袁衛(wèi)平 卞麗娟

1.國家計算機網絡應急技術處理協(xié)調中心江蘇分中心；2.國家計算機網絡應急技術處理協(xié)調中心福建分中心

0 引言

美國聯(lián)邦憲法沒有直接規(guī)定隱私權，但通過1965 年的格里斯沃爾德訴康涅狄格州案確立了隱私權受憲法保護。隨著數(shù)字經濟的發(fā)展，數(shù)據(jù)安全和個人信息越來越受到關注和重視，日漸融入到隱私權的范疇。2018 年以來，谷歌、Meta、推特、亞馬遜等科技巨頭頻頻曝出個人信息泄露事件，加之歐盟《通用數(shù)據(jù)保護條例》（簡稱GDPR）的出臺，極大地刺激了美國社會的敏感神經，激起數(shù)據(jù)隱私立法的強烈需求和愿望，隱私保護立法被推至空前的高度。

1 美國數(shù)據(jù)隱私立法的歷程和趨勢

1.1 聯(lián)邦隱私立法迭代推進

隱私保護序幕開啟階段。20 世紀60-70 年代，計算機的出現(xiàn)以及信貸數(shù)據(jù)的廣泛收集和共享引發(fā)美國社會較大規(guī)模的隱私權討論，尤其是水門事件暴露出聯(lián)邦機構對個人信息的監(jiān)控以及政府越來越多地存儲和檢索個人信息所帶來的危害，于是《隱私法案》應運而生，以平衡政府維護個人信息和保護信息隱私的關系。1986 年以后，美國先后出臺《電子通信隱私法》《計算機匹配與隱私權法》《兒童在線隱私保護法》《電子政府法》等法律，滿足了“公民的隱私期望和執(zhí)法的合法需要”，保護信息化時代公民的隱私。

網絡隱私保護加強階段。奧巴馬政府先后推出《消費者隱私權利法案》2012 版本和2015 版本，為消費者隱私保護建立一個全面的基準框架，要求利益相關方制定可執(zhí)行的隱私準則，以期填補美國當時隱私立法的空白。2016 年10 月，美國聯(lián)邦通信委員會（FCC）通過了新的隱私規(guī)則，要求互聯(lián)網服務提供商在使用或共享個人敏感信息之前須獲得用戶的明確同意。特朗普上任后，政府與立法機構均希望出臺新的聯(lián)邦法律來保護消費者的網絡隱私，但成果寥寥。

聯(lián)邦隱私立法推進階段。2019 年以來，美國立法者先后提出了數(shù)十部聯(lián)邦數(shù)據(jù)隱私法，如美國參議員Edward J.Markey 提出《隱私權法案》，眾議院議員Anna G.Eshoo、Zoe Lofgren 先后于2019 年和2021 年提出《在線隱私法》，參議員Jerry Moran 提出《消費者數(shù)據(jù)隱私和安全法案》，參議員Roger Wicker 和Marsha Blackburn 提出《制定美國框架以確保數(shù)據(jù)訪問、透明度和問責制》等，旨在創(chuàng)建聯(lián)邦隱私法框架，平衡企業(yè)的實際需求與消費者的隱私權和期望，為消費者提供更多的數(shù)據(jù)選擇和控制權。2021 年7 月9 日，拜登總統(tǒng)簽署《促進美國經濟競爭的行政命令》，鼓勵美國聯(lián)邦貿易委員會（The Federal Trade Commission，F(xiàn)TC）就可能損害競爭、消費者自主權和消費者隱私的不公平數(shù)據(jù)收集和監(jiān)控做法制定法規(guī)以促進競爭，是美國保護消費隱私的最新努力。

1.2 州隱私立法帶來刺激效應

美國并未制定專門的聯(lián)邦數(shù)據(jù)隱私法，給各州留下了充足的立法空間。歐盟發(fā)布GDPR 僅一個月后，美國加利福尼亞州于2018 年6 月28 日通過了《加利福尼亞州消費者隱私法案（2018）》（CCPA），成為美國第一個出臺專門的、全面的消費者隱私法的州。該法案被稱為加利福尼亞州版GDPR，賦予消費者十余項個人信息權利，適用于為加利福尼亞州居民提供服務的任何企業(yè)。2020 年11 月3 日，加利福尼亞州通過選民投票的方式繞過立法機構通過了CCPA 2.0版本——《加利福尼亞州隱私權法案》，在原法案的基礎上進行了修訂和完善，設立隱私保護局負責CCPA 的實施和執(zhí)行。這兩部法律共同構成了加利福尼亞州消費者隱私法體系，成為目前為止美國隱私保護最全面、水平最高的法律，對其他州和聯(lián)邦隱私立法產生了重大影響，引發(fā)了多米諾骨牌效應。

2021 年3 月2 日，弗吉尼亞州州長簽署了《弗吉尼亞消費者數(shù)據(jù)保護法》，該法以篇幅簡潔著稱，給予了受監(jiān)管方足夠的合規(guī)準備時間，具有較高的“友好度”，獲得了科技行業(yè)貿易團體以及亞馬遜和微軟等企業(yè)的支持。2021 年7 月8 日，科羅拉多州州長簽署了《科羅拉多州隱私法案》，賦予消費者六項個人信息權利，規(guī)定了企業(yè)處理個人信息的責任和義務。2022 年3 月24 日，猶他州州長簽署了《猶他州消費者隱私法案》，確立了消費者訪問、刪除個人信息等多項權利，規(guī)定了信息控制者和處理者多項義務和隱私聲明要求，并設立專門部門負責消費者投訴。

自2018 年以來，美國已有34 個州通過或提出了72 項隱私法案，至少24 個州在2022 年的立法會議期內引入了全面的隱私法，預計未來1-2 年內會有更多的數(shù)據(jù)隱私法正式出臺或更新。此外，美國部分州還出臺或提出了電子信息隱私法、生物特征信息隱私法、數(shù)據(jù)泄露披露法、人臉識別服務法等法律。這些法案或聚焦具體服務、或針對特定領域、或突出某一項消費者權利，進一步完善了消費者隱私保護制度。

2 美國數(shù)據(jù)隱私立法的特點分析

2.1 數(shù)字經濟隱私需求增加促進隱私權利運動

在數(shù)字經濟時代，許多新應用、新模式都是對個人信息的新穎開發(fā)，加劇了創(chuàng)新和隱私之間的矛盾。2018 年以來，美國科技公司頻繁發(fā)生數(shù)據(jù)泄露事件。根據(jù)FTC 發(fā)布的《隱私與數(shù)據(jù)安全報告》，截至2020 年，F(xiàn)TC 進行了80 起一般隱私訴訟，涉及臉譜網、劍橋分析公司、Paypal 等知名企業(yè)。臉譜網發(fā)生的大規(guī)模數(shù)據(jù)泄露事件更是轟動全球，給各國數(shù)據(jù)安全敲響了警鐘。畢馬威2021 年進行的一項調查顯示，70%的商業(yè)領袖增加了對消費者個人數(shù)據(jù)的收集，86%的消費者日益關注數(shù)據(jù)隱私，消費者對公司收集和使用數(shù)據(jù)表達了明顯的不信任態(tài)度。消費者日益關心個人數(shù)據(jù)隱私的收集和使用，對既有的隱私法規(guī)和行業(yè)隱私條款提出質疑，要求加強消費者隱私保護。美國政府和執(zhí)法機構意識到保護數(shù)據(jù)安全和個人隱私的迫切性，著力在國會推行立法限制科技公司對隱私的收集和使用，加強對消費者數(shù)據(jù)隱私的保護。拜登總統(tǒng)發(fā)表上任以來的首次國情咨文演講提到加強隱私保護，將保護兒童在線隱私納入國家統(tǒng)一議程，由此可見美國政府對隱私保護的重視。隱私危機感陡增讓一場數(shù)據(jù)隱私保護的權利運動正在上演。

2.2 州隱私合規(guī)成本高昂倒逼聯(lián)邦立法提速

隨著越來越多的州出臺數(shù)據(jù)隱私法，數(shù)字創(chuàng)新、企業(yè)發(fā)展也越來越受到監(jiān)管不確定性帶來的困擾。州隱私法每年可能施加980 億-1120 億美元的州外成本，小企業(yè)每年要擔負20億-230億美元壓力。雖然聯(lián)邦隱私法仍會給企業(yè)帶來成本負擔，但一項針對具體隱私損害而不是假設性損害、提高透明度要求、加強監(jiān)督和執(zhí)法以及最大限度地減少對數(shù)據(jù)使用限制的有針對性的法律，每年的成本約為60 億美元，比仿照歐盟或加利福尼亞州的法律少20 倍。美國商會致信國會議員，認為各州隱私法在定義、范圍、職責和執(zhí)法方面存在差異，造成消費者和企業(yè)的混亂，威脅創(chuàng)新和數(shù)字生態(tài)系統(tǒng)，而一項對企業(yè)明確、公平并賦予消費者權利的國家隱私法將起到促進作用。美國多項民調結果反映了社會對聯(lián)邦隱私法的期待，Morning Consult 在2021 年4 月進行的民調顯示，86%的民主黨人和81%的共和黨人表示，國會應在2021 年將隱私作為“首要”或“重要但較低”的優(yōu)先事項，72%的受訪者表示國會負責規(guī)范數(shù)據(jù)收集，而各州的這一比例為75%。Morning Consult 和Politico 在2022 年1 月進行的民意調查顯示，56%的受訪者支持聯(lián)邦數(shù)據(jù)隱私立法。聯(lián)邦數(shù)據(jù)隱私立法的主要目的是為數(shù)據(jù)隱私保護建立一個明確的國家標準，保護用戶數(shù)據(jù)隱私并鼓勵創(chuàng)新。各利益攸關方就隱私權利的聯(lián)邦標準正趨于達成一致，但在具體操作、監(jiān)管和執(zhí)法等方面存在爭議，突出表現(xiàn)在隱私權適用范圍、消費者隱私權限、企業(yè)隱私義務、隱私執(zhí)法協(xié)調、隱私訴訟等方面。

2.3 科技公司積極參與引導和影響隱私立法

科技公司認為美國在數(shù)據(jù)隱私立法方面處于落后水平，跟不上數(shù)字經濟發(fā)展步伐，為此他們憑借自身的影響力，正在干預和引導隱私政策的制定。谷歌發(fā)布《負責任的數(shù)據(jù)保護法規(guī)框架》，督促國會起草針對網站如何收集用戶數(shù)據(jù)并從中獲利的行為的立法，呼吁允許用戶方便地訪問和控制收集到的數(shù)據(jù)，并要求數(shù)據(jù)操作保持透明。微軟首席隱私官Julie Brill 呼吁國會采用類似GDPR 的隱私框架，以反映世界對隱私權不斷變化的理解，維護基本的隱私權。美國科技公司甚至采取“政治獻金”的方式游說出臺符合自身利益或對行業(yè)有利的隱私法。路透社的一份審查報告揭露，亞馬遜在四年時間里將政治捐款增加了十倍，并成功說服弗吉尼亞州立法者通過了一項由亞馬遜自己起草的隱私法案，不僅如此，亞馬遜還影響了加利福尼亞州和華盛頓州等20 多個州的數(shù)據(jù)隱私立法，目的是保護公司獲取詳細消費者數(shù)據(jù)的權利。美國行業(yè)組織TechNet和國家隱私與安全聯(lián)盟（SPSC）在國會推出隱私法“遙遙無期”之際，游說州議會通過被批評人士稱為軟弱無力的隱私法案，以阻止個別州采取更強硬的措施，畢竟遵守一部法律比遵守數(shù)十部不同的法律容易得多。

2.4 價值觀和話語權成為隱私立法的核心考量

根據(jù)聯(lián)合國貿易和發(fā)展會議（UNCTAD）數(shù)據(jù)，全球有137 個國家制定了數(shù)據(jù)保護和隱私法。美國數(shù)據(jù)隱私立法主要圍繞行業(yè)和領域，沒有形成統(tǒng)一標準，難以達到GDPR 的效力，使得美國在全球個人數(shù)據(jù)保護的標準制定方面落后于歐盟。此外，GDPR 是歐盟推行隱私權利觀和標準、維護數(shù)字主權的標志性產物，已經成為了全球數(shù)據(jù)保護的標桿，大多數(shù)國家的數(shù)據(jù)隱私立法都將歐盟作為參照。國家數(shù)據(jù)隱私標準的缺失造成了信任赤字，削弱了美國企業(yè)在全球市場中的競爭力和美國的全球領導地位。面對全球互聯(lián)網發(fā)展帶來的新形勢、新變化以及新興國家網絡能力的崛起，美國不希望成為隱私權全球劇本的旁觀者，更希望制定反映美國價值觀、維護美國競爭力的隱私法規(guī)。奧巴馬時期就認為，美國有責任做在歷史上做過的事情：將美國永恒的隱私價值觀應用到美國時代的新技術和新環(huán)境中。美國認為自己應該擔起領導者責任，與有共同價值觀的盟友一道推動全球數(shù)據(jù)隱私立法的發(fā)展，以促進數(shù)字和貿易的全球合作。

3 數(shù)字時代數(shù)據(jù)隱私立法啟示

3.1 完善數(shù)據(jù)隱私立法，加強隱私監(jiān)管協(xié)調

十八大以來，我國加大個人信息和數(shù)據(jù)保護立法，《網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等基本法相繼出臺，《電信和互聯(lián)網用戶個人信息保護規(guī)定》《互聯(lián)網信息內容管理行政執(zhí)法程序規(guī)定》《網絡信息內容生態(tài)治理規(guī)定》等配套法規(guī)相繼發(fā)布，為消費者數(shù)據(jù)隱私保護提供了強有力的法律保障。但我國隱私保護仍面臨個人信息被廣泛收集、濫用的挑戰(zhàn)，隱私保護任重道遠。一是落實既有個人信息和數(shù)據(jù)安全法規(guī)，加大對個人信息和數(shù)據(jù)保護的宣傳，樹立尊重隱私、維護數(shù)據(jù)安全的良好社會風氣。不斷改革完善配套法規(guī)政策和措施，分行業(yè)、分領域制定更為精細的法規(guī)、制度和框架，以適應和促進數(shù)字經濟的發(fā)展，如面部識別、算法推薦等可能對數(shù)據(jù)安全和隱私帶來挑戰(zhàn)，需要進行立法研究。二是加強數(shù)據(jù)隱私執(zhí)法機構和協(xié)調機制建設。我國已經建立了較為完善的網絡治理和內容管理的組織機構和協(xié)調機制，但涉及個人信息保護的監(jiān)督執(zhí)法力量較為分散，應設立權威的隱私執(zhí)法機構或完善數(shù)據(jù)隱私保護協(xié)調機制。三是樹立“重典治理”權威，嚴厲懲處造成嚴重后果或不良社會影響的隱私違法行為。

3.2 把握隱私執(zhí)法尺度，實現(xiàn)監(jiān)管創(chuàng)新平衡

數(shù)據(jù)隱私法是法律底線和原則約束，應該成為促進數(shù)字經濟平穩(wěn)健康、長效發(fā)展的利器，在實際操作中決不能將發(fā)展和保護割裂開來。數(shù)據(jù)的開發(fā)利用需要在遵循隱私規(guī)定、保護數(shù)據(jù)安全的前提下進行；適當?shù)碾[私法規(guī)和執(zhí)法力度能夠更好地激勵網絡運營商開發(fā)新產品和服務，豐富數(shù)字經濟業(yè)態(tài)。實際上，我國兼收了歐盟和美國的立法實踐，在立法層面強調隱私權利的重要性，在實踐層面則采取了更多的寬容做法，以支持企業(yè)的數(shù)字創(chuàng)新和發(fā)展。這要求在國家標準或框架下，根據(jù)不同類型的數(shù)據(jù)及其收集環(huán)境量身定制規(guī)則，把握隱私執(zhí)法尺度，努力在保護個人隱私、數(shù)據(jù)安全與促進數(shù)據(jù)流通、激勵數(shù)字創(chuàng)新之間建立平衡。一方面，大型企業(yè)掌握了大量的數(shù)據(jù)，是數(shù)據(jù)隱私監(jiān)管的重點對象。另一方面，需建立合理隱私期待或“經規(guī)劃的隱私”機制。信息的敏感性程度不同，信息處理對個人隱私造成的風險大小也存在差異?，F(xiàn)實生活中，有不少消費者選擇提供不太敏感的信息以換取免費服務或折扣，而對于敏感個人數(shù)據(jù)則期待更高的保護措施。數(shù)據(jù)和隱私的分級分類或將成為平衡監(jiān)管和創(chuàng)新的新途徑，但將對立法和監(jiān)管提出更高的要求。

3.3 參與隱私規(guī)則制定，維護數(shù)據(jù)主權利益

美國憑借數(shù)字優(yōu)勢、歐盟依仗立法權威正在全球范圍內塑造維護數(shù)據(jù)主權和保護隱私的領導者形象。這一特點在全球組織中得到了充分的體現(xiàn)。經合組織（Organization for Economic Co-operation and Development，OECD）制定的《關于保護隱私和個人數(shù)據(jù)跨境流動的指導方針》為建立隱私有效保護和信任、促進跨境數(shù)據(jù)流動、制定通用國際方法奠定基石，被公認為隱私和數(shù)據(jù)保護的全球最低標準。亞太經濟合作組織（Asia-Pacific Economic Cooperation，APEC）的《APEC 隱私框架》強調成員經濟體之間隱私框架的“互操作性”，符合亞太地區(qū)隱私保護核心價值觀。聯(lián)合國推出的《個人數(shù)據(jù)保護和隱私原則》強調尊重個人隱私權，旨在統(tǒng)一聯(lián)合國各組織個人信息保護標準。我國正處于全球數(shù)字化的十字路口，應該要在全球數(shù)據(jù)隱私治理中發(fā)揮積極作用。一是宣傳我國數(shù)據(jù)隱私保護的理念，輸出數(shù)據(jù)隱私立法成果，加強數(shù)據(jù)安全和隱私保護國際交流與合作，堅決維護數(shù)據(jù)主權和數(shù)字利益，提升在數(shù)據(jù)安全和隱私保護國際標準制定方面的影響力。二是積極參與全球經貿組織的數(shù)據(jù)隱私規(guī)則制定，適當調整數(shù)據(jù)隱私規(guī)則，如在跨境數(shù)據(jù)流動問題上兼顧數(shù)據(jù)進出口的平衡發(fā)展，構建協(xié)調各方利益、符合國家戰(zhàn)略的統(tǒng)一框架，以彌合結構性不平衡等問題帶來的數(shù)字鴻溝。

4 結束語

網絡時代隱私泄露成為全球性問題，加強消費者隱私立法和監(jiān)管已經成為共識。正如互聯(lián)網是建立在自由基礎上的帶有約束性的虛擬空間一樣，隱私保護和創(chuàng)新發(fā)展也有著同樣的邏輯。美國加強數(shù)據(jù)隱私立法是順應數(shù)字經濟發(fā)展，維護美國網絡空間利益的舉措。我國應該審慎對待隱私保護，提前布局謀劃，為數(shù)字安全保駕護航。