山东科技大学副教授 赵丽莉
西安交大科教院 郑蕾
一、美国数据隐私立法概况
美国目前尚没有统一、综合的联邦层面数据隐私法,但是基于美国判例法的实践,联邦和各州都自成法律体系,美国已经有一套适用于规范数据收集和使用,以及隐私保护的规则。
(一)分行业立法
《联邦贸易委员会法》(Federal Trade Commission Act)是一部联邦消费者保护法,禁止不公平或欺诈行为,保护离线和在线隐私和数据安全。联邦贸易委员会(FTC)已对未遵守公布的隐私政策和未经授权泄露个人数据的公司采取了许多强有力的执法行动。FTC也是儿童在线隐私保护法案(COPPA)的主要执行者,该法案适用于儿童信息的在线收集。
《金融服务现代化法》(Gramm-Leach-BlileyAct, GLBA)规定了金融信息的收集、使用和披露。它适用于银行、证券公司和保险公司等金融机构,以及其他提供金融服务和产品的公司。GLBA限制非公开个人信息的披露,并且在某些情况下要求金融机构提供给数据主体选择不共享其信息的机会。
《健康保险流通与责任法》(HIPAA)规范医疗信息收集和使用。它适用于医疗保健提供者、数据处理者、药房和其他与医疗信息接触主体。《个人可识别健康信息隐私标准》(HIPAA隐私规则)适用于受保护健康信息(PHI)的收集和使用。《电子保护健康信息保护安全标准》(HIPAA安全规则)提供了保护医疗数据的标准。《电子交易标准》(HIPAA交易规则)适用于医疗数据的电子传输。
《公平信用报告法》(以及修订“公平信用报告法”的《公平和准确信用交易法》)适用于使用消费者报告的消费者报告机构(如贷方)和提供消费者报告信息的人(如信用卡公司)。消费者报告用于评估消费者的信用或保险资格。
《电子通信隐私法》和《计算机欺诈和滥用法》分别对截取电子通信和计算机篡改进行了规定。
(二)通过FTC实施强有力的联邦执法
美国联邦贸易委员会(以下简称FTC)是执行多种反托拉斯和保护消费者法律的联邦机构,是美国联邦层面上唯一拥有广泛的消费者权益保护法律执行权力的机构,也是数据和隐私保护主要执法机构。FTC的工作主要是保护消费者免受侵害,阻止不公平或者欺骗性的贸易行为及实践,为此,FTC采取多重手段来保护消费者隐私和个人信息,形成了强有力的联邦执法机制。FTC负责确保隐私与安全项目的全面落实,建立两年一次的独立专家评估制度,建立对于消费者的赔付救济,不当得利的追缴,删除非法获取的消费者信息等,为消费者提供强有力的透明度和选择机制保障。
1.采取强制执法措施
FTC最主要的手段就是采取强制执法措施来制止违法行为,并要求企业采取积极整改措施。FTC的授权主要来自于《联邦贸易委员会法》第5条,该法禁止在市场中实施不公平或欺骗性的行为。FTC也有权基于《真实借贷法》、《反垃圾邮件法》、《儿童在线隐私保护法》、《平等信用机会法》《公平信用报告法》、《公平债务催收实践法》和《电话营销与消费欺诈滥用防治法》等授权进行具体领域的执法。根据《联邦贸易委员会法》(FTCA)的规定,FTC拥有对案件进行调查、做出行政命令、提起民事诉讼以及禁止令等权力,案件当事人如果对FTC的决议有异议,可以向联邦法院提起复审要求。与此同时,FTCA中指出,对于某些案件,FTC的决议具有终局性。
2. 针对违法行为诉诸于民事处罚程序
从FTC的执法职能来看,FTC可以对某些违反隐私法令和规则的行为直接主张获得民事罚款的支持,法令和规则的范围包括《儿童在线隐私保护法》、《公平信用报告法》和《电话销售规则》等等。如果一家公司违反了FTC的相应指令,确定正在实施欺诈行为,为了阻止欺诈,保护消费者,FTC有权直接向法院申请禁止令、要求民事赔偿或消费者赔偿。迄今为止,FTC已经通过上百个隐私与数据安全的执法案例为百亿计的消费者提供了保护。
3.实施和解协议制度
一般情况下,FTC采取的调查活动是非公开的,主要是为了保护企业利益的同时保护调查活动本身。当认为“欺诈”还只是一种争议或者当该行为没有对消费者直接造成损失时,将试图与相应的网络经营者(公司)签署同意令(也成为和解协议)。此前,Facebook涉嫌违背数据保密的承诺、谷歌用户虚假陈述等案件均与FTC达成了和解协议,并支付了相应罚款。和解协议大都发生在隐私保护欺诈案件中。只有当公司拒绝签署和解协议或者在执行该和解协议期间有所违反,FTC才会对其提起相应的民事诉讼。和解协议中针对不同情形确定,处罚并非必然,但是FTC拥有和解协议后续执行的调查权,FTC一旦发现签署协议者违反了和解条款,将对其处以高额罚款。
(三)形成以自由竞争为基础、政府引导下的行业自律规则
行业自律是美国传统消费者保护领域的主要措施之一,在互联网市场也不例外,美国形成了以自由竞争为基础、政府引导下的行业自律规则,其形式有三类:建议性行业指引、网络隐私认证、技术保护模式。
建议性的行业指引。许多从事网上业务的行业联盟都发布了本行业网上隐私保护准则,如“在线隐私联盟(Online Privacy Alliances)”,“银行家圆桌会议”、“直销协会”、“互动服务协会”等等,其中“在线隐私联盟”最为著名,由近百家国际公司和协会组成,致力于为商业行为创造互信的良好环境和推动对个人网络隐私权的保护。它于1998年6月发布了以联邦商业委员会的建议为原则的在线隐私指引,旨在指导网络和其他电子行业隐私保护。
网络隐私认证。不同于适用统一行业内部的建议性行业指引,网络隐私认证是跨行业的联盟。他们授权那些达到其隐私标准的网站张贴其隐私认证标志,以便于用户识别。美国著名的网络隐私认证组织有TRUSTe、BBBOnline、WebTrust等。
技术保护模式。最常见的一种模式是由互联网协会推出的个人隐私选择平台(platform for privacy preferences Project,简称P3P)。P3P让网站指明对个人数据使用和公布的状况,让用户选择个人数据是否被公布,以及哪些数据能被公布,并让软件代理商代表双方达成有关数据交换的协议。在这种模式下,个人能够利用充足的信息做出明智的决定,同意或是拒绝提供本人的数据,并能够委托软件代理商将决定付诸实践。但该模式在实践中发挥的作用非常有限。
美国政府认为通过行业自律加强网络隐私保护对网络商品或服务提供者是有利的,会促进他们主动采取措施对消费者隐私提供保护,而且面对网络与信息技术飞速的发展,商业形式进一步多元化,实际上任何确定的法律法规都可能因为很快不能适应而成为国家信息产业发展的绊脚石。当然,美国推行的行业自律规则是在政府严格引导下确立的,政府与行业之间有着非常密切的互动关系,例如,FTC在2014年的《隐私和数据安全年终报告》中就曾指责TRUSTe未按照其发布的认证章程履行年检责任。
二、美国数据隐私立法的最新进展
2018年由于Facebook事件以及GDPR的生效,美国国内也展开了关于数据隐私立法的新探索,本部分我们拟就已经出台和相关提案进行梳理。
(一)2018-2019年出台的美国数据隐私立法
在美国,所有50个州都通过了数据泄露通知法,在2018年出台或新修改的法律中都扩展了个人信息的定义并强制要求实施某些信息安全要求。
2018年6月28日,美国加利福尼亚州通过了《消费者隐私法2018》(CaliforniaConsumer Privacy Act of 2018,简称CCPA)以提高加州民众的隐私保护水平。该法将于2020年1月1日起正式施行。CCPA旨在加强对消费者的隐私权利和数据安全的保护,并对企业遵循义务做出规定。该法被认为是美国国内最严格的隐私立法,开启了美国统一数据隐私立法的高潮。
2018年9月28日,美国加州通过《信息隐私:互联设备法》(Information privacy:connected devices),自2020年1月1日起,任何“直接或间接”连接到互联网的设备制造商必须为其配备“合理”的安全功能,防止未经授权的访问、修改或信息泄露。如果可以使用密码在局域网外访问,则需要为每个设备提供唯一的密码,或强制用户在第一次连接时设置自己的密码。
(二)2018-2019年联邦和州层面的隐私立法提案
2018年5月24日,美国参议院提出一项新决议,鼓励企业将欧盟《通用数据保护条例》(GDPR)中的隐私保护要求适用于美国用户。为加强美国的隐私保护水平,决议对数据控制者和处理者的义务和数据主体的权利做出了规定。
2018年7月31日,美国众议院提出一项决议,鼓励网络连接提供商(edgeproviders)、宽带提供商(broadbandproviders)和数据经纪人(databrokers)在自身政策中加入明确的数据保护条款。
2018年9月4日,美国众议院通过《国土安全部首席数据官授权法案》(Department of Homeland Security Chief Data Officer Authorization Act)。法案要求,国土安全部部长应与首席信息官(Chief Information Officer)协商,以指定该部门的首席数据官。首席数据官(Chief Data Officer)应具备在数据管理、治理、生成、收集、保护、分析、使用、共享,包括个人身份信息的保护和去识别化方面的培训和经验。
2018年9月24日,美国众议院引入《信息透明度与个人数据控制法案》(Information Transparency& Personal Data Control Act),要求联邦贸易委员会(FTC)颁布处理敏感个人信息和行为数据的规定。法案明确规定,FTC应当在该法生效后1年内出台相关规定,规范运营商收集、使用、销售、共享或以其他方式使用敏感个人信息或行为数据的行为。其中“运营商”是指,以商业目的,运营网站或提供在线服务,收集使用个人信息的实体,包括不与用户直接交互但购买或销售个人信息的实体。“敏感个人信息”是指与已识别或可识别的个人相关的财务信息、健康信息、关系信息、13岁以下的儿童信息、社交号码、生物信息、性取向信息等。
2018年11月9日,美国参议员Ron Wyden提出《联邦隐私法案》(Federal Privacy Bill)草案,旨在扩大联邦贸易委员会(FTC)权力,制定严厉的(significant)民事罚款及刑事处罚。
在保护用户在线数据保护规范方面,2018年12月12日,美国参议院引入了《数据保障法案2018》(Data Care Act of 2018),旨在为个人在线数据保护提供规范。法案重点规定了在线服务提供商的三项义务:保障义务(duty of care)、忠实义务(duty of loyalty)和保密义务(duty of confidentiality)。其中,保障义务包括保护个人识别数据免受未经授权的访问、敏感数据泄露及时通知。忠实义务包括使用个人数据不得损害用户权益而使自己获益。保密义务包括不得披露或出售个人数据,除非满足相应的要求。
2017年底以来,国会先后围绕数据隐私召开了五次听证会,主题分别如下:在重大数据泄露时代保护消费者者(2017年11月);数据安全与漏洞赏金项目(主要针对Uber数据泄漏事件,2018年2月);评估数据隐私风险(主要针对剑桥分析隐私违规事件,2018年6月);研讨消费者数据隐私的防护现状(2018年9月);欧盟及加州立法在消费者数据方面带来的教训(2018年10月)。五次听证会主要是针对互联网企业收集使用个人数据中面临的风险。而来自企业的专家们在听证会上主要表达了对统一、联邦层面、以及可遵守的综合隐私法的期待。
三、美国数据隐私立法的主要趋势
(一)美国拟推动类似GDPR性质的统一立法进程,实施更严格的隐私保护
2018年3月,Facebook数据泄露事件曝光之后,加之欧盟GDPR的广泛影响,美国加州出台CCPA法,各州也在积极推进和完善自己的隐私数据保护立法,国会参众两院对联邦统一立法也有相关的法案提出。对于大型互联网企业而言,为了避免在各州适用不同的规则,在联邦层面统一的数据隐私法将降低其合规成本和合规难度,因此互联网企业多呼吁在联邦层面进行立法。但相对于美国判例法的传统,在联邦层面的统一立法出台并非一朝一夕之事。
(二)平衡隐私保护与产业发展是其隐私立法的基本定位
美国确立了在公民隐私保护基础上,为技术和商业模式的演变提供充分灵活性的立法原则与实践模式,立法的核心强调“商业目的个人资料的收集和处理必须是合理和适当的”,以此寻求数据保护与提供服务间寻求平衡点。根据美国已有的隐私和数据保护规则,提供金融、健康、通信、消费等服务者,与用户确立关系前及以后每年应向每个用户提供隐私通知,必须解释所收集的有关用户信息的共享情况、如何使用以及如何保护问题,用户有权选择退出与无关联方的信息分享。用户“选择退出”权利机制是美国隐私立法规制中的重要内容,也是企业隐私声明的重要内容,即赋予客户选择“不”允许与非关联第三方共享他们信息的权利,但是,当信息分享给那些有限提供金融机构服务的;产品或服务市场是针对金融机构的;信息被法律确认需要分享时,用户不得选择“退出”。
(三)多层面、多重隐私保护规则诉求企业综合合规遵从
美国数据隐私立法涵盖信息保护、实施(应用)、共享、泄露惩罚等方面,但散见于不同的行业立法和州立法之中,这为企业合规遵从提出了较高的标准和要求。企业在进入美国市场提供产品和服务时,应意识到隐私遵守规则的综合性而非单一性,扩大对相关数据和隐私政策规则的收集面,充分了解自身产品和服务的市场定位以及可能涉及的数据和隐私遵守规则,诸如提供金融服务同时即可能涉及《金融服务隐私规则》,又可能涉及消费者隐私保护规则、在线用户隐私规则、涉及儿童的还需遵从儿童隐私保护规则等。
参考来源:美国国会参议院商业、科学和交通委员会