后GDPR时代的美国数据隐私保护走向.docx

??

?

??

后GDPR时代的美国数据隐私保护走向

?

??

?

?

?

?

?

?

?

???

?

?

?

?

?

2018年欧盟《通用数据保护条例》（GeneralDataProtectionRegulation，GDPR）正式实施，全球范围内掀起了数据保护改革浪潮。欧盟境内成员国纷纷更新个人数据保护法，巴西、印度、越南、马来西亚等国家也开始数据保护立法。除全球性的立法改革运动外，剑桥分析事件的爆发也进一步促使数据保护与利用问题成为全球关注。在此背景下，美国作为同样引领全球隐私保护的典型国家也深受影响，立法者、学界、行业等开始深刻反思美国现行的隐私立法体系，纷纷采取举措推动相关立法进程，试图在后GDPR时代建立起美国隐私保护新范式。

在数据全球化深入发展的当下，一方面，美国数据隐私保护立法不仅影响着全球数据经济的发展，也是研究未来全球隐私保护立法走向的重要标本。另一方面，在我国将《个人信息保护法》纳入第十三届全国人大常委会立法规划、国际GDPR全球立法效应持续发酵之际，如何在后GDPR时代建立一套既符合国际最佳立法实践又符合本国国情，既能为个人权益、数据经济、国家安全等系列利益保驾护航，又能为我国在国际数据规则制定中占据话语权、主动权的《个人信息保护法》，是我国当下亟须解决的现实问题。后GDPR时代美国隐私保护将走向何方，其哪些具体考量对我国具有重大的研究和参考价值。本报告将介绍美国自GDPR实施以来数据隐私保护最新动向并分析其关注重点及主要趋势。

一美国数据隐私保护现状

长期以来，与欧盟从人权保障视角出发为隐私或个人数据提供全面的、高水平的保护不同，美国更多的是基于经济发展的考量，反对对隐私或数据进行全面监管。此外，作为典型的判例法国家，美国一直以来缺乏联邦层面的统一的互联网隐私保护法，而主要依据联邦贸易委员会的执法。相关立法规范也主要体现在隐私保护立法中，如1970年的《公平信用报告法》（FCRA）、1974年的《隐私法》、1986年的《电子通信隐私法》（ECPA）、1996年的《健康保险携带和责任法案》（HIPAA）、1998年的《儿童在线隐私保护法》（COPPA）、1999年的《金融服务现代化法》（GLBA）等，仅针对征信、金融、医疗、教育等特殊领域，或儿童、学生等特殊群体的个人数据收集、使用等问题做出了规定。21世纪初，随着网络的飞速发展，美国国会、白宫曾先后多次提出了旨在加强互联网隐私保护的法案，如2000年引入国会的《消费者互联网隐私增强法案》、2011年的《商业隐私权利法案》、2012年奥巴马政府提出的《消费者隐私权利法案》等，但最终因国会并不主张对隐私加以全面监管而未能顺利推进。[1]

（一）美国数据隐私保护的现行立法框架

1.1970年的《公平信用报告法》

该法最初颁布于1970年，旨在促进消费报告机构所收集的信息的准确性与公平性，同时推进相关隐私保护。这些信息被用于信用与保险报告、雇员背景调查与租户筛查。这一法案赋予了个人访问与修正个人数据的权利，从而保护了消费者的权利。它要求那些提供消费者报告的公司确保信息的准确与完整；限制这些信息的使用；要求这些机构在依据报告进行不利于当事人的措施（如拒绝贷款）时，需尽到告知的义务。之后，美国又通过《公平和准确信用交易法》（Pub.Lo.No.108-159）对该法做出了修订。

2.1974年的《隐私法》

该法专门规定了联邦政府机构收集公民个人数据时应当遵守的基本规则。“行政机关”对个人数据的采集、使用、公开和保密问题做出详细规定，以此规范联邦政府处理个人数据的行为，平衡公共利益与个人隐私权之间的矛盾。该法中的“行政机关”，包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司，以及行政部门的其他机构，并包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关，但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。该法中的“记录”，是指包含在某一记录系统中的个人记录。个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中，“其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码，以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。《隐私法》规定了行政机关“记录”的收集、登记、公开、保存等方面应遵守的准则。

3.1986年的《电子通信隐私法》

《电子通信隐私法》涵盖了声音通信、文本和数字化形象的传输等所有形式的数字化通信。它不仅禁止政府部门未经授权的窃听，而且禁止所有个人和企业对通信内容的窃听，同时还禁止对存贮于电脑系统中的通信信息未经授权的访问及对传输中的信息未经授权的拦截。

4.1996年的《健康保险携带和责任法案