于增尊

(天津師范大學 法學院，天津 300387)

隨著互聯(lián)網(wǎng)、大數(shù)據(jù)等現(xiàn)代信息技術(shù)的大規(guī)模應用，人類社會迅速進入信息化、數(shù)字化時代。信息技術(shù)和數(shù)字產(chǎn)業(yè)的發(fā)展大大便利了日常生活，推動了社會經(jīng)濟發(fā)展。與此同時，圍繞信息資源的犯罪活動持續(xù)高發(fā)，數(shù)據(jù)泄露事件層出不窮，嚴重損害公民合法權(quán)益和國家安全發(fā)展。如何減少數(shù)據(jù)泄露事件的發(fā)生，以及在數(shù)據(jù)泄露后將損失降到最小，成為各國面臨的共同課題。為此，越來越多的國家通過法律確定了個人信息泄露通知制度或數(shù)據(jù)泄露通知制度(個人信息是數(shù)據(jù)的內(nèi)容，也是數(shù)據(jù)泄露的重災區(qū)，許多立法和表述中將二者等同，本文依循此例)，力圖通過事后的通知和補救措施降低數(shù)據(jù)泄露的危害。

我國近年來頒布的《網(wǎng)絡安全法》《民法典》《個人信息保護法》《數(shù)據(jù)安全法》等法律中均規(guī)定了信息處理者或網(wǎng)絡運營商的數(shù)據(jù)泄露通知義務，但條文數(shù)量較少，內(nèi)容尚顯粗疏，可操作性較差，需要借鑒域外先進經(jīng)驗加以完善。而作為最早確立個人信息泄露通知制度的美國則是繞不開的考察對象。美國是一個聯(lián)邦和州法律系統(tǒng)并行的國家，國內(nèi)學者目前對美國數(shù)據(jù)泄露通知制度的研究，或?qū)⒙?lián)邦和各州的內(nèi)容統(tǒng)而言之，或只針對聯(lián)邦層面的特定行業(yè)立法(主要是醫(yī)療健康領(lǐng)域)，在深入性和系統(tǒng)性方面稍顯不足。本文擬就美國聯(lián)邦個人信息泄露通知制度進行全面考察，并辨析其利弊得失，希望能對我國個人信息泄露通知制度建設(shè)有所裨益。

一、美國聯(lián)邦個人信息泄露通知制度立法概況

2002年9月，加利福尼亞州通過了SB1386號法案，并于2003年7月1日正式生效。這是世界上首部數(shù)據(jù)泄露通知法，在個人信息保護領(lǐng)域開創(chuàng)了新紀元。同年，參議員Dianne Feinstein向美國國會提出了一項聯(lián)邦數(shù)據(jù)泄露通知法提案。盡管該提案經(jīng)過二讀后未能獲得批準，但制定一部聯(lián)邦數(shù)據(jù)泄露通知法律的訴求由此進入了國會的議事范疇。此后幾年間，美國國會審查了多項立法提案，許多州也在呼吁國家盡快出臺相關(guān)法律。在2005年寫給國會領(lǐng)導人的一封信中，48個州的檢察總長敦促國會采取行動，制定聯(lián)邦法規(guī)。[1]在接下來的十年里，隨著網(wǎng)絡攻擊和信息泄露愈演愈烈，一項統(tǒng)一的聯(lián)邦立法顯得愈發(fā)重要且迫切。每一屆國會均為此做了嘗試，甚至僅2007年就提出了三項數(shù)據(jù)泄露通知法案[2]，可惜始終未能正式頒行。

2015年，奧巴馬總統(tǒng)在國情咨文中指出，為了“更好地應對不斷演變的網(wǎng)絡攻擊威脅、打擊身份盜竊并保護孩子們的信息”[3]，必須解決網(wǎng)絡安全問題，制定“個人數(shù)據(jù)通知和保護法案”(Personal Data Notification and Protection Act)，建立國家層面的個人信息泄露通知標準。該法案被提交至多個聯(lián)邦委員會，但與之前所有相同的努力相似，它最終也只是擺在國會面前的眾多提案之一。

當然，沒有關(guān)于個人信息泄露通知的綜合性法律，并不意味著在聯(lián)邦層面無章可循。面對不斷高發(fā)的網(wǎng)絡犯罪和信息泄露事件，一些聯(lián)邦管理機構(gòu)在特定行業(yè)或領(lǐng)域內(nèi)出臺了專項法規(guī)，主要包括美國公共和預算管理辦公室(Office of Management and Budget)防范和應對聯(lián)邦機構(gòu)管理的個人信息泄露的指導意見，聯(lián)邦政府及美國衛(wèi)生和公眾服務部(United States Department of Health and Human Services)制定的一系列健康信息泄露通知規(guī)范，美國財政部金融局(Office of the Comptroller of the Currency)、聯(lián)邦儲蓄委員會(Federal Reserve Board)、聯(lián)邦儲蓄保險公司(Federal Deposit Insurance Corporation)、聯(lián)邦儲蓄機構(gòu)管理局 (Office of Thrift Supervision)等部門制定的保護金融領(lǐng)域個人信息泄露的通知法規(guī)，等等。

二、聯(lián)邦機構(gòu)個人信息泄露通知制度

(一)主要的法律文件

基于管理和服務等目的，包括聯(lián)邦機構(gòu)在內(nèi)的公共部門會收集許多個人信息。如何切實保護這些個人信息并防止其被泄露，對于維持政府形象、維護公眾信任至關(guān)重要。2007年4月，“總統(tǒng)的身份盜竊特別小組”(The President’s Identity Theft Task Force)發(fā)布了《打擊身份盜竊：戰(zhàn)略計劃》(Combating Identity Theft：A Strategic Plan)，對聯(lián)邦政府機構(gòu)如何保護個人信息作出了規(guī)定，并建議公共和預算管理辦公室向所有聯(lián)邦機構(gòu)和部門發(fā)布數(shù)據(jù)泄露指南和常規(guī)操作指引，以便后者在數(shù)據(jù)泄露后正確披露相關(guān)信息。[4]

為響應特別小組建議，2007年5月公共和預算管理辦公室為聯(lián)邦機構(gòu)發(fā)布名為《防范和應對個人身份信息泄露》(Safeguarding Against and Responding to the Breach of Personally Identifiable Information)的指導意見備忘錄。[5]備忘錄要求聯(lián)邦機構(gòu)在120天內(nèi)制定并實施泄露通知政策，并在附件中概述制定泄露通知政策時必須遵循的框架。其中附件1“防止個人身份信息被泄露”再次強調(diào)聯(lián)邦機構(gòu)在現(xiàn)有法律、行政命令、法規(guī)和政策下保護個人身份信息和培訓員工的責任，并提出兩項新的隱私要求和五項新的安全要求。附件2“事故報告和處理要求”重申各聯(lián)邦機構(gòu)應當建立正式的信息泄露事件響應計劃，并要求機構(gòu)在發(fā)生任何涉及個人身份信息泄露的事件后通知有關(guān)機構(gòu)。附件3“信息泄露的外部通知”規(guī)定了聯(lián)邦機構(gòu)在向個人發(fā)出通知時需要考慮的因素，并詳細說明了通知內(nèi)容、通知方法等。附件4“規(guī)則和后果”指導每個機構(gòu)制定和實施政策，明確不遵守行為規(guī)則的后果和可以采取的糾正措施。

(二)通知之前的風險評估

在發(fā)現(xiàn)數(shù)據(jù)可能遭到泄露后，聯(lián)邦機構(gòu)應當首先對泄露事件可能造成的風險進行評估。評估應考慮五方面因素：①遭到泄露的數(shù)據(jù)元素的性質(zhì)。②受影響的人員數(shù)量。③個人信息的可訪問性和可用性，即被未經(jīng)授權(quán)的個人使用的風險大小。④泄露事件導致?lián)p害的可能性，包括潛在危害的廣泛性和損害發(fā)生的現(xiàn)實可能性。⑤聯(lián)邦機構(gòu)減輕損害風險的能力，即如何減輕泄露事件對信息系統(tǒng)造成的進一步損害。

(三)通知個人的規(guī)則

通知應當簡潔、醒目、通俗易懂，并包括以下內(nèi)容：對信息泄露的情況進行簡要描述，包括泄露發(fā)生的日期和發(fā)現(xiàn)泄露的日期；在可能的情況下，說明泄露事件涉及的個人信息類型；說明信息是否被加密或通過其他方式保護；個人應采取哪些措施以保護自己免受潛在的傷害；聯(lián)邦機構(gòu)正在采取的調(diào)查和止損措施。

提供通知的方式取決于受影響的個體數(shù)量和聯(lián)系信息，并應與他們需要收到通知的緊迫性相稱。可考慮的通知方式包括：①郵遞信件(First-Class Mail)；②情況緊急需要立即進行個別通知或受影響人數(shù)有限的，可以采用電話通知，但應與書面通知同時進行；③如通知對象已提供電子郵箱，并明確同意以電子郵件作為與機構(gòu)聯(lián)絡的主要方式，而其收件地址并不可知，可以采取發(fā)送電子郵件的方式；④作為個別通知的補充，可以在報紙或其他公共媒體上刊登通知；⑤如果機構(gòu)沒有足夠的聯(lián)系信息提供通知，可以使用替代方式，包括在機構(gòu)網(wǎng)站首頁的醒目位置張貼通知，并通知當?shù)刂饕挠∷⒑蛷V播媒體。

(四)通知監(jiān)管機構(gòu)的規(guī)則

如果發(fā)生了未經(jīng)授權(quán)的訪問或涉及個人身份信息的事件，除通知受影響的個人之外，聯(lián)邦機構(gòu)還須向有關(guān)機構(gòu)或官員履行告知或報告義務。一是遵循機構(gòu)內(nèi)部程序，通知包括隱私官員和監(jiān)察官員在內(nèi)的聯(lián)邦機構(gòu)官員。二是無論當時掌握信息的多寡，要在一小時內(nèi)通知美國計算機應急小組(United States Computer Emergency Readiness Team)，以便其協(xié)助協(xié)調(diào)聯(lián)邦機構(gòu)與其他機構(gòu)的溝通。三是如果數(shù)據(jù)泄露事件涉及信用卡信息，則聯(lián)邦機構(gòu)需要通知開戶行。

(五)通知的時間與違規(guī)罰則

在發(fā)現(xiàn)數(shù)據(jù)泄露后，各機構(gòu)應無不合理遲延地履行通知義務，除非是為了執(zhí)法和國家安全的需要，或恢復受損的電腦數(shù)據(jù)系統(tǒng)的合理完整性。推遲通知的決定應由機構(gòu)首長或其可書面指定的高級人員作出，但延誤不應加重任何受影響個人面臨的風險或遭受的傷害。如果相關(guān)工作人員未切實履行通知職責，可以根據(jù)法律和政策對其處以譴責、停職、罷免等處罰。

三、醫(yī)療健康領(lǐng)域個人信息泄露通知制度

(一)主要的法律文件

為提高健康保險的可攜帶性和連續(xù)性，打擊醫(yī)療保險和醫(yī)療保健服務中的浪費、欺詐和濫用[6]，美國聯(lián)邦政府于1996年8月頒布《健康保險攜帶和責任法案》(Health Insurance Portability and Accountability Act，HIPAA)。HIPAA要求衛(wèi)生與公眾服務部部長制定保護健康信息隱私和安全的法規(guī)。為此，衛(wèi)生和公眾服務部分別于2000年和2003年頒布隱私規(guī)則(Privacy Rule)和安全規(guī)則(Security Rule)，對個人健康信息的使用和披露作出限制，并建立了一套保護特定健康信息的國家標準。2009年，作為《美國復蘇與再投資法案》(American Recovery and Reinvestment Act，ARRA)的一部分，國會通過了《醫(yī)療信息技術(shù)促進經(jīng)濟和臨床健康法案》(Health Information Technology for Economic and Clinical Health Act，HITECH)，旨在促進和擴大健康信息技術(shù)的采用，并提升對健康信息的保護。該法案的一項重要內(nèi)容是引入健康信息遭到泄露后的通知規(guī)則，包括通知主體、對象、時間、內(nèi)容、罰則等。這些內(nèi)容在2013年頒布的HIPAA綜合規(guī)則(Omnibus Rule)中得到了修訂吸收，最終形成了較為完善的健康信息泄露通知制度。

(二)主要術(shù)語的定義

HIPAA規(guī)制的主體包括“涵蓋實體”(Covered Entity)及其商業(yè)伙伴(Business Associate)，前者主要包括健康計劃(Health Plans)、健康保健服務提供者(Health Care Providers)和健康保健信息處理機構(gòu)(Health Care Clearinghouses)；后者則是向?qū)嶓w提供健康信息傳輸服務，或代表實體向他人提供個人健康記錄等，因而接觸和使用健康信息的組織和個人。

HIPAA保護的客體是“受保護的健康信息”(Protected Health Information，PHI)，也稱為HIPAA數(shù)據(jù)，是在提供醫(yī)療保健服務過程中創(chuàng)建、使用或披露的任何可能識別個人身份的健康信息，包括與個人過去、現(xiàn)在或?qū)淼纳眢w或心理健康狀況有關(guān)的信息，向個人提供醫(yī)療保健的信息以及支付費用的信息。HIPAA列出了18項身份標識符，包括姓名、地址、電子郵箱、病例編號、生物識別標識符、全臉照片和任何可以識別個人的類似圖像等，包含其中任何一項即被視為“受保護的健康信息”。

在HIPPA語境下，信息“泄露”是指“以……不允許的方式獲取、訪問、使用或披露受保護的健康信息，從而損害受保護健康信息的安全或隱私?！钡铝星樾尾粚儆谛畔⑿孤叮孩賹嶓w及其商業(yè)伙伴的工作人員或授權(quán)人員出于善意，并在授權(quán)范圍內(nèi)無意獲取、訪問或使用健康信息；②被授權(quán)訪問健康信息的人無意中向另一位被授權(quán)人員披露健康信息，且該信息不會被進一步不當使用或披露；③實體及其商業(yè)伙伴真誠地相信，未經(jīng)授權(quán)獲知健康信息的人員不可能合理地保留該信息。

(三)通知的觸發(fā)條件

為了確定受保護的健康信息是否已被泄露，以及是否會對個人造成重大傷害，實體及其業(yè)務伙伴需要進行風險評估。需要考慮的因素包括：①遭到泄露的健康信息的性質(zhì)和范圍，包括信息類型和重新識別的可能性；②未經(jīng)授權(quán)使用或收到健康信息的人；③是否實際獲取或查看了健康信息；④健康信息的風險得到緩解的程度。

如果評估結(jié)果顯示健康信息被泄露的可能性或者危害后果很小，實體可以決定不發(fā)出通知。但風險評估并非啟動泄露通知程序的前置條件，在健康信息明顯遭到泄露的情況下，實體可以在不進行風險評估的情況下，直接啟動泄露通知流程。并且作為一項經(jīng)營戰(zhàn)略，沒有什么可以阻止實體及其業(yè)務伙伴在不執(zhí)行風險評估的情況下，就每次健康信息泄露事件發(fā)出通知。[7]

(四)通知的具體規(guī)則

根據(jù)HIPAA規(guī)則，健康信息泄露后的通知對象包括信息主體、衛(wèi)生和公眾服務部以及媒體三部分。

其一，在發(fā)現(xiàn)健康信息泄露后，相關(guān)實體必須以書面形式通知受影響的個人，除非其同意以電子方式接收此類通知。如果有10人以上的聯(lián)系信息缺失或失效，則實體必須在其網(wǎng)站首頁或受影響個人可能居住區(qū)域的主要媒體上發(fā)布通知。在通知時間方面，HIPAA要求實體盡快向個人提供通知，不得無故拖延，且在任何情況下都不得遲于發(fā)現(xiàn)信息泄露行為后的60天。通知必須盡可能包括以下五方面內(nèi)容：①對健康信息泄露情況的簡要描述，包括泄露發(fā)生的日期和發(fā)現(xiàn)泄露的日期(如果已知)；②對遭到泄露的健康信息類型的描述；③個體為保護自己免受潛在傷害而應采取的措施；④對實體正在采取的調(diào)查核實、減輕傷害、防范后續(xù)泄露等措施的簡要描述；⑤實體的聯(lián)系信息。

其二，如果信息泄露事件涉及同一個州或者司法管轄區(qū)內(nèi)500名以上居民，實體需要無不當遲延地并最遲在發(fā)現(xiàn)后的60天內(nèi)，以新聞稿的形式通知該州或司法管轄區(qū)內(nèi)的知名媒體?？紤]到實體通常不會保留所有受害者的最新聯(lián)系信息，通知媒體的重要性就十分凸顯，是確保所有受害者都意識到個人信息遭到泄露威脅的重要舉措。

其三，實體必須通過在衛(wèi)生和公共服務部網(wǎng)站填寫并提交數(shù)據(jù)泄露報告表的方式，將有關(guān)情況通知部長。如果健康信息泄露的影響范圍超過500人(不論分布在幾個州)，實體必須無不當遲延地通知衛(wèi)生和公共服務部部長，且最遲不得晚于發(fā)現(xiàn)泄露事件后的60天；如果健康信息泄露影響的對象少于500人，實體應當在不遲于發(fā)現(xiàn)泄露事件的當年結(jié)束后的60天內(nèi)提交報告。

(五)違規(guī)的處罰措施

為確保實體在保護患者隱私和健康數(shù)據(jù)方面積極履行職責，對于違反HIPAA規(guī)則的行為，設(shè)置在衛(wèi)生和公共服務部的民權(quán)辦公室(Office of Civil Rights)和州檢察長有權(quán)進行處罰。處罰結(jié)構(gòu)是分層次的，OCR通常更喜歡使用發(fā)布技術(shù)指導等非懲罰性措施解決HIPAA違規(guī)行為，但如果違規(guī)行為嚴重、持續(xù)很長時間或者存在多種違規(guī)行為，民權(quán)辦公室可能采取經(jīng)濟處罰措施，最高可處以每年150萬美元的罰款。作為該種罰則的一部分，如果實體不恪守個人信息泄露通知義務，包括不予通知、延遲通知、通知事項不合要求等，就可能受到經(jīng)濟處罰。2017年，Presense Health成為第一個與民權(quán)辦公室就違反HIPAA泄露通知規(guī)則的案件達成和解的實體。該公司因晚于規(guī)定時間一個多月才通知衛(wèi)生和公共服務部，最終向OCR支付了47.5萬美元來解決其違規(guī)行為。[8]

四、金融服務領(lǐng)域個人信息泄露通知制度

(一)主要的法律文件

1999年，美國國會頒布被稱為“金融服務現(xiàn)代化法案”的《格雷姆-里奇-比利雷法案》(Gramm-Leach-Bliley Act，GLBA)，旨在控制金融機構(gòu)處理個人信息的方式，確保其保護從各種形式的客戶記錄中收集的個人身份信息的機密性。GLBA第501(b)節(jié)要求各監(jiān)管機構(gòu)為金融機構(gòu)制定與行政、技術(shù)和物理保障相關(guān)的標準，防止此類信息的安全性或完整性受到威脅或危害。據(jù)此，2001年美國財政部金融局、聯(lián)邦儲蓄委員會、聯(lián)邦儲蓄保險公司、聯(lián)邦儲蓄機構(gòu)管理局等機構(gòu)聯(lián)合制定《建立信息安全標準的機構(gòu)間準則》(Interagency Guidelines Establishing Information Security Standards)，要求各金融機構(gòu)評估客戶信息(系統(tǒng))遭受違規(guī)披露、濫用、更改、破壞的威脅，以及未控制風險制定的各項政策程序的充分性，制定與信息敏感性和銀行業(yè)務范圍、復雜度相稱的，包含行政、技術(shù)和物理保障措施的信息安全計劃。[9]2005年，聯(lián)邦儲蓄委員會等機構(gòu)又聯(lián)合發(fā)布《關(guān)于客戶信息被未經(jīng)授權(quán)訪問和通知客戶的響應機制的機構(gòu)間指南》(Interagency Guidance on Response Programs for Unauthorized Access to Customer Information and Customer Notice)，以列舉形式規(guī)定金融機構(gòu)的響應機制應當包括的內(nèi)容，對通知客戶的標準、內(nèi)容、形式作出詳細規(guī)定，重申銀行在客戶信息泄露時向聯(lián)邦監(jiān)管機構(gòu)、執(zhí)法機構(gòu)報告的義務，并鼓勵其在向客戶發(fā)送通知之前通知消費者報告機構(gòu)。[10]

(二)主要概念的定義

在GLBA系列規(guī)范體系下，需要履行數(shù)據(jù)泄露通知義務的主體是“金融機構(gòu)”(financial institution)?！敖鹑跈C構(gòu)”是指從事1956年《銀行控股公司法》第4(k)條所述金融活動的任何機構(gòu)，即向個人提供貸款、投資、保險等金融產(chǎn)品或服務的銀行、投資公司、保險公司等。作為通知對象的“客戶”是與金融機構(gòu)有“客戶關(guān)系”的消費者，建立關(guān)系的方式包括在金融機構(gòu)開立信用卡賬戶、提供個人身份財務信息以獲得抵押貸款等。遭到泄露的“客戶信息”則是由金融機構(gòu)或其代表所保存的，包含客戶姓名、地址、銀行卡號等非公開個人信息的記錄，無論其形式是紙質(zhì)、電子或其他。

(三)通知客戶的規(guī)則

當金融機構(gòu)發(fā)現(xiàn)未經(jīng)授權(quán)訪問客戶信息的事件時，應進行合理調(diào)查，以便確定該信息已被或?qū)⒈粸E用的可能性。如果這種可能性得到確認，金融機構(gòu)應盡快通知受影響的客戶，除非執(zhí)法機構(gòu)認為通知會干擾刑事調(diào)查并向該機構(gòu)發(fā)出延遲通知的書面要求。

通知應以確保客戶可以合理預期收到的方式發(fā)出，包括電話、郵件、電子郵件等。通知應包含以下內(nèi)容：①概括地描述信息泄露事件，被泄露的客戶信息類型，以及金融機構(gòu)為保護客戶信息免受進一步侵害所做的工作；②提供一個電話號碼，客戶可以借此獲得進一步的信息和幫助；③提醒客戶在未來12至24個月內(nèi)保持警惕，并及時向金融機構(gòu)報告涉嫌身份盜用的事件。此外，金融機構(gòu)應根據(jù)情況酌情通知以下內(nèi)容：①建議客戶檢查自己的金融賬戶，并在發(fā)現(xiàn)可疑情況時立即告知金融機構(gòu)；②對欺詐警報的描述，以及解釋客戶如何在其消費者報告中添加欺詐警報，以通知債權(quán)人該客戶可能是欺詐的受害者；③建議客戶定期從全國性的信用報告機構(gòu)那里獲取信用報告，并刪除與欺詐交易有關(guān)的信息；④告知客戶如何免費獲得信用報告；⑤告知客戶如何獲得聯(lián)邦貿(mào)易委員會(FTC)在線指南(其中涉及消費者可以采取哪些措施來防止身份盜竊)，并鼓勵其向FTC報告身份盜竊事件。[10]

(四)通知監(jiān)管機構(gòu)的規(guī)則

《關(guān)于客戶信息被未經(jīng)授權(quán)訪問和通知客戶的響應機制的機構(gòu)間指南》要求，當金融機構(gòu)發(fā)現(xiàn)涉及未經(jīng)授權(quán)訪問或使用客戶敏感信息的事件時，應當通知其主要聯(lián)邦監(jiān)管機構(gòu)。所謂“客戶敏感信息”(Sensitive Customer Information)是指客戶的姓名、地址或電話號碼，以及客戶的社會安全號碼、駕照號碼、帳號、銀行卡號碼，或允許訪問客戶帳戶的個人賬號或密碼，還包括允許某人登錄或訪問客戶帳戶的客戶信息元素的任意組合，例如用戶名和密碼或密碼和帳號。

按照規(guī)則起草機構(gòu)的解釋，金融機構(gòu)需要在開始調(diào)查時通知監(jiān)管機構(gòu)，以確定信息已被或?qū)⒈粸E用的可能性，并便于監(jiān)管機構(gòu)在必要時采取適當行動。但聯(lián)邦監(jiān)管機構(gòu)不希望創(chuàng)建一個需要填寫類似“可疑活動報告”(Suspicious Activity Report)的詳細表格的復雜流程，因此最終通過的規(guī)則僅要求金融機構(gòu)盡快通過電話或其他快捷方式通知主要的聯(lián)邦監(jiān)管機構(gòu)即可。[10]

五、美國聯(lián)邦個人信息泄露通知制度評析

(一)綜合性立法缺位主要緣于體制性困境

無論是為了維護公民的合法利益，還是減少網(wǎng)絡犯罪和經(jīng)濟損失，抑或是促進法律的完備性和權(quán)威性，一部聯(lián)邦層面的綜合性數(shù)據(jù)泄露通知立法都是十分必要的。十數(shù)年來不斷被提出的專業(yè)性議案，也說明了美國國會對此有著清晰的認識。之所以迄今仍面臨立法缺位的局面，筆者認為根源在于美國內(nèi)部的體制性困境。

一是聯(lián)邦法律和州法律的優(yōu)先權(quán)問題。美國是一個聯(lián)邦制國家，存在聯(lián)邦和州兩級立法架構(gòu)。美國《憲法》第6條第2款規(guī)定，“本憲法及依本憲法所制定之合眾國法律……為全國的最高法律”，這就確立了“聯(lián)邦法優(yōu)先”原則。即在州法律與聯(lián)邦法律產(chǎn)生沖突的情況下，聯(lián)邦法律將優(yōu)先適用；沒有聯(lián)邦法律時，州法律可以適用。在各州陸續(xù)頒布數(shù)據(jù)泄露通知法案的情況下，一旦聯(lián)邦出臺統(tǒng)一的國家標準，必然對州立法的法律效力和執(zhí)法權(quán)限構(gòu)成沖擊，因此其對于聯(lián)邦統(tǒng)一立法的態(tài)度并不積極。2015年田納西州共和黨眾議員Marsha Blackburn和佛蒙特州民主黨眾議員Peter Welch曾共同發(fā)起了一項“數(shù)據(jù)安全和泄露通知法”(Data Security and Breach Notification Act)提案，并獲得了一定范圍的支持。但來自47個州的檢察長聯(lián)名致信國會領(lǐng)導人反對該項提案，批評它削弱了州法律對消費者的現(xiàn)有保護，認為國會不應該阻止任何一個州在其境內(nèi)制定更嚴格的法律，也不應該限制州檢察長對違法者的追訴權(quán)。[1]正如學者所言，在聯(lián)邦法律對州隱私法的優(yōu)先性等問題上，只要這些利益相關(guān)方“還守在自己的角落里，更廣泛的隱私辯論就會凍結(jié)，聯(lián)邦立法也會停滯不前。”[11]

二是兩黨之間的相互掣肘。美國是典型的兩黨制國家，民主和共和兩黨通過競選輪流執(zhí)政，掌握國家政權(quán)。兩黨的斗爭和內(nèi)耗貫穿在政治活動的各個環(huán)節(jié)，很多時候并非為了科學決策和維護選民利益，而是黨派斗爭的需要，兩黨在黨派議案等方面長期地明爭暗斗、相互否決。[12]數(shù)據(jù)泄露通知法案遲遲無法出臺，背后同樣有兩黨斗爭的因素。同樣以2015年的“數(shù)據(jù)安全和泄露通知法”提案為例，盡管該法案在眾議院能源和商務委員會獲得了通過，但投票結(jié)果卻呈現(xiàn)出明顯的黨派分歧：共和黨29票，民主黨20票。就連該法案最初的共同作者、民主黨眾議員Peter Welch最終也和其他民主黨人一起對他自己的法案投了反對票。[1]

(二)特定行業(yè)領(lǐng)域的單行立法有其必要性

在美國聯(lián)邦數(shù)據(jù)泄露通知立法陷入泥沼的同時，各州卻在以近乎狂熱的速度頒布相關(guān)法律規(guī)范。到2018年，隨著南達科他州州長 Dennis Daugaard和阿拉巴馬州州長Kay Ivey分別簽署SB 62號和SB 318號法案，美國50個州實現(xiàn)了數(shù)據(jù)泄露通知立法的全覆蓋。較早制定法律的州，也在不斷開展修法工作。

單獨來看，每個州的行動都是為了維護其居民的合法利益，但這種不斷變化的“大雜燴”式立法格局也為企業(yè)帶來巨大困難。特別是對于跨州經(jīng)營的大公司而言，要準確了解每個州的數(shù)據(jù)泄露通知規(guī)則并非易事。如此一來，各州非但沒有為消費者提供更有效的保護，反而制造了一個法律泥潭，妨礙了企業(yè)有效應對數(shù)據(jù)泄露的能力。在綜合性立法缺位的情況下，在個別行業(yè)領(lǐng)域內(nèi)制定單行法規(guī)就成為一項次優(yōu)選擇，既可在一定程度上維護聯(lián)邦的權(quán)威性，也可為州級立法提供制度樣本和指引。從實際執(zhí)行效果來看，盡管聯(lián)邦法律并不必然能夠取代州級數(shù)據(jù)泄露通知法，但許多州的確將企業(yè)按照HIPAA、GLBA等聯(lián)邦規(guī)范采取通知行動視為滿足了州法律中的數(shù)據(jù)泄露通知要求。

況且，目前已頒布聯(lián)邦數(shù)據(jù)泄露通知規(guī)范的領(lǐng)域均有其特殊必要性。聯(lián)邦政府部門基于公共管理職能掌握大量的公民個人信息數(shù)據(jù)，能否做好保護工作，在數(shù)據(jù)泄露后作出及時應對，對于獲得民眾支持信任、維護政府形象至關(guān)重要。醫(yī)療健康領(lǐng)域的個人信息既包含公民的一般個人信息，更關(guān)聯(lián)公民的生理特征、檢驗結(jié)果、既往病史等高度私密信息，一旦遭到泄露后果極其嚴重。銀行等金融機構(gòu)與公民的日常生活息息相關(guān)，掌握著海量的、有價值的個人信息數(shù)據(jù)，并且其數(shù)字化轉(zhuǎn)型為網(wǎng)絡攻擊者訪問這些數(shù)據(jù)創(chuàng)造了更多機會，從而使得金融部門成為網(wǎng)絡犯罪分子的第二優(yōu)選目標，僅次于醫(yī)療健康領(lǐng)域。[13]

(三)個人信息泄露通知規(guī)則較為合理

在保護個人信息和數(shù)據(jù)權(quán)利方面，美國起步較早、經(jīng)驗較為豐富。綜觀美國聯(lián)邦領(lǐng)域的數(shù)據(jù)泄露通知立法，盡管囿于政治體制等問題，遲遲沒能制定一部綜合性法律，但其在金融等領(lǐng)域的單行立法同樣值得稱道?？傮w而言，至少有以下三點值得借鑒。

其一，遵循利益平衡的價值理念。人類的思想是不斷豐富的，價值目標的多元狀態(tài)是在人類社會的進步發(fā)展中形成的[14]588，法的制定或修改，是協(xié)調(diào)多方利益、平衡多種價值的復雜過程。[15]數(shù)據(jù)泄露對公民個人利益、企業(yè)經(jīng)營管理、社會秩序穩(wěn)定構(gòu)成了多重危害。竊取個人信息的犯罪行為，首要侵害的是普通公民的財產(chǎn)、隱私等合法權(quán)益，同時也會對信息控制主體的經(jīng)營管理以及社會秩序的穩(wěn)定構(gòu)成損害。個人信息泄露通知制度的目的，是通過課予個人信息處理者一定的通知義務，保護公民的信息權(quán)益和社會秩序穩(wěn)定。但是，如果將通知義務不當擴大、啟動條件過度放寬，就會使個人信息處理者承擔過重的人力、物力、財力成本，有違公平原則，還有可能造成公民和監(jiān)管機構(gòu)被大量泄露通知“淹沒”，最終不利于減少數(shù)據(jù)泄露造成的損失。綜觀美國聯(lián)邦醫(yī)療健康、金融等領(lǐng)域的泄露通知規(guī)范，可以清晰地發(fā)現(xiàn)其遵循以保護公民權(quán)益為首要目標、兼及企業(yè)經(jīng)營和監(jiān)管需要的價值理念。為保護公民利益，法規(guī)對個人信息處理者的迅速通知義務、有效通知方式、簡明通知內(nèi)容等作出了硬性規(guī)定；為維護個人信息處理者利益，允許其在通知前進行風險評估，在通知人數(shù)過多時選擇替代通知方式等；為保障監(jiān)管需要，對個人信息處理者向監(jiān)管機構(gòu)報告數(shù)據(jù)泄露事件的義務設(shè)置了明確要求。

其二，根據(jù)社會發(fā)展不斷調(diào)整完善。法律是調(diào)整社會關(guān)系的規(guī)范，由于社會關(guān)系總是處于變動和發(fā)展中，而且“社會變化，從典型意義上講，要比法律變化快”[16]20，這就要求立法者不斷通過修法來保持法律的生命力。綜觀美國聯(lián)邦數(shù)據(jù)泄露通知立法，鮮明地體現(xiàn)出與時俱進、不斷發(fā)展的特征。如在醫(yī)療健康領(lǐng)域，自1996年HIPAA法案公布后，相關(guān)的適用規(guī)范不斷頒布實施，最終才在2013年形成較為完善的健康信息泄露通知規(guī)則。針對金融服務領(lǐng)域的個人信息保護，從2001年聯(lián)邦機構(gòu)聯(lián)合出臺指南要求金融機構(gòu)制定信息安全計劃，到2005年發(fā)布明確的數(shù)據(jù)泄露響應機制指南，同樣是根據(jù)數(shù)據(jù)泄露形勢變化作出的適時完善。

其三，個人信息泄露通知規(guī)則較完備。既然法律將數(shù)據(jù)泄露后的通知作為一項積極義務，那么需要明確的問題至少包括履行義務的主體、條件、時間、方式、對象以及未履行義務的后果?？疾烀绹?lián)邦系統(tǒng)個人信息泄露通知規(guī)范，無論是公共部門還是私營領(lǐng)域，均包含有基本定義、風險評估、通知內(nèi)容、通知方式、通知時間、違規(guī)處罰等模塊，為個人信息處理者提供了清晰明確的指引。另外，每一項規(guī)則在出臺之前均經(jīng)過廣泛征求意見，反復調(diào)整修改，最終通過的規(guī)則在保證實現(xiàn)立法目的的前提下，能夠保證現(xiàn)實可操作性。

六、美國聯(lián)邦個人信息泄露通知制度對我國的借鑒意義

通過對美國聯(lián)邦層面數(shù)據(jù)泄露通知立法的考察，可以為我國的法律建設(shè)提供一定的借鑒和參考。

(一)重視個人信息泄露通知的綜合性立法工作

我國的個人信息保護和數(shù)據(jù)安全立法起步雖晚，卻不存在美國式的體制性困境，因此個人信息(數(shù)據(jù))泄露通知制度在近年來頒布的《民法典》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等綜合性法律中得到了明確規(guī)定。但從實踐層面來講，由于法律條文數(shù)量稀少、規(guī)范內(nèi)容原則含糊，諸如如何通知、何時通知等問題缺乏操作規(guī)程，實際上還是存在無法可依的問題。一旦出現(xiàn)大量數(shù)據(jù)泄露事故，各地為了實現(xiàn)治理法治化，就會選擇出臺地方性法規(guī)或條例，如此就陷入了美國式的困局，各地自行其是，企業(yè)莫衷一是。為此，國家應當提高對個人信息泄露通知制度綜合性立法的重視程度，在《網(wǎng)絡安全法》《個人信息保護法》等法律的解釋文件中進一步細化數(shù)據(jù)泄露通知規(guī)則，或者出臺專門的數(shù)據(jù)泄露通知法，確保實務操作有法可依。

(二)允許特定行業(yè)制定個人信息泄露通知規(guī)范

與美國情況相類似，在統(tǒng)一的個人信息泄露法律出臺之前，我國一些掌握大量公民個人信息的行業(yè)已自行頒布了相關(guān)規(guī)范，以應對不斷出現(xiàn)的信息泄露事件和日益嚴峻的數(shù)據(jù)安全形勢。例如，中國人民銀行2011年發(fā)布的《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》提出，銀行業(yè)金融機構(gòu)發(fā)生個人金融信息泄露事件的，應當在事件發(fā)生之日起7個工作日內(nèi)將相關(guān)情況及初步處理意見報告中國人民銀行當?shù)胤种C構(gòu)。[17]2013年工業(yè)和信息化部《電信和互聯(lián)網(wǎng)用戶個人信息保護管理規(guī)定》第14條要求，電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者保管的用戶個人信息發(fā)生或者可能發(fā)生泄露的，應當立即采取補救措施；造成或者可能造成嚴重后果的，應當立即向電信管理機構(gòu)報告。[18]

在《個人信息保護法》《數(shù)據(jù)安全法》等綜合性法律已經(jīng)頒布的情況下，這些單行法規(guī)或部門規(guī)章是否還有保留的正當性和必要性？筆者認為答案是肯定的。一是因為《個人信息保護法》等法律中關(guān)于數(shù)據(jù)泄露通知的內(nèi)容尚顯粗疏，無法為金融機構(gòu)、電信業(yè)務經(jīng)營者等主體提供明確的操作指引，這一點與美國金融服務等行業(yè)立法的背景類似。再者，即便將來通過立法或司法解釋的方式制定了統(tǒng)一的數(shù)據(jù)泄露通知規(guī)則，也不意味著行業(yè)立法就失了根基，畢竟雖然同為個人信息集中的領(lǐng)域，但金融、電信、醫(yī)療健康、保險等行業(yè)各有其特殊性，在信息類型、涵蓋主體、處罰機制等方面難免有所不同。事實上，已經(jīng)有部門在此方面采取了行動。例如，2020年9月中國人民銀行發(fā)布了修訂后的《中國人民銀行金融消費者權(quán)益保護實施辦法》，于第34條第2款增加了關(guān)于泄露通知的規(guī)定，要求銀行以及支付機構(gòu)應當在確認信息泄露可能危及金融消費者人身、財產(chǎn)安全時，立即向住所地的中國人民銀行分支機構(gòu)報告并告知金融消費者，可能造成其他不利影響的應在72小時以內(nèi)報告中國人民銀行分支機構(gòu)。[19]

(三)構(gòu)建系統(tǒng)明晰個人信息泄露通知規(guī)則體系

與美國聯(lián)邦個人信息泄露通知規(guī)范相比，我國相關(guān)立法在結(jié)構(gòu)完整性、語言明確性、立法統(tǒng)一性等方面存在不足。多部綜合性立法往往只有關(guān)于信息處理者或網(wǎng)絡運營者應當即時報告的原則性規(guī)定，除《個人信息保護法》中規(guī)定了通知內(nèi)容、《數(shù)據(jù)安全法》中規(guī)定了通知方式外，諸如通知的觸發(fā)條件、通知的時間、未及時通知的法律后果等內(nèi)容均付之闕如。在具體行業(yè)領(lǐng)域，僅中國人民銀行通過的《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》《金融消費者權(quán)益保護實施辦法》等規(guī)范性文件中，就使用過“客戶信息”“個人金融信息”“消費者金融信息”等名稱，其內(nèi)容與國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》中對金融信息保護對象的規(guī)定也不一致。

立法的粗疏和混亂可能使得信息控制者在遭遇網(wǎng)絡安全事件后無所適從，不知如何通知受侵害的個體、通知哪些事項以及通知不到位可能面臨何種處罰等。如此，既可能使涉事企業(yè)或機構(gòu)承擔了過大的成本，也可能為其怠于履責提供了借口，最終使消費者權(quán)益和國家利益遭受不必要的損失。參考美國立法，筆者認為首先應當堅定以保護信息主體利益為主、兼顧信息控制者利益的指導思想，在法律文本中對于個人信息、通知主體、通知對象等作出界定，明確通知義務的觸發(fā)條件和風險評估標準，在通知較為困難或成本過高時允許信息控制者采取替代通知方式，對于怠于通知或拒不通知的應當明確法律后果，包括民事罰款甚至刑事追責等。