趙麗莉，鄭 蕾

(1.山東科技大學 知識產(chǎn)權(quán)學院， 山東 青島 266590；2.西安交通大學 a.科技與教育發(fā)展研究院; b.網(wǎng)絡信息中心， 陜西 西安 710049)

一、美國現(xiàn)有數(shù)據(jù)與隱私安全保護立法總體概況

美國沒有統(tǒng)一的、綜合的聯(lián)邦層面數(shù)據(jù)與隱私安全立法，但是基于美國判例法的實踐，聯(lián)邦和各州都自成法律體系，有人稱之為“分散立法模式”[1]。梳理這些立法發(fā)現(xiàn)(見表1)，美國已經(jīng)形成一套適用于規(guī)范數(shù)據(jù)收集和使用以及隱私保護的規(guī)則，已有立法涉及的主要領(lǐng)域包括用戶財務信息、醫(yī)療健康信息、電子信息的收集和使用，在線隱私保護，個人信息披露，數(shù)據(jù)控制者和處理者的義務等。

(一)分領(lǐng)域立法

《聯(lián)邦貿(mào)易委員會法》(Federal Trade Commission Act)是一部聯(lián)邦消費者權(quán)益保護法，立法目標是規(guī)范企業(yè)之間的公平競爭和保護消費者免受商業(yè)行為的欺詐，明確禁止使用欺騙性或虛假廣告，禁止不公平或欺詐行為，該法案被看做是規(guī)范隱私和數(shù)據(jù)安全的重要制度。

《金融服務現(xiàn)代化法》(Gramm-Leach-Bliley Act,簡稱GLB)規(guī)定了金融信息的收集、使用和披露。它可以廣泛應用于銀行、證券公司和保險公司等金融機構(gòu)，以及其他提供金融服務和產(chǎn)品的公司。GLB限制非公開個人信息的披露，并且在某些情況下要求金融機構(gòu)提供其隱私操作的實踐方式，以及數(shù)據(jù)主體選擇不共享其信息的機會。此外，國家銀行機構(gòu)頒布了若干隱私規(guī)則，聯(lián)邦貿(mào)易委員會(Federal Trade Commission,簡稱FTC)頒布了與財務數(shù)據(jù)保護和處置相關(guān)的保障規(guī)則、處置規(guī)則和紅旗規(guī)則。

《健康保險流通與責任法》(Health Insurance Portability and Accountability Act，簡稱HIPAA)規(guī)范了醫(yī)療信息的收集和使用。它廣泛應用于醫(yī)療保健提供者、數(shù)據(jù)處理者、藥房和其他與醫(yī)療信息接觸的主體?！秱€人可識別健康信息隱私標準》(HIPAA隱私規(guī)則)適用于受保護健康信息(PHI)的收集和使用。《電子保護健康信息保護安全標準》(HIPAA安全規(guī)則)提供了保護醫(yī)療數(shù)據(jù)的標準。《電子交易標準》(HIPAA交易規(guī)則)適用于醫(yī)療數(shù)據(jù)的電子傳輸。

表1 美國隱私立法主要規(guī)定

《公平信用報告法》(Fair Credit Reporting Act，簡稱FCRA)是美國聯(lián)邦政府頒布的一項法律，旨在提高消費者報告機構(gòu)文件中所載消費者信息的準確性、公平性和隱私性，保護消費者免受金融機構(gòu)故意或疏忽地將不準確的信息納入其信用報告中。FCRA與《公平追債法》一起構(gòu)成了美國消費者權(quán)益法的基礎。該法案最初于1970年通過，由美國聯(lián)邦貿(mào)易委員會(Federal Trade Commission)、消費者金融保護局(Consumer Financial Protection Bureau)和私人訴訟當事人執(zhí)行。

《電子通信隱私法》(Electronic Communications Privacy Act，簡稱ECPA)和《計算機欺詐和濫用法》(Computer Fraud and Abuse Act )分別對截取電子通信和計算機篡改進行了規(guī)定。ECPA是美國聯(lián)邦法律，其禁止第三方未經(jīng)授權(quán)截取或披露通信，保護存儲和傳送中的通信。該法案最初是作為1968年《竊聽法》的修正案通過的，適用于政府雇員和普通公民。ECPA被1994年的《通信協(xié)助執(zhí)法法》(CALEA)、2001年的《美國愛國者法》、2006年的《美國愛國者再授權(quán)法》和2008年的《外國情報監(jiān)聽法修正案》大幅修訂。

《計算機欺詐和濫用法》(Computer Fraud and Abuse Act)最初是為了保護美國政府和一些金融機構(gòu)運行的計算機系統(tǒng)，但在經(jīng)過幾次修訂后擴大了范圍，不斷趨于成熟和完善。該法案通過細致的法條對計算機網(wǎng)絡犯罪行為進行了規(guī)定，明確了計算機欺詐和濫用的范圍，是美國計算機網(wǎng)絡犯罪法律體系的重要組成部分。該法規(guī)制的內(nèi)容確保了計算機技術(shù)的健康發(fā)展、計算機技術(shù)網(wǎng)絡應用的規(guī)范化[2]。

《兒童在線隱私保護法案》(Children’s Online Privacy Protection Act，簡稱COPPA)是一部保護13歲以下兒童隱私的法律。該法于1998年由美國國會通過，并于2000年4月生效。COPPA的通過是為了應對20世紀90年代以兒童為目標的在線營銷技術(shù)的快速增長，由FTC行使執(zhí)法權(quán)。該法對以下內(nèi)容做出了規(guī)定：網(wǎng)站在收集或使用、披露13歲以下兒童的任何個人信息之前，必須征得其父母的同意；何時以及如何尋求父母或監(jiān)護人的核實同意；網(wǎng)站經(jīng)營者對兒童的在線隱私和安全負有何種法律責任，包括限制針對13歲以下兒童的營銷類型和方法。

(二)通過FTC實施強有力的聯(lián)邦執(zhí)法

FTC是執(zhí)行反壟斷和消費者保護法律的聯(lián)邦機構(gòu)，是美國聯(lián)邦層面擁有廣泛的保護消費者權(quán)益執(zhí)法權(quán)力的機構(gòu)，也是數(shù)據(jù)和隱私保護的主要執(zhí)法機構(gòu)。FTC的工作主要是保護消費者免受侵害，阻止不公平或者欺騙性的貿(mào)易行為及實踐，為此，F(xiàn)TC采取多重手段來保護消費者隱私和個人信息，形成了強有力的聯(lián)邦執(zhí)法機制，已對未遵守公布的隱私政策和未經(jīng)授權(quán)泄露個人數(shù)據(jù)的公司采取了許多執(zhí)法行動。FTC負責確保隱私與安全項目的全面落實，建立兩年一次的獨立專家評估制度，實施對消費者的賠付救濟，不當?shù)美淖防U，刪除非法獲取的消費者信息，為消費者提供高透明度和選擇機制保障。

1.采取強制執(zhí)法措施

FTC強有力的執(zhí)法權(quán)實施最主要的手段就是采取強制執(zhí)法措施來制止違法行為，并要求企業(yè)采取積極整改措施。FTC的授權(quán)主要來自于《聯(lián)邦貿(mào)易委員會法》第5條，該法禁止在市場中實施不公平或欺騙性的行為。FTC也有權(quán)基于《真實借貸法》《反垃圾郵件法》《兒童在線隱私保護法》《平等信用機會法》《公平信用報告法》《公平債務催收實踐法》和《電話營銷與消費欺詐濫用防治法》等授權(quán)進行具體領(lǐng)域的數(shù)據(jù)和隱私安全保護執(zhí)法。上述授權(quán)使得FTC可以將執(zhí)法范圍覆蓋到與消費者相關(guān)的各個方面，包括那些伴隨著新技術(shù)應用和商業(yè)模式不斷發(fā)展而出現(xiàn)的新興領(lǐng)域。

此外，F(xiàn)TC也可能根據(jù)一些消費者投訴、公司信件、國會要求以及有關(guān)消費者保護、經(jīng)濟貿(mào)易等案件采取執(zhí)法行動。根據(jù)《聯(lián)邦貿(mào)易委員會法》(FTCA)的規(guī)定，F(xiàn)TC擁有對案件進行調(diào)查、作出行政命令、提起民事訴訟以及禁止令等權(quán)力，案件當事人如果對FTC的決議有異議，可以向聯(lián)邦法院提起復審要求。與此同時，F(xiàn)TCA指出，對于某些案件，F(xiàn)TC的決議具有終局性。FTC擁有對從事商業(yè)服務的經(jīng)營者的信息收集、利用、安全維護方面的調(diào)查權(quán)，可以要求其監(jiān)管的涉及數(shù)據(jù)和隱私安全的公司提交市場經(jīng)營和消費者保護的年度保護數(shù)據(jù)，并給予國會立法保護建議。

2.針對違法行為訴諸于民事處罰程序

從FTC的執(zhí)法職能來看，F(xiàn)TC可以基于已有立法確立的隱私保護規(guī)則，對違反隱私規(guī)則的行為進行民事罰款。處理案件時，如果一家公司違反了FTC的相應指令，確定正在實施欺詐行為，或者涉嫌侵犯消費者的隱私與數(shù)據(jù)安全，為了阻止欺詐和保護消費者，F(xiàn)TC有權(quán)直接向法院申請禁止令、要求民事賠償或消費者賠償。

3.實施和解協(xié)議制度

一般情況下，F(xiàn)TC采取的調(diào)查活動是非公開的，主要是為了保護企業(yè)隱私的同時保護調(diào)查活動本身。當認為“欺詐”還只是一種爭議或者當該行為沒有對消費者直接造成損失時，將試圖與相應的網(wǎng)絡經(jīng)營者(公司)簽署同意令(也成為和解協(xié)議)。此前，F(xiàn)acebook涉嫌違背了數(shù)據(jù)保密的承諾、谷歌用戶虛假陳述等案件均與FTC達成了和解協(xié)議，并支付了相應罰款。和解協(xié)議通常要求企業(yè)采取必要措施，限期改正，以確保消費者利益。通常，這類處理辦法大都發(fā)生在隱私保護欺詐案件中，只有當公司拒絕簽署這份同意令或者在執(zhí)行該同意令期間有所違反規(guī)定，F(xiàn)TC才會對其提起相應的民事訴訟。FTC與被調(diào)查者之間簽署的和解協(xié)議內(nèi)容會針對不同情形確定，處罰并非必然，但是FTC擁有和解協(xié)議后續(xù)執(zhí)行的調(diào)查權(quán)，F(xiàn)TC一旦發(fā)現(xiàn)簽署協(xié)議者違反了和解條款，將被處以高額罰款。

(三)形成以自由競爭為基礎、政府引導下的行業(yè)自律規(guī)則

行業(yè)自律在美國傳統(tǒng)消費者保護領(lǐng)域被作為主要的措施之一，在互聯(lián)網(wǎng)市場領(lǐng)域也不例外，美國FTC在積極通過立法、制定準則打擊欺詐者的同時，大力促進網(wǎng)絡商業(yè)實踐的行業(yè)自律的確立，形成了以自由競爭為基礎、政府引導下的行業(yè)自律規(guī)則。目前，在數(shù)據(jù)和隱私保護的行業(yè)自律形式主要有3類：行業(yè)指引、網(wǎng)絡隱私認證、隱私選擇平臺(也有稱之為技術(shù)保護模式)。其中，行業(yè)指引主要通過成立公司或者協(xié)會的方式，發(fā)布適用于行業(yè)發(fā)展的網(wǎng)上隱私保護準則，側(cè)重于對行業(yè)數(shù)據(jù)和隱私保護的建議引導，如電子行業(yè)的“在線隱私聯(lián)盟(Online Privacy Alliances)”；網(wǎng)絡隱私認證主要指第三方隱私認證組織對符合其提出的隱私規(guī)則的網(wǎng)站實施隱私認證，并在網(wǎng)站顯示認證標志供用戶識別；隱私選擇平臺模式主要是通過技術(shù)手段實現(xiàn)隱私和數(shù)據(jù)安全保護，如互聯(lián)網(wǎng)協(xié)會推出的個人隱私選擇平臺，該平臺通過技術(shù)手段使用戶選擇對其個人數(shù)據(jù)和信息的公布權(quán)，并可選擇擬公布數(shù)據(jù)的內(nèi)容，該模式主要通過技術(shù)手段加強用戶對其個人數(shù)據(jù)和信息公開的選擇權(quán)，但實踐中發(fā)揮的作用有限。盡管行業(yè)自律規(guī)則對敦促網(wǎng)絡服務提供者加強隱私保護發(fā)揮積極作用是有利的，但是美國推行的行業(yè)自律規(guī)則應在政府嚴格引導下確立，政府與行業(yè)之間有著非常密切的互動關(guān)系，F(xiàn)TC在2014年的《隱私和數(shù)據(jù)安全年終報告》中就曾指責隱私認證組織TRSUTe未按照其發(fā)布的認證章程履行年檢責任[3]。

二、美國數(shù)據(jù)與隱私安全立法的最新進展——基于2018—2019年已生效立法概覽

2018年由于Facebook事件以及GDPR的生效，美國國內(nèi)也展開了關(guān)于數(shù)據(jù)與隱私安全立法的新探索。

(一) 2018—2019年出臺的美國數(shù)據(jù)與隱私安全立法

在美國，所有50個州都通過了數(shù)據(jù)泄漏方面的立法，梳理2018—2019年出臺的法案(見表2)，顯示境外數(shù)據(jù)合法使用、消費者數(shù)據(jù)和隱私保護、互聯(lián)網(wǎng)設備數(shù)據(jù)安全等內(nèi)容成為重點關(guān)注內(nèi)容。

表2 2018—2019年數(shù)據(jù)與隱私安全保護生效立法一覽表

為強化美國跨境數(shù)據(jù)的控制地位，2018年3月23日，美國總統(tǒng)簽署《合法使用境外數(shù)據(jù)明確法》(Clarify Lawful Overseas Use of Data Act，Cloud Act，簡稱“云法案”)。該法案旨在解決美國政府如何合法獲取境外數(shù)據(jù)及外國政府如何合法獲取美國境內(nèi)數(shù)據(jù)問題。針對前者，該法既為執(zhí)法機構(gòu)的執(zhí)法行為提供了合法性依據(jù)，也為網(wǎng)絡服務提供商明確了不予執(zhí)行的抗辯事由。對于后者，該法在美國現(xiàn)行的司法協(xié)助程序(MLA)之外，提出了一個新的解決方案——“執(zhí)行協(xié)議”，并對執(zhí)行協(xié)議的實質(zhì)性和程序性要求做出了明確規(guī)定。

2018年6月28日，美國加利福尼亞州通過了《加州消費者隱私法2018》(California Consumer Privacy Act of 2018，簡稱CCPA)以提高加州民眾的隱私保護水平。該法將于2020年1月1日起正式施行。該法主要加強了對消費者的隱私權(quán)利和數(shù)據(jù)安全的保護，并對企業(yè)遵循義務做出了規(guī)定。該法案被認為是美國國內(nèi)最嚴格的隱私立法，開啟了美國統(tǒng)一隱私立法的高潮。

2018年9月28日，美國加州通過了《信息隱私：互聯(lián)設備法案》(Information privacy：connected devices)，法案要求，自2020年1月1日起，任何“直接或間接”連接到互聯(lián)網(wǎng)的設備制造商必須為其配備“合理”的安全功能，防止未經(jīng)授權(quán)的訪問、修改或信息泄露。如果可以使用密碼在局域網(wǎng)外訪問，則需要為每個設備提供唯一的密碼，或強制用戶在第一次連接時設置自己的密碼。

(二)2018—2019年聯(lián)邦和州層面的數(shù)據(jù)與隱私安全保護立法提案

1.2018—2019隱私立法主要提案

2018—2019年針對數(shù)據(jù)和隱私安全保護問題，美國聯(lián)邦和州層面提出了系列立法提案(見表3)，提案內(nèi)容關(guān)注首席數(shù)據(jù)官設置、運營商使用敏感個人信息規(guī)范、擴大FTC權(quán)力、在線服務商數(shù)據(jù)保障義務等內(nèi)容，具體而言：

2018年5月24日，美國參議院提出了一項新決議，鼓勵企業(yè)將歐盟《通用數(shù)據(jù)保護條例》(GDPR)中的隱私保護要求適用于美國用戶。為加強美國的隱私保護水平，決議對數(shù)據(jù)控制者和處理者的義務和數(shù)據(jù)主體的權(quán)利做出了規(guī)定。

2018年7月31日，美國眾議院提出了一項決議，鼓勵網(wǎng)絡連接提供商(edge providers)、寬帶提供商(broadband providers)和數(shù)據(jù)經(jīng)紀人(data brokers)在自身政策中加入明確的數(shù)據(jù)保護條款。

2018年9月4日，美國眾議院通過《國土安全部首席數(shù)據(jù)官授權(quán)法案》(Department of Homeland Security Chief Data Officer Authorization Act)。法案要求，國土安全部部長應與首席信息官(Chief Information Officer)協(xié)商，以指定該部門的首席數(shù)據(jù)官。首席數(shù)據(jù)官(Chief Data Officer)應具備數(shù)據(jù)管理、治理、生成、收集、保護、分析、使用、共享，以及個人身份信息的保護和去識別化方面的培訓和經(jīng)驗。

2018年9月24日，美國眾議院引入《信息透明度與個人數(shù)據(jù)控制法案》(Information Transparency & Personal Data Control Act)，要求聯(lián)邦貿(mào)易委員會(FTC)頒布處理敏感個人信息和行為數(shù)據(jù)的規(guī)定。法案明確規(guī)定，F(xiàn)TC應當在該法生效后1年內(nèi)出臺相關(guān)規(guī)定，規(guī)范運營商收集、使用、銷售、共享或以其他方式使用敏感個人信息或行為數(shù)據(jù)的行為。其中，運營商是指以商業(yè)目的運營網(wǎng)站或提供在線服務、收集并使用個人信息的實體，包括不與用戶直接交互，但購買或銷售個人信息的實體；“敏感個人信息”是指與已識別或可識別的個人相關(guān)的財務信息、健康信息、關(guān)系信息、13歲以下的兒童信息、社交號碼、生物信息、性取向信息等。

2018年11月9日，美國參議員Ron Wyden提出《聯(lián)邦隱私法案》(Federal Privacy Bill)草案，旨在擴大聯(lián)邦貿(mào)易委員會(FTC)的權(quán)力，制定嚴厲的(significant)民事罰款，并賦予刑事處罰以執(zhí)行某些條款。

用戶在線數(shù)據(jù)保護規(guī)范方面，2018年12月12日，美國參議院引入了《數(shù)據(jù)保障法案2018》(Data Care Act of 2018)，旨在為個人在線數(shù)據(jù)保護提供規(guī)范。法案重點規(guī)定了在線服務提供商的3項義務：保障義務(duty of care)、忠實義務(duty of loyalty)和保密義務(duty of confidentialty)。其中，保障義務包括保護個人識別數(shù)據(jù)免受未經(jīng)授權(quán)的訪問、及時通知敏感數(shù)據(jù)泄露；忠實義務包括使用個人數(shù)據(jù)不得損害用戶權(quán)益而使自己獲益；保密義務包括不得披露或出售個人數(shù)據(jù)，除非滿足相應的要求。

2.隱私提案主要聽證會

據(jù)2017年底—2018年10月的統(tǒng)計，國會先后圍繞數(shù)據(jù)隱私召開了5次聽證會，主題分別如下：(1)在重大數(shù)據(jù)泄露時保護消費者(2017年11月)[4]。(2)數(shù)據(jù)安全與漏洞賞金項目(主要針對Uber數(shù)據(jù)泄漏事件，2018年2月)[5]。(3)評估數(shù)據(jù)隱私風險(主要針對劍橋分析隱私違規(guī)事件，2018年6月)[6]，聽證會中來自New Co的 John Battelle 指出：“我們有責任審查我們目前的立法體系,因為它涉及臉譜等公司如何影響消費者的生活和我們整個社會的規(guī)范。當數(shù)據(jù)等于甚至可能比貨幣更有價值的理解,數(shù)據(jù)使用者表達使用數(shù)據(jù)絕不會對消費者造成傷害的推理是有一定缺陷的。作為決策者和知情公民,我們應努力創(chuàng)建一種靈活、安全和有利于創(chuàng)新的數(shù)據(jù)治理方法，允許最大限度的創(chuàng)新,同時確保所有受影響的各方對數(shù)據(jù)進行最大限度的控制,包括個人,特別是未來創(chuàng)新的受益者。”(4)研討消費者數(shù)據(jù)隱私的防護現(xiàn)狀(2018年9月)[7]。(5)歐盟及加州立法在消費者數(shù)據(jù)方面帶來的教訓(2018年10月)[8]。5次聽證，主題大多側(cè)重互聯(lián)網(wǎng)企業(yè)中個人數(shù)據(jù)面臨的風險，而來自互聯(lián)網(wǎng)企業(yè)的專家們主要表達了對統(tǒng)一、聯(lián)邦層面以及可遵守的綜合隱私法的期待。

表3 2018—2019年隱私立法主要提案

三、美國隱私保護制度數(shù)據(jù)隱私立法評述與啟示

(一)推動數(shù)字經(jīng)濟下實施嚴格的隱私保護立法進程

2018年3月，F(xiàn)acebook數(shù)據(jù)泄露事件曝光之后，加之歐盟GDPR的廣泛影響，建立全美統(tǒng)一隱私立法再次被推向高潮，美國隱私立法實踐顯示其在歐盟GDPR后的統(tǒng)一立法進程。與此同時，各州和各城市也在積極推進和完善自己的隱私數(shù)據(jù)保護政策。實施嚴格的隱私保護規(guī)則已成為全球數(shù)字經(jīng)濟下隱私保護立法的重要趨向。美國涉及隱私保護的一系列法律、法案、提案等內(nèi)容均顯示了美國聯(lián)邦政府以及各州對于數(shù)字經(jīng)濟下數(shù)據(jù)保護和隱私規(guī)則確立的重視，這些規(guī)則正日益成為執(zhí)法機構(gòu)的執(zhí)行工具。除此以外，華盛頓州(2021年7月31日生效)、加利福尼亞州(2020年1月1日生效)出臺的隱私權(quán)法案均規(guī)定了較為嚴格的隱私保護要求，較為具體地對數(shù)據(jù)收集、信息披露、信息共享等內(nèi)容進行了規(guī)定。美國國會發(fā)布的《互聯(lián)網(wǎng)隱私》更顯示了美國擬推動類似歐美通用數(shù)據(jù)保護條例(GDPR)性質(zhì)的統(tǒng)一立法進程。

智能變革被認為是增大隱私安全風險、強化法律保護的過程，應確立基本法與專門法結(jié)合的立法模式[9]。近年來，我國重視數(shù)字經(jīng)濟下個人信息保護立法的問題，陸續(xù)出臺《網(wǎng)絡安全法》《民法總則》《未成年人保護法》《刑法修正案(七)》等法律規(guī)范和司法解釋，國家互聯(lián)網(wǎng)信息辦公室亦相繼發(fā)布了涉及個人數(shù)據(jù)跨境傳輸、云服務安全評估等涉及隱私安全方面的征求意見稿。面對數(shù)字經(jīng)濟的發(fā)展，創(chuàng)新傳統(tǒng)隱私權(quán)利保護理念的訴求被提出，有研究強調(diào)應實施“激勵相容的個人信息保護立法理念”[10]，強調(diào)信息控制機制確立。因此，基于應對數(shù)據(jù)泄露、侵權(quán)、詐騙等違法犯罪的預防與控制，我國隱私保護立法應進一步加強監(jiān)管隱私和數(shù)據(jù)安全問題，明晰數(shù)字經(jīng)濟下個人隱私的范圍界定和權(quán)利邊界，隱私立法中應明確個人對其數(shù)據(jù)的權(quán)利；數(shù)據(jù)控制者或者利用者對數(shù)據(jù)保護的義務和規(guī)范，明確數(shù)據(jù)泄露的補償和處罰問題，確立防御數(shù)據(jù)泄露機制以及數(shù)據(jù)泄露后的事后救濟機制。

(二)平衡隱私保護與產(chǎn)業(yè)發(fā)展是其隱私立法的基本定位

立法是利益衡量實現(xiàn)的調(diào)節(jié)器。美國隱私立法發(fā)展實踐顯示，數(shù)據(jù)泄露和因此產(chǎn)生的隱私安全問題，不僅損害個人隱私安全、消費者信心，也使企業(yè)面臨經(jīng)濟損害，直接影響技術(shù)創(chuàng)新和經(jīng)濟增長。加強個人數(shù)據(jù)和隱私保護，維護用戶的信任和信息是美國隱私立法的發(fā)展趨向。一些立法實踐已提議應實施類似歐盟GDPR同等強度的強有力的隱私保障機制(部分立法實踐已經(jīng)在推進實施)。與此同時，促進網(wǎng)絡經(jīng)濟的持續(xù)創(chuàng)新和增長依然是美國隱私立法所關(guān)注和支持的重點，它支持信息的靈活性和自由流通，以確保工業(yè)界和其他人使用數(shù)據(jù)來創(chuàng)造新的技術(shù)、產(chǎn)品和解決方案。故此，美國隱私立法確立了在確保公民隱私受到保護的基礎上，為技術(shù)和商業(yè)模式的演變提供充分的、靈活性的立法原則與實踐模式，立法的核心強調(diào)“商業(yè)目的個人資料的收集和處理必須是合理和適當?shù)摹保源藢で髷?shù)據(jù)保護與提供服務間的平衡點。

對中國個人數(shù)據(jù)與隱私保護立法而言，基于信息技術(shù)變革下多方利益均衡的訴求，應立足于實現(xiàn)個人信息保護利益、信息業(yè)者利益、國家管理社會公共利益間的均衡[1]。身份可識別性，以及“通知與許可”的隱私保護規(guī)則依然是我國隱私保護的基本規(guī)則，提供服務的主體應確立清晰的個人數(shù)據(jù)收集、使用(含二次使用)、共享、許可、轉(zhuǎn)讓等方面的規(guī)則，并具體化“通知與許可”規(guī)則的內(nèi)容[11]。用戶個人數(shù)據(jù)的使用應不涉及隱私侵權(quán)、信息泄露風險，且信息使用者能夠確保信息使用過程中的透明、安全、可信、目的正當。

(三)“選擇退出”機制依然是隱私和數(shù)據(jù)保障的基本規(guī)則

研究認為，大數(shù)據(jù)時代個人信息保護，包括個人隱私保護應從個人控制走向社會控制[12]。美國已在多領(lǐng)域多層面形成隱私和數(shù)據(jù)保障規(guī)則。按照已有的隱私和數(shù)據(jù)保護規(guī)則，提供金融、健康、通信、消費等服務者，與用戶確立關(guān)系前及以后每年應向每個用戶提供隱私通知，隱私聲明必須包括所收集的有關(guān)用戶信息的共享位置、如何使用以及如何保護問題，用戶有權(quán)選擇退出與無關(guān)聯(lián)方的信息分享。如果隱私政策在任何時間點發(fā)生變化，則必須重新通知用戶接受。每次重新設定隱私通知時,用戶都有權(quán)再次選擇退出。在公司與公司之間的隱私政策協(xié)議方面，隱私規(guī)則明確規(guī)定：接收非公開信息的非關(guān)聯(lián)方應遵守用戶的接受或退出條款。隱私通知表格的范式應使消費者更容易了解服務提供者如何收集和分享消費者信息的。

盡管《推進隱私通用操作規(guī)則框架》提出傾向于在數(shù)據(jù)共享方面為用戶提供選擇進入模式，而非選擇退出模式。但實施用戶“選擇退出”權(quán)利機制依然是美國隱私立法規(guī)制中的重要內(nèi)容，也是企業(yè)隱私聲明的重要內(nèi)容，即賦予客戶選擇不允許與非關(guān)聯(lián)第三方共享他們信息的權(quán)利，但是，當信息分享給那些有限提供金融機構(gòu)服務的、產(chǎn)品或服務市場是針對金融機構(gòu)的、信息被法律確認需要分享的，用戶不得選擇“退出”。

(四)多層面、多重隱私保護規(guī)則訴求企業(yè)綜合合規(guī)遵從

研究認為激勵相容的個人數(shù)據(jù)治理路徑應是個人信息立法保護的方向，這可激發(fā)外部執(zhí)法，發(fā)揮信息控制者的積極作用[10]。美國隱私立法確立了“多重標準-自我中心”的模式[13]，但是，美國立法實踐總體顯示其形成有多領(lǐng)域多層面的涵蓋信息保護、實施(應用)、共享、泄露懲罰等全鏈條的隱私和數(shù)據(jù)保障規(guī)則。美國隱私立法涵蓋層面廣泛，且隱私規(guī)則總體規(guī)定的非常具體和明確，有清晰的遵循指示，但由于其散見于不同的領(lǐng)域和不同的層面，這為企業(yè)合規(guī)遵從提出了較高的標準和要求，企業(yè)在進入美國市場提供產(chǎn)品和服務時，應意識到隱私遵守規(guī)則的綜合性而非單一性，應擴大對相關(guān)數(shù)據(jù)和隱私政策規(guī)則的收集面，充分了解自身產(chǎn)品和服務的市場定位以及可能涉及的數(shù)據(jù)和隱私遵守規(guī)則，如提供金融服務時即可能涉及《金融服務隱私規(guī)則》、消費者隱私保護規(guī)則、在線用戶隱私規(guī)則，涉及兒童的還需遵從兒童隱私保護規(guī)則。當然，對于國內(nèi)互聯(lián)網(wǎng)企業(yè)而言，首先應制定嚴格的遵守計劃和規(guī)則，充分履行保障義務、說明義務、風險控制義務、忠實義務；其次，應持續(xù)保護用戶非公開個人信息，對非公開信息處理部門的適時風險進行分析；最后，應加強保護用戶信息技術(shù)的開發(fā)，完善監(jiān)控和監(jiān)測程序，并根據(jù)需要更改信息的收集、存儲和使用方式。