美国数据与隐私安全保护制度进展述评

赵丽莉，郑 蕾

(1.山东科技大学 知识产权学院， 山东 青岛 266590；2.西安交通大学 a.科技与教育发展研究院; b.网络信息中心， 陕西 西安 710049)

一、美国现有数据与隐私安全保护立法总体概况

美国没有统一的、综合的联邦层面数据与隐私安全立法，但是基于美国判例法的实践，联邦和各州都自成法律体系，有人称之为“分散立法模式”[1]。梳理这些立法发现(见表1)，美国已经形成一套适用于规范数据收集和使用以及隐私保护的规则，已有立法涉及的主要领域包括用户财务信息、医疗健康信息、电子信息的收集和使用，在线隐私保护，个人信息披露，数据控制者和处理者的义务等。

(一)分领域立法

《联邦贸易委员会法》(Federal Trade Commission Act)是一部联邦消费者权益保护法，立法目标是规范企业之间的公平竞争和保护消费者免受商业行为的欺诈，明确禁止使用欺骗性或虚假广告，禁止不公平或欺诈行为，该法案被看做是规范隐私和数据安全的重要制度。

《金融服务现代化法》(Gramm-Leach-Bliley Act,简称GLB)规定了金融信息的收集、使用和披露。它可以广泛应用于银行、证券公司和保险公司等金融机构，以及其他提供金融服务和产品的公司。GLB限制非公开个人信息的披露，并且在某些情况下要求金融机构提供其隐私操作的实践方式，以及数据主体选择不共享其信息的机会。此外，国家银行机构颁布了若干隐私规则，联邦贸易委员会(Federal Trade Commission,简称FTC)颁布了与财务数据保护和处置相关的保障规则、处置规则和红旗规则。

《健康保险流通与责任法》(Health Insurance Portability and Accountability Act，简称HIPAA)规范了医疗信息的收集和使用。它广泛应用于医疗保健提供者、数据处理者、药房和其他与医疗信息接触的主体。《个人可识别健康信息隐私标准》(HIPAA隐私规则)适用于受保护健康信息(PHI)的收集和使用。《电子保护健康信息保护安全标准》(HIPAA安全规则)提供了保护医疗数据的标准。《电子交易标准》(HIPAA交易规则)适用于医疗数据的电子传输。

表1 美国隐私立法主要规定

《公平信用报告法》(Fair Credit Reporting Act，简称FCRA)是美国联邦政府颁布的一项法律，旨在提高消费者报告机构文件中所载消费者信息的准确性、公平性和隐私性，保护消费者免受金融机构故意或疏忽地将不准确的信息纳入其信用报告中。FCRA与《公平追债法》一起构成了美国消费者权益法的基础。该法案最初于1970年通过，由美国联邦贸易委员会(Federal Trade Commission)、消费者金融保护局(Consumer Financial Protection Bureau)和私人诉讼当事人执行。

《电子通信隐私法》(Electronic Communications Privacy Act，简称ECPA)和《计算机欺诈和滥用法》(Computer Fraud and Abuse Act )分别对截取电子通信和计算机篡改进行了规定。ECPA是美国联邦法律，其禁止第三方未经授权截取或披露通信，保护存储和传送中的通信。该法案最初是作为1968年《窃听法》的修正案通过的，适用于政府雇员和普通公民。ECPA被1994年的《通信协助执法法》(CALEA)、2001年的《美国爱国者法》、2006年的《美国爱国者再授权法》和2008年的《外国情报监听法修正案》大幅修订。

《计算机欺诈和滥用法》(Computer Fraud and Abuse Act)最初是为了保护美国政府和一些金融机构运行的计算机系统，但在经过几次修订后扩大了范围，不断趋于成熟和完善。该法案通过细致的法条对计算机网络犯罪行为进行了规定，明确了计算机欺诈和滥用的范围，是美国计算机网络犯罪法律体系的重要组成部分。该法规制的内容确保了计算机技术的健康发展、计算机技术网络应用的规范化[2]。

《儿童在线隐私保护法案》(Children’s Online Privacy Protection Act，简称COPPA)是一部保护13岁以下儿童隐私的法律。该法于1998年由美国国会通过，并于2000年4月生效。COPPA的通过是为了应对20世纪90年代以儿童为目标的在线营销技术的快速增长，由FTC行使执法权。该法对以下内容做出了规定：网站在收集或使用、披露13岁以下儿童的任何个人信息之前，必须征得其父母的同意；何时以及如何寻求父母或监护人的核实同意；网站经营者对儿童的在线隐私和安全负有何种法律责任，包括限制针对13岁以下儿童的营销类型和方法。

(二)通过FTC实施强有力的联邦执法

FTC是执行反垄断和消费者保护法律的联邦机构，是美国联邦层面拥有广泛的保护消费者权益执法权力的机构，也是数据和隐私保护的主要执法机构。FTC的工作主要是保护消费者免受侵害，阻止不公平或者欺骗性的贸易行为及实践，为此，FTC采取多重手段来保护消费者隐私和个人信息，形成了强有力的联邦执法机制，已对未遵守公布的隐私政策和未经授权泄露个人数据的公司采取了许多执法行动。FTC负责确保隐私与安全项目的全面落实，建立两年一次的独立专家评估制度，实施对消费者的赔付救济，不当得利的追缴，删除非法获取的消费者信息，为消费者提供高透明度和选择机制保障。

1.采取强制执法措施

FTC强有力的执法权实施最主要的手段就是采取强制执法措施来制止违法行为，并要求企业采取积极整改措施。FTC的授权主要来自于《联邦贸易委员会法》第5条，该法禁止在市场中实施不公平或欺骗性的行为。FTC也有权基于《真实借贷法》《反垃圾邮件法》《儿童在线隐私保护法》《平等信用机会法》《公平信用报告法》《公平债务催收实践法》和《电话营销与消费欺诈滥用防治法》等授权进行具体领域的数据和隐私安全保护执法。上述授权使得FTC可以将执法范围覆盖到与消费者相关的各个方面，包括那些伴随着新技术应用和商业模式不断发展而出现的新兴领域。

此外，FTC也可能根据一些消费者投诉、公司信件、国会要求以及有关消费者保护、经济贸易等案件采取执法行动。根据《联邦贸易委员会法》(FTCA)的规定，FTC拥有对案件进行调查、作出行政命令、提起民事诉讼以及禁止令等权力，案件当事人如果对FTC的决议有异议，可以向联邦法院提起复审要求。与此同时，FTCA指出，对于某些案件，FTC的决议具有终局性。FTC拥有对从事商业服务的经营者的信息收集、利用、安全维护方面的调查权，可以要求其监管的涉及数据和隐私安全的公司提交市场经营和消费者保护的年度保护数据，并给予国会立法保护建议。

2.针对违法行为诉诸于民事处罚程序

从FTC的执法职能来看，FTC可以基于已有立法确立的隐私保护规则，对违反隐私规则的行为进行民事罚款。处理案件时，如果一家公司违反了FTC的相应指令，确定正在实施欺诈行为，或者涉嫌侵犯消费者的隐私与数据安全，为了阻止欺诈和保护消费者，FTC有权直接向法院申请禁止令、要求民事赔偿或消费者赔偿。

3.实施和解协议制度

一般情况下，FTC采取的调查活动是非公开的，主要是为了保护企业隐私的同时保护调查活动本身。当认为“欺诈”还只是一种争议或者当该行为没有对消费者直接造成损失时，将试图与相应的网络经营者(公司)签署同意令(也成为和解协议)。此前，Facebook涉嫌违背了数据保密的承诺、谷歌用户虚假陈述等案件均与FTC达成了和解协议，并支付了相应罚款。和解协议通常要求企业采取必要措施，限期改正，以确保消费者利益。通常，这类处理办法大都发生在隐私保护欺诈案件中，只有当公司拒绝签署这份同意令或者在执行该同意令期间有所违反规定，FTC才会对其提起相应的民事诉讼。FTC与被调查者之间签署的和解协议内容会针对不同情形确定，处罚并非必然，但是FTC拥有和解协议后续执行的调查权，FTC一旦发现签署协议者违反了和解条款，将被处以高额罚款。

(三)形成以自由竞争为基础、政府引导下的行业自律规则

行业自律在美国传统消费者保护领域被作为主要的措施之一，在互联网市场领域也不例外，美国FTC在积极通过立法、制定准则打击欺诈者的同时，大力促进网络商业实践的行业自律的确立，形成了以自由竞争为基础、政府引导下的行业自律规则。目前，在数据和隐私保护的行业自律形式主要有3类：行业指引、网络隐私认证、隐私选择平台(也有称之为技术保护模式)。其中，行业指引主要通过成立公司或者协会的方式，发布适用于行业发展的网上隐私保护准则，侧重于对行业数据和隐私保护的建议引导，如电子行业的“在线隐私联盟(Online Privacy Alliances)”；网络隐私认证主要指第三方隐私认证组织对符合其提出的隐私规则的网站实施隐私认证，并在网站显示认证标志供用户识别；隐私选择平台模式主要是通过技术手段实现隐私和数据安全保护，如互联网协会推出的个人隐私选择平台，该平台通过技术手段使用户选择对其个人数据和信息的公布权，并可选择拟公布数据的内容，该模式主要通过技术手段加强用户对其个人数据和信息公开的选择权，但实践中发挥的作用有限。尽管行业自律规则对敦促网络服务提供者加强隐私保护发挥积极作用是有利的，但是美国推行的行业自律规则应在政府严格引导下确立，政府与行业之间有着非常密切的互动关系，FTC在2014年的《隐私和数据安全年终报告》中就曾指责隐私认证组织TRSUTe未按照其发布的认证章程履行年检责任[3]。

二、美国数据与隐私安全立法的最新进展——基于2018—2019年已生效立法概览

2018年由于Facebook事件以及GDPR的生效，美国国内也展开了关于数据与隐私安全立法的新探索。

(一) 2018—2019年出台的美国数据与隐私安全立法

在美国，所有50个州都通过了数据泄漏方面的立法，梳理2018—2019年出台的法案(见表2)，显示境外数据合法使用、消费者数据和隐私保护、互联网设备数据安全等内容成为重点关注内容。

表2 2018—2019年数据与隐私安全保护生效立法一览表

为强化美国跨境数据的控制地位，2018年3月23日，美国总统签署《合法使用境外数据明确法》(Clarify Lawful Overseas Use of Data Act，Cloud Act，简称“云法案”)。该法案旨在解决美国政府如何合法获取境外数据及外国政府如何合法获取美国境内数据问题。针对前者，该法既为执法机构的执法行为提供了合法性依据，也为网络服务提供商明确了不予执行的抗辩事由。对于后者，该法在美国现行的司法协助程序(MLA)之外，提出了一个新的解决方案——“执行协议”，并对执行协议的实质性和程序性要求做出了明确规定。

2018年6月28日，美国加利福尼亚州通过了《加州消费者隐私法2018》(California Consumer Privacy Act of 2018，简称CCPA)以提高加州民众的隐私保护水平。该法将于2020年1月1日起正式施行。该法主要加强了对消费者的隐私权利和数据安全的保护，并对企业遵循义务做出了规定。该法案被认为是美国国内最严格的隐私立法，开启了美国统一隐私立法的高潮。

2018年9月28日，美国加州通过了《信息隐私：互联设备法案》(Information privacy：connected devices)，法案要求，自2020年1月1日起，任何“直接或间接”连接到互联网的设备制造商必须为其配备“合理”的安全功能，防止未经授权的访问、修改或信息泄露。如果可以使用密码在局域网外访问，则需要为每个设备提供唯一的密码，或强制用户在第一次连接时设置自己的密码。

(二)2018—2019年联邦和州层面的数据与隐私安全保护立法提案

1.2018—2019隐私立法主要提案

2018—2019年针对数据和隐私安全保护问题，美国联邦和州层面提出了系列立法提案(见表3)，提案内容关注首席数据官设置、运营商使用敏感个人信息规范、扩大FTC权力、在线服务商数据保障义务等内容，具体而言：

2018年5月24日，美国参议院提出了一项新决议，鼓励企业将欧盟《通用数据保护条例》(GDPR)中的隐私保护要求适用于美国用户。为加强美国的隐私保护水平，决议对数据控制者和处理者的义务和数据主体的权利做出了规定。

2018年7月31日，美国众议院提出了一项决议，鼓励网络连接提供商(edge providers)、宽带提供商(broadband providers)和数据经纪人(data brokers)在自身政策中加入明确的数据保护条款。

2018年9月4日，美国众议院通过《国土安全部首席数据官授权法案》(Department of Homeland Security Chief Data Officer Authorization Act)。法案要求，国土安全部部长应与首席信息官(Chief Information Officer)协商，以指定该部门的首席数据官。首席数据官(Chief Data Officer)应具备数据管理、治理、生成、收集、保护、分析、使用、共享，以及个人身份信息的保护和去识别化方面的培训和经验。

2018年9月24日，美国众议院引入《信息透明度与个人数据控制法案》(Information Transparency & Personal Data Control Act)，要求联邦贸易委员会(FTC)颁布处理敏感个人信息和行为数据的规定。法案明确规定，FTC应当在该法生效后1年内出台相关规定，规范运营商收集、使用、销售、共享或以其他方式使用敏感个人信息或行为数据的行为。其中，运营商是指以商业目的运营网站或提供在线服务、收集并使用个人信息的实体，包括不与用户直接交互，但购买或销售个人信息的实体；“敏感个人信息”是指与已识别或可识别的个人相关的财务信息、健康信息、关系信息、13岁以下的儿童信息、社交号码、生物信息、性取向信息等。

2018年11月9日，美国参议员Ron Wyden提出《联邦隐私法案》(Federal Privacy Bill)草案，旨在扩大联邦贸易委员会(FTC)的权力，制定严厉的(significant)民事罚款，并赋予刑事处罚以执行某些条款。

用户在线数据保护规范方面，2018年12月12日，美国参议院引入了《数据保障法案2018》(Data Care Act of 2018)，旨在为个人在线数据保护提供规范。法案重点规定了在线服务提供商的3项义务：保障义务(duty of care)、忠实义务(duty of loyalty)和保密义务(duty of confidentialty)。其中，保障义务包括保护个人识别数据免受未经授权的访问、及时通知敏感数据泄露；忠实义务包括使用个人数据不得损害用户权益而使自己获益；保密义务包括不得披露或出售个人数据，除非满足相应的要求。

2.隐私提案主要听证会

据2017年底—2018年10月的统计，国会先后围绕数据隐私召开了5次听证会，主题分别如下：(1)在重大数据泄露时保护消费者(2017年11月)[4]。(2)数据安全与漏洞赏金项目(主要针对Uber数据泄漏事件，2018年2月)[5]。(3)评估数据隐私风险(主要针对剑桥分析隐私违规事件，2018年6月)[6]，听证会中来自New Co的 John Battelle 指出：“我们有责任审查我们目前的立法体系,因为它涉及脸谱等公司如何影响消费者的生活和我们整个社会的规范。当数据等于甚至可能比货币更有价值的理解,数据使用者表达使用数据绝不会对消费者造成伤害的推理是有一定缺陷的。作为决策者和知情公民,我们应努力创建一种灵活、安全和有利于创新的数据治理方法，允许最大限度的创新,同时确保所有受影响的各方对数据进行最大限度的控制,包括个人,特别是未来创新的受益者。”(4)研讨消费者数据隐私的防护现状(2018年9月)[7]。(5)欧盟及加州立法在消费者数据方面带来的教训(2018年10月)[8]。5次听证，主题大多侧重互联网企业中个人数据面临的风险，而来自互联网企业的专家们主要表达了对统一、联邦层面以及可遵守的综合隐私法的期待。

表3 2018—2019年隐私立法主要提案

三、美国隐私保护制度数据隐私立法评述与启示

(一)推动数字经济下实施严格的隐私保护立法进程

2018年3月，Facebook数据泄露事件曝光之后，加之欧盟GDPR的广泛影响，建立全美统一隐私立法再次被推向高潮，美国隐私立法实践显示其在欧盟GDPR后的统一立法进程。与此同时，各州和各城市也在积极推进和完善自己的隐私数据保护政策。实施严格的隐私保护规则已成为全球数字经济下隐私保护立法的重要趋向。美国涉及隐私保护的一系列法律、法案、提案等内容均显示了美国联邦政府以及各州对于数字经济下数据保护和隐私规则确立的重视，这些规则正日益成为执法机构的执行工具。除此以外，华盛顿州(2021年7月31日生效)、加利福尼亚州(2020年1月1日生效)出台的隐私权法案均规定了较为严格的隐私保护要求，较为具体地对数据收集、信息披露、信息共享等内容进行了规定。美国国会发布的《互联网隐私》更显示了美国拟推动类似欧美通用数据保护条例(GDPR)性质的统一立法进程。

智能变革被认为是增大隐私安全风险、强化法律保护的过程，应确立基本法与专门法结合的立法模式[9]。近年来，我国重视数字经济下个人信息保护立法的问题，陆续出台《网络安全法》《民法总则》《未成年人保护法》《刑法修正案(七)》等法律规范和司法解释，国家互联网信息办公室亦相继发布了涉及个人数据跨境传输、云服务安全评估等涉及隐私安全方面的征求意见稿。面对数字经济的发展，创新传统隐私权利保护理念的诉求被提出，有研究强调应实施“激励相容的个人信息保护立法理念”[10]，强调信息控制机制确立。因此，基于应对数据泄露、侵权、诈骗等违法犯罪的预防与控制，我国隐私保护立法应进一步加强监管隐私和数据安全问题，明晰数字经济下个人隐私的范围界定和权利边界，隐私立法中应明确个人对其数据的权利；数据控制者或者利用者对数据保护的义务和规范，明确数据泄露的补偿和处罚问题，确立防御数据泄露机制以及数据泄露后的事后救济机制。

(二)平衡隐私保护与产业发展是其隐私立法的基本定位

立法是利益衡量实现的调节器。美国隐私立法发展实践显示，数据泄露和因此产生的隐私安全问题，不仅损害个人隐私安全、消费者信心，也使企业面临经济损害，直接影响技术创新和经济增长。加强个人数据和隐私保护，维护用户的信任和信息是美国隐私立法的发展趋向。一些立法实践已提议应实施类似欧盟GDPR同等强度的强有力的隐私保障机制(部分立法实践已经在推进实施)。与此同时，促进网络经济的持续创新和增长依然是美国隐私立法所关注和支持的重点，它支持信息的灵活性和自由流通，以确保工业界和其他人使用数据来创造新的技术、产品和解决方案。故此，美国隐私立法确立了在确保公民隐私受到保护的基础上，为技术和商业模式的演变提供充分的、灵活性的立法原则与实践模式，立法的核心强调“商业目的个人资料的收集和处理必须是合理和适当的”，以此寻求数据保护与提供服务间的平衡点。

对中国个人数据与隐私保护立法而言，基于信息技术变革下多方利益均衡的诉求，应立足于实现个人信息保护利益、信息业者利益、国家管理社会公共利益间的均衡[1]。身份可识别性，以及“通知与许可”的隐私保护规则依然是我国隐私保护的基本规则，提供服务的主体应确立清晰的个人数据收集、使用(含二次使用)、共享、许可、转让等方面的规则，并具体化“通知与许可”规则的内容[11]。用户个人数据的使用应不涉及隐私侵权、信息泄露风险，且信息使用者能够确保信息使用过程中的透明、安全、可信、目的正当。

(三)“选择退出”机制依然是隐私和数据保障的基本规则

研究认为，大数据时代个人信息保护，包括个人隐私保护应从个人控制走向社会控制[12]。美国已在多领域多层面形成隐私和数据保障规则。按照已有的隐私和数据保护规则，提供金融、健康、通信、消费等服务者，与用户确立关系前及以后每年应向每个用户提供隐私通知，隐私声明必须包括所收集的有关用户信息的共享位置、如何使用以及如何保护问题，用户有权选择退出与无关联方的信息分享。如果隐私政策在任何时间点发生变化，则必须重新通知用户接受。每次重新设定隐私通知时,用户都有权再次选择退出。在公司与公司之间的隐私政策协议方面，隐私规则明确规定：接收非公开信息的非关联方应遵守用户的接受或退出条款。隐私通知表格的范式应使消费者更容易了解服务提供者如何收集和分享消费者信息的。

尽管《推进隐私通用操作规则框架》提出倾向于在数据共享方面为用户提供选择进入模式，而非选择退出模式。但实施用户“选择退出”权利机制依然是美国隐私立法规制中的重要内容，也是企业隐私声明的重要内容，即赋予客户选择不允许与非关联第三方共享他们信息的权利，但是，当信息分享给那些有限提供金融机构服务的、产品或服务市场是针对金融机构的、信息被法律确认需要分享的，用户不得选择“退出”。

(四)多层面、多重隐私保护规则诉求企业综合合规遵从

研究认为激励相容的个人数据治理路径应是个人信息立法保护的方向，这可激发外部执法，发挥信息控制者的积极作用[10]。美国隐私立法确立了“多重标准-自我中心”的模式[13]，但是，美国立法实践总体显示其形成有多领域多层面的涵盖信息保护、实施(应用)、共享、泄露惩罚等全链条的隐私和数据保障规则。美国隐私立法涵盖层面广泛，且隐私规则总体规定的非常具体和明确，有清晰的遵循指示，但由于其散见于不同的领域和不同的层面，这为企业合规遵从提出了较高的标准和要求，企业在进入美国市场提供产品和服务时，应意识到隐私遵守规则的综合性而非单一性，应扩大对相关数据和隐私政策规则的收集面，充分了解自身产品和服务的市场定位以及可能涉及的数据和隐私遵守规则，如提供金融服务时即可能涉及《金融服务隐私规则》、消费者隐私保护规则、在线用户隐私规则，涉及儿童的还需遵从儿童隐私保护规则。当然，对于国内互联网企业而言，首先应制定严格的遵守计划和规则，充分履行保障义务、说明义务、风险控制义务、忠实义务；其次，应持续保护用户非公开个人信息，对非公开信息处理部门的适时风险进行分析；最后，应加强保护用户信息技术的开发，完善监控和监测程序，并根据需要更改信息的收集、存储和使用方式。