美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)
经过DPO社群中热心同学的努力,美国联邦立法重要文件编译第一辑(截止2018年10月7日)的中文翻译终于出炉了。在此,把译者前言贴出来。
译者前言
在联邦层面通过一部统一性(all-encompassing federal legislation)的个人信息保护立法,在美国一直停留在公众舆论而已。但随着“剑桥分析事件”、外国势力在互联网平台上发动的信息战(information warfare)等,让美国社会各界都认识到个人信息保护不仅关于个人的合法权益,更关乎国家安全。
西方主流媒体,如《纽约时报》提出“Facebook不是真正问题所在,宽松的隐私规则才是”(“Facebook Is Not the Problem. Lax Privacy Rules Are”);《经济学人》建议“美国应当效仿欧盟的数据隐私法律”(“America should borrow from Europe’s data-privacylaw”);《华尔街日报》报道:除Facebook之外,Apple、Amazon和Google都接受在未来美国将会有更严格的隐私监管(“Apple, Amazon and Google Also Are Bracing forPrivacy Regulations”)。
会不会又是“雷声大,雨点小”?毕竟在美国历史上,不乏有呼吁统一性立法的声音。但这次与以往显著不同的一点是,美国拥有巨大影响力的行业协会在近期纷纷提出了个人信息保护立法的框架。这样的举动史无前例,侧面说明美国朝野观念上的质变,以及国会两党形成了应当加强个人信息监管的共识,否则精于“计算”和“运作”的他们,又何必多此一举?正如IBM政府和监管事务副总裁Chris Padilla所说,“对于隐私问题,局势已经发生根本变化”(“There has been a complete shift on privacy”),“目前的广泛认识是,不希望隐私规则的公司再也不可能仅仅说不了”。(“There is now broad recognition that companies thatwere resistant to privacy rules can no longer just say no.”)
Internet Association、Software Alliance(BSA)、Information Technology Industry Council(ITI)均为鼎鼎有名的行业利益代表。近期,他们之间似乎取得充分“默契”,都赶在国会和政府当局抛出立法草案之前提出自己的立场文件,试图为即将来临的立法流程提前确立基调(set the stage)。
翻译和研究他们的立场文件,有着什么样的意义?首先,他们的立场文件最能代表美国行业和企业的利益。《纽约时报》在8月底的一篇报道(“Tech Industry Pursues a Federal Privacy Law, onIts Own Terms”)中透露,近期Facebook、Google、IBM、Microsoft及其他公司正对特朗普当局和其他有关方面就联邦隐私法律展开“猛烈的游说攻势”。他们一是希望联邦立法能够推翻加州立法(CCPA),二是希望立法能够确立对个人信息处理相对宽松的规则。这些公司的具体观点、游说的具体内容,我们不得而知,但是通过这些行业组织发布的立场文件,我们能掌握个八九不离十,有助于我们观察美国未来的立法走向。
其次,他们的立场文件能让我们看到,所谓的有利于发展和创新的个人信息保护框架到底长啥样。按照“个人信息保护法要在发展与安全之间取得平衡”的说法,行业协会的立场文件毋庸置疑倾向于前者。目前在我国国内,存在很强的声音批评欧盟《通用数据保护条例》(GDPR)为代表的保护思路,认为这样的立法会扼杀企业、行业的发展。但在批评之余,这股声音几乎没能提出自己的方案。所以,如果未来我国的《个人信息保护法》打算与GDPR拉开距离,那么翻译和研究行业协会的立场文件,能够提供非常有价值的参考。
除了私营部门“闻风先动”之外,美国国家电信和信息管理局(NTIA)代表美国商务部于2018年9月21日就“推进本届政府消费者隐私保护”(Developing the Administration’s Approach to Consumer Privacy)正式公开征集意见(Request For Comment)。在此项RFC中,NTIA提出了未来美国联邦层面就隐私保护采取的举措,其本身所应致力于取得的隐私保护结果(Privacy Outcomes),以及联邦层面如采取举措的话,所应达成的战略目标(High-Level Goals for Federal Action)。同期,美国商务部下属的国家标准与技术研究院(NIST)正式启动了“隐私框架”(Privacy Framework)的研制工作。NIST希望延续其过去制定“网络安全框架”的成功经验,为私营部门开发出一套自愿性的管理隐私风险的框架。
除上述这些文件外,我们还翻译了Google提出的个人信息保护立法框架,以及由《纽约时报》首次披露的民主党领袖提出“互联网权利法案”(the Internet Bill of Rights)。总的来说,这些文件集中反映了美国目前国内对隐私保护立法和政策的趋势和未来会采取的路径。
显然,美国人不喜欢GDPR那样“管得太细、太严”的立法风格,更希望联邦层面的立法是原则性的(principle-based),把具体如何开展个人信息保护的策略、控制措施等,留给企业自由裁量。这样的思路,在美国网络安全方面立法,也非常明显。因此,未来至少有两种立法策略可供中国参考。
此外,这些文件从不同层面涉及了个人信息处理的启动要件是不是个人同意、个人信息收集要不要限制、目的限制原则还要不要等等一系列非常重要且有趣的内容。令人非常出乎意料的是,私营部门提出的框架都赞同个人具有数据可携带权。
为了进一步把这些材料消化、理解,数据保护官(DPO)社群决定召开第五期线下DPO沙龙,就这些文本展开深入讨论,期待大家的参与。
最后,在此衷心感谢参与此次翻译工作的译者(姓氏音序排名):崔卫红、陈子谦、何国峰、皮凯、谭德芳、薛颖、王少倩,以及进行审校的王新锐、孟洁、罗为。他们在脚踏实地从事个人数据保护工作的同时,还放眼全球思考最新的动态、进展、趋势。“DPO沙龙”正是为像他们这样的一线工作者提供了互动交流的平台。
在我看来,他们是中国数据保护水平的“晴雨表”,他们在实践中碰到的问题、提出的解决方案、所做的思考,无疑应当为各界所重视。目前,“DPO沙龙”已经齐聚了超过100位有志于从事数据保护工作的同仁,也已经举办了数期线上、线下的深度讨论。欢迎更多的人加入这个社群。(洪延青)
下载《美国联邦隐私立法重要文件编译(第一辑)》中英文全文,请点击文末左下角的“阅读原文”。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点