美国国会研究服务局先后发布两份报告,系统介绍了美国数据保护立法现况以及在下一步立法中美国国会需要考虑的问题。
美国国会研究服务局(The Congressional Research Service,以下简称CRS)分别于3月25日和5月9日发布了《数据保护法:综述》(Data Protection Law: AnOverview)和《数据保护与隐私法律简介》(Data Protection and PrivacyLaw: An Introduction,即《数据保护法:综述》的简版)两份报告,系统介绍了美国数据保护立法现况以及在下一步立法中美国国会需要考虑的问题。 CRS专门为美国国会工作,向美国的参众两院提供政策和法律建议。因此,上述两份报告有一定的参考意义。通过对报告的梳理,本文旨在向读者介绍美国数据保护立法情况。 什么是数据保护? 在美国立法中,数据保护融合了数据隐私领域(即如何控制个人数据的收集、使用)以及数据安全领域(即如何保护个人数据免受未经授权的访问与使用,以及如何解决未经授权访问的问题)。过去,美国国会一直对数据隐私和数据安全领域进行分别立法。但是,从最近的立法来看,美国国会似有对这两个领域进行统一立法的趋势。 美国数据保护有哪些立法? 鉴于普通法和《宪法》对数据保护的局限性,美国国会颁布了一系列的数据保护联邦立法。与欧盟统一立法模式不同,美国联邦层面并没有统一的数据保护基本法,而是采取了分行业式分散立法模式,在电信、金融、健康、教育以及儿童在线隐私等领域都有专门的数据保护立法。具体如下: 1、《格雷姆-里奇-比利雷法》(GLBA):即《金融现代化法》,旨在对金融机构处理非公开个人信息(nonpublic personal information,以下简称NPI)进行规定。GLBA及其实施细则要求:除非告知用户能够“选择退出”,否则金融机构不得将NPI共享给第三方,金融机构禁止将用户帐号或信用卡号分享给第三方用于直接营销;金融机构应当向用户提供清晰明确的隐私政策;;金融机构必须通过“管理、技术、物理防护”等手段来确保NPI的安全。 2、《健康保险流通和责任法》(HIPAA):旨在保护受保护的健康信息(protectedhealth information,以下简称PHI)。HIPA要求:未经患者同意医疗机构不得让第三方使用或者向第三共享患者的PHI,个人有权要求机构提供其PHI的副本;医疗机构应当加强对于PHI的安全保护;在发生数据泄露时,应当在60日内告知受影响的患者。 3、《公平信用报告法》(FCRA):旨在确保信用报告机构(以下简称CRA)的报告中消费者信用信息的准确性,保护消费者免受错误信用信息的侵害。与HIPAA或GLBA相比,FCRA未规定CRA在收集或向第三方共享消费者信息时应当获得消费者“选择加入”或者“选择退出”同意的要求,也没有规定未经授权不得访问消费者信息的安全保护要求。FCRA还规定了允许披露消费者信用信息的情形,包括审查借款人的信用状况以及消费者要求批露信用报告等。 4、《视频隐私保护法》 (VPPA):旨在保护租赁、买卖或交付录像带和视听资料过程中的个人隐私,规定未经消费者明确同意不得披露消费者的个人可识别信息(personallyidentifiable information,以下简称PII)。 5、《家庭教育权和隐私权法》(FERPA):旨在保护教育机构收集的教育信息。FERPA适用对象覆盖面很广,几乎涵盖所有的高校。除非例外规定,任何教育机构未经家长或者年满18岁的学生本人许可而公开学生教育信息的,将不能获得联邦机构的资助。 6、《联邦证券法》:没有直接对数据保护进行规定,但是要求公司应采取防止数据泄露的控制措施,在发生数据泄漏时及时向证券交易委员会(以下简称SEC)披露相关情况。 7、《儿童在线隐私保护法》(COPPA):旨在对商业网站或网络服务商收集、使用或披露13岁以下儿童的个人信息行为进行规定。COPPA要求:商业网站或网络服务商制定清晰的隐私政策;通知并取得父母可验证的同意 (Verifiable parental consent);建立和维持合理的程序,以确保儿童的个人信息的安全性、保密性与完整性。 8、《电子通信隐私法》(ECPA):不针对特定领域进行规定,是美国目前有关电子信息最全面的立法。但是也有批评者指出,ECPA规定的是窃听和电子监听行为而非商业数据收集行为。实践表明,试图根据ECPA对违法的在线数据收集行为提起的诉求均未获支持。 9、《计算机欺诈和滥用法》(CFAA):旨在规制计算机黑客,禁止未经授权侵入计算机,不解决数据收集和使用等数据保护问题。但CFAA对于未经授权而侵入计算机并获得了他人信息的行为规定了法律责任。 10、《联邦贸易委员会法》(FTC Act):旨在“禁止不公平或欺骗性贸易行为”(以下简称UDAPs),UDAPs在数据保护方面发挥着重要作用。联邦贸易委员会(以下简称FTC)因为企业的数据实践活动违反UDAPs,已进行了数百起的执法行动。在FTC的实践中,有一项原则是企业受其对数据隐私和数据安全承诺的约束。FTC认为,当企业以与其发布的隐私政策或其他声明相抵触的方式处理个人数据时,或者当企业未能充分保护个人数据免受未经授权的访问时,企业即是采取欺骗性行为,违背自我承诺。除了违背承诺之外,FTC还认为企业的某些数据保护举措是不公平的,例如当企业设置难以更改的默认隐私选项。虽然,FTC对UDAPs的执行填补了联邦数据保护法中的一些立法空白。但FTC Act效力有限,与许多针对具体部门的数据保护法相反,FTC Act并未要求企业遵守特定的数据保护实践,并且无法规制没有做出数据保护承诺的企业。 11、《金融消费者保护法》 (CFPA):与FTC Act类似,旨在禁止机构从事不公平、欺骗或滥用行为。CFPA新设了消费者金融保护局(CFPB),专门负责消费者金融保护,CFPB职责包括制定规则、进行法律监督和执行。 美国联邦数据保护立法一览表 联邦立法保护的数据类型规制对象规定内容监管机构刑事处罚《格雷姆-里奇-比利雷法》(GLBA)NPI金融机构数据共享时消费者选择退出要求; 披露要求; 数据安全要求消费者金融保护局(CFPB)、FTC、联邦银行有《健康保险流通和责任法》 (HIPAA)PHI医疗服务提供者; 健康计划;医疗保健信息中心数据共享时用户同意要求; 披露要求; 数据安全和数据泄露通知要求卫生部(HHS)有《公平信用报告法》 (FCRA)消费者报告信用报告机构消费者报告准确性和使用要求; 披露要求;CFPB、FTC有《视频隐私保护法》 (VPPA)PII录像带服务提供商数据共享应获得消费者同意要去;无无《家庭教育权和隐私权法》(FERPA)教育记录教育机构或接受联邦资助的机构数据共享应获得消费者同意要去; 披露要求教育部(DOE)无《联邦证券法》N/A公开上市交易的公司以及需要向SEC定期提交报告的公司数据安全和数据泄露披露要求SEC有《儿童在线隐私保护法》(COPPA)在线收集的13岁以下儿童的个人信息网站或者在线服务运营者:(1)直接向儿童提供服务(2)实际知道正在收集儿童个人信息收集和共享儿童个人信息获得同意; 披露要求; 数据保护要求FTC无《电子通信隐私法》 (ECPA)利用电线、口头方式进行信息传递的窃听、电子信息存储等所有个人和主体拦截传输中的通信或访问存储通信需要授权的要求无有《计算机欺诈和滥用法》(CFAA)计算机中的信息所有个人和主体需经授权才可访问计算机的要求无有《联邦贸易委员会法》(FTC Act)N/A除公共运营商、特定金融机构和非盈利组织以外的个人或商业机构数据隐私和安全政策以及数据实践活动不得存在不公平或欺骗性FTC无《金融消费者保护法》 (CFPA)N/A提供消费者金融产品或服务的主体数据隐私和安全政策以及数据实践活动不得存在不公平或欺骗性CFPB无在美国州层面,各州也形成了各自的数据保护法律框架。目前,各州均已制定了应对数据泄露的立法,一些州也出台了不同类型的消费者保护立法。其中,加利福尼亚州(以下简称加州)发布了《加州消费者隐私保护法》(以下简称CCPA),对消费者个人数据进行全面保护。 美国国会在数据立法方面存在哪些困境? 美国国会在数据保护立法方面多个提案不断进展,但规定尚不统一,可能涉及到各种法律问题,包括立法方法问题、与州立法平衡问题、执法问题、宪法第一修正案以及个人诉讼等问题。 1、立法方法问题。美国数据保护立法争论的一个主要问题是,立法采用“规范性”方法(立法规定数据保护规则和相关主体义务)亦或是“结果导向性”方法(立法规定所要实现数据保护结果,而非规定具体数据保护做法)。GDPR和CCPA均采用“规范性”立法方法,但目前特朗普政府官员主张采用“结果导向性”立法方法。 2、处理与州立法关系问题。一些州已经在数据保护领域进行积极立法,CCPA的出台展现出州立法在未来可能具有全国效力。除非国会出台统一的数据保护立法或采取其他措施,州立法可能会继续在数据保护领域发挥作用。 3、执法问题。目前,美国有多个联邦机构负责数据保护执法工作,包括FTC、金融消费者保护局、联邦通信委员会、卫生部等。这些机构中,FTC通常被视为领先的数据保护执法机构。但是,如上文所述,FTC执法能力存在若干法律限制。而且,FTC不能对首次违反UDAPs的企业寻求罚款,但只能做出停止令或衡平救济。只有在企业违反停止令和解决协议后,才能进行民事处罚。FTC还缺乏对银行、非盈利组织等实体机构的管辖权。 4、宪法第一修正案。数据保护不得不面对宪法第一修正案可能施加的限制。宪法第一修正案保障“言论自由”,学者们对如何将第一修正案应用于数据保护领域进行监管有不同的意见。有学者认为,数据构成了言论,即使在商业背景下,对这一言论进行监管不一定恰当。也有学者认为,扩大第一修正案的适用范围会限制政府规范商业活动的能力。但美国最高法院从未将第一修正案解释为禁止对所有通信实施监管。最高法院认为,仅仅因为受监管的活动涉及“沟通”并不意味着它属于第一修正案的范围。如果言论仅仅是受监管活动的“组成部分”,政府通常可以对该活动进行监管。 5、个人诉讼问题。美国国会可能会建立个人诉讼制度,对于违法数据保护的行为,允许个人提起诉讼。但是,个人可能很难证明受到数据保护制度下违规行为的侵害。一般而言,数据泄露和其他隐私侵权行为的受害者并不总是受到明显的损害。根据美国《宪法》的规定,任何联邦个人诉讼权利的适用范围都限于个人因法定违规行为遭受到具体的损害。 评述 目前,美国数据保护的法律环境复杂且技术性很强。除极端事件和政府调取个人数据的情况外,普通法和《宪法》中规定的“隐私权”只能为互联网用户提供较少的保护。尽管美国国会颁布了一系列旨在加强对个人数据权利保护的法律,但这种拼凑型的立法体系仅对特定行业、特定类型数据、不公平或有欺诈性质的数据活动进行规制。为了寻求更全面的数据保护体系,一些地方政府(例如加州)制定了覆盖各种类型个人数据、适用对象较广的数据保护立法。如果国会考虑从联邦层面制定全面的数据保护立法,则需要涉及多重法律因素,包括保护的数据范围、确定联邦机构应在何种程度上执行立法、采用规范性还是结果导向性立法方法、个人寻求救济的方式等。