本文共字，预计阅读时间。

近几年，国内外屡次发生重大数据泄露事件。例如，2018年3月美国纽约时报曝光了剑桥分析（Cambridge Analytica）在未经用户授权的情况下擅自使用了Facebook的8700万用户隐私数据；同年9月，Facebook又遭黑客攻击，导致3000万用户的账号信息被泄露。2018年，我国两大民营快递商顺丰和圆通、大型人力资源服务平台前程无忧、华住集团等都遭受过重大客户信息泄露事件，从上百万到上亿条客户隐私数据遭窃取并在黑市和暗网上进行交易。随后，各国加紧了数据保护和安全性立法的步伐。

在加强现代互联网数据安全性和隐私保护方面，欧盟开创了先河。2018年5月开始实施《欧盟通用数据保护条例》(The EU’s General Data Protection Regulation)。随后，美国特朗普政府拟议了一项基于结果的数据隐私政策框架，强调在保护繁荣和创新的同时促进消费者隐私保护，该政策框架于2018年9月公开征求意见稿，截至目前，正式的数据隐私立法还未颁布。此外，我国国家互联网信息办公室于今年5月发布了《数据安全管理办法（征求意见稿）》，为网络数据提供了一个初步监管框架，并向社会广泛征求意见。

2019年3月，美国国会研究服务（Congressional Research Service）发表了一篇题为《数据保护法概述》的研究报告，并总结到：新的数据保护法律系统需要结合个人隐私保护和数据安全要求，并应该明确消费者的数据权利和相关实体的责任；协调和平衡各层级法律，避免重叠和冲突。对于立法过程中出现的问题，需要考虑使用“指示性”或“基于结果”的方法，这份报告对我国数据保护和安全性立法也具有借鉴与思考意义。

美国现行数据保护法

美国个人信息或数据保护法律有三个层面，包括普通法和宪法、联邦数据保护法和州数据保护法。以下概述了三个层面法律的框架。

普通法和宪法

普通法对个人隐私保护的规定起源于Louis Brandeis 和 Samuel Warren（1890）所提出的四项隐私侵权行为，包括：（1）侵犯隐私；（2）公开披露隐私事实；（3）虚假曝光或公开隐私事实；和（4）盗用隐私信息。大多数州承认这四项隐私侵权行为，并将其应用于法院审判。

宪法的第四条（《美国权利法案》的相关条款）和第十四条（对“自由”的保障相关条款）修正案广泛规定了个人隐私保护的相关条款。第四条修正案规定人们在人身、房屋、证件和财物上享有的权力应得到保障，不得受到不合理地搜查和扣押等行为。第十四条修正案设定了更广泛的隐私保护规则（针对搜查和扣押以外的隐私侵犯行为），并确立了隐私权的两个含义：其一是信息隐私权：避免个人信息公开披露权利；其二是独立决策的权利。

联邦数据保护法

由于普通法和宪法存在局限性，美国国会发布了12项与个人数据保护相关的联邦法律。这些法律的目的和范围差异很大。首先，对数据隐私保护实践影响最广泛的两项法律是《联邦贸易委员会法案》（Federal Trade Commission Act）和《消费者金融保护法》（Consumer Financial Protection Act）。其中《联邦贸易委员会法案》有效地填补了其他联邦法规的空白，其地位相对更加重要。该法案明确规定除公共承运者、某些金融机构和非营利组织以外的所有个人或商业实体的数据隐私和安全政策及做法禁止带有“不公平或欺骗性”。《消费者金融保护法》也有类似的规定，不同的是针对的群体限定在消费金融产品或服务供应商，或者为消费金融产品或服务供应商提供“实质性服务”的个体。

其次，有些联邦法律的目的明确为监管数据保护实践，但却适用于某一特定的行业或部门。例如，《格雷姆-里奇-比利雷法》（Gramm-Leach-Bliley Act）规定了金融机构处理金融“消费者”的“非公开个人信息”的方式，主要包括三个方面：与第三方分享“非公开个人信息”、向消费者提供隐私声明和保护“非公开个人信息” 免受未经授权的访问；《公平信用报告法》（Fair Credit Reporting Act）规定信用报告机构及向其提供信息的实体如何确保消费者信息的准确性，并规范使用信用报告机构的信用报告的用户用于允许的用途，如信用交易；《家庭教育权利和隐私法》（Family Educational Rights and Privacy Act）为学生或家长提供了控制学生教育记录披露的权利，和审查学生教育记录及推翻不准确记录的机会。

最后，有些联邦法律旨不在个人隐私数据安全性和保护，但对特定群体的隐私保护实践产生一定的影响。例如，《联邦证券法》（Federal Securities Law）要求公司报告时披露数据泄露等网络事件；《计算机欺诈和滥用法》（Computer Fraud and Abuse Act）的核心是打击黑客，禁止未经授权计算机故意访问受保护计算机而获取信息。

州数据保护法

美国各州的隐私和数据保护监管主体是法院，基于“侵权法”和“合同法”进行审判。此外，大多数州还创建了自己的“消费者保护法”，禁止不公平或欺骗性行为，并且每个州都开发了一项数据泄露应对法，定义了应对侵犯数据安全的措施及责任承担制。

美国现行数据保护挑战

普通法和宪法无能力应对现代隐私和数据安全问题

长期发展起来的普通法和宪法仅针对政府侵犯个人隐私的行为，并且集中关注在个人隐私信息公开披露问题上。现代互联网运营商、社交媒体平台等非政府行为体对网络数据的收集、使用和保护责任已超越了普通法和宪法的范围。

联邦法律对互联网数据保护问题的影响有限

如上所述，美国联邦层面的12项有关行业数据保护的法律大多局限于某一行业或部门的某一类特定数据类型的保护问题。而且它们在执法机构、消费者权利定义、数据安全措施要求、惩罚力度等方面存在很大差异。由于目的差异和某些固有的缺陷，具有较广泛影响的法律对互联网数据保护实践的影响也不大。例如，《电子通信隐私法》是在电子隐私方面最全面和广泛的联邦法律，广泛适用于私人和公共行为体，但大部分是对电子通信行业行为的规范及通信泄露等问题，对互联网隐私保护实践影响相当有限。又如，《联邦证券法》针对所有私有实体，但它不是一项专门规范数据保护的法律，仅对公司治理和报告方面提出了隐私保护和安全措施要求。《联邦贸易委员会法案》是目前对数据保护实践影响最广泛且最直接的法律，有效地填补了其他联邦法规的空白，但其主要问题是个案的适用性不统一，导致其影响效果不统一——作为普通法的固有缺陷。

州数据保护法缺乏协调统一成为现代数据保护实践的巨大挑战

美国50个州在数据保护法律框架和发展程度方面的差异很大，这使得有跨州业务的实体需要承担巨大的合规成本，成为互联网数据保护实践的一个巨大挑战。

现代数据保护法律及其影响

在创建一个全面的数据保护体系方面，《欧盟通用数据保护条例》和《加州消费者隐私法》（The California Consumer Privacy Act）开创了先河，实行基于指示性的数据保护法律。美国第116届国会提出这两项立法将对联邦未来立法工作有影响意义。

欧盟和加州的立法行动

《欧盟通用数据保护条例》的目标是保障个人对数据保护的权利，同时确保数据在欧盟内自由流动。该法律对个人数据、法律适用范围、相关的数据处理原则和法律依据、个人权利和义务、数据治理与安全措施要求、数据泄露通知、欧盟外数据传输监管及补偿、责任和罚款等方面做了详细而明确的规定，尤其是还明确了如何监管欧盟外的数据传输活动。

与联邦现行分散而拼凑的条款不同，《加州消费者隐私法》的适用范围非常广泛，可适用于任何收集加州人个人信息、以营利为目的、在加州开展业务并满足基本门槛的企业实体，甚至包括规模较小的企业。《加州消费者隐私法》主要为消费者提供了三项权利。

（1）对企业收集或出售消费者信息有知情权；

（2）对企业是否可以销售消费者信息拥有最终决策权（或“退出权”）；

（3）可以要求企业对已收集的信息进行删除（即删除权）。

加州总检察长或者私人（但私人提起诉讼的门槛较高）都可依法对违规行为提起诉讼，根据企业违规的具体情节及补救行动的即时性，实施不同程度的罚款。

对美国的影响

对于《加州消费者隐私法》，国会表示，由于该法案是美国数据保护立法的先驱，其它各州很可能会广泛效仿或者考虑如何回应加州的框架。此外，加州的立法可能会给美国及世界各地的企业带来影响，而联邦立法者不得不考虑其广泛的影响力。《欧盟通用数据保护条例》导致一些美国公司退出欧盟市场，而留在欧盟市场的美国公司表示将在全公司范围内实施该条例规定，这可能直接影响到其它一些美国公司的数据保护实践。最后，国会一些议员认为两项法律都对美国联邦立法工作有借鉴意义。

特朗普政府拟议的数据隐私政策框架及国会意见

基于结果的政策框架

特朗普政府反对建立一项全面的指示性数据保护法律以补充现行零碎的联邦数据保护立法，而是提议了一个以结果为导向的法律框架，声称该框架可以促进消费者隐私保护，同时保护繁荣和创新。该框架包括七个方面。

（1）个人数据处理的透明度；

（2）个人对数据的控制权利；

（3）组织应最小化数据处理、储存、使用和共享活动；

（4）组织应对数据采用适应期风险级别的安全保护措施，形成最佳实践；

（5）用户应该对其个人数据具有合理和适当的访问权限和更改权利；

（6）组织应最小化滥用和泄露数据的风险；

（7）组织应在内部和外部对个人信息的使用负责，并确保其第三方服务器负责。

与《欧盟通用数据保护条例》和《加州消费者隐私法》基于指示性规定的方法不同，特朗普政府的框架是基于结果的方法。但拟议的框架中某些元素与《欧盟通用数据保护条例》和《加州消费者隐私法》相同。共同特征包括：个人有撤销同意使用数据的权利；设立对第三方供应商和服务商的责任；以及个人拥有访问、修改、完成、更正或删除个人数据的权利。

国会意见

首先，国会指出，特朗普政府需要明确如何在不规定数据保护规则的情况下，通过基于结果的法律框架实现数据保护目标。现行各领域法律尚未提供一个可借鉴的案例，如《加州消费者隐私法》和《欧盟通用数据保护条例》都是指示性的法律框架，《联邦信息安全管理法》虽然声称是基于结果的方法，但实施本质是指示性。

其次，政府当局需要给目标保护数据或受监管的实体或行业一个明确的定义，并需要避免与现行其它法规重叠（即双重监管）。

第三，需要明确执法机构，并给予相应的执法授权。

第四，确定允许私人对第三方提起诉讼权的资格要求，使其在法庭上要求侵权补偿。

第五，需要平衡和协调联邦法律和各州的计划和政策，设定优先权。

第六，需要更新和完善现有法律系统（如宪法第一修正案）中过时、含糊不清或易产生歧义的概念，以避免新数据保护法与现行法律框架相冲突。

总结与建议

美国现行数据保护的法律框架相当复杂，已无法应对现代隐私侵犯和数据保护问题。《报告》指出，新的数据保护法律系统需要结合个人隐私保护和数据安全要求，并应该明确消费者的数据权利和相关实体的责任；协调和平衡各层级法律，设定优先权，避免重叠和冲突。特朗普政府拟议的基于结果的数据保护政策框架存在一些问题，需要在未来的立法中通过“指示性”或“基于结果”的方法加以解决。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文版权归原作者所有，如有侵权，请联系删除。首图来自图虫创意。