐私框架应以风险导向的方法为基础,立足于个人信息的敏感性、信息收集和使用的背景,以及信息滥用或未经授权的访问带来实际损害的风险。其与联邦贸易委员会(FTC)的数据安 全指令条款和不公平标准(unfairness standard)相一致,当未能解决的隐患可能会给消费者带来实际损害时,公司应识别并处理在隐私和个人信息方面可预见的风险。
为个人和公司提供现代的、一致的国家框架。国家隐私框架应在所有州内保持一致,优先于州消费者隐私和数据安全法律。强有力的国家基准为公司制定了明确的规则,并确保全美的个人均可获得保有其信息的公司持续提供的数据保护。国家隐私框架应主要由FTC在联邦层级执 行,当FTC拒绝采取行动时,由州一级的州总检察长执行。
三、美国信息技术产业理事会(Information TechnologyIndustry Council)隐私保护框架
ITI在如下几个原则上达成了共性或一致性:
•支持:合法、公平和透明 •支持:安全性、完整性和机密
•支持:消费者控制机制
•支持:对特定数据的使用实行有针对性的限制 (例如,第三方转移)
•反对:规范性同意要求
•反对:一般性的使用限制和数据最小化要求
实际参照 (基准):
动作 | GDPR | APEC/CBPR | ITI隐私框架 |
对信息处理行为的告知 | 是 | 是 | 是 |
选择性加人同意数据使用,以及撤销同意 | 是 | 否 | 否 |
个人数据访问权限 | 是 | 是 | 是 |
数据最小化 | 是 | 是 | 是 |
数据可移植性/将信息发送给第三方的权利 | 是 | 否 | 是 |
遗忘权利(删除权利) | 是 | 是 | 是 |
反对自动决策的权利 | 是 | 否 | 是的,需要进行风险分析 |
安全要求 | 是 | 是 | 是 |
涵盖所有ISP以及基于互联网的服务提供商 | 是 | 是 | 是 |
允许私人起诉 | 是 | 否 | 否 |
四、美国商务部国家标准与技术硏究院(NIST)隐私框架:一个企业风险管理工具
为什么需要隐私框架
挑战
在一个联结日益紧密和复杂的环境下,以注重多种隐私需求的方式来设计、操作或者使用技术是一种挑战。在美国国内外,关于如何应对这些挑战,有多种愿景。
为何良好的网络安全不能完全解决它
尽管良好的网络安全实践通过保护人们的信息来协助管理隐私风险,但随着组织为完成其工作或者达到商业目标而收集、存储、使用和共享该信息,以及个人与产品、服务的互动,隐私风险还是会产生。
应对隐私挑战
美国商务部正在开发一种前瞻性路径用以支持创新和强有力的消费者隐私保护。美国国家标准与技术研究院(NationalInstitute of Standards andTechnology,简称NIST)正在领导开发一个自愿性隐私框架作为组织的企业风险管理工具,与此同时(美国)国家电信与信息管理局(National Telecommunications andInformation Administration,简称 NTIA)也在牵头制定一套隐私原则,并且与国际贸易署(International Trade Administration,简称ITA)配合以保证其与国际政策目标相一致。
NIST的隐私框架是什么
NIST致力于协作开发该隐私框架作为自愿的、企业层级的工具,这一工具将提供一个隐私保护结果和路径的目录,从而帮助组织优先考虑那些能产生灵活有效的隐私保护方案的策略,并使个人能有更强的信心和信任享受创新技术的好处。
NIST隐私框架应当协助组织在多元环境内更好地管理隐私风险,而非规定管理隐私风险的方法。
该框架还应当兼容和支持组织在所适用的国内和国际法律或监管制度下的运营能力。
NIST的协作流程
NIST有着与私营部门和联邦机构成功协作开发指导原则和标准的长期记录。由于拥有开发《提升关键基础设施网络安全性框架(Frameworkfor Improving Critical Infrastructure Cybersecurity)》(简称网络安全框架)的经验和丰富的隐私专业知识,由NIST领导这一隐私框架的开发是非常合适的。
NIST将根据开发网络安全框架时成功、开放、透明和综合的路径来为这一隐私框架建立方法模型。
NIST将召集以下机构并与之合作:工业界、民间社会团体、学术机构、联邦机构、各州、地方、辖区、种群以及外国政府、标准制定组织等,通过一系列的研讨会和征求公众意见来进行广泛的推广。
五、互联网权利法案清单
背景情况(据《纽约时报》报道)
2018年初,美国民主党议员、众议院少数派领袖NancyPelosi女士委托另一位民主党国会议员Ho Khanna (Khanna所在的加州选区是苹果、英特尔以及雅虎的总部所在地)提出“互联网权利法案”的清单。该份清单共有十条原则,涵盖了诸如隐私、网络中立和歧视等主题。Khanna将该清单提供给《纽约时报》,并通过 《纽约时报》首次对外披露。
该篇 《纽约时报》报道的标题为 《引入“互联网权利法案”:如果民主党夺回白宫,他们承诺将开始监管硅谷》。在报道中,Khanna表示,他清楚这将是一个缓慢的进程,必定需要两党共同的支持,“我不认为科技公司会立即作出反对动作,并且国会现在也会更愿意加强监管”。同时他表示:“技术本身无关道德——它能够在许多方面非常出 色,但在其他方面则不见得做得好。现在,他们要花上未来十年的时间 来思考应如何改造这种技术以实现公共利益。”
Tim Berners-Lee爵士——广为人知的万维网发明者,参与了Khanna准备该清单的过程,并提供大量建议。他对此权利清单表示赞同,在一封邮件中他写道:“这项权利法案提供了一系列原则,在创造更健康的互联网经济的同时,还能让用户更好地掌控其在线生活。”
NancyPelosi承诺,如果民主党在2018年11月赢得中期选举,将会对此采取行动。
Khanna所列出的清单:一套互联网权利法案的原则
互联网时代和数据革命改变了美国人的生活方式。由于我们的生活及美国经济和互联网的联系愈发紧密,为美国人提供基本的网络保护至关重要。
你应当拥有以下权利:
1.能够访问并了解公司收集和使用的所有个人信息;
2主动选择同意任何一方收集个人数据以及与第三方共享数据;
3在适当且具有公平程序的情况下,获取、修正或删除任何公司控制的个人数据,并可要求第三方尊重此请求;
4确保个人数据的安全,并要求在发现安全漏洞或未经授权的个人数据访问时及时被告知;
5将所有个人数据从一个网络转移到其他网络;
6在不受下列情况影响下访问和使用互联网:服务供应商拦截或封 锁内容(blocking)、限流(throttling)、参与付费排序,或其他形式的对内容、应用、服务或设备的特殊优待;
7访问互联网服务时,不会在未主动同意的情况下被收集满足所需 服务所不必需的数据;
8 在定价清晰、透明的情况下访问或使用到多种可靠且价格合理的 网络平台、服务及供应商;
9.不会因个人数据而受到歧视或剥削;
10. 确保收集您个人数据的实体有合理的商业行为并承担保护隐私的责任。
审校:雒心怡
为便于阅读,将脚注全部略去,望理解。
声明:本文来自网络与信息法学会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。