李明发 孙 昊

（安徽大学，安徽 合肥 230601）

对于美国和其他国家的经济和社会活动而言，互联网不可或缺。网络技术有利于激励创新，使得全新的商业模式、消费者和企业的信息以及商品服务在全球市场自由流通。

维护公众对互联网经济的信任是促进经济可持续发展的关键。美国网上零售总额平均每年高达一万四千五百亿美元[1]。如果个人信息隐私安全性能得到适当保障，那么合理使用这些信息就能额外增加大量就业机会。维持消费者的信任对于充分实现互联网技术的社会文化效益也必不可少。如果企业使用个人信息的方式与消费者当初披露这些信息的初衷不符，那么该企业势必会逐渐丧失消费者的信任。未经授权披露个人敏感信息会侵犯信息所有者的合法权益，造成某些损害或人身性歧视，甚至会导致受害者为了维护合法权益而进行诉讼[2]。

美国的《消费者信息隐私权法案》正是在此背景之下应运而生，其不仅鼓励改革创新，且有助于加强个人信息隐私的法律保护。以该法案为核心建立的个人信息保护框架主要涵盖以下四个基本原则。

一、确立了个人信息隐私权保护的基本原则

强化消费者隐私权保护，激发创新活力，需要建立完善的、全方位的、灵活的信息隐私权保护机制。美国极力推崇FIPPS，其最终成为全球性的信息隐私权保护基石，很多国际性信息隐私保护条约至今仍以FIPPS为基础。但随着企业收集、储存、分析个人信息能力的快速发展，其已不能充分满足时代的发展需求。

在以个人信息处理分散化和普遍化为显著特征的时代里，《消费者信息隐私权法案》使得FIPPS的有关规定能够充分发挥作用。大公司和政府机构不再是个人信息的收集、储存的主力。公司为了实现各种各样目的逐渐增加个人信息的收集数量；消费者通过各种渠道，更加主动地与他人分享其个人信息。重新使用这类个人信息是提升创新水平的要件之一，在为消费者带来各种便利的同时也引发了很多隐私问题。

为了更好地应对这种挑战，《消费者信息隐私权法案》在两方面继承发扬了FIPPS的核心原则。首先，该法案明确了一系列消费者权利，公司应当明确告知消费者其将收集、处理何种个人信息。此外，该法案也明确了消费者对其个人信息也负有一定保护义务。其次，该法案着重强调公司使用消费者个人信息的情形，这与FIPPS的核心原则一致。确定使用情形的基础是消费者为使用某公司产品或服务而能预料到该公司使用其信息的目的，需注意的是公司必须确实能提供该服务，且个人信息交换对于其提供该服务是必不可少的。

《消费者信息隐私权法案》规定了保护消费者个人信息的基本原则，包括个人控制原则、透明度原则、尊重消费者初衷原则、安全性原则、确保访问畅通和信息精确性原则、责任原则。

此外，对于为了商业目的而使用消费者信息的，也适用该法案。这里的信息是指所有的消费者信息，包括那些与特定个体紧密联系的信息[3]。

（一）个人控制原则

该原则指消费者有权决定公司可以收集何种个人信息，也可决定这些信息的具体用途。公司应当提供简明易用的机制，使消费者能够决定其与他人共享何种信息，选择公司收集、使用、披露其个人信息的方式，同时该机制应当能全面反映公司收集、使用、披露的个人信息范围、规模以及敏感程度。此外，公司应允许消费者取消或限制其先前做出的许可。该原则主要包括以下内容：

1.对于收集、使用、披露的信息范围、规模以及敏感性，公司应为消费者提供适当的选择。尤其对于那些包括搜索引擎、在线社交平台在内的有机会接触消费者互联网使用记录的企业，随时间的推移其能够逐步建立详细的个人行为档案。这些档案可能包含诸如个人健康信息等的敏感资料。在此情况下，个人选择机制能够有效控制公司使用、披露消费者信息。相反，对于那些不收集、使用消费者个人信息的企业，其可为消费者提供相对较少的选择。

在任何情况下，面向用户的企业都应为消费者提供适当的选择，无论是其使用消费者信息，还是披露给他方使用。当面向用户的企业与第三方签订从消费者处收集信息的合同，这些企业有义务了解第三方如何使用这些信息，以及其是否向消费者提供有关信息收集、使用和披露的选择。第三方也应为消费者提供与其收集信息范围、规模、敏感性相符的选择。近年来，有关第三方收集消费者信息的讨论主要聚焦在行为广告上，即为了向消费者投放定向广告而收集消费者上网信息，以了解消费者兴趣爱好。广告商可以通过分析消费者个人兴趣爱好，达到投放定向广告的目的，而这一切都是以收集消费者的互联网行为为基础。许多消费者和隐私权支持者发现类似的追踪和广告实践很容易侵犯公众的信息隐私权。

2.消费者应当为自己的选择结果承担相应的法律责任。消费者选择了相关的隐私权设置，并决定与他人分享个人信息已成为使用消费者个人信息的开端，这类现象在近年来逐年增加，尤其在网络社交平台中。在类似的情形中，消费者应当慎重评估其选择的潜在风险，并为自己的选择结果负责。控制初始的信息分享在保护消费者信息隐私权中至关重要。

个人控制原则承认消费者信息中所包含的隐私权持续存在。因此，该原则赋予了消费者撤销权，使其能够撤销同意公司收集、使用其信息的决定。公司为消费者提供的撤销途径在数量上应当等同于该公司获取信息的途径。

消费者撤销权的行使存在三个限制性条件。第一，能够推定消费者与公司的直接联系从未中断过；第二，仅仅对于那些在公司支配下的信息，公司才有义务尊重消费者的撤销权；第三，对于《消费者信息隐私权法案》正式实施之前公司收集的消费者信息并不适用该撤销制度，除非公司在收集信息时已做出类似声明。

（二）透明度原则

该原则指消费者有权了解并获悉与其隐私有关的信息。在消费者能充分理解信息隐私权风险并能实施个人控制的情况下，企业应当向消费者明确解释其收集何种信息，为何收集该信息，如何使用该信息以及是否与第三方分享该信息，如果分享，又是出于何种目的。

对个人信息的收集、使用、披露进行简洁的语言陈述有利于消费者理解有关商业条款的相互作用。当这些陈述与判定隐私权风险密切相关时，公司应当确保消费者能够获知该陈述。现行的许多隐私声明平等关注所有潜在的信息使用，与此不同的是，《消费者信息隐私权法案》规定的隐私声明强调的是如果公司使用个人信息超出消费者预期，就应全面告知消费者。此外，该隐私声明能将不同公司的信息披露方式逐渐统一起来，引起忽视隐私声明的消费者注意，甚至有利于促使分属于不同服务或商品领域的隐私保护政策彼此竞争，更具特色。

此外，公司应当用方便消费者实际阅读的方式提供隐私声明。公司有必要以更加人性化的方式为移动消费者提供有关信息，提供服务时应当充分考虑移动设备的自身缺陷，如尺寸小，移动设备特有的隐私风险等。

最后，对于那些不直接面对消费者的公司，如何收集、使用、披露消费者的个人信息需作出切实可行的明确解释，并向公众公布解释的可行方式。此外，对于那些直接面对消费者的公司，当其向第三方提供收集的信息时，需要向消费者解释该行为的特殊目的。这就要求消费者将更多的精力放在判断其是否与有关企业建立了联系。同样，公司应当明确披露其从第三方获得的个人信息，第三方的身份以及如何使用该信息，这有利于提升消费者信息隐私权保护的透明度。透明度的提升有利于促进保护隐私技术的发展，并鼓励消费者使用该技术维护自身的信息隐私权。

（三）尊重消费者初衷原则

该原则指消费者有权期待公司收集、使用、披露其个人信息的方式与消费者提供该信息的初衷相一致。公司使用、披露消费者个人信息应遵从其与消费者达成的协议，法律有明确规定的除外。当《消费者信息隐私权法案》实施之后，如果公司需为其他目的而使用或披露消费者个人信息，该公司就需提供更高层级的透明度和个人控制，可以通过易于消费者接受的方式对所谓的其他目的进行披露。最后，消费者的年龄和对网络技术的熟悉程度也是适用该原则时需考虑的重要因素。公司必须全面履行该原则所规定的义务，同时履行方式应与消费者的年龄和互联网水平相适应。尤其需要注意的是，与保护成年人的个人信息相比该法案更注重保护儿童[4]和青少年的个人信息。如不允许网络服务商收集儿童的个人信息，即使其已取得所需的书面同意，这样严格执行更有利于保护儿童的隐私权。

该原则主要包括以下几方面内容。

1.该原则区分消费者信息的使用基础，判断其与消费者使用该公司服务初衷的联系程度，同时也审核公司提供该服务所需的必要流程。首先，明确目的，即要求公司在收集个人信息时，向消费者明确释明其收集该信息目的。其次，限制使用，即要求公司只能为了实现该特定目的而使用其收集的消费者信息。

该原则在两方面继承、发展了现有原则。首先，该原则规定了一个实质性的准则，并以该准则指导公司的隐私保护实践。总的来说，即使是为了实现与消费者提供信息初衷相一致的目的，公司也应当限制使用收集的信息。其次，虽然该原则强调消费者在披露信息时与公司建立相互关系十分重要，但也承认这种关系会随着时间的推移不断发生变化。

此外，公司为实现消费者特意要求的某些目标而推断消费者同意其使用、披露有关信息的，只需消费者对该服务有一般性了解即可。公司也可为一般性目的使用、披露消费者个人信息，即使这些目的并不为消费者所熟知。如为了提升服务质量而分析消费者如何使用该服务，防止欺诈，服从法律强制性规定和其他法定义务以及保护知识产权等。公司在严格遵守《消费者信息隐私权法案》的其他基本原则基础上，可以推断消费者同意其为了特定目的而使用个人信息。

2.规范公司与消费者间的相互关系是决定该原则适用的另一要件。该原则并非排除所有商业广告模式，而是要求公司能够基于不同的个人信息识别不同类型的商业模式，从而判定不同程度的隐私风险。在消费者提供个人信息的同时，公司应当明确告知其享有的权利。对于那些有关就业、保险资格以及其他对消费者有重要影响的信息，网络广告公司在收集、使用、披露的过程中保持最大限度的克制。

（四）安全性原则

该原则指消费者有权保护以及负责任地处理其个人信息。公司有义务评估个人信息面临的隐私权风险以及安全性问题，为了控制有关风险需要履行必要的安全保障义务。

确保个人信息安全的技术和程序对于保护消费者隐私至关重要。涉及个人信息的安全漏洞，无论是源于意外事件还是恶意攻击，其都会造成一定的经济损失和人身损害。如果公司对个人信息丧失了控制权，公司的合作伙伴或客户终止了相互间的协议，那么必将要面临信誉崩溃的风险。为避免此恶果，公司会竭尽全力维护消费者个人信息安全。对于特定公司来说，建立适当的信息安全预防机制，需要考虑业务类型，收集的个人信息种类，潜在的损害以及其他各种因素。该原则承认这些因素的存在，因此赋予公司一定的自由选择权，允许选择最符合公司特质的技术和程序维护消费者信息安全，但仍需遵守现行有效的规范信息安全的法律法规。

（五）确保访问畅通和信息精确性原则

该原则指消费者有权通过适当的途径，以适当的方式访问、修正其个人信息，该途径和方式必须与信息敏感度相符合。公司应当采取适当的手段确保其持有信息精确无误。公司也应为消费者提供合理的途径，使其能够访问公司收集或持有的与其相关的个人信息，并允许消费者修正错误信息或请求公司删除或限制使用该错误信息。公司在决定采取何种措施确保信息精确性，并允许消费者访问、修正、删除的过程中，应当将其收集、持有的个人信息范围、规模以及敏感性纳入考虑之中。

越来越多的企业依赖消费者的个人信息进行决策，这些决策将会从各个方面对消费者产生影响。这些领域以外的情形受到其他特定的联邦隐私权保护法案的规制，例如HIPAA和公平信用报告法案。虽然现阶段消费者尚无权访问或修改其个人信息，但《消费者信息隐私权法案》颁布以后，美国正致力于以方便移动设备阅读的方式发布互联网领域的有关信息[5]。允许消费者访问其个人信息正是在商业领域作出类似的承诺。政府鼓励公司将个人信息转化成特定可行的格式以方便消费者及时访问、修正。

该原则承认使用错误的个人信息会导致一系列严重后果。除了公司收集个人信息范围、规模以及敏感性之外，这些损害风险也有助于判断在特定情形中，何种访问和修正是合理的。总之，公司向消费者提供的，允许其访问个人信息的机制都不能导致额外的隐私或安全风险。

（六）责任原则

该原则指对于公司收集、处理的个人信息，消费者享有所有权，且有权通过特定的途径确保公司贯彻落实《消费者信息隐私权法案》的规定。公司应就保证坚持以上各项原则而对执法当局和消费者承担相应的责任。公司也有义务确保员工遵守这些原则。为履行该义务，公司应组织员工进行培训，确保员工以适当的方式处理消费者个人信息，并定期进行有效评估。如果公司向第三方披露消费者个人信息，那么应承担最低限度的保证义务，即确保信息接受方在可强制执行的合同义务项下落实这些原则，除非法律明确规定其应履行其他义务。

信息隐私权的保护依赖于公司对消费者和执法机构的负责。然而，该原则已超越传统意义上的外部责任。能以实际行动证明其圆满完成了隐私声明的公司定能进一步维系、加强消费者的信任。有必要以公司规模、业务构成以及信息的敏感度为基础建立适当的评估机制，该机制可以成为自我评估的手段，并不需完整的审计。

此外，必须将责任与不断流动的个人信息紧密结合起来。站在《消费者信息隐私权法案》的立场上看，该原则强调的并不是信息披露，而是信息披露是否会导致对个人信息的使用；该信息的使用是否符合消费者初衷；是否能满足消费者控制信息的要求。因此，如果公司向第三方披露了收集的个人信息，那么该公司不仅要承担相应的责任，而且有义务确保信息接收者对信息的使用、披露符合该法案。

二、通过多方参与制定强制性的共同行为准则

要想既执行消费者隐私权法案的基本原则，又能激励使用个人数据，需要通过法定程序确立更多特定的行为方法。美国政府鼓励私人公司、工业团体、隐私权支持者、消费者组织、专家学者、国际合作伙伴、其他组织团体制定共同行为准则，为有效执行《消费者信息隐私权法案》基本原则奠定基础。

在消费者个人信息隐私领域，以及其他影响国家互联网战略的领域，众多机构都能为互联网繁荣做出贡献是建立在多方参与基础上的。这促使美国政府将互联网定义为一个开放的，以消费者为导向多方共同参与的平台，通过该平台能增进交流，激励创新，促进经济增长[6]。

美国政府之所以支持开放、透明的多方参与架构，是因为一旦建立此架构，就能为参与者提供一定程度的灵活性，分散政策带来的风险，更有效地应对互联网领域出现的挑战。此外，美国在未来几十年将会面对广泛、复杂而又全球性的消费者信息隐私问题，建立能在全球范围内有效运转的机制显得尤为重要。

多方参与机制的另一个优势是与行政法规和其他政策性机构相比，能更有效地提出合适的解决方案。最后，多方参与机制在解决问题时并不依赖单独的权力机构。特定的多方参与机构能有效应对互联网领域出现的各种特定类型挑战。这种特定化不仅能加速解决问题，更能避免参与者重复劳动。

此外，促使参与者加入该机制的诱因是双重的。公司需要通过与消费者和其他参与者直接互动赢得消费者信任。选择适用该机制的共同行为准则能进一步取得消费者信任。在该行为准则项下的所有执法行动中，执法机构都会将公司坚持该行为准则作为从轻或减轻处罚的考虑因素。

NTIA有足够的权力和管理互联网的专业技术，所以能够为了解决消费者隐私权保护问题而召集多方参与者共同创设特定的参与机制。创设消费者隐私权保护的多方参与机制的基本程序：①商议制定共同行为准则；②决定采用共同行为准则；③随着市场和技术的发展逐步修订共同行为准则[7]。

（一）商议

1.分析消费者信息隐私权保护领域存在的主要问题。在NTIA的协助下，多方参与机构对涉及重大的消费者信息隐私问题的市场或工业领域进行细致分析，为制定共同行为准则做好充分准备。

2.启动和促进商议进程。NTIA应当采取相应的措施支持更多的参与者加入制定共同行为准则进程。多方参与者的首要任务是建立相应的操作流程。美国政府致力于坚持该过程的开放性和透明性；然而商议过程必须满足参与者的需求，从而确保参与者遵从商议结果。

3.得出结论。代表所有参与者利益的共同行为准则已准备就绪，只待公司确定采纳。在此阶段，NTIA需要与参与者共同努力，帮助其解决困难。有些参与者可能会提出某些僵化的条款，对达成共识造成很大阻碍，为将此情形发生的可能性降到最低，参与者需要在准则之外讨论、制定有关规则或程序，以此控制达成一致结论的途径。

（二）采用

当共同行为准则制定完毕，有关公司可能会选择采用该准则。美国政府期望公司坚持行为准则的承诺最终能产生强制执行力。强制执行力对于确保公司对消费者隐私的保护完全符合承诺至关重要，也有利于赢得消费者信任。

（三）修订

多方参与机制的核心目标是使参与者能够不断修正其隐私保护策略，从而更好地应对科技、消费者期待以及市场环境的迅速变化，确保消费者信息隐私安全。多方参与机制为遵守共同行为准则提供多种方式。考虑到技术和市场的改变，参与者有权在任意时刻宣布共同行为准则对其不再具有任何效力。NTIA也可重新召集参与者，再次制定有关行为准则。美国政府不会修订共同行为准则，但多方参与组织会在美国政府的指导下完成修订。

三、由联邦贸易委员会负责强制执行《消费者信息隐私权法案》

在执行《消费者信息隐私权法案》的过程中，政府机构扮演着不可或缺的角色。联邦贸易委员会（以下简称FTC）是联邦政府机构中领导保护消费者隐私的权力机关。FTC展开执法行动意味着公司未能严格遵守保护消费者隐私的承诺。此外，在公司未采取合理有效措施保护消费者个人信息安全的情况下，FTC可对该公司采取相关措施。FTC之所以能够应对技术和市场的改变对保护消费者信息隐私带来挑战，是因为FTC采取了灵活的执法手段：在其管辖权范围内，FTC有权强制公司遵守共同行为准则。

无论是否存在消费者个人信息隐私方面的立法，FTC都应为制定行为准则提供帮助和建议。一旦参与者制定了共同行为准则，为了获得更大程度的确定性并让客户确信其正竭尽全力保护消费者的信息隐私，公司会自愿遵守该准则。公司可在不同的业务领域内选择适用共同行为准则。《消费者信息隐私权法案》的基本原则应该确保共同行为准则是持续存在的。

FTC有权执行《消费者信息隐私权法案》的各个构成要素。对于履行保护消费者信息隐私的义务，企业将拥有明确的路线图。让消费者了解美国国会授权FTC在商业领域直接执行完整的隐私保护政策对消费者有利，同时，也能为FTC提供一定程度的灵活性，使其能够通过特定的符合程序性要求的执法行动有效处置突发公众隐私问题。

更重要的是，《消费者信息隐私权法案》为企业创造了公平的竞争环境，为消费者提供一致的期望，为FTC的执法行动提供更加明确、透明的基础。

四、加强国际合作

企业在互联网的协助下不断扩展自身业务范围。这也使大范围的数据流动成为国内和全球经济的重要组成部分。信息隐私保护法律的多样性必然导致企业转移个人信息的代价上升，因为不同国家的法律标准各不相同，企业要想顺利地开展业务，就需要遵守多种法律法规。

虽然为了应对这些挑战，政府会出台各种措施，但努力提升信息隐私保护领域的国际合作对于促进互联网经济持续发展仍至关重要。灵活的多方参与机制能促进信息隐私保护领域的国际合作。美国正致力于与其合作伙伴一同加强信息隐私保护领域的国际合作。这些努力具体包括：促进相互承认，通过多方参与机制制定共同行为准则，强化国际执法合作。

（一）相互承认

个人信息隐私法案的相互承认是在全球范围有效保护消费者信息隐私安全的有效途径。相互承认的基础是寻求个人信息隐私保护领域的共同价值核心。

当公司在一国领域内承担某些法定义务，那么相互承认就意味着所有国家都有权要求该公司履行相应的义务。有效的执行是建立国际合作机制的前提。执行机制以及执行机关因国而异，美国政府也承认许多方式都能充分发挥效力。美国主要依靠FTC的个案执行机制，该机制能有效阻止不公正或欺骗行为发生，同时该机制也促使在个人隐私保护领域形成不断发展的标准。

在相互承认的情况下，问责机制指的是企业有义务明确解释其对强制性隐私保护政策和程序的执行情况（无论是自愿接受还是法律要求）。问责机制包括自我评估和审计两方面。促进相互承认的典型范例是APEC的跨境隐私规则体系，该体系的基础是APEC的隐私保护法案和APEC成员国一致通过的隐私保护原则[8]。

（二）建立多方参与程序，制定共同的国际行为准则

多方参与机制具有灵活性强、效率高等多种特征。当需要制定保护消费者、促进创新的全球性规则时，与传统的政府管理规则相比，多方参与机制具有很多优势。多方参与制定共同的国际行为准则，将该准则与现有的相互承认的规则相衔接，能够显著降低企业的守法成本。

虽然安全港规则已经证明能够促进大西洋两岸的商贸合作，但对部分美国企业而言并非最佳解决方案。对于部分领域，FTC并无管理权限，如金融服务、保险以及电信业，对此安全港规则亦未涉及。这些领域内的部分公司已明确表示希望适用改进后的大西洋数据交换规则[9]。

美国政府计划以安全港规则为基础制定额外的机制——如共同制定行为准则，以此促进相互承认彼此的法律，鼓励信息自由交换，应对不断出现的信息隐私保护挑战。共同的国际行为准则代表了在重要的隐私保护问题上，大西洋两岸的双方已达成共识，终将有一天共同行为准则能够成为安全港规则的重要补充。

（三）加强国际执法合作

为了在全球范围内实现充分保护消费者信息隐私权，健全的国际执法合作机制必不可少。无论该合作是双边还是多边，均有益于加强隐私权保护机构间的信息共享。

在加强与国外伙伴合作方面，FTC享有广泛权力。FTC设立了全球隐私执法网络（GPEN）。GPEN致力于进一步提高隐私执法的优先层级，分享最佳的实践经验并为联合执法行动提供必要支持。FTC加入了大量国际组织，包括OECD、APEC、亚太区私隐机构组织论坛。在GPEN、OECE以及APEC中，美国政府的主要职责是加强全球范围内的隐私调查和执法合作。

五、《消费者信息隐私权法案》特别规定的事由

（一）平衡消费者信息隐私权保护中联邦和州的关系

该法案强调应当为现行的信息隐私保护体制尚未覆盖的领域提供全国性标准。设立全国性标准对于企业坚持保护消费者信息隐私是必要的。如果允许各州分别制定更加苛刻的标准，那么必将极大地削弱利益相关者加入多方参与机制的热情，也会削弱企业采纳共同行为准则的动力。因此，美国政府建议国会取消那些已生效的与该法案相抵触的州法案。

此外，美国联邦政府推荐的方法在各州制定政策、执行规则中起到了不可忽视的作用。各州应在多方参与机制发挥建设性作用。总的来说，该机制将为各州解决消费者信息隐私问题提供有效途径，而这些途径不仅仅取得了各州的共同认可，更在国家层面上保持了一致性。联邦政府与国会、各州以及其他参与者共同商讨是否存在某些特殊领域，在这些领域中需要各州执行各自的规则而又不会破坏联邦法案的一致性。允许各州在其密切监管的领域如电商零售适用各自的规则保护消费者信息隐私。

（二）维持现有的联邦隐私保护法律的有效性

消费者信息隐私立法应当最大程度保持现有法案的有效性，将重复规制降到最低，明确消费者的权利和义务，从而为服务消费者和企业提供更好的服务。总体而言，现有特殊领域内的联邦隐私保护法律创设的义务针对的是该领域内个人敏感信息的使用以及部分普遍做法。如HIPAA及其制定的隐私和安全规则主要规制的是医疗服务提供者、保险人以及健康信息交换中心对个人健康信息的收集、使用和披露。HIPAA默许那些已经被医疗服务提供者普遍接受的个人健康信息的使用实践，如为治愈疾病，在两个医疗服务提供者之间相互交换患者的健康信息。

（三）建立安全漏洞通知的国家标准

对于特定领域的安全漏洞通知，美国政府主张建立统一的国家标准，要求企业将未经授权的个人信息披露及时告知消费者。安全漏洞通知规则（SBN）有效保护了敏感个人信息。该规则要求企业在特定情况下告知消费者个人信息已被传递给未经授权的主体。及时告知可使消费者免受潜在损害，也激励企业着重建立更完善的个人信息保护体制。SBN模式已获得国际社会的广泛认同，有效保护了消费者的合法权益。

目前，美国的47个州以及哥伦比亚特区已制定SBN规则。各州设立的应对紧急事件的有效机制各不相同，因此建立统一的国家机制的呼声日益高涨。各州法律的混杂导致企业守法成本激增，同时也未能使消费者明显受益。作为网络安全立法方案的一部分，美国政府建议创设非经授权披露消费者个人信息事件通知机制的国家标准。该标准将取代现有的各州标准，也将在该领域中排除适用各州未来的有关立法。

六、对中国立法及司法的借鉴意义

（一）对中国立法的借鉴意义

2000年信息产业部发布了《互联网电子公告服务管理规定》，其中第12条规定：“电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露。”

2007年商务部印发了《商务部关于促进电子商务规范发展的意见》，其中明确指出：“引导电子商务企业建立健全网络与信息安全保障制度，采取有效的网站安全保障措施、企业信息保密措施和用户信息安全措施，防范和制止利用互联网盗取商业秘密和提供用户信息给第三方以牟取利益的行为。”

2010年工商总局发布了《网络商品交易管理暂行办法》，其中第16条规定：“网络商品经营者和网络服务经营者对收集的消费者信息，负有安全保管、合理使用、限期持有和妥善销毁义务；不得收集与提供商品和服务无关的信息，不得不正当使用，不得公开、出租、出售。但是法律、法规另有规定的除外。”第25条规定：“提供网络交易平台服务的经营者应当采取必要措施保护涉及经营者商业秘密或者消费者个人信息的数据资料信息的安全。非经交易当事人同意，不得向任何第三方披露、转让、出租或者出售交易当事人名单、交易记录等涉及经营者商业秘密或者消费者个人信息的数据。”

总的来说，我国保护消费者个人信息的法律条款较为有限，对于互联网中消费者个人信息隐私保护的条款更是少之又少。并且现行法律法规中关于个人信息保护的条款适用范围较小，并不能适应当前经济发展的形势。而且这些条款散见于各法律法规，缺乏体系上的呼应，使得这些条款难以有效适用。即便这些条款提出对个人信息的保护，但细究内容，多为对信息持有者的保密义务，且没有规定违反该义务的民事责任。实际上现存为数不多的关于个人信息保护的规定也仅是形式，缺乏可操作性[10]。

在大数据时代，中国立法者应顺应时代潮流，将制定完备、可行的保护消费者信息隐私权的法案提上立法日程，并将其作为该领域内的基本法。在法案制定过程中，应广泛征求科技类公司、工业团体、消费者组织、专家学者、国际合作伙伴以及司法工作者等利益相关者的意见，为更有效地执行基本原则奠定基础。

（二）对中国司法的借鉴意义

第一，确保消费者信息隐私权基本法的贯彻落实，执行至关重要。为了进一步加强公众对消费者信息隐私权基本法的信任，促使公司自觉遵守行为准则，有必要成立独立的自我监管机构，将各个政府部门中涉及到保护消费者信息隐私权的职能或权力集中到该监管机构，由其统一行使执法权，以便其及时发现并纠正各利益相关者的履约问题。

第二，大范围的数据流动已成为中国国内和全球经济的重要组成部分。各国的隐私保护法律各不相同，严重阻碍企业在全球范围内自由转移个人数据。为了应对这些挑战，提升隐私权保护领域的国际合作至关重要。中国立法者、执法者有必要加快国际合作步伐，寻求个人信息保护领域的共同价值核心，并在此基础上推动消费者信息隐私保护法案的相互承认。

第三，由于企业利用互联网不断在全球范围内扩展业务，为了充分保护消费者的信息隐私权，全球范围内的执法合作不可或缺。因此在司法实践中，必须加强全球范围内的隐私调查和执法合作。

［1］Census Bureau,E-Stats[EB/OL].[2011-05-16].http://www.census.gov/econ/estats/2009/2009reportfinal.pdf.

［2］Fed.Trade Common,2006 Identity Theft Survey Report[EB/OL].[2007-11-20].http://www.ftc.gov/os/2007/11/SynovateFinalReport IDTheft2006.pdf.

［3］Peter S Frechette.FTC Jurisdiction over Information Privacy is“Plausible,”but How Far can It Go?[J].American University Law Review,2013（62）.

［4］Kate Crawford,Jason Schultz.Big Data and Due Process:Toward a Framework to Redress Predictive Privacy Harms[J].Boston College Law Review,2014（51）.

［5］National Science and Technology Council.A Policy Framework for the 21st Century Grid:Enabling Our Secure Energy Future[EB/OL].[2011-06-15].http://www.whitehouse.gov/sites/default/files/microsites/ostp/nstc-smart-grid-june2011.pdf.

［6］Neil M Richards,Jonathan H King.Big Data Ethics[J].Wake Forest Law Review,2014（34）.

［7］OECD.High-Level Meeting on the Internet Economy:Generating Innovation and Growth[EB/OL].[2011-06-28].http://www.ntia.doc.gov/legacy/ntiahome/privwhitepaper.html.

［8］Michael D Scott.The FTC,the Unfairness Doctrine,and Data Security Breach Litigation:Has the Commission Gone Too Far[J].University of Baltimore Law Review,2008（49）.

［9］Paul Schwartz,Dan Solove.The PII Problem:Privacy and a New Concept of Personally Identifiable Information[J].Harvard Business Law Review,2014（21）.

［10］张岩.电子商务中消费者个人信息的法律保护[D].重庆:西南政法大学,2011.