2022年9月7日第56期总第758期 《美国数据隐私和保护法案》的内容及启示 6月3日,美国众议院和参议院发布了《美国数据隐私和保护法案》(下称《法案》)讨论稿,这是首个获得两党两院支持的全面的联邦隐私立法草案,内容涉及国会近20年来隐私辩论的方方面面。该法案离正式成为联邦法律还有一定的距离,但却反映出数字时代美国数据隐私保护的价值理念,在制度设计上既考虑了增强个人数据权利的国际趋势,又有很多有利于数据价值释放的内容,比如“选择退出”机制、有限的私人诉讼权、数据 处理企业的忠诚义务等。这些对我国加强个人信息保护具有很好的借鉴意义。 一、美国推出联邦隐私法案的主要意图 从联邦层面推动分散的隐私立法走向统一,以更好地保护公民权利。美国没有统一的隐私保护立法,主要是通过行业立法和州立法来保护隐私。行业立法主要用来规范特定行业或特定类别 数据的隐私保护,比如《健康保险便携性与问责法》(HIPPA)、 《金融服务现代化法》(GLBA)、《儿童在线隐私保护法》(COPPA)等。在州立法层面,除了针对生物特征数据等特定类别数据的隐私立法外,各州近年来纷纷启动了综合性立法工作,仅2022年 各州立法机构就提出100多项法案,目前加利福尼亚等5个州已通过了全面的隐私法。随着数字时代数据共享利用与隐私权矛盾的日益突出以及州层面立法进程的加快,美国国内对制定联邦统一立法的呼声日益强烈。在第117届国会(2021-2022年)会议期间,国会议员提出了多项隐私法案,有些仅涉及一项单独的隐私权利或事项,比如《社交媒体隐私保护和消费者权利法案2021》等;有些则属于综合性隐私立法,比如《消费者数据隐私与安全 法案2021》等,但后者一直未能获得众参两院共同支持。 制衡欧盟GDPR在全球隐私保护领域的影响,推广美国隐私保护理念。2018年施行的欧盟《一般数据保护条例》(GDPR), 对全球个人信息和隐私保护立法产生了深远影响,包括日本、韩国、南非、巴西、印度等在内的多个国家也采取类似GDPR的规定,借鉴其个人数据可携权和遗忘权、对违法者予以高额罚款、个人信息保护影响评估等制度,使其在事实上已成为全球隐私立法的引领。这样的结果显然不利于美国科技巨头的市场扩张和数据汇集,尤其是在跨境数据传输上,GDPR明确要求他国应提供与欧盟同等水平的隐私保护,并通过“充分性认定”机制构建包含几千家企业在内的跨境流动圈。在这一背景下,美国亟需推动国内统一的隐私保护立法,将其隐私保护理念推向世界,构建更符合其利益的全球数据和隐私保护体系。早在2018年,特朗普的技术、电信和网络政策特别助理GailSlater就表示,政府有兴趣制定一部能平衡GDPR的法律,以使GDPR不会成为事实上的全球标准。 限制美国个人数据向中国等国流动,在全球数据资源争夺中 获取优势。数据作为基础性战略性资源,是各国战略争夺的重点。 美国2018年修订了相关法案,将敏感的个人数据纳入国家安全审查范畴,并据此实施了多起对我国赴美投资企业的安全审查。例如,2020年8月,美国政府禁止任何美国人与TikTok母公司字节跳动以及微信母公司腾讯进行交易,并在应用商店下架或停止更新这两个APP;2022年1月,美国政府对阿里巴巴云存储业务实施审查,重点关注是否收集和存储美国用户数据,及中国政府是否有可能获得这些数据。限制中国等国获取美国公民数据是近年来美国会立法的重点内容之一。比如,2021年11月美国共和党参议员鲁比奥和民主党参议员沃尔纳克提出《2021年敏感个人数据保护法》,以“威胁国家安全”为由要求进一步限制中国获取美国人的个人数据。此次《法案》明确要求数据处理企业应向消费者说明“数据是否提供给中国、俄罗斯、伊朗或朝鲜”。 二、《法案》内容平衡了个人隐私保护和数据价值释放 《法案》并未禁止一般个人数据处理活动,而是为个人提供了“选择退出”方式,以促进对个人数据的合理利用。欧盟GDPR和我国《个人信息保护法》都要求个人数据处理活动应具有合法 基础,除相关法定事由外,在绝大多数情况下数据处理都要事先取得相关个人同意。但是,《法案》并未采取上述逻辑,仅要求特定的数据处理活动取得个人同意,比如处理敏感数据等,其他情况下则可未经个人事前同意而处理数据,但个人可以“选择退出”,拒绝企业对其数据的收集、传输和处理。这种“选择退出”模式在美国隐私保护实践和州隐私立法中普遍采用,脸谱、谷歌等一些互联网企业在告知用户有权“选择退出”的情况下,收集用户的网络行为数据并进行用户画像,从而实现精准投放广告。与欧盟GDPR采取的“选择同意”模式相比,“选择退出”更有利于企业对个人数据的收集和利用,从而促进数据价值释放。 《法案》增强了个人对其数据的控制,但为避免个人滥用诉 讼权利阻碍商业创新,对私人诉讼权作出了种种限制。《法案》 采取了类似GDPR的思路,赋予个人对其数据的访问权、更正权、删除权和可携权,并授权联邦贸易委员会(FTC)在必要时颁布法规,建立个人行使其数据权利的相关程序,以增强个人对其数据的控制。但同时,《法案》对私人诉讼权也设定了限制:一是该权利在《法案》施行后四年才可以行使。二是个人需将提起诉 讼的意图告知联邦贸易委员会或所在州的总检察长,由他们在60日内决定是否提起诉讼;若在此期间个人向相关实体索取赔偿,该行为则将被视为恶意。三是赔偿限定为补偿性损害赔偿金、禁令或声明性救济、合理的律师费和诉讼费。其实,这种有限的私人诉讼权正是对商业利益妥协的结果,因为广泛的诉讼权将可能导致对诉讼的滥用,使大型企业面临高额赔偿,并增加中小企业的合规成本,阻碍其数据创新。 《法案》为数据处理企业尤其是大型企业设定了多方面义 务,但对“忠诚义务”的表述却不够清晰、完整。为保护个人隐 私权益,《法案》为数据处理企业设定了多方面的义务。例如,第101节将“数据最小化”作为基线义务,第202节要求企业以 易于获取和理解的方式向个人提供隐私政策,第207节明确企业不得以歧视或以其他不公平的方式收集、处理或传输数据,并在第208节要求采取数据安全措施以防止数据未经授权的使用和获取。《法案》还将大型数据处理者作为重点规制对象,要求其按年度开展算法影响评估、每两年开展隐私影响评估,且每年向联邦贸易委员会(FTC)提供遵守本法案的证明。值得注意的是, 《法案》将数据处理企业视为个人数据的受托人,为其设定了数据最小化、禁止或限制特定敏感数据处理、隐私设计、定价忠诚义务四方面的“忠诚义务”。《法案》中的“忠诚义务”是美国学术界关于企业与个人数据处理关系的体现,此前,美国多部法律提案对此已有表述,但《法案》的规定与之有很大不同,仅列举了四个方面,并未清晰完整地表述企业怎样做才算忠诚履行受托义务。这种分歧将是立法进程中的争议焦点之一。 三、几点启示 加快个人信息可携带权等具体制度的落地实施。《美国数据 隐私和保护法案》很多内容都与欧盟GDPR类似,这表明全球数据隐私保护的很多制度正在趋同。我国《个人信息保护法》也采用了很多符合国际趋势的制度,但目前还缺乏具体的实施细则,应加快推动这些制度的落地实施。一是围绕个人信息可携带权、个人信息去标识化、个人信息保护影响评估和个人信息处理透明度等方面,出台相关指南或规范,推广行业最佳实践。二是针对自动化决策、人脸识别、人工智能等新技术新应用,加强个人信息安全风险评估,推动建立新技术新应用个人信息安全风险评估 制度。三是加快个人信息保护认证等第三方评估认证相关的制度设计,推动第三方评估认证服务开展。 强化大型企业义务,同时适当减免中小企业义务。《美国数 据隐私和保护法案》在为大型企业设定更严格义务的同时,也豁免了中小企业的部分义务,包括个人数据可携带权、数据安全官、漏洞和风险评估等,以促进中小企业基于数据的创新。这点值得借鉴。目前我国《个人信息保护法》明确了国家网信部门可针对小型个人信息处理者制定专门的个人信息保护规则和标准,建议加快推进该项工作。一是尽快界定小型个人信息处理者的范围,可从企业收入规模、处理的个人信息数量、个人信息处理业务活动占总收入的比重等方面进行考虑。二是考虑小型个人信息处理者成本因素,明确豁免或减轻小型个人信息处理者的相关义务。 对数据经纪人等数据市场化运营主体予以重点关注。《美国 数据隐私和保护法案》还对数据经纪人的个人数据处理义务作了特别规定。随着我国数据要素市场化的加快推进,数据经纪人、公共数据运营者等主体逐渐涌现。这类主体会处理大量的个人信息,对其资格、处理活动等未来应予以特别关注。目前我国《个 人信息保护法》尚未明确规定这类主体,但在委托处理等章节对相关义务作了规定;《数据安全法》从确保数据交易安全的角度对从事数据交易的中介机构的义务作了规定:一是进一步出台相关细则,明确个人数据处理者委托其它主体处理数据时对该主体的审核义务,以及其它主体数据处理时的相关义务。二是在未来执法活动中,对数据市场化运营主体的个人信息保护合规情况予以重点监督。 本文作者:赛迪工业和信息化研究院 联系方式:13810398685 电子邮件:yanxiaoli@ccidthinktank.com 闫晓丽 编辑部:赛迪工业和信息化研究院 通讯地址:北京市海淀区万寿路27号院8号楼12层邮政编码:100846 联系人:王乐 联系电话:010-6820055213701083941 传真:010-68209616 网址:www.ccidwise.com 电子邮件:wangle@ccidgroup.com