美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则
编者按:
目前,我国的个人信息保护立法工作正在进行之中。相对于欧盟《通用数据保护条例》(GDPR),国内对美国联邦目前的隐私保护立法尝试,以及已出现的多个版本隐私保护法律文本草案,研究很不充分【部分草案的翻译,见:美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品),以及第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论】。本系列文章试图进一步填补这一空白。
遵循本公号一贯的风格,本系列文章将避免理论化的介绍,分专题对各个法律文本中的概念和制度设计开展分析研究,核心目的在于为我国各个层级的立法和监管提供借鉴。本系列已发表的文章:
讨论个人敏感信息的范围,必须与个人敏感信息的保护规则相结合,否则没有任何意义。因此,本篇文章探讨美国的立法草案对个人敏感信息提供了哪些额外的保护。
‘‘Consumer Data Privacy and Security Act of 2020’’
对个人敏感信息的保护规则概括如下:
年度内收集或处理少于10万人的个人敏感信息,可以被认为是小企业(small business);
收集或处理个人敏感信息需要明示同意(express affirmative consent);
完成处理目的后,企业应对个人敏感信息做删除或去标识化处理,并应要求其使用的服务提供者也对个人敏感信息做删除或去标识化处理;
如果隐私政策发生实质变化,在个人重新给与明示同意前,不应处理个人敏感信息;
如果年度收集或处理超过100万人的个人敏感信息,企业应当任命隐私保护官;
如果年度收集或处理超过100万人的个人敏感信息,企业应当在收集或处理个人敏感信息前,或实质性地改变对个人敏感信息的处理前,评估所涉及的个人敏感信息的性质和数量,以及该收集或处理行为可能对个人带来的损害(即隐私影响评估PIA的要求)。
在该法案中,“处理”的定义包含了:分析、组织、结构化、保存、使用、披露、传输、共享、转移、售卖、许可等除收集外所有的动作。
在该法案中,对于小企业的优待,主要体现在实现个人数据主体权利方面。
政府发布的唯一的标识号,例如社保号、护照号、驾照号等
用户名或电邮地址以及对应的密码或安全问题和答案
个人的生物识别信息
有线、口头、电子通信信息
关于个人生理或精神状态、医疗情况及医疗付费相关的信息
金融账户、信用账户、储蓄账户的账号及密码
个人的种族、民族信息
个人的宗教信仰信息
个人性取向信息
个人的精准地理位置信息
由联邦贸易委员会界定的,且收集和处理可能给个人带来可合理预见的损害的信息
‘‘DATA Privacy Act’’
对个人敏感信息的保护规则:
收集和披露个人敏感信息前,需要个人的自主选择同意(opt-in consent)
与个人的健康、生理、心理、生物识别、性方面、基因信息相关的信息;
个人使用的设备的准确地理位置信息。
‘‘Consumer Online Privacy Rights Act’’
对个人敏感信息的保护规则概括如下:
在最近的日历年度中,处理或对外传输(transfer)超过10万人,或10万设备、或10万户家庭的个人敏感数据,就成为法案中的大型数据持有者(large data holder)
不得在未事先取得用户明示同意(affirmative express consent)时,处理个人敏感信息;
不得在未事先取得用户明示同意(affirmative express consent)时,对外传输个人敏感信息;
对个人敏感信息的处理,应提供撤回事先授予的明示同意的方式,该方式应当对消费者而言是友好的;
在该法案中,“处理”的定义包含了:收集、分析、组织、结构化、保存、使用等动作。
该法案对于大型数据持有者提出了额外的安全要求:该类型组织的CEO和隐私官、数据安全官应每年向联邦贸易委员会提交认证材料:一是组织内部采取了足够的安全措施;二是隐私官和数据安全官参与了与公司隐私合规方面的决定。
在该法案中,个人敏感信息是指:
政府发布的唯一的标识号,例如社保号、护照号、驾照号等
能够描述或揭示出个人的生理健康、精神健康、残疾及与相关的诊断的信息
金融账户、信用账户、储蓄账户的账号及密码
个人的生物识别信息
个人或其使用设备的精准地理位置信息
个人私人通信的内容、元数据或通信方身份
用户名或电邮地址以及对应的密码或安全问题和答案
能够以违背个人合理期待的方式,揭示出个人种族、民族、国别、宗教、工会身份的信息
能够以违背个人合理期待的方式,揭示出个人性取向、性行为的信息
揭示出个人一段时间以来和跨网站或跨服务的网上行为的信息
个人设备的日历信息、地址信息、通话或文本信息记录、照片、视频
展示个人私密部位的照片、视频或其他媒介
处理或传输是为了识别上述信息的其他任何类型的信息
联邦贸易委员会界定的其他信息
‘‘Data Protection Act of 2020’’
对“敏感的个人信息使用”的规则:
“敏感的个人信息使用”,应当被认为是高风险的数据实践;
该法建立的新的隐私保护机构,就高风险的数据实践,具有如下职责:
要求组织就高风险的数据实践,采取事前的影响评估和事后的结果审计;
检查高风险的数据实践带来的社会、伦理、经济和公民权利方面的影响,并负责提出救济措施;
就高风险的数据实践开展进一步的规则制定;
审查和批准新的高风险技术和应用,其中应对“敏感的个人信息使用”给与特别的关注和考量;
对于“非常大型的组织”(very large covered entities,即年收入在2500万美元以上;年收入的50%以上来自于售卖个人信息;购买、接收、售卖、披露超过5万以上的个人、家庭或设备的个人信息),新建立的隐私保护机构有权要求其就高风险的数据实践,采取事前的影响评估和事后的结果审计。
该法案没有界定个人敏感信息,反而是界定了“敏感的个人信息使用”。具体是指:
处理数据以揭示出个人的种族、肤色、民族、宗教、国籍、祖先、性、性别、性别身份、性取向、政治观点、工会身份、家庭状态、合法收入来源、财务状况、退伍情况、刑事定罪或逮捕、公民身份、生理或精神健康或情况、心理状况、残疾、地理空间数据,以及其他任何能够用于识别上述特征的数据,以及其他任何能够用于作为上述特征的指代的数据
使用个人的生物识别数据或基因数据
“United States Consumer Data Privacy Act of 2019”
对个人敏感信息的保护规则:
年度内处理或对外传输少于10万人或设备的个人敏感信息,可以被认为是大型数据持有者(large data holder);
对外传输或处理个人敏感信息,需要明示同意(express affirmative consent);
联邦贸易委员会可就组织如何获得处理个人敏感信息的明示同意以及如何向个人提供撤回同意的方法,制定指引;
组织应采取合理的行政、技术、物理的数据安全规程,以适应其所收集或处理的个人敏感信息的情况。
在本法案中,对外传输包括:披露、发布、共享、散发、提供、许可使用数据等。
在该法案中,“处理”的定义包含了:分析、组织、结构化、保存、使用、披露、传输、共享、转移、售卖、许可等除收集外所有的动作。
在该法案中,个人敏感信息是指:
政府发布的唯一的标识号,例如社保号、护照号、驾照号等
能够描述或揭示出个人的生理健康、精神健康、残疾及与相关的诊断的信息
金融账户、信用账户、储蓄账户的账号及密码
个人的生物识别信息
个人或其使用设备的精准地理位置信息
个人私人通信的内容或通信方身份
用户名或电邮地址以及对应的密码或安全问题和答案
能够以违背个人合理期待的方式,揭示出个人种族、民族、宗教的信息
能够以违背个人合理期待的方式,揭示出个人性取向、性行为的信息
与该定义中各类型数据相关的个人网络活动数据
个人设备的日历信息、地址信息、通话或文本信息记录、照片、视频
处理或传输是为了识别上述信息的其他任何类型的信息
联邦贸易委员会界定的、且一旦以违背个人合理期待而收集和处理,对一个理性个人而言将是极其冒犯的信息
小 结
分析到现在,可得出如下初步的观察:
第一,美国联邦立法草案中,个人敏感信息的范围要比欧盟GDPR宽泛,但与此同时,对于个人敏感信息的保护规则,也比GDPR中关于特殊类型个人数据的保护规则要宽松一些。
例如,在GDPR中,特殊类型个人数据默认是禁止处理的,除非有合法事由。但在美国草案中,仅仅是要求个人敏感信息的收集、处理、对外传输等,需要获得个人的明示同意。
第二,反观我国国家标准《个人信息安全规范》,大多数人的观点一直认为这个标准主要是以GDPR为范本,但实际上无论是2017年版本的标准,还是2020年的标准,在个人敏感信息的整体设计,包括范围和保护规则,其实都是更接近于美国模式的。
在标准撰写以及思路确定阶段,美国上述联邦立法草案均未问世。当时标准组参考了美国联邦委员会的执法思路,并结合我国实践中发生的数据黑灰产案例、个人的直观感受等,考虑了标准文本整体的安全和发展平衡,做出了上述设计。
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点