文/朱悦 圣路易斯华盛顿大学JD候选人

近年来,伴随一系列隐私泄漏事件引起广泛关注,以及隐私保护方面研讨的日益深入,“隐私问题很重要”及“隐私需要保护”,已逐渐成为公众及专业人士中难以移易的共识。然而,如何落实以上关切,相关的争议堪称“硝烟四起”;是否需要一部全面的保护隐私的法规,即是其中焦点之一。以影响力较大的欧美两地为例:欧盟的GDPR,可称2018年间隐私保护领域最引人瞩目的事件;至于美国,隐私立法仍集中于行业或地方层面。

是否效法大西洋彼岸,求索统一的数据保护法?一方面,碎片化趋势在加剧:美国各州及各城市正纷纷“自力更生”,为数据保护确立自己的标准。比如,加州地区通过的《消费者隐私法案》,即对消费者消费者赋予了力度空前的保护[1]。针对警务等领域的数据收集及处理,西雅图、纳什维尔等城市亦颁行了相应规程[2];另一方面,以各大科技企业为代表,对统一立法诉求的推动力度几近“凄急”:各类“纲领”纷纷出台,游说新闻频见报端[3]。

确切走向并不明朗:对统一立法,无论是反对者还是支持者,论据都很丰厚,故事都很动人——比如,一边高喊发展创新口号,一边高举根本价值大旗;即使之后确有一部统一法案,具体设计方面的些微差异,抑或是法案通过后即将来临的挑战,都可能对如此法案的实际效用产生根本性的影响。如此情况下,如果希冀对美国立法的趋势有一粗浅预测,或者希望从中汲取一些经验,由那些与立法有最直接联系的人与机构蠡测其端倪,当属合理做法。

这也是本文的主要分析方法。在第一节中,笔者比较了过去20年间美国参众两院议员提出的近二十部相关议案,尤重于2000年前后相关领域的立法“风潮”。比对今昔文本,新内容不少,但根本性的变革似暂付阙如;第二节则稍微扩展了视角:自文本分析,游移至政治层面的讨论。除惯常提及的大企业外,已有的行政监管、州及市层面的地方政府及各类公益组织,均是影响立法的重要势力。确实,企业是影响立法的重要势力;然而,如果扩展观察的视角,结论可能比我们想象的要更加不确定;最后,结合2018-19年间,国会围绕数据领域“乱象”展开的五次听证,笔者作了简单的总结与展望。

二十年屡过院楼,旧江山浑是新愁

乱则求诸监管:2000年前后,这恰是美国隐私领域格局的真实写照。根据联邦贸易委员会(以下简称FTC)向国会提交的报告:当时,访问量位居全美前100的网站中,仅有60%披露网站在隐私方面的相关政策——所收集数据的类型、数据的用途,等等;如果将样本扩大到全体商业网站,前一数字骤然下降至41%[4]。私自收集、肆意分享用户数据;为用户“画像”,然后在此基础上予以差别对待,如此做法,20年前即已引起美国国会的关切[5]。

与此相呼应,1999-2002年间,至少有十份相关立法草案提交两院:1999年的《数字隐私权利法案》、1999年的《在线隐私保护法》、2000年的《消费者隐私保护法》、2001年的《消费者网络隐私促进法》、2001年的《隐私法》、2001年的《网络安全信息法》、2001年的《消费者在线隐私与在线披露法》、2002年的《消费者隐私保护法》,2002年的《在线个人隐私法案》,及2002年的《联邦隐私及数据保护政策法》,等等[6]。然而,如我们我们今日所见:以上提案,没有一份最终成为法律;实际上,哪怕有各方关切这一大背景,十份提案中也仅有三份获得听证[7];剩余的七份,都是一经上交,即“石沉大海”。

为何立法的努力没有取得成效?对这一问题给出确切的回答很难,但提出其中各方角力及权衡的各项因素,并与今日状况对比,则是可行的分析手法之一。不妨从“需求”及“供给”两方面排比一番:“需求”方面,需要监管的问题是否迫切;“供给”维度,是否存在较为成熟的立法方案?对第一点,从听证援引的调查报告看,答案是肯定的:92%的受访者担忧自己的个人数据被滥用;同时,信任企业能够自发做好隐私保护的,仅有15%[8]。

以上调查,也与20年前的隐私保护状况大致相合。彼时,尽管TRUSTe等自发参与的隐私框架已经诞生,并在部分主流网站中取得了一定影响[8];然而,诚如联邦贸易委员会等多家机构向国会提交的报告所示,“自发的规管尚未取得成效[9]”,“绝大部分网站,甚至是绝大部分最为繁忙的网站,都未能贯彻公平信息原则中的哪怕任何一个方面[10]”。起码,在2000年前后的美国,纯粹依靠企业或行业的自律,尚未取得令人满意的效果。

参与讨论的议员知悉以上问题。一方面,对数据保护的担忧,几乎是以上所有提案的动因[11];另一方面,他们并不完全相信自律。例如,在1999年举行的、针对相关提案的听证的“开场白”中,Hollings参议员坦言:“‘自律’不过是个骗人的把戏[12]”;在另一场针对隐私保护现状的听证中,Luther众议员的论断更为“直率”:“常识——正如在座每一位所想的那样——告诉我们,如果企业从使用、出售、散发个人信息中获利,他们是不太可能自愿遵循这些(隐私保护的相关规定)的……我们要如何指望违反自身利益的“自律”呢?[13]”

当然,“需求”之外,“供给”也是重要的因素:特定领域问题多多,未必代表这一领域需要监管者的介入;如果各方对相关问题尚未形成共识,或拿不出成熟的规管方案,那么,出台相应法案的时机,便仍然不成熟。讨论这一点,需要回溯当时议员撰写的诸多提案,观察其是否完善:比如,对于哪些数据需要监管,以上提到的十本法令彼此是否已经形成了共识?是倚重监管还是继续强调自律,意见是否一致?对具体的救济方式,观点有无交集?

总体而言,与今日各主流的数据保护法案相比,尽管确有堪称疏失之处,当时的草案在大部上已经达到了比较完善的地步:定义方面,各议案的提法空前一致——将保护范围限于“可识别个人信息”;大部分议案还给出了“可识别个人信息”的示例,通常包括姓名、住址及电邮地址、各类政府证件编号,等等[14]。少数特别详尽的议案还做了分级工作,列出所谓“敏感个人信息”,通常包括医疗、金融、种族、性向、宗教信仰及政治偏向等[15]。

各提案的主体内容亦高度一致:以“知情-同意”原则为基础,规范各网站的数据收集、利用与流转行为[16]。不妨以时间较早的1999年《数字隐私权利法案》为例:其中专门辟有“隐私保护”一节,强调企业应遵循的各项规则——要求网站“运营者[17]”以“清晰且易于注意”的方式,告知网站用户网站收集何种个人信息,网站将如何使用前述信息,以及网站将如何披露这些信息;缺乏用户同意这一前提,网站通常不可收集或利用个人信息[18]。

不同提案间,其它较引人瞩目的相合之处是监管依据、监管机构及救济。所有议案均确定:《联邦贸易委员会法(以下简称《FTC法》)是执法的主要依据,FTC是主要执法机构;部分议案的表述更细——侵犯隐私的举措,当属《FTC法》中规定的“不公平或欺骗性行为”[19];除此以外,各法案不约而同主张各州在打击侵犯隐私行为中的重要地位:代表本州公民,各州可实施法规、禁制侵犯隐私的行为、寻求赔款等救济[20]。至于处罚力度,对单次违规行为,罚金通常在1000-50000美元之间。然而,如果违反行为出自故意,或频繁反复,处罚将加倍[21]。最后,尽管听证中对“自律”批评颇多,大多提案均保留题为“安全港”的篇节;合乎特定的行业规范即视作合规,如此安排,为行业的自我规范留下了显著空间[22]。

总之,即使与今日各类成文法规相比,当时的提案也堪称“五脏俱全”。细究以上草案:确实,枝节方面出入固多,定义类别实需打磨;然而,今日各类草案的主体部分,几乎都可以在当时提出的议案中找到。实际上,除了以上列举的“共识”[23],部分草案还探讨了许多略显“超前”的内容:比如,有草案强调。用户应有“在合理范围内获取(而不仅仅是访问)”网站所收集个人信息的渠道[24];针对数据存储、利用及披露过程中可能存在的风险,也有提案要求企业提前予以评估[25];对企业清算时所存数据,也有提案作出了细致安排[26]。

总之,无论从“需求”还是“供给”层面看,当时的立法契机都可谓“万事俱备”:一方面,从草莽之间的民众至庙堂之上的议员,渴求及观念大体一致;另一方面,统一立法的编撰工作颇有起色——目前草案重视的多数内容,大多已在当时的法典中有所涉及。然而,自1999年至2018年,所有相关的议案都未能成功“闯关”;实际上,绝大多数议案均止步于“提交”,乃至未能走出任何实质性的步伐[27]。在论说、预测美国立法走向时,这无疑是不可轻易忽视的基准点。若无相较昨日而言堪称翻覆性的变化,立法又何以成功呢?

企业之外的三股势力:民主守护者、“先例”制定者与公益“搅局”者

立法机构之外,还有许多推动监管走向的“暗流”;决定监管走向方面,其中一些势力所起的作用几近“举足轻重”。穷尽变革漩涡中每一支流,已逾越人力之所能及;不过,勾勒其中作用较为鲜明的势力,并粗描其轮廓,则是探讨相应问题时的应有之义。再进一步,如果从提案角度暂时观察不到特别显著的变化,那么,监管的变动,反映的可能更多是背后势力的“此消彼长”;由此,识别主要影响者并揣摩其动向,也是预测时难以替易的手段。

互联网行业及其利益,无疑是最引人注目的一股“潮流”:一方面,他们有能耐影响政治——其中巨头既能对监管机构施加“实质性”的影响力,又得以在一任总统期间数百次造访白宫、数十次密探总统[28]。另一方面,他们的意见“正在起变化”——20年前,他们是统一立法呼吁中音浪最强的反对者;今天,他们俨然成为统一立法倡议上最为坚实的拥趸[29]。出于对加州等“高标准”立法的抗拒,以及对各州法规林立的忧虑,企业竭力倡议一部宽松且全国统一的数据隐私法案[30]。然而,反制的力量亦不乏其人。

目前来看,企业之外,足以对未来立法趋势造成影响的势力至少有以下三股:一是在“守护民主”的口号之下,争夺立法自主权的各州(可能也包括较有影响力的市政府[31]);二是在隐私保护执法领域“负重前行”的FTC——历经多年积淀,FTC已树立许多效力接近法规的标准,以及于实务颇为便利的先例,以至学者不吝总结其经验为“新普通法”[32];最后,以美国民权联盟(ACLU)、电子前线基金会(EEF)等为代表的非营利组织亦不可轻易忽视。其一,它们在舆论方面有影响力;之二,它们有丰富的挑战法条的经历。

第一股势力正处争议的“风口浪尖”:各大科技企业的核心诉求之一,便是通过国会立法中的“夺占(preempt)”原则,“扼杀”各州在保护隐私方面的努力[33]——一旦联邦在数据隐私方面的统一立法夺占了州及其它低级政府的相应法律,后者将宣告无效[34]。换句话说,一旦夺占的倡议得以成功,在美国经营的互联网企业只需针对一套法律考虑合规,而无需针对五十套法律分别施为;与此同时,夺占成功后,地方即使有意通过“富有地方特色”或“特别强化保护”的相关法规,也已是“无计可施”了[35]。

因此,企业的诉求,无疑会引发各州的“反弹”:一方面,即使仅从经济角度入手,“夺占将促进效率”,也并非没有可争议之处。限制中央政府的权力及保持政策方面的灵活,亦是特定时刻经济发展的动力之一[36];另一方面,在数据方面占夺,可能同时触及美国制度的两方面根基。一是联邦与州的分权:联邦对隐私数据的监管“一把抓”,这很可能削弱各州在劳动、治安及福利等方面的权力[37]。然而,根据先例,以上议题,大多位于分权中州的一侧;第二点根基是所谓“民主实验田”:相比联邦,州与政府较为接近,更能反映民意;太早“归于一统”,可能窒息各地探索制度创新的努力[38]。隐私数据方面的统一立法,既可以讲成一个“破桎梏求创新”的故事,也可以“守护美国的根本价值”的形式讲述。二者导向不同的结果,却都颇有说服力。若前者占据主导,地方各项努力,大多将付之东流;若后者占了上风,联邦立法将更多成为“底线”,而非科技企业欲求的“天花板”[39]。

类似争议也存在于另外两方势力。以FTC为例:如何定位FTC在隐私领域未来执法框架中的地位,被部分学者与“夺占”并列为争议的三大焦点之一[40]。一方面,在2017年底参议院举行的、主题为“在数据失范年代保护消费者”的主题中,Nelson参议员强调FTC执法于商业部门数据保护的意义,并进而主张“刚性执法”及“严峻处罚”的作用[41];另一方面,统一立法可能“架空”FTC已有的标准及范例,导致执法方面的“虚弱”和混乱[42]。如何调和以上冲突?如何保证FTC在隐私执法方面握有足够资源?这些都是现实的难题。

最后,非营利组织亦是一股不可小觑的力量。以ACLU为例:过去100年间,在网络监控、种族及性别平权方面,这一组织成功推翻了许多支持者甚众,或沿袭甚久远的政策[43]。与前面提到的EFF等组织形成“统一战线”,此类组织已对统一立法的意图发出了明确的质疑;具体到夺占等议题上,批评之声则更为猛烈[44]。固然,论对立法的影响,这些组织的能力或许不足以撼动巨头;然而,鉴于其在舆论方面的声势,以及丰富的挑战联邦法律的经验,这些组织完全有可能延缓相关法律施行,甚或推翻其中部分至为键的条款。

结语与展望:听证雷霆凌厉,立法雨落淅沥?

当下美国,有关“隐私需要立法”的声浪颇为嘈杂;然而,所谓“太阳底下无新事”:至少在20年前,类似的听证已多次召开,相关的草案更是不知凡几;期间,亦有议员零星提交相关的立法动议。尽管当时民众的呼声已颇为高涨[45],立法者纂成的草案亦颇为详善;结果,十余本厚厚提案,加上成百上千页囊括各界专业人士意见的听证,却未能在立法征程上推进任何实质性的步骤。若此次努力希冀取得成功,根本层面的改变将必不可少。

政治层面的观察或许对此有所帮助。确实,企业是擢缨之先锋,有翻换“天地”之力量;然而,对一部联邦法律的出台,州及市级政府、现行执法机构,以及代表性的非营利组织,都是联邦立法程序中参与各方互动的重要力量。或许,仅凭一己之力,企业即足以推动法律的出台;不过,在诸如夺占、执法机构等至关重要的条款上,以上组织或将掀起争议,以至彻底阻碍科技企业的图谋;此外,各方“厮扭”的激烈程度,也将影响立法的效率——以“雷霆之势”出台和“此法经年”间,差别的不仅是时间。

如此结论或许略显泛泛;弥补这一缺憾的方法之一,是密切关注目前进入美国国会的各项提案,以及国会针对这一题目进行的多次听证。对前一点,之前文本分析部分已有简略涉及;对后一点,2017年底以来,国会先后围绕数据隐私召开了五次听证,主题分别如下:2017年11月,在数据失范年代保护消费者;2018年2月,数据安全与漏洞赏金项目(主要针对UBER数据泄漏事件);2018年6月,评估数据隐私风险(主要针对剑桥分析隐私违规事件);2018年9月,研讨消费者数据隐私的防护现状;2018年10月,欧盟及加州立法在消费者数据方面带来的教训[46]。

如何由前述听证评估立法的可能走势?首先,许多参与听证的专家来自互联网企业,他们也充分表达了互联网企业的立场[47];其次,相制衡的声音亦不可小觑。一方面,五次听证,主题大多侧重互联网企业中个人数据面临的风险。企业因此需要说服议员:“宽松”标准辅之以“自律”,能有效解决听证所针对的问题;另一方面,前面提到的分权等核心问题,亦引起了不少议员的忧虑[48]。此外,更有议员直陈对科技企业的提案的不信任;其中突出者,当属Blumenthal参议员在第四次听证中的以下陈述:

“你们总在批评GDPR,我还是直接一点吧……我想知道你们是否会真的为你们[指参与听证的互联网企业]的呼吁做些实事……你们有很多很多的[个人数据],这些[个人数据]是你们最主要的利润来源……我从[各项事实]中看到的,是意识到‘魔鬼在于细节’之后,你们对[欧洲和加州]的那些规定表示出的反对……[49]”

总之,科技企业大概终将推出一部统一法律;然而,在夺占等关键条款上,他们将面临一场可能耗时良久的苦战。再进一步:如果,企业确实需要联邦为隐私保护立一统一的“天花板”,而非一条各州各城市可自由发挥的“底线”,它们当设法重建在民众及立法者那里,已经部分失去的信任[50]。论争不会停息,角力仍在继续:大概两周之后,国会参议员将举行名为“美国联邦数据框架的的政策原则”的听证[51]。届时,此处提及的诸多疑难,将在各方“白刃相接”中呈出更加清晰的面貌。凌厉雷霆能否终化雨幕倾盆?统一立法这场持续20年的努力,或将从此掀起新的篇章。

脚注

[1] 见于https://www.nytimes.com/2018/06/28/technology/california-online-privacy-law.html。

[2] 目前,有11座城市已通过类似法律,22座城市正在制定类似法律。相关统计来自ACLU:https://www.aclu.org/issues/privacy-technology/surveillance-technologies/community-control-over-police-surveillance。

[3] 各类“纲领”“议程”方面,囊括各大科技企业的互联网协会的以下倡议较有代表性:https://internetassociation.org/internet-association-proposes-privacy-principles-for-a-modern-national-regulatory-framework/;至于企业为游说统一立法投入的努力,以下报道较为详尽:https://www.nytimes.com/2018/08/26/technology/tech-industry-federal-privacy-law.html及https://www.washingtonpost.com/technology/2018/07/27/trump-administration-is-working-new-proposal-protect-online-privacy/?utm_term=.e36eb8fff2fc。

[4] 见S. HRG. 106–1147。在同一文件中,来自监管机构、公益组织、科技企业等多方的代表均援引了以上数字。有趣的是,在一篇尚未公开发表的研究中,冯洋教授对中文世界访问量前500的网站作了统计,发现仅有三分之二的网站达到我国《网络安全法》中设立的七方面相关标准,似与前述“60%”这一数字相近。关于中文世界的统计,请见冯洋,《网站隐私政策披露的实证研究——以访问量前500的中文网站为样本》,2019。

[5] 两次主要听证会的书面记录分别见于S. HRG. 106–1117及S. HRG. 106–1147,前者侧重用户画像问题,后者则遍及“互联网世界的隐私问题”。

[6] 分别见诸H.R.3321 - Electronic Privacy Bill of Rights Act of 1999 106th Congress (1999-2000); S.809 - Online Privacy Protection Act of 1999 106th Congress (1999-2000); S.2606 - Consumer Privacy Protection Act 106th Congress (1999-2000); H.R.237 - Consumer Internet Privacy Enhancement Act 107th Congress (2001-2002); S.1055 - Privacy Act of 2001 107th Congress (2001-2002); H.R.2435 – Cyber Security Information Act 107th Congress (2001-2002); H.R.347 - Consumer Online Privacy and Disclosure Act 107th Congress (2001-2002); H.R.4678 - Consumer Privacy Protection Act of 2002 107th Congress (2001-2002); S.2201 - Online Personal Privacy Act 107th Congress (2001-2002); S.2629 - Federal Privacy and Data Protection Policy Act of 2002 107th Congress (2001-2002)。

[7] 获得听证的分别是1999年《在线隐私保护法》提案、2000年《消费者隐私保护法》提案及2000年《消费者网络隐私促进法》提案,分别对应注6中S. 809、S.2606及H.R.237。具体而言,参议员既单独听证了S. 809,又对三份文本作了联合听证。相关听证文本分别见于106届国会的听证文件S. HRG. 1044及S. HRG. 1047。

[8] 请见S. HRG. 1044中Krumholtz所作报告。

[9] 同上。

[10] 同上。值得提出的是:20年来,尽管大体来看,行业自律确有长足进步;不过,若深挖细节,部分细分领域的数据保护现状,仍“粗糙”得近乎讽刺。当下美国的基因检测市场即是反面典型之一: 90家涉足检测的企业中,有35家的隐私协议压根在网站上找不到;仅6个月间,便有12家企业修订了先前的隐私协议;此外,绝大部分企业都将“知晓修改”的义务抛诸用户。相关研究见于Hazel, James, and Christopher Slobogin. "Who knows what, and when?: A survey of the privacy policies proffered by US direct-to-consumer genetic testing companies." Forthcoming, Cornell Journal of Law & Public Policy。此外,即使在2018年,仍有国会议员并不看好“自律”,且对此提出颇“不客气”的批评。相关内容见于以下链接:https://iapp.org/news/a/in-push-for-us-federal-privacy-law-state-preemption-will-depend-on-the-details/。

[11] 相关内容可见106届国会有关“线上消费者隐私保护的现状”的听证文件S. HRG. 39。

[12] 请见S. HRG. 1047所载Hollings参议员的发言。

[13] 请见注11中S. HRG. 39所载Luther众议员的发言。

[14] 如此定义的议案中,较早且较为典型者当属注6中S.809。之后议案大多沿用了这一定义,仅在细节方面有所修改。

[15] 见于注6中S.2201。

[16] “公平信息政策(Fair Information Practice)”的影响不可忽视。“知情-同意”原则的广泛采纳,可能只是前述原则的影响的一部分“投影”。

[17] 见于注6中H.R.3321。值得特别指出的一点:在注6提到的许多议案中,仅有这份议案以较大篇幅定义了网站“运营者”究竟为何。

[18] 同上。此处法案的许多具体表述亦为后来提案所沿用,其中较为典型者,当推H.R.5777 - BEST PRACTICES Act 111th Congress (2009-2010)及H.R.6547 - APPS Act of 2018 115th Congress (2017-2018)。

[19] 以《FTC法》及FTC为隐私保护架构中的“主心骨”的表述,自注6中H.R.3321起便已出现,且几乎为之后所有法案所沿用。作为补充,部分法案援引其它各相关法律作为依据,并补充联邦通信委员会(简称FCC)作为另一执法机构。对FTC在美国隐私保护领域的突出贡献的叙述,最出色者当推Hoofnagle, Chris Jay. Federal Trade Commission Privacy Law and Policy. Cambridge University Press, 2016。至于更加具体、称侵犯隐私属于“不公平或欺骗性”行为的表述,见于注6中提案H.R.347 及S.2606。有趣的是,如此提法,恰与2018年最重要的隐私著作之一的中心中心主张相合——Hartzog以极大篇幅说明:以限制 “不公平、欺骗性或危险行为”的法律条款规管侵犯隐私的设计或通行实践,是治理目前数据乱象的最佳出路之一。相关分析,请见Hartzog, Woodrow. Privacy’s Blueprint: The Battle to Control the Design of New Technologies. Harvard University Press, 2018.

[20] 见于注6中H.R.3321。其中相关安排,几为之后所有提案所沿袭。

[21] 可见注6中H.R.4678。不同提案,划定的处罚力度亦各自不一,但数量级及加重情节彼此间大体相近。比如,针对单次违规行为,注6中S. 2201提出的基准处罚金额是500美元;当违规者系故意违规或反复违规时,处罚金额亦将翻倍。

[22] 同上。值得额外强调的一点:提案中名为“安全港”的部分不仅涉及自律,亦涉及对中小企业在数据合规方面的特别照顾。通常而言,法规以营业额、雇员数、收集数据量等为标准,豁免中小企业的合规义务。比如,针对年营业额在100万美元以下,或雇员少于25人,又或收集个人数据数量少于1000的企业,注6中注6中S. 2201提案即豁免了合规义务。

[23] 篇幅所限,此处罗列并不完全。比如,几乎所有法案都强调隐私政策变更时的及时通知;此外,大部分法案亦强调:企业不可在用户访问数据时施加不合理的限制。例如,注6中H. R. 4678要求企业于30日内回应用户申请;注6中S. 2201的规定则更加细致——在因访问个人数据而对用户收取费用时,企业收费不可超过3美元。

[24] 请见注6中S. 809。

[25] 请见注6中H. R. 4678。

[26] 请见注6中H. R. 347。

[27] 除注6中引述各项提案外,20年间,“闯关”失败的提案至少还包括H.R.5777 - BEST PRACTICES Act 111th Congress (2009-2010)及S.799 - Commercial Privacy Bill of Rights Act of 2011 112th Congress (2011-2012),等等。目前仍处阅读、审议阶段,“前途未卜”的议案至少还包括H.R.736 - Black Box Privacy Protection Act 115th Congress (2017-2018); H.R.6547 - APPS Act of 2018 115th Congress(2017-2018)及H.R.6548 - Data Broker Accountability and Transparency Act of 2018 115th Congress (2017-2018)(这是两部补充的配套法案); S.2179 - Data Security and Breach Notification Act 115th Congress (2017-2018); S.2188 - Consumer Data Protection Act 115th Congress (2017-2018); S.189 - Social Media Privacy Protection and Consumer Rights Act of 2019 116th Congress (2019-2020),等等。相比20年前议案,这些议案中加入了包括“差异化定价”“自动化的针对个人的决定”等在内,不少“时兴”的内容。然而,仅就基本框架方面看,很难说这些草案和20年前的各提案存在根本性的差异。

[28] 请见Zingales, Luigi. "Towards a political theory of the firm." Journal of Economic Perspectives 31, no. 3 (2017): 113-30.

[29] “20年前”部分,请见注7所列106届国会的听证文件S. HRG. 1044及S. HRG. 1047;“今天”部分,请见注3所列相关报道。

[30] 国内对如此趋势亦已有较多探讨。比如,在《美国联邦隐私立法重要文件选译》一文的前言中,洪延青博士总结道:“(互联网企业)一是希望联邦立法能够推翻加州立法(CCPA),二是希望立法能够确立对个人信息处理相对宽松的规则”“通过这些行业组织发布的立场文件,我们能掌握个八九不离十,有助于我们观察美国未来的立法走向”,等等。相关内容见于以下链接:https://mp.weixin.qq.com/s/Z8FaHGrrevw-NOv1qF4VRw。

[31] 值得注意的是:各地市政府在隐私立法方面的创新,已形成一股小小“风潮”,并赢得了许多专业人士的赞誉。相关议题的论述,最精彩者当属Rubinstein, Ira. "Privacy Localism." Forthcoming, Washington Law Review.

[32] 见于Solove, Daniel J., and Woodrow Hartzog. "The FTC and the new common law of privacy." Columbia Law Review 114 (2014): 583.

[33] 无论是支持还是反对联邦统一立法者,都将是否“夺占”看作相关议题上的核心争议之一。支持一方而言,除注3中所列互联网协会倡议外,代表企业利益的知名游说团体美国商会(U.S. Chamber of Commerce)亦发表了支持“夺占”的“隐私原则”。相关链接可参见https://www.uschamber.com/issue-brief/us-chamber-privacy-principles;反对一方而言,论说者直陈对方的夺占主张为“损公众之利益,中饱商家之私囊”。相关论说见于以下报道:https://www.washingtonpost.com/opinions/the-tech-industry-is-suddenly-pushing-for-federal-privacy-legislation-watch-out/2018/10/03/19bc473e-c685-11e8-9158-09630a6d8725_story.html?utm_term=.8cbd270a68da。此外,对相关议题方面立场较显中性的报道,可参考如下链接:https://iapp.org/news/a/in-push-for-us-federal-privacy-law-state-preemption-will-depend-on-the-details/。

[34] 隐私领域立法的夺占问题上,目前最为全面细致的介绍,当属以下长文(分两节登出):https://iapp.org/news/a/us-federal-privacy-preemption-part-1-history-of-federal-preemption-of-stricter-state-laws/ (第一部分)及https://iapp.org/news/a/us-federal-privacy-preemption-part-2-examining-preemption-proposals/(第二部分)。对夺占问题更为一般的介绍,可参考Chemerinsky, Erwin. Constitutional Law. Wolters Kluwer Law & Business, 2016中的相关章节。

[35] 实际情况比此处叙述的更加复杂:一方面,即使联邦法律明言夺占,夺占的范围也未必一致;另一方面,即使联邦未明示夺占,夺占仍有可能发生——冲突夺占、障碍夺占、领域夺占等原则,都有可能导致州及其它低级别政府的立法失去效力。对相关内容的进一步分析,请见注34所引Chemerinsky的相关著作。

[36] 相关分析可见Weingast, Barry R. "The economic role of political institutions: Market-preserving federalism and economic development." Journal of Law, Economics, & Organization (1995): 1-31.

[37] 对于此处述及的议题,各州已作出了卓有成效的探索:劳动者隐私方面,以下研究有相当详尽的介绍,Ajunwa, Ifeoma, Kate Crawford, and Jason Schultz. "Limitless worker surveillance." California Law Review 105 (2017): 735;对治安及警察方面,注31所引Rubinstein研究有较为详细的分析;福利方面,以下研究有较为简单的评述,Gilman, Michele, and Rebecca Green. "The surveillance gap: The harms of extreme privacy and data marginalization." NYU Review of Law & Society Change 42 (2018): 253.

[38] 相关理论广泛见于国会听证辩论与与最高院判决推理。对前一点,注7所引106届国会的两份听证文件S. HRG. 1044及S. HRG. 1047均有所涉及;对后一点,请见注34所引Chemerinsky的相关著作。

[39] 值得注意的是:无论是过去有关统一立法的提案,还是之前已经通过的各细分领域的隐私立法,在“是否夺占”这一问题上均未取得一致意见。以统一立法为例,注6中H.R.3321并未提及夺占;注6所引S.809中提及了夺占事宜,但仅限于“与本法令不一致的内容”,且特别列明了州监管“欺诈”相关行为的权力;至于S.2201,则将夺占的范围扩大到“一切与通过互联网收集、使用或披露个人可识别信息相关的法规”。类似的不一致也出现在立法领域:比如,1996年颁行的《健康保险便利和责任法案》中未存与夺占相关的条款;然而,1998年颁行的《儿童在线隐私保护法》则纳入了夺占相关的条款。相关总结可见以下链接:https://iapp.org/news/a/us-federal-privacy-preemption-part-1-history-of-federal-preemption-of-stricter-state-laws/。

[40] 另一争议焦点是“数据的留存与使用“,显然与监管“松紧”有关。相关论断可参见https://www.aclu.org/blog/privacy-technology/internet-privacy/three-big-battlegrounds-coming-war-over-national-privacy。

[41] 来自相应听证会上Nelson参议员所作陈述。听证会主旨、文本及视频均见于以下链接:https://www.commerce.senate.gov/public/index.cfm/hearings?Id=A29EB61A-4372-41B5-897A-ED169BC331E5&Statement_id=5D6FEABC-690F-4884-9981-332FAAB53722。

[42] 值得注意的是:FTC并非铁板一块。一方面,各方普遍承认FTC在隐私领域的贡献;另一方面,对机构预算不足的忧虑,以及对俘获等问题的批评,始终是各方讨论的热点。对相关问题的“全景”叙述,可见注19引Hoofnagle著作。此外,在2018年9月参议员举行的“研讨消费者数据隐私的防护现状”听证中,部分企业亦赞同继续令FTC发挥作用。见于https://www.commerce.senate.gov/public/index.cfm/pressreleases?ID=240B5C17-CBD5-4039-A9E4-CF2FADFF4712。

[43] 可见Walker, Samuel. In Defense of American Liberties: A History of the ACLU. SIU Press, 1999.

[44] ACLU及EFF等组织对联邦统一立法的评论,可参考以下链接:https://www.aclu.org/blog/privacy-technology/internet-privacy/dont-be-fooled-tech-industrys-push-federal-privacy;https://www.eff.org/deeplinks/2018/09/eff-opposes-federal-preemption-state-privacy-laws,等等。

[45] 此处,自己暂时忽略了对民众呼声的讨论,原因主要有三:首先,有关民众隐私观念的变化,我们现有的理解可能还比较单薄——相关“悖论”常缺乏完满的解释。相应例子,可参见Hoofnagle, Chris Jay, Jennifer King, Su Li, and Joseph Turow. "How different are young adults from older adults when it comes to information privacy attitudes and policies?." (2010)及Blank, Grant, Gillian Bolsover, and Elizabeth Dubois. "A new privacy paradox: Young people and privacy on social network sites." (2014);其次,从注4所指统计数字看,当今民众再怎么重视隐私,反映到数字上,可能也很难显著高于当时的数据;最后,即使确有手段清楚反映民众的隐私观念,观念如何上升为立法,可能又是另一个更加复杂的问题了。

[46] 五次听证的主旨、文本及视频分别见于:https://www.commerce.senate.gov/public/index.cfm/2017/11/protecting-consumers-in-the-era-of-major-data-breaches;https://www.commerce.senate.gov/public/index.cfm/2018/2/data-security-and-bug-bounty-programs-lessons-learned-from-the-uber-breach-and-security-researchers;https://www.commerce.senate.gov/public/index.cfm/hearings?ID=01312BF5-D711-4284-AF56-04E5D77EFC7E;https://www.commerce.senate.gov/public/index.cfm/pressreleases?ID=240B5C17-CBD5-4039-A9E4-CF2FADFF4712及https://www.commerce.senate.gov/public/index.cfm/2018/10/consumer-data-privacy-examining-lessons-from-the-european-union-s-general-data-protection-regulation-and-the-california-consumer-privacy-act。

[47] 这一点在第四次听证中尤为明显——在这次听证中,谷歌甚至出示了拟成的《负责任的数据保护监管框架》。相关的详细信息见于[46]所引链接第四条。

[48] 同上。

[49] 同上。此处所引发言系转引自以下链接:https://iapp.org/news/a/in-push-for-us-federal-privacy-law-state-preemption-will-depend-on-the-details/。

[50] 隐私与信任密不可分。相关论述,请参见Richards, Neil, and Woodrow Hartzog. "Taking trust seriously in privacy law." Stanford Technology Law Review 19 (2015): 431及注19中所引Hartzog著作。

[51] 相关信息可于以下页面浏览:https://www.commerce.senate.gov/public/index.cfm/2019/2/policy-principles-for-a-federal-data-privacy-framework-in-the-united-states。

声明:本文来自网络法实务圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。