美国数据隐私立法发展及对数字经济的启示

2022-02-25袁卫平卞丽娟

江苏通信 2022年6期

袁卫平卞丽娟

1.国家计算机网络应急技术处理协调中心江苏分中心；2.国家计算机网络应急技术处理协调中心福建分中心

0 引言

美国联邦宪法没有直接规定隐私权，但通过1965 年的格里斯沃尔德诉康涅狄格州案确立了隐私权受宪法保护。随着数字经济的发展，数据安全和个人信息越来越受到关注和重视，日渐融入到隐私权的范畴。2018 年以来，谷歌、Meta、推特、亚马逊等科技巨头频频曝出个人信息泄露事件，加之欧盟《通用数据保护条例》（简称GDPR）的出台，极大地刺激了美国社会的敏感神经，激起数据隐私立法的强烈需求和愿望，隐私保护立法被推至空前的高度。

1 美国数据隐私立法的历程和趋势

1.1 联邦隐私立法迭代推进

隐私保护序幕开启阶段。20 世纪60-70 年代，计算机的出现以及信贷数据的广泛收集和共享引发美国社会较大规模的隐私权讨论，尤其是水门事件暴露出联邦机构对个人信息的监控以及政府越来越多地存储和检索个人信息所带来的危害，于是《隐私法案》应运而生，以平衡政府维护个人信息和保护信息隐私的关系。1986 年以后，美国先后出台《电子通信隐私法》《计算机匹配与隐私权法》《儿童在线隐私保护法》《电子政府法》等法律，满足了“公民的隐私期望和执法的合法需要”，保护信息化时代公民的隐私。

网络隐私保护加强阶段。奥巴马政府先后推出《消费者隐私权利法案》2012 版本和2015 版本，为消费者隐私保护建立一个全面的基准框架，要求利益相关方制定可执行的隐私准则，以期填补美国当时隐私立法的空白。2016 年10 月，美国联邦通信委员会（FCC）通过了新的隐私规则，要求互联网服务提供商在使用或共享个人敏感信息之前须获得用户的明确同意。特朗普上任后，政府与立法机构均希望出台新的联邦法律来保护消费者的网络隐私，但成果寥寥。

联邦隐私立法推进阶段。2019 年以来，美国立法者先后提出了数十部联邦数据隐私法，如美国参议员Edward J.Markey 提出《隐私权法案》，众议院议员Anna G.Eshoo、Zoe Lofgren 先后于2019 年和2021 年提出《在线隐私法》，参议员Jerry Moran 提出《消费者数据隐私和安全法案》，参议员Roger Wicker 和Marsha Blackburn 提出《制定美国框架以确保数据访问、透明度和问责制》等，旨在创建联邦隐私法框架，平衡企业的实际需求与消费者的隐私权和期望，为消费者提供更多的数据选择和控制权。2021 年7 月9 日，拜登总统签署《促进美国经济竞争的行政命令》，鼓励美国联邦贸易委员会（The Federal Trade Commission，FTC）就可能损害竞争、消费者自主权和消费者隐私的不公平数据收集和监控做法制定法规以促进竞争，是美国保护消费隐私的最新努力。

1.2 州隐私立法带来刺激效应

美国并未制定专门的联邦数据隐私法，给各州留下了充足的立法空间。欧盟发布GDPR 仅一个月后，美国加利福尼亚州于2018 年6 月28 日通过了《加利福尼亚州消费者隐私法案（2018）》（CCPA），成为美国第一个出台专门的、全面的消费者隐私法的州。该法案被称为加利福尼亚州版GDPR，赋予消费者十余项个人信息权利，适用于为加利福尼亚州居民提供服务的任何企业。2020 年11 月3 日，加利福尼亚州通过选民投票的方式绕过立法机构通过了CCPA 2.0版本——《加利福尼亚州隐私权法案》，在原法案的基础上进行了修订和完善，设立隐私保护局负责CCPA 的实施和执行。这两部法律共同构成了加利福尼亚州消费者隐私法体系，成为目前为止美国隐私保护最全面、水平最高的法律，对其他州和联邦隐私立法产生了重大影响，引发了多米诺骨牌效应。

2021 年3 月2 日，弗吉尼亚州州长签署了《弗吉尼亚消费者数据保护法》，该法以篇幅简洁著称，给予了受监管方足够的合规准备时间，具有较高的“友好度”，获得了科技行业贸易团体以及亚马逊和微软等企业的支持。2021 年7 月8 日，科罗拉多州州长签署了《科罗拉多州隐私法案》，赋予消费者六项个人信息权利，规定了企业处理个人信息的责任和义务。2022 年3 月24 日，犹他州州长签署了《犹他州消费者隐私法案》，确立了消费者访问、删除个人信息等多项权利，规定了信息控制者和处理者多项义务和隐私声明要求，并设立专门部门负责消费者投诉。

自2018 年以来，美国已有34 个州通过或提出了72 项隐私法案，至少24 个州在2022 年的立法会议期内引入了全面的隐私法，预计未来1-2 年内会有更多的数据隐私法正式出台或更新。此外，美国部分州还出台或提出了电子信息隐私法、生物特征信息隐私法、数据泄露披露法、人脸识别服务法等法律。这些法案或聚焦具体服务、或针对特定领域、或突出某一项消费者权利，进一步完善了消费者隐私保护制度。

2 美国数据隐私立法的特点分析

2.1 数字经济隐私需求增加促进隐私权利运动

在数字经济时代，许多新应用、新模式都是对个人信息的新颖开发，加剧了创新和隐私之间的矛盾。2018 年以来，美国科技公司频繁发生数据泄露事件。根据FTC 发布的《隐私与数据安全报告》，截至2020 年，FTC 进行了80 起一般隐私诉讼，涉及脸谱网、剑桥分析公司、Paypal 等知名企业。脸谱网发生的大规模数据泄露事件更是轰动全球，给各国数据安全敲响了警钟。毕马威2021 年进行的一项调查显示，70%的商业领袖增加了对消费者个人数据的收集，86%的消费者日益关注数据隐私，消费者对公司收集和使用数据表达了明显的不信任态度。消费者日益关心个人数据隐私的收集和使用，对既有的隐私法规和行业隐私条款提出质疑，要求加强消费者隐私保护。美国政府和执法机构意识到保护数据安全和个人隐私的迫切性，着力在国会推行立法限制科技公司对隐私的收集和使用，加强对消费者数据隐私的保护。拜登总统发表上任以来的首次国情咨文演讲提到加强隐私保护，将保护儿童在线隐私纳入国家统一议程，由此可见美国政府对隐私保护的重视。隐私危机感陡增让一场数据隐私保护的权利运动正在上演。

2.2 州隐私合规成本高昂倒逼联邦立法提速

随着越来越多的州出台数据隐私法，数字创新、企业发展也越来越受到监管不确定性带来的困扰。州隐私法每年可能施加980 亿-1120 亿美元的州外成本，小企业每年要担负20亿-230亿美元压力。虽然联邦隐私法仍会给企业带来成本负担，但一项针对具体隐私损害而不是假设性损害、提高透明度要求、加强监督和执法以及最大限度地减少对数据使用限制的有针对性的法律，每年的成本约为60 亿美元，比仿照欧盟或加利福尼亚州的法律少20 倍。美国商会致信国会议员，认为各州隐私法在定义、范围、职责和执法方面存在差异，造成消费者和企业的混乱，威胁创新和数字生态系统，而一项对企业明确、公平并赋予消费者权利的国家隐私法将起到促进作用。美国多项民调结果反映了社会对联邦隐私法的期待，Morning Consult 在2021 年4 月进行的民调显示，86%的民主党人和81%的共和党人表示，国会应在2021 年将隐私作为“首要”或“重要但较低”的优先事项，72%的受访者表示国会负责规范数据收集，而各州的这一比例为75%。Morning Consult 和Politico 在2022 年1 月进行的民意调查显示，56%的受访者支持联邦数据隐私立法。联邦数据隐私立法的主要目的是为数据隐私保护建立一个明确的国家标准，保护用户数据隐私并鼓励创新。各利益攸关方就隐私权利的联邦标准正趋于达成一致，但在具体操作、监管和执法等方面存在争议，突出表现在隐私权适用范围、消费者隐私权限、企业隐私义务、隐私执法协调、隐私诉讼等方面。

2.3 科技公司积极参与引导和影响隐私立法

科技公司认为美国在数据隐私立法方面处于落后水平，跟不上数字经济发展步伐，为此他们凭借自身的影响力，正在干预和引导隐私政策的制定。谷歌发布《负责任的数据保护法规框架》，督促国会起草针对网站如何收集用户数据并从中获利的行为的立法，呼吁允许用户方便地访问和控制收集到的数据，并要求数据操作保持透明。微软首席隐私官Julie Brill 呼吁国会采用类似GDPR 的隐私框架，以反映世界对隐私权不断变化的理解，维护基本的隐私权。美国科技公司甚至采取“政治献金”的方式游说出台符合自身利益或对行业有利的隐私法。路透社的一份审查报告揭露，亚马逊在四年时间里将政治捐款增加了十倍，并成功说服弗吉尼亚州立法者通过了一项由亚马逊自己起草的隐私法案，不仅如此，亚马逊还影响了加利福尼亚州和华盛顿州等20 多个州的数据隐私立法，目的是保护公司获取详细消费者数据的权利。美国行业组织TechNet和国家隐私与安全联盟（SPSC）在国会推出隐私法“遥遥无期”之际，游说州议会通过被批评人士称为软弱无力的隐私法案，以阻止个别州采取更强硬的措施，毕竟遵守一部法律比遵守数十部不同的法律容易得多。

2.4 价值观和话语权成为隐私立法的核心考量

根据联合国贸易和发展会议（UNCTAD）数据，全球有137 个国家制定了数据保护和隐私法。美国数据隐私立法主要围绕行业和领域，没有形成统一标准，难以达到GDPR 的效力，使得美国在全球个人数据保护的标准制定方面落后于欧盟。此外，GDPR 是欧盟推行隐私权利观和标准、维护数字主权的标志性产物，已经成为了全球数据保护的标杆，大多数国家的数据隐私立法都将欧盟作为参照。国家数据隐私标准的缺失造成了信任赤字，削弱了美国企业在全球市场中的竞争力和美国的全球领导地位。面对全球互联网发展带来的新形势、新变化以及新兴国家网络能力的崛起，美国不希望成为隐私权全球剧本的旁观者，更希望制定反映美国价值观、维护美国竞争力的隐私法规。奥巴马时期就认为，美国有责任做在历史上做过的事情：将美国永恒的隐私价值观应用到美国时代的新技术和新环境中。美国认为自己应该担起领导者责任，与有共同价值观的盟友一道推动全球数据隐私立法的发展，以促进数字和贸易的全球合作。

3 数字时代数据隐私立法启示

3.1 完善数据隐私立法，加强隐私监管协调

十八大以来，我国加大个人信息和数据保护立法，《网络安全法》《数据安全法》《个人信息保护法》等基本法相继出台，《电信和互联网用户个人信息保护规定》《互联网信息内容管理行政执法程序规定》《网络信息内容生态治理规定》等配套法规相继发布，为消费者数据隐私保护提供了强有力的法律保障。但我国隐私保护仍面临个人信息被广泛收集、滥用的挑战，隐私保护任重道远。一是落实既有个人信息和数据安全法规，加大对个人信息和数据保护的宣传，树立尊重隐私、维护数据安全的良好社会风气。不断改革完善配套法规政策和措施，分行业、分领域制定更为精细的法规、制度和框架，以适应和促进数字经济的发展，如面部识别、算法推荐等可能对数据安全和隐私带来挑战，需要进行立法研究。二是加强数据隐私执法机构和协调机制建设。我国已经建立了较为完善的网络治理和内容管理的组织机构和协调机制，但涉及个人信息保护的监督执法力量较为分散，应设立权威的隐私执法机构或完善数据隐私保护协调机制。三是树立“重典治理”权威，严厉惩处造成严重后果或不良社会影响的隐私违法行为。

3.2 把握隐私执法尺度，实现监管创新平衡

数据隐私法是法律底线和原则约束，应该成为促进数字经济平稳健康、长效发展的利器，在实际操作中决不能将发展和保护割裂开来。数据的开发利用需要在遵循隐私规定、保护数据安全的前提下进行；适当的隐私法规和执法力度能够更好地激励网络运营商开发新产品和服务，丰富数字经济业态。实际上，我国兼收了欧盟和美国的立法实践，在立法层面强调隐私权利的重要性，在实践层面则采取了更多的宽容做法，以支持企业的数字创新和发展。这要求在国家标准或框架下，根据不同类型的数据及其收集环境量身定制规则，把握隐私执法尺度，努力在保护个人隐私、数据安全与促进数据流通、激励数字创新之间建立平衡。一方面，大型企业掌握了大量的数据，是数据隐私监管的重点对象。另一方面，需建立合理隐私期待或“经规划的隐私”机制。信息的敏感性程度不同，信息处理对个人隐私造成的风险大小也存在差异。现实生活中，有不少消费者选择提供不太敏感的信息以换取免费服务或折扣，而对于敏感个人数据则期待更高的保护措施。数据和隐私的分级分类或将成为平衡监管和创新的新途径，但将对立法和监管提出更高的要求。

3.3 参与隐私规则制定，维护数据主权利益

美国凭借数字优势、欧盟依仗立法权威正在全球范围内塑造维护数据主权和保护隐私的领导者形象。这一特点在全球组织中得到了充分的体现。经合组织（Organization for Economic Co-operation and Development，OECD）制定的《关于保护隐私和个人数据跨境流动的指导方针》为建立隐私有效保护和信任、促进跨境数据流动、制定通用国际方法奠定基石，被公认为隐私和数据保护的全球最低标准。亚太经济合作组织（Asia-Pacific Economic Cooperation，APEC）的《APEC 隐私框架》强调成员经济体之间隐私框架的“互操作性”，符合亚太地区隐私保护核心价值观。联合国推出的《个人数据保护和隐私原则》强调尊重个人隐私权，旨在统一联合国各组织个人信息保护标准。我国正处于全球数字化的十字路口，应该要在全球数据隐私治理中发挥积极作用。一是宣传我国数据隐私保护的理念，输出数据隐私立法成果，加强数据安全和隐私保护国际交流与合作，坚决维护数据主权和数字利益，提升在数据安全和隐私保护国际标准制定方面的影响力。二是积极参与全球经贸组织的数据隐私规则制定，适当调整数据隐私规则，如在跨境数据流动问题上兼顾数据进出口的平衡发展，构建协调各方利益、符合国家战略的统一框架，以弥合结构性不平衡等问题带来的数字鸿沟。