黄道丽 胡文华 | 后GDPR时代的美国数据隐私保护走向
摘 要:当前,美国州层面的个人数据相关立法呈现出明显的增长趋势。联邦层面也开始针对隐私法相关问题展开辩论。整体来看,后GDPR时代美国隐私保护呈现出隐私保护力度整体提升,数据保护权利尚存争议;数据共享、出售成规范重点,多种监管方案提出;监管模式选择成重要争议的特点。
关键词:GDPR、隐私保护、数据共享、监管模式
在数据全球化深入发展的当下,一方面美国数据隐私保护立法不仅影响着全球数据经济的发展,也是研究未来全球隐私保护立法走向的重要标本。另一方面,在国内将《个人信息保护法》纳入十三届全国人大常委会立法规划、国际GDPR全球立法效应持续发酵之际,如何在后GDPR时代建立起一套既符合国际最佳立法实践又符合本国国情,既能为个人权益、数据经济、国家安全等系列利益保驾护航又能为我国在国际数据规则制定中占据话语权、主动权的《个人信息保护法》是我国当下亟需解决的现实问题。后GDPR时代美国隐私保护将走向何方,其有哪些具体考量对我国具有重大的研究和参考价值。本报告将介绍美国自GDPR实施以来数据隐私保护最新动向并分析其关注重点及主要趋势。
一、美国数据隐私保护现状
(一)美国数据隐私保护的现行立法框架
1)1970年《公平信用报告法》(15 USC§1681 Fair Credit Reporting Act)。该法最初颁布于 1970 年,这一法案旨在促进消费报告机构所收集的信息的准确性与公平性的同时,推进相关隐私保护。这些信息被用于信用与保险报告、雇员背景调查与租户筛查。这一法案赋予了个人访问与修正个人数据的权利,从而保护了消费者的权利。它要求那些提供消费者报告的公司确保信息的准确与完整;它限制这些信息的使用;它要求这些机构在依据报告进行不利于当事人的措施(例如拒绝贷款)时需尽到告知的义务。之后,美国又通过《公平和准确信用交易法》(Pub.Lo.No.108-159)对该法做出了修订。
2)1974年的《隐私法》(Privacy Act)。该法专门规定了联邦政府机构收集公民个人数据时应当遵守的基本规则。“行政机关”对个人数据的采集、使用、公开和保密问题作出详细规定,以此规范联邦政府处理个人数据的行为,平衡公共利益与个人隐私权之间的矛盾。该法中的“行政机关”,包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司,以及行政部门的其他机构, 包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关,但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。该法中的“记录”,是指包含在某一记录系统中的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中,“其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码, 以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。《隐私权法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。
3)1986 年《电子通信隐私法》(18 USC§2510)。《电子通讯隐私法》涵盖了声音通讯、文本和数字化形象的传输等所有形式的数字化通讯,它不仅禁止政府部门未经授权的窃听,而且禁止所有个人和企业对通讯内容的窃听,同时还禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。
4)1996《健康保险携带和责任法》(简称“HIPAA”)。该法案通过建立电子传输健康信息的标准和要求鼓励健康信息系统的发展。保障个人的健康隐私信息的完整性和机密性;防止任何来自可预见的威胁、未经授权的使用和泄露;确保官员及其职员遵守这些安全措施。2001的《医治保险携带和责任法》修正案,目标之一就是保护病人的电子健康记录,并提出保护的具体标准。该法详细规定了行政保障措施、物理保障措施、技术保障措施及安全责任的分配问题,对于违反安全标准的实体,规定了最高可达25万美元罚款和最长10年监禁的严厉惩罚措施。
5)1998年美国通过《儿童在线隐私保护法》。该法适用于美国管辖之下的自然人或单位对13岁以下儿童在线个人信息的收集。该法还详细规定了网站经营者必须披露其隐私保护政策,寻求监护人同意的时间及方式。规定经营者违反儿童隐私保护应承担的责任,禁止营销13岁以下儿童的个人信息。但是如果经过父母同意,13岁以下儿童可以合法提供其个人信息。为了顺应大数据的时代潮流,更好的保护儿童的隐私数据,美国联邦贸易委员会修订了该法,自2013年7月1日起生效。新出台的规则把个人信息范畴扩展到地理位置标记、IP地址、个人照片或音频、网站cookies。同时,新规则对一些使用插件或者广告获取信息的公司也同样有效。此外,考虑到2000年以来在线技术的发展变化,规则修订了运营商,个人信息,针对儿童的网站或网上服务等术语的定义,并增加了征得父母的同意,对相关主体的通知,保密性和安全性以及安全港条款等要求,并引入了数据留存、删除等新术语。这些新的技术变革主要体现在手机、平板、社交网络和数以百万计的其他应用上面。
6)1999年《金融服务现代化法》(15 USC§§6801-6827 Gramm-Leach-Bliley Act)。该法对金融信息的收集、使用、披露规定进行了规定,适用于金融机构,如银行、证券公司和保险公司以及其他提供金融服务或产品的机构。《金融服务现代化法》对非公开个人信息的披露行为做出了限制,并规定了金融机构应当针对其数据处理行为通知数据主体的情形,要求金融机构为数据主体提供数据不公开的选择机制。
(二)美国数据隐私保护行业自律
美国还倾向于采取行业自律政策对网络隐私权提供保护。由于网络技术发展迅速,而立法总是滞后于现实状况,所以采用自律政策作为立法之外的补充受到行业联盟、国会和政府部门的一致鼓励和支持。总体而言,美国目前的行业自律形式有三类:建议性的行业指引、网络隐私认证、技术保护模式。
许多从事网上业务的行业联盟都发布了本行业网上隐私保护准则,如“在线隐私联盟”、“银行家圆桌会议”、“直销协会”、“互动服务协会”等等。其中,“在线隐私联盟”最为著名,由超过80家的国际公司和协会组成,致力于为商业行为创造互信的良好环境和推动对个人网络隐私权的保护。它于1998年6月发布了以联邦商业委员会的建议为原则的在线隐私指引,旨在指导网络和其他电子行业隐私保护。不同于适用于同一行业内部的建议性行业指引,网络隐私认证适用于跨行业的联盟。他们授权那些达到其提出的隐私规则的网站张贴其隐私认证标志,以便于用户识别。美国著名的网络隐私认证组织有 TRUSTe、BBBOnLine、WebTrust等。
技术保护模式为更好地鼓励甚至是强制推行隐私权保护提供了基本的技术支撑。最常见的一种模式是由互联网协会推出的个人隐私选择平台(简称P3P)。P3P 能让网站指明对个人数据使用和公布的状况,让用户选择个人数据是否被公布,以及哪些数据能被公布,并能让软件代理商代表双方达成有关数据交换的协议。在这种模式下,个人能够利用充足的信息做出明智的决定,同意或是拒绝提供本人的数据,并且能够委托软件代理商将决定付诸实践。
二、后GDPR时代美国数据隐私保护立法动向
(一)走在前沿的州际数据保护立法
为响应消费者对数据收集、数据安全、数据隐私保护的日益关注,美国诸州已起草或颁布了相关数据保护法。在LegiScan网站上通过“personal data”“privacy”关键词搜索可发现,自2018下半年至今(2019年3月31日),美国州层面的个人数据相关立法呈现出明显的增长趋势,至少百余项隐私保护提案进入了州议会审议程序。各州之间的立法提案各具特色又普遍存在交叉影响的现象,从各州数据保护提案的激增不难发现,美国境内正在开展一场数据保护革命。
以加利福尼亚州为例,作为美国隐私保护最为先进的州之一,2018年6月加利福尼亚州率先颁布了《加州消费者隐私保护法》(CCPA)。该法在诸多方面效仿GDPR,对隐私保护做出了诸多开创性的规定。例如该法赋予了数据主体访问权、删除权、可携权以及禁止个人信息出售的权利,并对数据处理的透明度做出了诸多要求。作为自下而上的隐私保护运动妥协的产物,与GDPR相比CCPA在数据保护力度方面相对弱化,但CCPA的出台拉开了美国数据保护革命的序幕,对其他州以及联邦立法均产生了巨大的推动作用。
加州之外,华盛顿州、纽约州、新泽西州、伊利诺伊州等州也相继提出了提案。2019年华盛顿州议员提出了《华盛顿隐私法案》(SB5376),成为继CCPA外的第二部综合性的数据隐私保护立法。该法案深受GDPR与CCPA的影响,CCPA规定的数据主体权利基本被引入,此外该法还进一步引进了GDPR的反对自动化分析决策权。与CCPA建立的“选择-退出机制”不同,《华盛顿隐私法案》在规定数据控制者进行风险评估的基础上,建立了数据收集和出售的“选择-进入”机制。新泽西州先后提出了三项提案,针对GPS数据、数据泄露通知等做出了规定。伊利诺伊州HB2871号提案对数据经纪人登记制度做出了规定。本文梳理了GDPR实施后美国各州主要的隐私法法案,见下表:
表1 GDPR实施后美国各州主要隐私法案
注:由于多数法案尚处审议阶段,表格中的“时间”一栏除明确“已通过”外,均指法案的提出时间。
(二)争议中的联邦数据隐私法
随着加州CCPA的通过以及各州隐私法案的提出,是否应当建立一个联邦层面的全面的数据隐私法、具体规则该如何设计等问题也成为联邦立法的关注重点。
在GDPR即将实施前夕,美国参议院发布了一项决议鼓励企业将GDPR标准同样适用于美国用户。但相较于各州隐私保护改革的迅速,美国联邦层面对于隐私保护立法反应相对迟缓。在各州立法的推动以及科技巨头、民间组织的呼吁下,美国联邦层面也开始采取行动。参议院先后提出了《数据保障法案2018》《美国数据传播法案2019》《社交媒体隐私和消费者权利法案2019》《数字问责制和透明度以提升隐私保护法案》。众议院也提出了《加密法案》《信息透明度和个人数据控制法案》《应用程序隐私、保护和安全法案》《数据经纪人问责制和透明度法案》《数据问责和信任法案》等多项提案。总体来看,目前美国参众议院已有10余项隐私保护法案正在审议中。
综观各项提案,不难发现GDPR对其的影响,但各项提案在借鉴GDPR的规定方面存在诸多差异也直接反映出了联邦国会对于美国隐私保护力度、方式等仍存在较大分歧。为寻求共识,众议院和参议院司法委员会曾多次组织听证会就美国联邦隐私法进行讨论,但针对联邦政府是否需要制定统一立法、应当赋予数据主体何种权利、如何设计救济机制等问题存在诸多争议。
表2 GDPR实施后美国联邦主要数据隐私提案
注:由于多数法案尚处审议阶段,表格中的“时间”一栏除明确“已通过”外,均指法案的提出时间。
(三)多利益导向的其他推进力量
立法者之外,其他利益团体在推动隐私立法改革的作用也不可忽视。政府方面,2018年9月,特朗普政府正式宣布建立美国消费者隐私标准计划。根据该计划,国家标准与技术研究院(NIST)和国家电信和信息管理局(NTIA)正与公共和私营部门合作,制定自愿隐私框架。美国联邦贸易委员会(FTC)2018-2019年的工作重点也主要放在数据安全、隐私保护。2019年2月美国政府问责办公室(GAO)发布报告建议制定全面的联邦隐私法。
行业方面,自各州隐私保护运动以来,各州立法规范的不同为企业的合规带来了诸多难题。尤其是在加州CCPA严格的个人数据保护条款即将生效、各州数据保护普遍增强的情形下,各科技巨头迫切希望通过推进联邦立法建立一套统一的、综合的隐私保护规则减轻未来的合规成本,同时为自身在美国这场隐私保护改革中先发制人占据主动权。苹果、微软、Facebook等科技巨头均明确支持建立联邦隐私法,并积极参与联邦的立法工作。此外,行业协会也在积极地推进隐私监管的现代化。2018年9月美国互联网协会发布了一套隐私原则,该原则在诸多方面吸收了GDPR的规定,对透明度、数据主体控制权、访问权、更正权、删除权、可携权等做出了规定。无独有偶,美国商会、商业软件联盟(BSA)也先后发布了相关原则。
三、后GDPR时代的美国数据隐私保护趋势及特点
欧盟GDPR的实施推动了美国境内一场全民性的隐私保护变革,使得美国的隐私保护在后GDPR时代具有明显的阶段性特征。整体来看,后GDPR时代美国数据保护呈现以下趋势及特点:
(一)隐私保护力度整体提升,数据保护权利尚存争议
综观GDPR颁布实施后各州及联邦立法提案,不难发现与现行法相比,各提案在很大程度上提升了美国的数据保护力度。例如赋予了数据主体访问权、更正权、删除权、选择退出权等诸多新权利,也对互联网服务提供商提出了更高的义务要求,包括但不限于更强的安全保障义务、风险评估义务等。
与此同时也应注意到,虽然GDPR在很大程度上给美国隐私保护带来了巨大冲击但与欧盟数据保护立足于用户隐私保护最大化不同,美国主流观点仍认为美国隐私立法的关键任务并非促进用户隐私的最大化而是促进用户福利的最大化。这决定了美国立法者不会全盘接收GDPR的规定,体现在各州和各版本的联邦隐私法提案方面则表现为在何种程度上借鉴GDPR规定的差异化。
对数据主体的权利争议主要集中于反对自动化决策权、删除权(被遗忘权)、访问权、数据可携权等。例如,在是否赋予数据主体反对自动化决策权方面,目前仅有华盛顿州的隐私法提案规定了数据主体享有反对自动化分析权,其他各州及联邦立法提案均未规定该项权利。在删除权方面,诸多州的提案均对删除权做出了规定,但仍有诸多反对的声音认为删除权的行使会增加企业负担同时对人工智能等新技术新应用的发展带来阻碍。当前美国联邦层面的《美国数据传播法案2019》《社交媒体隐私和消费者权利法案2019》《数据经纪人问责制和透明度法案》等多数提案中并未对删除权做出规定。在访问权方面,有观点认为访问权的不当设置会增加企业的负担,因此各法案在访问权是否设置以及如何规范方面也存在诸多不同。在数据可携权方面,目前仅有加州CCPA、华盛顿州的SB 5376号法案,联邦的《数字问责制和透明度以提升隐私保护法案》借鉴了欧盟GDPR的规定,明确在技术可行的情况下,应允许消费者无障碍的将信息传输至其他实体。此外,与GDPR不同,为平衡隐私保护与企业利益,在数据收集最小化、隐私设计、隐私人员的设置方面,当前美国鲜少有法案对此做出要求。
(二)数据共享、出售成规范重点,多种监管方案提出
综观各州及联邦各项提案可以发现,美国这次数据保护改革尤其关注数据共享和出售问题,联邦层面《数据保障法案2018》《信息透明度和个人数据控制法案》《应用程序隐私、保护和安全法案》等法案均对数据出售和共享做出了规定。《数据经纪人问责制和透明度法案》更是专门针对数据经纪人制度做出规范。州层面,加州CCPA以及佛蒙特州第171号法的一个重大变革就是对于数据出售和共享的规制,此外,夏威夷州、伊利诺伊州等新法案均对该问题做出了明确。综合来看,当前美国各法案对数据共享或出售行为的规制措施主要集中于:
强调透明度。2013年美国政府问责办公室专门发布《消费者隐私需要反映技术和市场变化》报告,报告指出美国隐私保护的一个重要问题在于,数据主体不知道谁掌握其数据、谁在出售其数据。为解决该问题,美国近年来尤其强调数据出售和共享的透明度,要求收集个人信息的企业应当向数据主体告知共享信息的目的、类型、第三方等信息。2018年参众议院提出的《数据经纪人问责制和透明度法案》专门针对数据经纪人的透明度、义务等做出了明确规定。值得注意的是,已有法案专门对数据价格的透明度做出了要求。加州AB 950法案规定,企业应向用户披露其数据的平均商业价值(monetary value)。销售数据的,应当披露平均销售价格,并应用户要求向用户披露其数据销售的实际价格。法案还要求成立消费者数据隐私保护委员会,该委员会由学者、行业及社会团体组成,主要职责在于为立法机构提供确定消费者数据价值的适当指标和方法。
设置数据经纪人登记制度。“数据经纪人”是指基于出售或向第三方提供访问的目的,收集、集合、维护其用户或雇员之外人的个人数据的商业实体。为规范数据经纪人的数据出售行为,2018年5月,佛蒙特州第171号法全面生效,该法为数据经纪人制定了特殊规则,要求购买和销售用户数据的数据经纪人应当进行注册,并建立全面的数据安全计划。随后,加州及伊利诺伊州等州也提出了类似法案。例如加州AB 1202号法案要求数据经纪人(data broker)每年向司法部长进行登记,登记的信息包括名称、主要营业地、邮件及网站地址等,未经登记将受到禁令及民事处罚。
强化数据出售或共享的安全保障义务。数据经纪人隐私审计制度是强化数据出售或共享的安全保障义务的重要措施。隐私审计是指通过中立的第三方对数据经纪人的隐私保护措施加以审查。《数字问责制和透明度以提升隐私保护法案》就规定了收集、使用、共享、出售敏感个人数据的运营商应当请第三方进行隐私审计,但也规定了500人以下的企业以及收集非敏感个人信息的豁免。《数据问责和信任法案》《数据经纪人问责制和透明度法案》等也对数据经纪人的隐私审计义务做出了要求。除隐私审计外,《数据保障法案2018》还规定了在线服务提供商的保障义务(duty of care)和忠实义务(duty of loyalty),明确在线服务提供商不得向第三方披露、出售、共享个人数据,除非对方履行保障和忠实义务,且应采取合理的措施保障第三方履行了上述义务。
加强数据主体对信息出售控制权。数据主体对信息出售的控制力对于隐私保护具有重要意义。诸多法案中规定了拒绝出售的权利,例如加州CCPA、AB 288,新泽西州的AB 3245、No. 4974、No. 4902,夏威夷州的SB 418、马里兰州的SB0613等均规定收集个人信息的网站应当为用户提供一个退出销售其个人信息的机制(选择—退出机制)。值得注意的是,目前已有部分法案针对特殊类型的个人数据的出售做出了特殊的规定。例如纽约州S8547提案规定未经数据主体的书面同意,不得收集、购买、交易生物识别信息。加州CCPA规定16周岁以下儿童的个人信息原则上不得出售或共享除非获得数据主体的同意(选择—进入机制)。联邦参议院提出的《商业面部识别隐私法案2019》也规定未经用户肯定明确的同意不得与第三方共享面部识别信息。
(三)隐私监管模式选择成重要争议
为提升数据保护水平加强数据主体的控制权,欧盟GDPR承继了并进一步加强了95指令建立的知情同意规则。这一做法也影响到美国此次的隐私保护改革监管模式的选择。在美国,个人数据长期以来被视为一般商品,除了针对儿童、金融、医疗等集中特殊类型的数据需要获取数据主体的同意外,一般数据的收集处理均无需遵守该规则,可自由获取、交易。随着GDPR的实施,有诸多隐私保护者主张效仿欧盟,建立以用户为中心的监管模式赋予用户控制权,其中一个重要措施包括建议知情同意规则。这一点也在部分法案中有所体现,参议院提出的《社交媒体隐私和消费者权利法案2019》。但这一做法也引来了诸多反对。更多的法案倾向于在GDPR的基础上做出相对弱化的规定,例如区分敏感数据和非敏感数据,有限适用选择同意而更多采用选择退出机制等。此外,随着对美国新隐私监管的热情攀升,另一种隐私监管方法逐渐普及,即将尽职、忠诚和保密等信托义务适用于收集数据的实体。建立“以用户为中心”还是“以数据控制者为中心”的隐私保护模式已成为美国此次隐私保护改革的关注重点。
作者简介
黄道丽,公安部第三研究所副研究员,西安交通大学法学博士
胡文华,硕士研究生,公安部第三研究所研究实习员
本文收录于网络空间安全蓝皮书《中国网络空间安全发展报告(2019)》
因编辑需要,隐去参考文献和脚注
图文编辑:公安部第三研究所 梁思雨