中心研究 | 对个人数据价值释放的追求，各利益团体的努力和妥协——简评《美国数据隐私和保护法案》

美国现行私营部门隐私保护成文法错综复杂，保护框架上分为一般性的消费者保护，以及针对具体领域的特别保护。在一般性的消费者保护上，可以由联邦贸易委员会通过执行《联邦贸易委员会法》第5条对一般性的消费者保护问题进行监管。在具体领域或具体场景的保护上，美国联邦和各州针对医疗健康、金融、电信、在线服务、教育、数字化营销、劳工关系、儿童个人信息保护、数据安全事件、行政执法、诉讼和政府调查中的数据调取等问题进行了特别规定。（请见前文：《中心研究 | 美国私营部门隐私保护成文法框架概述》）

近年来，多国陆续出台了综合性的个人信息/个人数据保护法，受此影响，美国国内出台联邦层面规制私营部门的综合性隐私保护法的呼声愈发强烈。（请见前文：《拜登政府执政一周年观察（二）：美国私营部门隐私保护成文法发展趋势展望》）民主党议员提出的代表性法案有包括《在线隐私法案2021》（H.R.6027）、《数据保护法案2021》（S.2134，S.919）、《保护消费者信息法案》（H.R.474）、《数字服务监督与安全法案2022》（H.R.6796）、《信息透明和个人数据控制法案》（H.R.1816）、《消费者在线隐私权法案》（S.3195）；共和党议员提出的代表性法案包括：《消费者数据隐私与安全法案2021》（S.1494）、《制定美国框架以确保数据访问、透明度和责任法案》（S.2499）。但两党、两院和相关利益团体始终在两个问题上无法达成共识：第一，联邦法律是否应当优先于州法律适用。第二，是否应当在法律中设置私人诉讼权。（请见前文：《拜登政府执政一周年观察（二）：美国私营部门隐私保护成文法发展趋势展望》）

本次美国众议院和参议院商务委员会的主要成员联合发布的《美国数据隐私和保护法案》草案（以下简称“《法案》”）是首份获得两党、两院支持的美国联邦层面综合性隐私保护法草案，[1]众议院将于6月14日就法案举行听证会。[2]《法案》在个人数据保护的总体思路上和欧盟《一般数据保护条例》（以下简称“GDPR”）以及我国《个人信息保护法》（以下简称“《个保法》”）截然不同。主要内容上，提出了“忠诚义务”的概念；进一步加强了对儿童和青少年的个人数据保护；针对“大型数据持有者”设立了更为严苛的合规义务。针对此前争议较大的优先适用和私人诉讼权的问题，法案也作出了明确回应。《法案》对于理论界和实务届判断美国隐私保护法的发展有一定意义，为此，笔者结合《法案》文本和摘要，对部分要点作简要分析。

《法案》在保护逻辑上与欧盟GDPR和我国《个保法》存在着根本性的不同，体现出高自由度、重视个人数据底线保护之上的价值释放的特点。欧盟GDPR和我国《个保法》在一般情况下禁止开展个人信息处理活动，除非具备相应的合法性基础。例如GDPR第6条“数据处理活动的合法性”第1款规定，“仅在以下至少一项适用的情况下，数据处理活动方具备合法性”。又如我国《个保法》第13条第1款规定，“符合下列情形之一的，个人信息处理者方可处理个人信息”。《法案》的保护逻辑则截然相反，并不要求数据处理活动的开展具备合法性基础为前提，而是列明了特定情况下对个人数据处理活动的限制。例如收集、处理、向第三方传输个人敏感数据的情况必需取得相关个人的明确同意；又如禁止向未满17岁的个人投放定向广告；又如受管辖实体不得以歧视性方式收集、处理或传输受保护数据等情况（详见后文）。在此基础上，《法案》又对限制处理的情况设置一般性例外条件。在满足合理必要性、相称性且仅限于特定目的的情况下，可以出于发起或完成交易、维护系统、改进产品或服务、解决安全事件、防止欺诈或非法活动、遵守法律义务或行使法律请求、防止个人遭受严重损害、根据法律召回产品、为公共利益或符合法律规定的科学/历史/统计研究目的、与执法机构合作等目的得到限制处理情况的豁免。

在这样的高自由度的基础上，《法案》特别突出了数据最小化原则的重要性，形式上，将数据最小化原则置于文本中除了定义条款之外的第一项实体性规定中，作为一项基线义务贯穿全文。内容上，要求受管辖实体无论是否获得个人同意或是否满足透明度要求，都不得任意超出合理必要范围收集和处理个人数据，并要求FTC出台有关合理必要、适当、受限等概念的细致指南。

此前参议院议员提出的《消费者在线隐私权法案》（S.3195）和《数据保护法案2021》（S.919）中亦有对忠诚义务（Duty of Loyalty）的规定，主要内容是“受管辖实体不得从事欺骗性或损害性数据处理活动”以及“受管辖实体不得以任何违反法案规定的方式处理或传输个人数据”，违反此类忠诚义务的行为包括“以使得终端用户受损的方式使得在线服务提供商受益”，“可合理预见的情况下将会导致个人承受重大物理性损害或金钱损害”和“对理性的终端用户而言是无法预料且高度侵犯性的行为”，[3]相对较为模糊。

《法案》则将忠诚义务的规定细化为：数据最小化原则；具体的忠诚义务（Loyalty Duties）；设计的隐私保护；禁止价格歧视四大类。其中，具体的忠诚义务对限制性和禁止性数据处理活动作出详细规定，包括：第一，与社会保险号码有关的处理活动。除非出于信贷展期、认证或缴纳和征收税款的目的，不得收集、处理或转移个人的社会保险号码。第二，与个人的精确地理位置信息有关的处理活动。除非取得个人的肯定性明确同意，并且通过单独的、明确的通知对转移方式进行解释，否则不得将个人的精确地理位置信息传输给第三方。第三，与生物特征信息有关的处理活动。除非出于数据安全、认证、遵守法律义务、主张权利、执法等目的或取得个人肯定性明确同意的情况下，并且通过单独的、明确的通知对收集、处理和向第三方传输的方式进行解释，否则不得收集、处理和传输生物特征信息。第四，与密码有关的处理活动。除非是传输给指定的密码管理人，或者是专门用于查明跨网站或账户重复使用的密码的受管辖实体，否则不得向第三方传输密码。第五，与非自愿拍摄的私密图像（nonconsensual intimate images）有关的处理活动。除非是出于执法目的，否则不得收集、处理和向第三方传输非自愿拍摄的私密图像。第六，与遗传信息有关的处理活动。除非是出于诊断、治疗、医学研究或执法调查的目的，在取得个人肯定性明确同意的情况下，并通过单独的、明确的通知对收集、处理和向第三方传输的方式进行解释，否则不得收集、处理和向第三方传输遗传信息。第七，有关聚合数据的处理活动。除非取得个人肯定性明确同意，并通过单独的、明确的通知对第三方传输的方式进行解释，否则不得将个人互联网搜索或浏览历史的聚合数据向第三方传输。第八，与个人身体活动信息有关的处理活动。除非取得个人肯定性明确同意，并通过单独的、明确的通知对第三方传输的方式进行解释，否则不得将智能手机或可穿戴设备中的个人身体活动信息向第三方传输，传输至该个人的另一设备或服务的情况除外。

2020年，欧盟提出了《数字服务法案》对大型数字平台提出了严格的内容监管义务，提出了《数字市场法案》对数字市场的竞争秩序进行规制。美国在2021年提出了针对数字市场竞争秩序的六大法案。2022年，美国对数字平台提出了综合性平台管理法《数字平台委员会法案》，对数字平台在消费者保护、数据可携权、算法决策等问题进行特殊规制。《法案》则对“大型数据持有者”设置了个人信息保护方面的特殊义务。在身份判定上，《法案》从定量方面进行规定，大型数据持有者是年收入在2.5亿美元以上，并且收集、处理或转移超过500万人的个人数据或者超过10万人的敏感个人数据的实体。《个保法》则从“重要互联网平台服务、用户数量巨大、业务类型复杂”定性加定量的方式进行规定。《法案》在具体义务方面，第一，强化告知义务。除了公开隐私政策外，还需要将其数据实践通过简短通知的方式告知个人。第二，快速响应个人的权利请求。对于个人的数据权利请求，大型数据持有者应在核实请求后的30日内完成处理，其他主体处理时限则放宽至核实请求后的60日。第三，算法影响评估的强制性义务。使用算法处理受保护数据的大型数据持有者应当在每年对相关算法进行影响评估。第四，向联邦贸易委员会的报告义务。法案实施一年后，大型数据持有者的首席执行官（或最高级别管理者）、数据隐私官、数据安全官需要向FTC进行年报，报告内部控制、结构、人员参与和对法案遵守情况等事项。第五，隐私影响评估。法案颁布后一年内或受管辖实体符合大型数据持有者定义的一年内（以较早者为准），大型数据持有者应当进行隐私影响评估，并在此后两年进行一次更新。第六，内部人员报告。大型数据持有者应当至少一名作为内部监督者的隐私保护官直接向其最高级别管理者报告。第七，定期全面审计。大型数据持有者应当指定至少一名作为内部监督者的隐私保护官定期对其的政策、做法和程序的合规性进行审计。第八，员工培训计划。大型数据持有者应当指定至少一名作为内部监督者的隐私保护官制定对员工进行合规要求方面的教育和培训的计划。第九，记录保存义务。大型数据持有者应当指定至少一名作为内部监督者的隐私保护官对其采取的所有隐私和数据安全做法保持更新、准确、清晰和可理解的记录。第十，设置与执法机构的联络官。大型数据持有者应当指定至少一名作为内部监督者的隐私保护官作为其与执法机构之间的联络官。

《法案》对儿童和未成年人的个人数据保护作出了特别规定，主要包括：第一，禁止受管辖实体向明知是未满17岁的个人投放定向广告；第二，未经肯定性明确同意，禁止受管辖实体向第三方传输明知（has actual knowledge）是13岁至17岁个人的个人数据；第三，在联邦贸易委员会内部设青少年隐私和营销司，解决童和未成年人的隐私和营销问题。该部门必须向国会提交年度报告，并雇佣包括青年发展、数据保护、数字广告和数据分析专家在内的员工；第四，对《1998年儿童在线隐私保护法》（COPPA）的评估报告。要求FTC有关负责人每两年向国会提交一份报告，分析COPPA安全港条款的公平性和有效性。

除此之外，《法案》对与COPPA相关条款的适用问题也进行了明确。《法案》有关条款并不直接修正COPPA项下的相关规定，但法案正式颁布后180天内，FTC须得修改COPPA配套规则，以符合《法案》项下对受管辖实体的附加要求。

《法案》对于与其他联邦或州法律的在适用方面的协调问题作出了明确规定，整体呈现出克制的色彩。《法案》明确，就联邦法律而言，在《法案》未作出特别规定的一般情况下，不对其他联邦法律的适用构成限制。也即，《法案》并不优先于现有的诸如《公平信用报告法》《健康保险携带和责任法》等联邦法律适用，并且特别规定，受管辖主体行为符合《格雷姆-里奇-比利雷法》（GLBA）、《卫生信息技术促进经济和临床健康法》（HITECH）、《家庭教育权利和隐私法》（FERPA）等法律规定的，视为满足《法案》的规定。就州法律而言，《法案》未作出特别规定的一般情况下，《法案》优先于为《法案》条款所覆盖的州法律适用，但列出了保留（Preservation）适用的州法律类型和具体的州法律，包括：第一，具有一般适用性的消费者保护法（特别规定，违反《法案》规定的事实并不当然认定为违反此类法律）；第二，民权法；第三，与隐私权或其他保护雇员、雇员信息、学生或学生信息有关的法律；第四，与数据违规事件通知有关的法律；第五，合同法或侵权法；第六，与欺诈、盗窃、未经授权访问信息或电子设备，或者未经授权使用信息、恶意行为或类似规定有关的刑法或刑事诉讼法；第七，与网络跟踪、网络霸凌、非自愿色情图像或性骚扰有关的刑事或民事法律；第八，与公共安全有关的法律，或者与隐私或安全无关的特定部门法；第九，与公共记录、刑事司法信息系统、逮捕记录、面部照片、定罪记录或非定罪记录有关的法律；第十，与银行记录、财务记录、税务记录、社会保障号码、信用卡、信用报告和调查、信用修复、信用诊所或支票兑付有关的法律；第十一，仅涉及面部识别或面部识别技术、电子监控、窃听或电话监控的法律；第十二，《生物特征信息隐私法》（例如伊利诺伊州《生物特征信息隐私法》740 ILCS 14）和《基因信息隐私法》（例如伊利诺伊州《基因信息隐私法》410 ILCS 513）；第十三，与未经请求的电子邮件、电话征集或来电显示有关的法律；第十四，与健康信息、医疗信息、医疗记录、HIV状态或HIV检测有关的法律；第十五，与图书馆记录保密性有关的法律。第十六，《加州民法典》第1798.150节（《加州消费者隐私法》中有关个人诉讼和损害赔偿的部分）。除此之外，《法案》与《1934年通信法》及联邦通信贸易委员会据此发布的法规作了区分。

在涉及个人诉讼与救济的问题上，《法案》的相关规定在一般情况下并不优先于联邦普通法或成文法中的相关规定适用，除非违反《法案》规定的事实不能够作为联邦普通法或成文法中诉由的构成要件。

此前，关于是否应当在联邦隐私法中设置私人诉讼权的讨论，大体有三类观点：第一种是设立广泛的私人诉讼权，类似于我国《个人信息保护法》或欧盟GDPR的方式；第二种是设立有限的私人诉讼权，类似于CCPA的规定；第三种是完全取消私人诉讼权，将提起诉讼的权利交由监管机构或司法部长，类似于伊利诺伊州《生物特征信息隐私法》修正案（HB 0560）采用的方式。

考虑到广泛的私人诉讼权可能导致滋扰性诉讼，小企业可能面临的高昂诉讼成本将会扼杀创新，相当部分有影响力的立法专家都认为应当对私人诉讼权进行限制。2021年9月29日参议院商务委员会举行的关于保护消费者隐私的听证会上，前FTC代理主席Maureen Ohlhausen、前FTC消费者保护局局长David Vladeck和前FTC首席技术专家Ashkan Soltani都认可私人诉讼权对于隐私保护的积极意义，认为应当设立精心设计的、被关在围栏里的有限私人诉讼权，在保护消费者和防止滥诉之间寻求平衡。[4]

或许考虑到这些原因，《法案》设置了有限的私人诉讼权，其有限性体现在：第一：起诉时间的限制。《法案》规定，在法案生效4年后，因受管辖实体违反《法案》及相关规的行为而遭受损害的个人和集体才可以提起诉讼。第二，诉讼程序的限制。在提起诉讼之前，个人必需将提起诉讼的意图以书面形式通知联邦贸易委员会和居住地有管辖权的司法部长，监管部门将在60日内决定是否由监管部门提起单独的诉讼。在此期限届满前或其中一个监管部门提起诉讼前，个人向有关的受管辖实体提出金钱给付请求将被视为是出于恶意（Bad Faith）。目前，尚不确定监管部门独立起诉会不会导致个人丧失诉权，但笔者理解，从文义解释看，既然监管机构可以在接收到个人通知后决定是否提起的是独立的诉讼（independently seek to take action），那么就不会导致个人丧失诉权。第三，损害赔偿范围的限制。《法案》将救济措施限定为补偿性损害赔偿金、禁令或声明性救济、合理的律师费和诉讼费，没有将惩罚性损害赔偿金纳入在内，也没有如同《加州消费者隐私保护法》《伊利诺伊州生物特征信息隐私法》等在先法律规定法定损害赔偿金。

整体而言，我们可以从《法案》中看到各个利益团体为尽快推出联邦层面综合性隐私保护法所作出的努力和妥协。例如，在优先适用问题上的克制，在有限私人诉讼权中规定的起诉时间点在法案生效的四年之后，似乎都是为了在这类问题没有明确答案的情况下做出的让步。同时，我们也可以看到美国这样一个在数字经济中暂时领跑的国家对于儿童和青少年个人信息保护、大型数据持有者行为的特殊关切。虽然《法案》仅仅走到立法程序的第一阶段，但未来，美国立法者将会在联邦层面综合性隐私保护法中作出怎样的创新，对所有国家都具有重大意义，我中心也会持续关注相关进展，争取第一时间为理论界和实务届同仁提供有价值的分析。