2023年4月19日,美国民主党众议员Anna G. Eshoo(D-CA-16)和Zoe Lofgren(D-CA-18)再次提交了《在线隐私法案》(Online Privacy Act of 2023,H.R. 2701)。该法案是对隐私权保护的综合性立法,提出了“用户数据权利”概念,并对公司收集和使用用户数据的能力进行了限制。为了保障上述数据权利的实现,法案提议建立专门的“数字隐私机构(Data Privacy Agency, DPA)”来执行法案规定。

立法背景和进程

(一)立法背景

2018年5月,欧盟《通用数据保护条例》(GDPR)正式生效,对全球个人信息和隐私立法进程带来了重大影响,随后多国开始借鉴GDPR的规定和制度设计,出台了一系列综合性的个人信息和数据保护法,如巴西的通用数据保护法(LGPD)、中国的《个人信息保护法》等,使GDPR在事实上已然成为全球隐私立法的引领[1]。相比之下,美国一直未能就隐私权保护形成一个联邦层面的统一框架,促使美国内部对于联邦层面出台综合性隐私立法的呼声愈发强烈。

目前美国的数据隐私保护是一套由零散法律拼凑而成的复杂体系,主要通过行业立法和州立法来保护隐私。行业立法主要覆盖金融、保险、电视电信、消费者信用、儿童隐私等领域,这些特定类别的数据保护通过单独立法的形式进行规制,如《金融隐私权法案》(The Right to Financial Privacy Act)、《健康保险隐私及责任法案》(The Health Insurance Portability and Accountability Act of 1996)、《儿童在线隐私权保护法案》(The Children’s Online Privacy Protection Act,COPPA)等[2]。在州立法层面,除了针对生物特征数据等特别数据的隐私立法外,各州近年来纷纷启动了综合性立法工作,其中加利福尼亚州通过的《加州消费者隐私法》(The California Consumer Privacy Act,CCPA)是全美隐私立法的先行者,对美国隐私权保护产生了重要影响。随后弗吉尼亚州、科罗拉多州、犹他州、康涅狄格州也都通过综合立法实现对隐私权的保护。

然而这种联邦“零散”式的隐私立法和各州自成一体的综合性立法给州内外的企业带来的较大合规成本,也给消费者维权带来了混乱,相关问题亟需联邦层面的统一解决方案。近年来参众两党议员也都纷纷提案,呼吁统一的隐私立法,《在线隐私法案》便在这一背景下诞生。

(二)立法进程

2019年11月5日,众议员Anna G. Eshoo(CA-18)和Zoe Lofgren(CA-19)在第116届国会上首次提出《在线隐私法案》(Online Privacy Act of 2019,H.R. 4978),该法案创造了用户权利,赋予公司保护用户数据的义务,并提议建立一个新的联邦机构加强对隐私法的执法。Eshoo表示,美国几乎没有保护隐私权的工具,用户在网上的私人信息经常被窃取、滥用、用于盈利或被严重不当处理,在此情形下应当立法确保每个美国人都能控制自己的数据,公司要为此承担责任,政府应当进行严格监督[3]。法案全长132页,在起草过程中咨询了包括隐私倡导者、公共利益团体、学者、公司在内的100多个利益相关者[4]。然而这一法案并未在国会上得到认可。同一时期美国民主党参议员Maria Cantwell提出了《消费者网上隐私权利法案》(Consumer Online Privacy Rights Act,COPRA),COPRA目前也仍处于提案阶段[5]

随后在2021年11月18日,两议员在第117届国会上再次提出《在线隐私法案》(Online Privacy Act of 2021,H.R. 6027)。和原法案相比,此次重新提议的法案对部分条款进行了改进,包括在DPA中增加民权办公室、授权州检察长对违反法案规定的行为进行执法等[6],但依然没能通过。在这一届国会期间,《美国数据隐私保护法》(American Data Privacy and Protection Act,ADPPA)草案于2022年7月20日通过了美国众议院能源和商业委员会的审查,成为首个获得两党支持的联邦层面综合性隐私保护法草案,但随后该法案遭到了参议院商务委员会主席、也是COPRA的提出者Maria Cantwell以及加州立法者和大型科技公司的反对[7]。不难看出,在全美实现隐私权保护的综合性立法依然道阻且长。

在2023年的4月19日,《在线隐私法案》(Online Privacy Act of 2023,H.R. 2701)又一次在国会上提出,目前该法案正处于立法程序的第一阶段,接下来法案需要经由专门工作委员会审议,才有可能提交给整个议院[8]

法案内容分析

(一)主要内容

《在线隐私法案》主要通过以下六个部分保护个人隐私、鼓励创新并重新建立大众对科技公司的信任:[9]

● 创建用户权利

法案赋予用户访问、更正、删除、移植、通知的权利。此外,它还创造了部分新的权利,如用户有权人工审查由自动化过程做出的任何决定(Right to Human Review of Automated Decisions)、自主决定公司可以保留他们的某一类信息多长时间(Right to Impermanence)。为了确保网络服务公共职能的实现,法案规定了9种豁免情形,包括检测、响应或预防网络安全事件和防止恶意、欺骗、欺诈或非法活动等。

● 明确公司处理义务

个人信息的收集、处理、披露和维护应具有合理、明确的限度,该限度应考虑到所覆盖实体的合理业务需求,以及提供产品或服务所需的最低个人信息量,并与潜在的隐私危害和对隐私保护的合理期待相平衡。法案明确了数据最小化和雇员访问最小化的原则,并对数据处理者课以禁止披露个人信息、禁止使用第三方数据重新识别个人身份、禁止歧视性处理等义务以实现对用户隐私的保护。

● 建立数字隐私机构DPA

DPA分为总部和地方办事处,局长由总统任命,经参议院批准,任期为六年。DPA职能行使具有独立性,局长可在必要情形下制定规则并发布命令,以确保加强对隐私的保护。局长应每6个月时间向总统和国会提交一份报告,内容包括个人面临的重大隐私问题、过去6个月中DPA采取的重大行动以及预算安排等内容。

● 加强执法

DPA可酌情与其他联邦机构、州总检察长和州隐私监管机关进行联合调查、传唤证人并发出民事调查要求,调查过程中可举行听证会或裁决程序以确保或强制执行法案规定。此外,法案授权州检察长对违反规定的行为进行执法,并允许个人指定非营利组织在私人集体诉讼中代表他们。

● 设定联邦最低限度

法案第503条明确规定,隐私法案以及在本法案下颁布的修正案、标准、规则、要求、评估或法规,均不得废止、改变、影响或免除任何受法案规定约束的人遵守州或州的政治分区有关隐私或消费者保护的法律,但上述州法中与本法规定不一致的规定除外。这为全美建立了联邦隐私保护的底线,也为各州提供了应对技术和公共政策变化的空间。

● 支持隐私研究和发展

法案授权国家标准与技术研究院(National Institute of Standards and Technology,NIST)建立隐私风险管理框架,并指示NIST开展与隐私相关的教育活动。此外,它还要求国家科学基金会(National Science Foundation,NSF)支持多学科和跨学科的隐私增强技术以及其他隐私相关主题的研究。

(二)《在线隐私法案》与COPRA、ADPPA的对比研究

社会各界相关评价

Accountable Tech联合创始人Jesse Lehrich表示,“国会早就应该颁布一项综合性的联邦隐私法,根除剥削性的监控经济及其许多下游危害,让美国人控制自己的个人数据和在线体验,并确保公民权利保护在整个数字世界得到执行——随着罗伊案的败诉和人工智能军备竞赛的开始,所有这些都变得更加紧迫。《在线隐私法案》正是这样做的,它为强有力的隐私立法设定了标准。”(2023年)[10]

电子隐私信息中心(EPIC)的政策主管,Caitriona Fitzgerald表示,“《在线隐私法》采取了必要的措施,改变了推动美国企业监控的商业行为。众议员Eshoo和Lofgren的法案赋予了互联网用户强大权利,促进创新,并建立了一个数据保护机构,以确保联邦充分监督渗透到我们生活中的技术。EPIC敦促国会通过《在线隐私法案》。”(2021年)

Access Now美国政策分析师Willmary Escoto表示,“长期以来,在线公司在没有监管或不需要承担任何法律后果的情况下收集个人数据并将其商品化。《在线隐私法案》将在很大程度上限制这种数据处理。它包含了许多强有力的数据保护条款,并对公司如何处理我们的数据进行了有意义的限制,最终把人而不是公司置于数据政策的中心。这是国会应该考虑的严肃全面的隐私立法。”(2021年)

圣克拉拉县公民隐私联盟社区负责人Kalesi Budei表示,“随着技术创新的迅速发展,对监管的需求处于这个问题的最前沿。看到今天的互联网是建立在对数据的利用之上的,我们很自豪地说,《在线隐私法案》正在引领以人为本的潮流。”(2021年)

小结

《在线隐私法案》距提出至今已有近4年时间,进程可谓一波三折。一方面,美国联邦与州的权力配置决定了双方无法轻易在隐私立法领域达成一致和妥协;另一方面,ADPPA在性质上和《在线隐私法案》同属联邦层面的综合性隐私立法,已经在众议院得到了两党的支持,在立法进程上领先《在线隐私法案》一步。这些都使得《在线隐私法案》的前景更加未知,最终走向仍需经过时间的检验,但不可否认的是,法案中的内容直面美国个人隐私安全的痛点,值得在美国隐私保护立法进程中加以借鉴和参考。

[1] 赛迪智库:《〈美国数据和隐私保护法〉的内容和启示》,https://www.secrss.com/articles/47727,2023/4/30。

[2] 君合法评:《美国统一隐私立法萌芽:〈美国数据隐私保护法〉草案解读》,http://www.junhe.com/legal-updates/1940,2023/5/1。

[3] Congresswoman Anna G.Eshoo: Eshoo & Lofgren Introduce the Online Privacy Act, https://eshoo.house.gov/media/press-releases/eshoo-lofgren-introduce-online-privacy-act,2023/5/1.

[4] Congresswoman Anna G.Eshoo: Anna’s Weekly Update-November 15 2019, https://eshoo.house.gov/media/e-newsletters/annas-weekly-update-november-15-2019, 2023/5/1.

[5] Congress.gov: S.2968-Consumer Online Privacy Rights Act, https://www.congress.gov/bill/116th-congress/senate-bill/2968, 2023/5/15.

[6] Congress.gov: H.R.4978-Online Privacy Act of 2019, https://www.congress.gov/bill/116th-congress/house-bill/4978/text, 2023/5/2.

[7] Wikipedia: American Data Privacy and Protection Act, https://en.wikipedia.org/wiki/American_Data_Privacy_and_Protection_Act, 2023/5/16.

[8] Govtrack.us: H.R.2701:Online Privacy Act of 2023, https://www.govtrack.us/congress/bills/118/hr2701, 2023/5/4.

[9] 该网页可直接查看法案全文, https://eshoo.house.gov/sites/evo-subsites/eshoo.house.gov/files/evo-media-document/4.13.23-opa-section-by-section-118th-version.pdf, 2023/5/4。

[10] Congresswoman Anna G.Eshoo: Silicon Valley Congresswomen Reintroduce Comprehensive Privacy Legislation, https://eshoo.house.gov/media/press-releases/silicon-valley-congresswomen-reintroduce-comprehensive-privacy-legislation,2023/5/5。

撰稿 | 王瑞琪,清华大学智能法治研究院实习生

选题&指导 | 刘云

编辑 | 王欣辰

声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。