美国数据隐私和保护法案.docx

《美国数据隐私和保护法案》的内容及启示 6 月 3 日，美国众议院和参议院发布了《美国数据隐私和保护法案》（下称《法案》）讨论稿，这是首个获得两党两院支持的全面的联邦隐私立法草案，内容涉及国会近 20 年来隐私辩论的方方面面。该法案离正式成为联邦法律还有一定的距离，但却反映出数字时代美国数据隐私保护的价值理念，在制度设计上既考虑了增强个人数据权利的国际趋势，又有很多有利于数据价值释放的内容，比如“选择退出”机制、有限的私人诉讼权、数据 处理企业的忠诚义务等。这些对我国加强个人信息保护具有很好的借鉴意义。 一、美国推出联邦隐私法案的主要意图 从联邦层面推动分散的隐私立法走向统一，以更好地保护公民权利。美国没有统一的隐私保护立法，主要是通过行业立法和州立法来保护隐私。行业立法主要用来规范特定行业或特定类别 数据的隐私保护，比如《健康保险便携性与问责法》（HIPPA）、 《金融服务现代化法》（GLBA）、《儿童在线隐私保护法》（COPPA）等。在州立法层面，除了针对生物特征数据等特定类别数据的隐私立法外，各州近年来纷纷启动了综合性立法工作，仅 2022 年 各州立法机构就提出 100 多项法案，目前加利福尼亚等 5 个州已通过了全面的隐私法。随着数字时代数据共享利用与隐私权矛盾的日益突出以及州层面立法进程的加快，美国国内对制定联邦统一立法的呼声日益强烈。在第 117 届国会（2021-2022 年）会议期间，国会议员提出了多项隐私法案，有些仅涉及一项单独的隐私权利或事项，比如《社交媒体隐私保护和消费者权利法案 2021》等；有些则属于综合性隐私立法，比如《消费者数据隐私与安全 法案 2021》等，但后者一直未能获得众参两院共同支持。 制衡欧盟 GDPR 在全球隐私保护领域的影响，推广美国隐私保护理念。2018 年施行的欧盟《一般数据保护条例》（GDPR）， 对全球个人信息和隐私保护立法产生了深远影响，包括日本、韩国、南非、巴西、印度等在内的多个国家也采取类似 GDPR 的规定，借鉴其个人数据可携权和遗忘权、对违法者予以高额罚款、个人信息保护影响评估等制度，使其在事实上已成为全球隐私立法的引领。这样的结果显然不利于美国科技巨头的市场扩张和数据汇集，尤其是在跨境数据传输上，GDPR 明确要求他国应提供与欧盟同等水平的隐私保护，并通过“充分性认定”机制构建包含几千家企业在内的跨境流动圈。在这一背景下，美国亟需推动国内统一的隐私保护立法，将其隐私保护理念推向世界，构建更符合其利益的全球数据和隐私保护体系。早在 2018 年，特朗普的技术、电信和网络政策特别助理 Gail Slater 就表示，政府有兴趣制定一部能平衡 GDPR 的法律，以使 GDPR 不会成为事实上的全球标准。 限制美国个人数据向中国等国流动，在全球数据资源争夺中 获取优势。数据作为基础性战略性资源，是各国战略争夺的重点。 美国 2018 年修订了相关法案，将敏感的个人数据纳入国家安全审查范畴，并据此实施了多起对我国赴美投资企业的安全审查。例如，2020 年 8 月，美国政府禁止任何美国人与 TikTok 母公司字节跳动以及微信母公司腾讯进行交易，并在应用商店下架或停止更新这两个 APP；2022 年 1 月，美国政府对阿里巴巴云存储业务实施审查，重点关注是否收集和存储美国用户数据，及中国政府是否有可能获得这些数据。限制中国等国获取美国公民数据是近年来美国会立法的重点内容之一。比如，2021 年 11 月美国共和党参议员鲁比奥和民主党参议员沃尔纳克提出《2021 年敏感个人数据保护法》，以“威胁国家安全”为由要求进一步限制中国获取美国人的个人数据。此次《法案》明确要求数据处理企业应向消费者说明“数据是否提供给中国、俄罗斯、伊朗或朝鲜”。二、《法案》内容平衡了个人隐私保护和数据价值释放 《法案》并未禁止一般个人数据处理活动，而是为个人提供 了“选择退出”方式，以促进对个人数据的合理利用。欧盟 GDPR 和我国《个人信息保护法》都要求个人数据处理活动应具有合法 基础，除相关法定事由外，在绝大多数情况下数据处理都要事先取得相关个人同意。但是，《法案》并未采取上述逻辑，仅要求特定的数据处理活动取得个人同意，比如处理敏感数据等，其他情况下则可未经个人事前同意而处理数据，但个人可以“选择退出”，拒绝企业对其数据的收集、传输和处理。这种“选择退出”模式在美国隐私保护实践和州隐私立法中普遍采用，脸谱、谷歌等一些互联网企业在告知用户有权“选择退出”的情况下，收集用户的网络行为数据并进行用户画像，从而实现精准投放广告。与欧盟 GDPR 采取的“选择同意”模式相比，“选择退出”更有利于企业对个人数据的收集和利用，从而促进数据价值释放。 《法案》增强了个人对其数据的控制，但