美国隐私泄露引发法律风险

魏道培

黑客先后两次攻入希尔顿公司的内部网络系统，导致大量客户信息泄露。这是美国2015年年底披露的一桩大案。最初，这家世界著名酒店公司只想弄清旗下连锁酒店的财产资料是否泄露。紧接着，美国信息安全技术独立调查人布里安·克里布斯（Brian Krebs）发布消息称，希尔顿公司的餐馆、酒吧、礼品店的所有终端都已发现收集个人财务信息的恶意软件，大量客户个人信息可能被劫。

此后，希尔顿再次确认，公司内部系统遭入侵，尤其是HLT0.53%数据系统。这类恶意软件是专门设计用于收集个人支付卡信息，包括持卡人姓名、支付卡卡号、密码和有效期。此时，希尔顿公司才意识到他们低估了问题的严重性，于是立即开展深入调查并着手强化网络安全。事实上，他们已无法准确说出，被盗信息中包含了多少持卡人姓名、支付卡账号、安全代码和有效期。

个人信息泄露日趋严重

希尔顿是世界最著名的酒店服务公司之一。它在全球97个国家和地区拥有4500家连锁酒店。此案已发，若不尽快通知个人客户，希尔顿公司就可能承担刑责，或被告上法庭，赔偿客户因此遭遇的财物损失。他们不得不通知一定期限内曾住宿、用餐和购物的所有客户，要求其查询并核实自己的银行账单，修改密码，还向一定期限内购买服务的客户免费提供一年的信用监控与查询服务。其实，黑客盯上的酒店已不止希尔顿，美国万豪酒店公司曾同意并购拥有120亿美元资产的连锁酒店，但发现即将并购的外公司有54家的个人客户信息遭泄露，若并购，那么其他万豪连锁酒店也有可能遭入侵。

在美国历史上，公司曾把客户的姓名、年龄、购买情况、家庭住址、社会安全代码和其他个人信息视作有价资产加以收集利用，在某些情况下出售而不经用户同意。政府在过去也并无监管措施。但自从有了互联网，个人信息可轻易收集、使用、搜索和分享，因此滥用个人信息越来越普遍，引发的信息安全问题也越来越突出，这导致涉事机构和个人泄露有价值的信息问题日趋严重。为遏制这一势头，美国国会与各州议会相继推出法律规范措施并规定，无论是纸质还是电子文档，只要涉及个人敏感数据，涉事单位或个人都要给予分等级的管控，否则他们将承担法律责任。

然而，尽管联邦法院制定的法规严格限制了收集、使用和分享个人信息，但信息技术日新月异，法律的更新往往落后于技术的发展。在此之前，美国联邦贸易委员会（FTC）也相继推出行业自律规则，包括客户隐私信息的使用规范，也制定了隐私数据保护规定，即未经授权不得随意使用。

早在2009年初，《美国数据泄露成本研究》发布报告称，2008年美国公司信息泄露，导致客户人均损失202美元，而2007年仅为197美元，更比2005年提高了40%。公司因此造成损失更高，平均达665万美元。倘若提早应对，即可防患于未然。在过去三年中，美国执法部门对机构和个人的数据安全关注度进一步提高，原因是过去制定的相关法规越来越不适应需要，法不治众普遍存在，屡次出现大规模的泄露隐私数据的案情，用立法来遏制这一势头已成必然。

个人信息泄露给机构带来灾难

联邦贸易委员会已明文规定，任何机构只要泄露客户的个人信息，尤其是敏感信息，那么它必须承担相应的法律责任。公司泄露个人信息不仅要承担法律责任，而且还意味着丢失潜在的客户、收益和股份价值，同时也使公司深陷绝境，形象受损。当然，这要取决于公司的类型和泄露数据的性质。最普遍的泄露案件是网络遭入侵、非安全的无线通信、桌面终端被盗等等，也有邮件、恶意软件、人为操作和摄像失误等方式。一份调查发现，美国约有74%的隐私数据泄露属于外部劫取，32%属于商务搭档搞鬼，另有20%属内贼窃取。

资金或有价票据的信息泄露时，公司要付出高昂的代价。据彭那蒙研究，美国公司一台笔记本电脑丢失，平均造成价值20万美元的数据损失，若加上调查费、客户咨询、危机管控、中心呼叫、信用监控、律师费、罚款、诉讼费、传票费、法庭专家认定费等等，损失不可估量。

个人信息的泄露在美国也要分性质和严重程度。若敏感信息泄露，如金融机构和健康护理提供商泄露了客户个人信息，那么他们不仅要承担法律责任，而且还會作为丑闻曝光，最大限度地披露出来。此外，若公司雇员泄露了未经授权的个人信息，那么这类案件将被刊登在当地头版头条新闻上，还会引发连锁反应。美国大陆航空公司就是最典型的一例。一笔记本电脑丢失在异地，内有200名乘客的姓名、地址、社会安全代码和指纹。随之，美国最大的信用卡支付系统公司之一HPS（Heartland Payment Systems）公司宣布，大陆航空的失窃案造成了美国有史以来最大的个人信息泄露案。窃贼依据盗取的个人社会安全代码进入这家支付系统公司内网，进行了大量的非法交易，导致该公司月均1亿美元被人从银行刷走，超过17万商人的账户受影响。随后，这家支付公司被起诉，罪名是，他们未能及时通知相关用户而造成巨额损失。另一案例是2009年4月，俄克拉荷马州政府公共事业部遭遇一次意外事故。窃贼从政府雇员车中盗走一台笔记本电脑，内装100万居民的姓名、地址、家庭电话号码和社会安全代码，并且这份文件未加密。2010年，美国最大的折价商业公司TJX的网络系统有4570万张未加密的客户信用卡和借记卡遭黑客盗取。调查表明，该公司的所有电脑数据和现金记录机上的所有个人信息都遭到诈骗团伙用技术手段劫走。此案导致该公司直接损失在2.56亿-5亿美元之间，间接损失高达10亿美元，涉及全美众多的客户、发卡银行、州银行协会和股东。此后，美国FBI在全球范围内抓获11名相关嫌疑人。2008年，美国俄亥俄州一家医疗保险公司丢失11张光盘，内含3.6万雇员和退休人员的个人信息。最终这些光盘被找到，然后在寄往哥伦布市的途中再次丢失。消息一传出即在美国引发轩然大波。

公司淡漠客户个人信息，泄露了本可以避免泄露的客户敏感信息，他们不仅要造成巨额损失，而且还要面临法律的制裁并担刑责，还存在倒闭的风险。2005年，美国凯撒医疗公司（Kaiser Permanente）的一位雇员由于对老板不满，竟把公司一份文件链接到她自己的博客上，包括医疗客户个人姓名、IP地址、计算机代码，总共导致140名客户信息泄露。由此，她使公司违反了美国HIPAA法，即《健康保险携带和责任法》，该公司被罚20万美元。又如，2008年美国华盛顿都市地区高速运输管理局未经授权把所有雇员的社会安全代码发布在网站上。按理说，这是公司内部事务，但由于未经授权，因此被认定为“非法发布”，一时成为众矢之的。

美國公民的个人信息丢失引发的社会犯罪日趋严重，最终迫使美国联邦政府与州政府两个层次采取立法措施。联邦政府立法部门先后推出系列法律，要求各机构采取措施保护个人信息，尤其是敏感信息，如财务、健康信息，儿童信息也在保护之列。各州立法部门还向个人消费者提供保护个人信息的方法。截至目前，美国已有44个州立法保护个人信息。最近哥伦比亚特区、美属维京群岛也列入其中，其总的要求是：商业企业务必制定严密的安全规章制度，采取自律措施，限制雇员的行为。

美国保护个人信息最著名的联邦与州法律措施

*联邦政府立法措施

·1996年联邦政府颁布并实施HIPAA法，即《健康保险携带和责任法》。该法明确规定，健康信息（PHI）权属于受保护的个人隐私，任何个人或机构未经授权，无论有意无意或任何形式，不管是纸质还是电子文档，均在保护之列。

·2009年，美国颁布实施《经济复苏及再投资法》，该法再次强制规定，在披露个人健康信息前必须经由本人同意。

·1999年，克林顿总统签署了当时最具影响力的《金融服务现代化法》，它要求美国的所有金融机构，一旦发生个人信息泄露，必须立即通知每一位相关客户，否则将承担因此引发的法律责任。

·2005年，美国立法部门在2003年颁布实施的《公平与准确信用交易法》（FACTA）基础上，再推出与之配套的《处置规则》（Disposal Rule），旨在进一步细化管控措施，杜绝非授权使用和其他不当使用个人信息，禁止机构保留、收集或另作他用。

·1998年，美国颁布实施《儿童在线隐私权保护法》（COPPA）。该法旨在赋予父母管控孩子上网使用信息的权利，同时预防不法分子从孩子处收集家庭敏感信息。

·《联邦贸易委员会法》（FTC ACT）是在20世纪初就已制定，此后随着时代的变迁历经多次修订。该法禁止不公平竞争或欺骗手段或以非公正的行为影响市场。最新修订的该法明文规定，若机构未经授权采集，使用和分享个人信息，将被视作“非公平”、“欺诈”的贸易行为，消费者可直接控告该机构。该法被视作美国最有实用性最普遍的个人信息安全管控法。

*州政府立法措施

美国加利福尼亚州2002年率先制定法律措施保护个人信息安全以来，已有44个州制定了与信息泄露和通知制度相关的法律。这些法律规定，一旦机构获知并确信客户信息被解密或被传输到其他机构并将直接影响客户前，公司应通知客户。加州该法实施以来已修订多次，要求通知更详细。美国宾夕法尼亚州最近通过一项法案，即机构的个人信息被泄露，须在7天内无条件通知相关的州公民个人。紧随其后，其他州的相关法律也做出类似修订。其中马萨诸塞州和内华达州的相关法案更为严格，他们要求任何机构把个人信息传输给商业安全系统之外的任何人或机构都必须加密，以确保安全。2010年，马萨诸塞州修订相关法律，推出新的个人信息泄露通知的最低标准，即无论是纸质还是电子文档，只要包含任何个人信息均须以书面的形式通知对方。

*机构的行业自律措施

美国支付卡行业数据安全标准（PCI DSS），具体而言，是针对在全天候工作日中处理持卡人数据的金融机构、贸易商和服务提供商提出的要求。它为各行业自律设置了12个基本的安全要求。迄今为止，它已成为一种强制性行业标准，即金融机构或其他企业在处理、储存、传输持卡人数据时必须遵守的规则。美国金融机构在处理过程中若未加密，监管机构一旦发现就会对其采取惩罚措施。

由于因特网使用频率越来越高，收集、传输和储存电子记录文档所引发的数据失窃也日趋频繁，美国联邦政府为机构也制定了相关参考指南。