走出去智庫觀察

當地時間6月3日，美國兩院聯合發布《美國數據隱私和保護法案》（簡稱“《法案》”）草案文本，這是首個獲得兩黨、兩院支持的全面的關于國家數據隱私和數據安全框架的立法草案。

走出去智庫（CGGT）觀察到，《法案》體現了美國一以貫之追求數據處理活動的高自由度和數據價值釋放的理念，也體現了美國這樣一個在數字經濟中暫時領跑的國家對于兒童和青少年個人信息保護、大型數據持有者行為的特殊關切，還體現了美國各個利益團體為盡快推出聯邦層面綜合性隱私保護法所作出的努力和妥協。

美國隱私保護立法有哪些特點？今天，走出去智庫（CGGT）刊發針對《法案》的解讀文章，供關注全球隱私保護的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、《法案》將忠誠義務的規定細化為：數據最小化原則；具體的忠誠義務；設計的隱私保護；禁止價格歧視四大類。

2、《法案》規定除非取得個人肯定性明確同意，并通過單獨的、明確的通知對第三方傳輸的方式進行解釋，否則不得將個人互聯網搜索或瀏覽歷史的聚合數據向第三方傳輸。

3、《法案》對于與其他聯邦或州法律的在適用方面的協調問題作出了明確規定，整體呈現出克制的色彩。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

一、《美國數據隱私和保護法案》背景介紹

美國現行私營部門隱私保護成文法錯綜復雜，保護框架上分為一般性的消費者保護，以及針對具體領域的特別保護。在一般性的消費者保護上，可以由聯邦貿易委員會通過執行《聯邦貿易委員會法》第5條對一般性的消費者保護問題進行監管。在具體領域或具體場景的保護上，美國聯邦和各州針對醫療健康、金融、電信、在線服務、教育、數字化營銷、勞工關系、兒童個人信息保護、數據安全事件、行政執法、訴訟和政府調查中的數據調取等問題進行了特別規定。

近年來，多國陸續出臺了綜合性的個人信息/個人數據保護法，受此影響，美國國內出臺聯邦層面規制私營部門的綜合性隱私保護法的呼聲愈發強烈。民主黨議員提出的代表性法案有包括《在線隱私法案2021》（H.R.6027）、《數據保護法案2021》（S.2134，S.919）、《保護消費者信息法案》（H.R.474）、《數字服務監督與安全法案2022》（H.R.6796）、《信息透明和個人數據控制法案》（H.R.1816）、《消費者在線隱私權法案》（S.3195）；共和黨議員提出的代表性法案包括：《消費者數據隱私與安全法案2021》（S.1494）、《制定美國框架以確保數據訪問、透明度和責任法案》（S.2499）。但兩黨、兩院和相關利益團體始終在兩個問題上無法達成共識：第一，聯邦法律是否應當優先于州法律適用；第二，是否應當在法律中設置私人訴訟權。

本次美國眾議院和參議院商務委員會的主要成員聯合發布的《美國數據隱私和保護法案》草案（American Data ?Privacy and Protection Act，以下簡稱“《法案》”）是首份獲得兩黨、兩院支持的美國聯邦層面綜合性隱私保護法草案，[1]眾議院將于6月14日就法案舉行聽證會。[2]《法案》在個人數據保護的總體思路上和歐盟《一般數據保護條例》（以下簡稱“GDPR”）以及我國《個人信息保護法》（以下簡稱“《個保法》”）截然不同。主要內容上，提出了“忠誠義務”的概念；進一步加強了對兒童和青少年的個人數據保護；針對“大型數據持有者”設立了更為嚴苛的合規義務。針對此前爭議較大的優先適用和私人訴訟權的問題，法案也作出了明確回應。《法案》對于理論界和實務屆判斷美國隱私保護法的發展有一定意義，為此，筆者結合《法案》文本和摘要，對部分要點作簡要分析。

二、高自由度——重視個人數據底線保護之上的價值釋放

《法案》在保護邏輯上與歐盟GDPR和我國《個保法》存在著根本性的不同，體現出高自由度、重視個人數據底線保護之上的價值釋放的特點。歐盟GDPR和我國《個保法》在一般情況下禁止開展個人信息處理活動，除非具備相應的合法性基礎。例如GDPR第6條“數據處理活動的合法性”第1款規定，“僅在以下至少一項適用的情況下，數據處理活動方具備合法性”。又如我國《個保法》第13條第1款規定，“符合下列情形之一的，個人信息處理者方可處理個人信息”。《法案》的保護邏輯則截然相反，并不要求數據處理活動的開展具備合法性基礎為前提，而是列明了特定情況下對個人數據處理活動的限制。例如收集、處理、向第三方傳輸個人敏感數據的情況必需取得相關個人的明確同意；又如禁止向未滿17歲的個人投放定向廣告；又如受管轄實體不得以歧視性方式收集、處理或傳輸受保護數據等情況（詳見后文）。在此基礎上，《法案》又對限制處理的情況設置一般性例外條件。在滿足合理必要性、相稱性且僅限于特定目的的情況下，可以出于發起或完成交易、維護系統、改進產品或服務、解決安全事件、防止欺詐或非法活動、遵守法律義務或行使法律請求、防止個人遭受嚴重損害、根據法律召回產品、為公共利益或符合法律規定的科學/歷史/統計研究目的、與執法機構合作等目的得到限制處理情況的豁免。

在這樣高自由度的基礎上，《法案》特別突出了數據最小化原則的重要性，形式上，將數據最小化原則置于文本中除了定義條款之外的第一項實體性規定中，作為一項基線義務貫穿全文。內容上，要求受管轄實體無論是否獲得個人同意或是否滿足透明度要求，都不得任意超出合理必要范圍收集和處理個人數據，并要求FTC出臺有關合理必要、適當、受限等概念的細致指南。

三、忠誠義務

此前參議院議員提出的《消費者在線隱私權法案》（S.3195）和《數據保護法案2021》（S.919）中亦有對忠誠義務（Duty of Loyalty）的規定，主要內容是“受管轄實體不得從事欺騙性或損害性數據處理活動”以及“受管轄實體不得以任何違反法案規定的方式處理或傳輸個人數據”，違反此類忠誠義務的行為包括“以使得終端用戶受損的方式使得在線服務提供商受益”，“可合理預見的情況下將會導致個人承受重大物理性損害或金錢損害”和“對理性的終端用戶而言是無法預料且高度侵犯性的行為”，[3]相對較為模糊。

《法案》則將忠誠義務的規定細化為：數據最小化原則；具體的忠誠義務（Loyalty Duties）；設計的隱私保護；禁止價格歧視四大類。其中，具體的忠誠義務對限制性和禁止性數據處理活動作出詳細規定，包括：

第一，與社會保險號碼有關的處理活動。除非出于信貸展期、認證或繳納和征收稅款的目的，不得收集、處理或轉移個人的社會保險號碼。

第二，與個人的精確地理位置信息有關的處理活動。除非取得個人的肯定性明確同意，并且通過單獨的、明確的通知對轉移方式進行解釋，否則不得將個人的精確地理位置信息傳輸給第三方。

第三，與生物特征信息有關的處理活動。除非出于數據安全、認證、遵守法律義務、主張權利、執法等目的或取得個人肯定性明確同意的情況下，并且通過單獨的、明確的通知對收集、處理和向第三方傳輸的方式進行解釋，否則不得收集、處理和傳輸生物特征信息。

第四，與密碼有關的處理活動。除非是傳輸給指定的密碼管理人，或者是專門用于查明跨網站或賬戶重復使用的密碼的受管轄實體，否則不得向第三方傳輸密碼。

第五，與非自愿拍攝的私密圖像（nonconsensual intimate images）有關的處理活動。除非是出于執法目的，否則不得收集、處理和向第三方傳輸非自愿拍攝的私密圖像。

第六，與遺傳信息有關的處理活動。除非是出于診斷、治療、醫學研究或執法調查的目的，在取得個人肯定性明確同意的情況下，并通過單獨的、明確的通知對收集、處理和向第三方傳輸的方式進行解釋，否則不得收集、處理和向第三方傳輸遺傳信息。

第七，有關聚合數據的處理活動。除非取得個人肯定性明確同意，并通過單獨的、明確的通知對第三方傳輸的方式進行解釋，否則不得將個人互聯網搜索或瀏覽歷史的聚合數據向第三方傳輸。

第八，與個人身體活動信息有關的處理活動。除非取得個人肯定性明確同意，并通過單獨的、明確的通知對第三方傳輸的方式進行解釋，否則不得將智能手機或可穿戴設備中的個人身體活動信息向第三方傳輸，傳輸至該個人的另一設備或服務的情況除外。

四、對大型數據持有者的特殊規制

2020年，歐盟提出了《數字服務法案》對大型數字平臺提出了嚴格的內容監管義務，提出了《數字市場法案》對數字市場的競爭秩序進行規制。美國在2021年提出了針對數字市場競爭秩序的六大法案。

2022年，美國對數字平臺提出了綜合性平臺管理法《數字平臺委員會法案》，對數字平臺在消費者保護、數據可攜權、算法決策等問題進行特殊規制。《法案》則對“大型數據持有者”設置了個人信息保護方面的特殊義務。在身份判定上，《法案》從定量方面進行規定，大型數據持有者是年收入在2.5億美元以上，并且收集、處理或轉移超過500萬人的個人數據或者超過10萬人的敏感個人數據的實體。《個保法》則從“重要互聯網平臺服務、用戶數量巨大、業務類型復雜”定性加定量的方式進行規定。

《法案》在具體義務方面，第一，強化告知義務。除了公開隱私政策外，還需要將其數據實踐通過簡短通知的方式告知個人。第二，快速響應個人的權利請求。對于個人的數據權利請求，大型數據持有者應在核實請求后的30日內完成處理，其他主體處理時限則放寬至核實請求后的60日。第三，算法影響評估的強制性義務。使用算法處理受保護數據的大型數據持有者應當在每年對相關算法進行影響評估。第四，向聯邦貿易委員會的報告義務。法案實施一年后，大型數據持有者的首席執行官（或最高級別管理者）、數據隱私官、數據安全官需要向FTC進行年報，報告內部控制、結構、人員參與和對法案遵守情況等事項。第五，隱私影響評估。法案頒布后一年內或受管轄實體符合大型數據持有者定義的一年內（以較早者為準），大型數據持有者應當進行隱私影響評估，并在此后兩年進行一次更新。第六，內部人員報告。大型數據持有者應當至少一名作為內部監督者的隱私保護官直接向其最高級別管理者報告。第七，定期全面審計。大型數據持有者應當指定至少一名作為內部監督者的隱私保護官定期對其的政策、做法和程序的合規性進行審計。第八，員工培訓計劃。大型數據持有者應當指定至少一名作為內部監督者的隱私保護官制定對員工進行合規要求方面的教育和培訓的計劃。第九，記錄保存義務。大型數據持有者應當指定至少一名作為內部監督者的隱私保護官對其采取的所有隱私和數據安全做法保持更新、準確、清晰和可理解的記錄。第十，設置與執法機構的聯絡官。大型數據持有者應當指定至少一名作為內部監督者的隱私保護官作為其與執法機構之間的聯絡官。

五、對兒童和未成年人個人數據保護的特殊關切

《法案》對兒童和未成年人的個人數據保護作出了特別規定，主要包括：第一，禁止受管轄實體向明知是未滿17歲的個人投放定向廣告；第二，未經肯定性明確同意，禁止受管轄實體向第三方傳輸明知（has actual knowledge）是13歲至17歲個人的個人數據；第三，在聯邦貿易委員會內部設青少年隱私和營銷司，解決童和未成年人的隱私和營銷問題。該部門必須向國會提交年度報告，并雇傭包括青年發展、數據保護、數字廣告和數據分析專家在內的員工；第四，對《1998年兒童在線隱私保護法》（COPPA）的評估報告。要求FTC有關負責人每兩年向國會提交一份報告，分析COPPA安全港條款的公平性和有效性。

除此之外，《法案》對與COPPA相關條款的適用問題也進行了明確。《法案》有關條款并不直接修正COPPA項下的相關規定，但法案正式頒布后180天內，FTC須得修改COPPA配套規則，以符合《法案》項下對受管轄實體的附加要求。

六、與其他聯邦或州法律的在適用方面的協調

《法案》對于與其他聯邦或州法律的在適用方面的協調問題作出了明確規定，整體呈現出克制的色彩。《法案》明確，就聯邦法律而言，在《法案》未作出特別規定的一般情況下，不對其他聯邦法律的適用構成限制。也即，《法案》并不優先于現有的諸如《公平信用報告法》《健康保險攜帶和責任法》等聯邦法律適用，并且特別規定，受管轄主體行為符合《格雷姆-里奇-比利雷法》（GLBA）、《衛生信息技術促進經濟和臨床健康法》（HITECH）、《家庭教育權利和隱私法》（FERPA）等法律規定的，視為滿足《法案》的規定。就州法律而言，《法案》未作出特別規定的一般情況下，《法案》優先于為《法案》條款所覆蓋的州法律適用，但列出了保留（Preservation）適用的州法律類型和具體的州法律，包括：第一，具有一般適用性的消費者保護法（特別規定，違反《法案》規定的事實并不當然認定為違反此類法律）；第二，民權法；第三，與隱私權或其他保護雇員、雇員信息、學生或學生信息有關的法律；第四，與數據違規事件通知有關的法律；第五，合同法或侵權法；第六，與欺詐、盜竊、未經授權訪問信息或電子設備，或者未經授權使用信息、惡意行為或類似規定有關的刑法或刑事訴訟法；第七，與網絡跟蹤、網絡霸凌、非自愿色情圖像或性騷擾有關的刑事或民事法律；第八，與公共安全有關的法律，或者與隱私或安全無關的特定部門法；第九，與公共記錄、刑事司法信息系統、逮捕記錄、面部照片、定罪記錄或非定罪記錄有關的法律；第十，與銀行記錄、財務記錄、稅務記錄、社會保障號碼、信用卡、信用報告和調查、信用修復、信用診所或支票兌付有關的法律；第十一，僅涉及面部識別或面部識別技術、電子監控、竊聽或電話監控的法律；第十二，《生物特征信息隱私法》（例如伊利諾伊州《生物特征信息隱私法》740 ILCS 14）和《基因信息隱私法》（例如伊利諾伊州《基因信息隱私法》410 ILCS 513）；第十三，與未經請求的電子郵件、電話征集或來電顯示有關的法律；第十四，與健康信息、醫療信息、醫療記錄、HIV狀態或HIV檢測有關的法律；第十五，與圖書館記錄保密性有關的法律。第十六，《加州民法典》第1798.150節（《加州消費者隱私法》中有關個人訴訟和損害賠償的部分）。除此之外，《法案》與《1934年通信法》及聯邦通信貿易委員會據此發布的法規作了區分。

在涉及個人訴訟與救濟的問題上，《法案》的相關規定在一般情況下并不優先于聯邦普通法或成文法中的相關規定適用，除非違反《法案》規定的事實不能夠作為聯邦普通法或成文法中訴由的構成要件。

七、有限的私人訴訟權

此前，關于是否應當在聯邦隱私法中設置私人訴訟權的討論，大體有三類觀點：第一種是設立廣泛的私人訴訟權，類似于我國《個人信息保護法》或歐盟GDPR的方式；第二種是設立有限的私人訴訟權，類似于CCPA的規定；第三種是完全取消私人訴訟權，將提起訴訟的權利交由監管機構或司法部長，類似于伊利諾伊州《生物特征信息隱私法》修正案（HB 0560）采用的方式。

考慮到廣泛的私人訴訟權可能導致滋擾性訴訟，小企業可能面臨的高昂訴訟成本將會扼殺創新，相當部分有影響力的立法專家都認為應當對私人訴訟權進行限制。2021年9月29日參議院商務委員會舉行的關于保護消費者隱私的聽證會上，前FTC代理主席Maureen Ohlhausen、前FTC消費者保護局局長David Vladeck和前FTC首席技術專家Ashkan Soltani都認可私人訴訟權對于隱私保護的積極意義，認為應當設立精心設計的、被關在圍欄里的有限私人訴訟權，在保護消費者和防止濫訴之間尋求平衡。[4]

或許考慮到這些原因，《法案》設置了有限的私人訴訟權，其有限性體現在：第一：起訴時間的限制。《法案》規定，在法案生效4年后，因受管轄實體違反《法案》及相關規的行為而遭受損害的個人和集體才可以提起訴訟。第二，訴訟程序的限制。在提起訴訟之前，個人必需將提起訴訟的意圖以書面形式通知聯邦貿易委員會和居住地有管轄權的司法部長，監管部門將在60日內決定是否由監管部門提起單獨的訴訟。在此期限屆滿前或其中一個監管部門提起訴訟前，個人向有關的受管轄實體提出金錢給付請求將被視為是出于惡意（Bad Faith）。目前，尚不確定監管部門獨立起訴會不會導致個人喪失訴權，但筆者理解，從文義解釋看，既然監管機構可以在接收到個人通知后決定是否提起的是獨立的訴訟（independently seek to take action），那么就不會導致個人喪失訴權。第三，損害賠償范圍的限制。《法案》將救濟措施限定為補償性損害賠償金、禁令或聲明性救濟、合理的律師費和訴訟費，沒有將懲罰性損害賠償金納入在內，也沒有如同《加州消費者隱私保護法》《伊利諾伊州生物特征信息隱私法》等在先法律規定法定損害賠償金。

結 語

整體而言，我們可以從《法案》中看到各個利益團體為盡快推出聯邦層面綜合性隱私保護法所作出的努力和妥協。例如，在優先適用問題上的克制，在有限私人訴訟權中規定的起訴時間點在法案生效的四年之后，似乎都是為了在這類問題沒有明確答案的情況下做出的讓步。同時，我們也可以看到美國這樣一個在數字經濟中暫時領跑的國家對于兒童和青少年個人信息保護、大型數據持有者行為的特殊關切。雖然《法案》僅僅走到立法程序的第一階段，但未來，美國立法者將會在聯邦層面綜合性隱私保護法中作出怎樣的創新，對所有國家都具有重大意義。

[1] 草案全文，請見：

https://energycommerce.house.gov/sites/democrats.energycommerce.house.gov/files/documents/Bipartisan_Privacy_Discussion_Draft_Bill_Text.pdf；草案摘要，請見：

https://energycommerce.house.gov/sites/democrats.energycommerce.house.gov/files/documents/Bipartisan_Privacy_Discussion_Draft_Section_by_Section.pdf

[2] 聽證會信息，請見：

https://energycommerce.house.gov/newsroom/press-releases/house-and-senate-leaders-release-bipartisan-discussion-draft-of

[3] 請見：《數據保護法案2021》（S.919），

https://www.congress.gov/bill/117th-congress/senate-bill/919/text；另請見《消費者在線隱私權法案》（S.3195），https://www.congress.gov/bill/117th-congress/senate-bill/3195/text

[4] 請見：

https://www.commerce.senate.gov/2021/9/protecting-consumer-privacy

文丨姬祥?信通院互聯網法律研究中心助理研究員

來源丨CAICT互聯網法律研究中心

延展閱讀

跨境數據觀察 | 歐盟GDPR的制度缺陷及其對我國《個人信息保護法》實施的警示

跨境數據合規 | 《網絡數據安全管理條例（征求意見稿）》系列解讀之數據跨境篇

數據安全合規 | 《網絡數據安全管理條例（征求意見稿）》系列解讀之個人信息保護篇

跨境數據合規 | “流動”的數據，“鐵打”的合規：解析《網絡數據安全管理條例（征求意見稿）》

數據合規觀察 | 如何打通個人信息保護與數據市場化利用的矛盾？

數據合規觀察 |《網絡數據安全管理條例（征求意見稿）》發布，數據合規要求進一步明確

數據合規觀察 | 觀千劍而后識器：中美歐個人信息保護制度比較

跨境合規觀察 | 新形勢下中企涉外白領犯罪與合規風險管理方案

數據合規觀察 | 面臨新一輪數據監管浪潮，如何做好個保法、數安法與網安法三法合規聯動

跨境數據合規 | 合規創造價值：新經濟領域（擬）上市企業的若干合規要點分析

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。