美國個(gè)人信息安全保護(hù)的法權(quán)淵源

美國個(gè)人信息保護(hù)制度源自對公民個(gè)人隱私權(quán)的保護(hù)，歷史悠久。不過，迄今為止美國還沒有聯(lián)邦層面的、統(tǒng)一的綜合性個(gè)人信息保護(hù)法。由此造成的現(xiàn)狀是“個(gè)人信息”（Personal Information）定義在美國各個(gè)州及其相關(guān)法規(guī)中并不統(tǒng)一。對此，美國學(xué)者戲稱美國個(gè)人信息法為“變色龍”。

美國隱私權(quán)的法權(quán)淵源如美國憲法規(guī)范，源自1791年憲法第四修正案的表述：“人民的人身、住宅、文件和財(cái)產(chǎn)不受無理搜查和扣押的權(quán)利，不得侵犯?！辈贿^，此時(shí)隱私權(quán)長期處于“睡美人”的法權(quán)狀態(tài)，僅為法學(xué)研究的范疇。自1890年塞繆爾·瓦倫教授在《哈佛法學(xué)評論》發(fā)表了《隱私的權(quán)利》以來，歷經(jīng)威廉·普羅瑟等學(xué)者延伸闡釋，隱私權(quán)就此深刻影響著美國法律人群體思維。根據(jù)普通法傳統(tǒng)，基于墮胎權(quán)爭議的幾次激烈辯論的“格里斯沃爾德訴康涅狄格州案”（Griswold v. Connecticut，1965）和“羅訴韋德案”（Roe v. Wade，1973），聯(lián)邦最高法院最終確定了隱私權(quán)為美國憲法所保障的基本權(quán)利。受此影響，美國國會(huì)先后于1970年制定了《公平信用報(bào)告法》、1974年制定了《隱私權(quán)法》（典型）、1986年制定了《電子通信隱私法》等法律，確認(rèn)和保護(hù)了公民的隱私權(quán)。以此為基礎(chǔ)，美國許多州制定了保護(hù)個(gè)人隱私權(quán)的法律。

美國個(gè)人信息安全保護(hù)的立法框架

美國個(gè)人信息安全保護(hù)的立法，主要包括聯(lián)邦、州兩個(gè)層面，涉及對象包括限制政府機(jī)關(guān)、非政府組織和個(gè)人。聯(lián)邦層面首當(dāng)其沖的是美國聯(lián)邦憲法，這是抵御美國國家機(jī)關(guān)侵害個(gè)人信息安全的“定海神針”，諸如國土安全部等國家機(jī)關(guān)使用個(gè)人信息的行為必須符合憲法的規(guī)定。另外，聯(lián)邦層面相關(guān)法律主要包括一般隱私法和特別隱私法。（1）一般隱私法包括：1970年的《公平信用報(bào)告法》（FCRA，15美國法典US Code 第1681-1681u條）、1974年的《家庭教育權(quán)利和隱私法》（FERPA，20美國法典 第 1232g 條）、1974年的《聯(lián)邦隱私法》（5美國法典第552a條）、1977年的《公平債務(wù)催收實(shí)踐法》（15美國法典 第1692-1692p條）、1986年的《電子通信隱私法案》（18美國法典 第2510-2522、2701-2711、3121、1367條）、1988年的《視頻隱私保護(hù)法》（1988-18美國法典 第2710條）、1994年的《駕駛員隱私保護(hù)法》（18美國法典 第2721條）、1999年的《金融服務(wù)現(xiàn)代化法案》（Gramm-Leach-Bliley，GLB，隱私規(guī)則- 15美國法典 第6801-6809條）等。（2）特別隱私法包括：1996年的《健康保險(xiǎn)流通和責(zé)任法案》（HIPAA，45 CFR第160和164條）、1998年的《聯(lián)邦身份盜竊和假設(shè)威懾法案》（1998-18 美國法典 第1028條）、1984年的《計(jì)算機(jī)欺詐和濫用法案》（1984-18美國法典第1030條）、1988年《計(jì)算機(jī)匹配和隱私保護(hù)法》【5美國法典 第552a （a）（8）-（13）、（e）（12）、（o）、（p）、（q）、（r）， &（u） 條】、1998年的《兒童在線隱私保護(hù)法》（COPPA，15美國法典 第6501條及以下）、2003年的《控制未經(jīng)請求的色情和營銷攻擊法案》（CAN-SPAM，15美國法典 第7701-7713條）。（3）其他涵蓋個(gè)人信息-隱私保護(hù)的法律，主要是指1966年的《信息自由法》、1970年的《公平信用報(bào)告法》、2012年的《聯(lián)邦信息安全管理法案》（FISMA）等。值得一提的是，美國聯(lián)邦貿(mào)易委員會(huì)等2010年發(fā)布的《個(gè)人身份信息指南》（PII）對個(gè)人信息的定義采取了開放式例舉模式，強(qiáng)調(diào)“任何可以識別個(gè)人或提供識別個(gè)人線索的信息”，這成為當(dāng)前美國法律實(shí)務(wù)界的重要參考性概念。

州層面?zhèn)€人信息安全保護(hù)的立法，總體上與聯(lián)邦層面保持一致，只不過內(nèi)容更加豐富，并且不同的州的具體規(guī)定也有些差異。加利福尼亞州的個(gè)人信息安全保護(hù)的立法有口皆碑。2018年的《加州消費(fèi)者隱私法》（CCPA）和2020年加州再次通過的《加州隱私權(quán)法》（CPRA）構(gòu)建了加州隱私保護(hù)的法律制度框架，并成為美國目前最具有典型意義的州隱私立法。加州隱私法也區(qū)分為一般隱私法和特別隱私法，并且法權(quán)淵源主要是來自加州民法典，極少數(shù)如身份盜竊類的淵源來自加州刑法典。另外，弗吉尼亞州議會(huì)于2021年3月通過了《消費(fèi)者數(shù)據(jù)保護(hù)法》（CDPA），與該州的民法典和刑法典等合圍，弗州由此成為美國第二個(gè)擁有全面隱私法的州。不過，該法2023年1月1日才正式生效。

美國個(gè)人信息安全保護(hù)的執(zhí)法概況

美國侵害個(gè)人信息安全的形勢不容樂觀。以身份盜竊為例，當(dāng)前美國身份盜竊受害者甚多。身份竊賊以受害者的名義做了很多事情，如開設(shè)新的信用賬戶、獲取汽車貸款、享受醫(yī)療服務(wù)（并進(jìn)行保險(xiǎn)索賠），甚至犯罪并產(chǎn)生犯罪記錄。據(jù)加州司法廳網(wǎng)站提供的信息顯示，2014年美國成人的4%即1270萬成為身份盜竊受害者（包括加州的150萬人），平均每2.5秒就有一名受害者。與此同時(shí)，因身份盜用造成的損失也非常大，2014年，受害的個(gè)人和企業(yè)直接損失就達(dá)到1600萬美元。美國個(gè)人信息安全保護(hù)機(jī)制，主要有兩種方式，一是聯(lián)邦和州縣層面的執(zhí)法機(jī)構(gòu)利用行政或刑事權(quán)力加以規(guī)制;二是通過民事訴訟保護(hù)自身權(quán)益。不過，與美國沒有統(tǒng)一的個(gè)人信息保護(hù)法相對應(yīng)，其執(zhí)法機(jī)構(gòu)也不統(tǒng)一，主要的執(zhí)法機(jī)構(gòu)包括美國聯(lián)邦貿(mào)易委員會(huì)（FTC）、聯(lián)邦通信委員會(huì)、證券交易委員會(huì)、消費(fèi)者金融保護(hù)局、衛(wèi)生與公共服務(wù)部、教育部以及司法系統(tǒng)等。

案例一：“藍(lán)色泄露”（Blue Leaks）暴露數(shù)百個(gè)警察部門的文件

2020年6月，一個(gè)名為“分散式拒絕秘密”（Distributed Denial of Secrets）的組織在網(wǎng)絡(luò)上公開了美國200多個(gè)警察部門的數(shù)十萬份執(zhí)法機(jī)密數(shù)據(jù)。這些被泄露的數(shù)據(jù)被稱為“藍(lán)色泄露”。這是由黑客從美國聯(lián)邦調(diào)查局（FBI）、國家融合中心協(xié)會(huì)（NFCA）及其他執(zhí)法培訓(xùn)機(jī)構(gòu)等的網(wǎng)站竊取后以索引的方式公開發(fā)布的。事后NFCA發(fā)布警報(bào)指出，這些數(shù)據(jù)容量達(dá)269GB，時(shí)長跨度達(dá)24年（從1996年8月到2020年6月19日），其數(shù)據(jù)轉(zhuǎn)儲(chǔ)包含電子郵件和相關(guān)附件，內(nèi)容包括姓名、電子郵件地址、電話號碼、PDF 文檔、圖像和大量文本、視頻、CSV 和 ZIP 文件。據(jù)NFCA的分析顯示，其中一些文件確實(shí)包含高度敏感的信息，如一些警力資源分布或臥底警察名單等機(jī)密信息。為此，各種犯罪勢力將利用這些暴露的數(shù)據(jù)，進(jìn)行針對NFCA和相關(guān)執(zhí)法機(jī)構(gòu)及其執(zhí)法人員的各種網(wǎng)絡(luò)攻擊和違法犯罪活動(dòng)。另外，由于發(fā)布這些數(shù)據(jù)的日期是6月19日，該日也稱為“Juneteenth”（六月節(jié)），這是美國歷史最悠久的結(jié)束奴隸制的全國性紀(jì)念活動(dòng)。2020年5月因?yàn)閱讨巍じヂ逡恋卤幻髂岚⒉ɡ咕旃驓⒑笠鹆酸槍毂┬械膹V泛抗議，導(dǎo)致該年這一紀(jì)念日引起了公眾的高度關(guān)注，并由此擔(dān)憂執(zhí)法警察個(gè)人的安全以及這些警察家人的安全。EAA4A85F-DB63-4DE5-8A1C-E58D72807926

案例二：生育應(yīng)用程序暴露女性個(gè)人和醫(yī)療信息的風(fēng)險(xiǎn)

加利福尼亞州輝光公司（Glow， Inc.）是一家運(yùn)營生育追蹤移動(dòng)應(yīng)用程序的技術(shù)公司，主營業(yè)務(wù)是運(yùn)營存儲(chǔ)女性生育等個(gè)人敏感信息和醫(yī)療信息。據(jù)加利福尼亞州司法廳警員的多次調(diào)查，該公司應(yīng)用程序存在一系列嚴(yán)重隱私和基本安全問題，如未能充分保護(hù)女性的健康信息，未經(jīng)用戶同意就允許訪問女性私密信息，并且該應(yīng)用程序的密碼更改功能存在其他安全問題，第三方可能會(huì)在未經(jīng)用戶同意的情況下重置用戶賬戶密碼并訪問這些賬戶中的信息。這些問題使女性高度敏感的個(gè)人和醫(yī)療信息處于危險(xiǎn)之中。對此，加州總檢察長澤維爾·貝塞拉代表加州對輝光公司提出了訴訟，最后雙方和解。和解協(xié)議包括輝光公司繳納25萬美元的民事罰款，并遵守州消費(fèi)者保護(hù)和隱私法的禁令條款，防范隱私安全漏洞，確保女性私密信息不被泄露。事后貝塞拉稱：“輝光公司收集敏感醫(yī)療信息，它應(yīng)該知道，它必須確保顧客的隱私和安全。今天的和解也為每一個(gè)處理敏感私人數(shù)據(jù)的應(yīng)用程序制造商敲響了警鐘?！?/p>

案例三：谷歌因YouTube違反兒童隱私法受到處罰

多年來，隱私維權(quán)組織一直抱怨谷歌旗下的YouTube在其平臺(tái)上不恰當(dāng)?shù)蒯槍和斗艔V告，谷歌由此以定向廣告推送的形式從這些信息中獲利。他們認(rèn)為YouTube在未經(jīng)父母同意的情況下非法收集兒童的個(gè)人信息，違反了《兒童在線隱私保護(hù)法》。總部位于華盛頓特區(qū)的美國聯(lián)邦貿(mào)易委員會(huì)接到投訴后，聯(lián)合紐約總檢察長辦公室對此展開調(diào)查。聯(lián)邦貿(mào)易專員麗貝卡·斯勞特（Rebecca Slaughter）指出，YouTube“使用童謠、卡通和其他內(nèi)容來誘騙兒童，在頻道上出現(xiàn)誘導(dǎo)兒童的內(nèi)容”。紐約總檢察長萊蒂蒂亞·詹姆斯（Letitia James）在一份聲明中說：“谷歌和YouTube故意和非法地監(jiān)控、跟蹤和向幼兒投放有針對性的廣告，只是為了保持廣告收入……這些公司將兒童置于危險(xiǎn)之中并濫用他們的權(quán)力?！?019年9月4日，聯(lián)邦貿(mào)易委員會(huì)在華盛頓特區(qū)召開新聞發(fā)布會(huì)，通報(bào)谷歌旗下YouTube視頻共享服務(wù)中非法收集來自未經(jīng)父母同意的兒童隱私違法情況。通報(bào)稿顯示，谷歌對此已同意支付1.7億美元罰款，這成為有史以來涉及《兒童在線隱私保護(hù)法》違法的最嚴(yán)厲處罰。

案例四：個(gè)人信息被盜用作情感欺詐犯罪

情感欺詐（Romance Scams）犯罪是指詐騙者以戀愛的名義在約會(huì)網(wǎng)站和應(yīng)用程序上創(chuàng)建虛假個(gè)人資料，或通過流行社交媒體網(wǎng)站聯(lián)系被害人，一天會(huì)交談或聊天數(shù)次，在取得信任后，他們編造一個(gè)故事并榨取錢財(cái)。聯(lián)邦貿(mào)易委員會(huì)網(wǎng)站信息顯示，當(dāng)前，數(shù)以百萬計(jì)的人轉(zhuǎn)向在線約會(huì)應(yīng)用程序或社交網(wǎng)站來認(rèn)識某人，但是，許多人沒有找到浪漫，而是發(fā)現(xiàn)騙子試圖誘騙他們匯款。情感欺詐犯罪主要由聯(lián)邦調(diào)查局刑事案件處理部門偵辦金融欺詐案的特工負(fù)責(zé)。據(jù)負(fù)責(zé)偵辦浪漫詐騙的聯(lián)邦調(diào)查局休斯頓分局特工貝寧等介紹，情感騙子通常使用從網(wǎng)絡(luò)上竊取的有吸引力的照片，創(chuàng)建自己虛假的在線個(gè)人資料，通過包裝，吸引潛在的受害者，然后聯(lián)系受害者，在網(wǎng)上分享信息，并假裝有共同的興趣以套取感情，同時(shí)他們又經(jīng)常找一些合理的借口避免見面，例如許多詐騙分子聲稱自己在海外軍隊(duì)服役或在海上石油鉆井平臺(tái)工作。據(jù)聯(lián)邦貿(mào)易委員會(huì)統(tǒng)計(jì)，截至2021年的前五年中，人們因情感詐騙損失了13億美元。

美國個(gè)人信息安全保護(hù)的新挑戰(zhàn)

隨著互聯(lián)網(wǎng)時(shí)代向縱深發(fā)展，美國民眾認(rèn)為個(gè)人信息安全受互聯(lián)網(wǎng)的威脅越來越大。2021年9月由美聯(lián)社等展開的一項(xiàng)民調(diào)顯示，約64%的美國人認(rèn)為他們的社交媒體活動(dòng)和物理位置信息在網(wǎng)上得不到保護(hù)，50%的美國人認(rèn)為他們的網(wǎng)絡(luò)私人對話信息缺乏安全性。調(diào)查顯示， 77%的人不滿意聯(lián)邦政府處理隱私和個(gè)人數(shù)據(jù)方面的努力。對此，約71%的美國人認(rèn)為，個(gè)人數(shù)據(jù)隱私應(yīng)被視為國家安全問題加以重視。另外，根據(jù)加利福尼亞司法廳發(fā)布的《加州數(shù)據(jù)泄露報(bào)告（2016）》，2012-2015年，司法部長收到了657起數(shù)據(jù)泄露事件的報(bào)告，總共影響了超過4900萬條加州人的記錄，即近3/5的加州人處于危險(xiǎn)之中。當(dāng)前，美國個(gè)人信息安全面臨的新挑戰(zhàn)主要是“定向廣告”（Behavior Advertising）、“數(shù)據(jù)經(jīng)濟(jì)”（Data Broker）、“人臉識別”（Facial Recognition）。這其中，人臉識別技術(shù)受到美國警方的青睞。佛羅里達(dá)州自2000年以來就使用和普及人臉識別技術(shù)并使之成為日常治安維持的一部分。近年來，人臉識別技術(shù)在美國發(fā)展迅猛并功能強(qiáng)大，如亞馬遜在2016年推出了人臉識別軟件Rekognition，谷歌、IBM、微軟等企業(yè)也都推出了自己的人臉識別應(yīng)用產(chǎn)品。這些產(chǎn)品被美國警察等執(zhí)法部門廣泛用來維持社會(huì)治安和打擊犯罪。佛羅里達(dá)州警察甚至稱，他們一個(gè)月要查詢這個(gè)系統(tǒng)4600次。不過，人臉識別技術(shù)在美國引起了巨大爭議，民眾認(rèn)為它違背了美國憲法第四修正案，會(huì)引發(fā)隱私權(quán)侵害、種族歧視、民主程序違法等問題。面對巨大的輿論壓力，2020年6月亞馬遜宣布為期一年暫時(shí)禁止美國警方使用自己的人臉識別技術(shù)Rekognition。隨后，美國眾議院議員提出了一項(xiàng)警察改革法案，該法案將禁止聯(lián)邦執(zhí)法部門使用實(shí)時(shí)面部識別。目前，美國很多州通過立法，限制甚至是禁止警察等執(zhí)法部門使用人臉識別技術(shù)。2020年2月美國參議員在參議院提出了《道德使用人臉識別法案》，將在聯(lián)邦層面推進(jìn)全美人臉識別技術(shù)的規(guī)范使用。這些法案無疑將極大推進(jìn)和完善美國的個(gè)人信息安全保護(hù)體系?！?/p>

（本文為北京警察學(xué)院國別與區(qū)域警務(wù)研究中心重點(diǎn)課題“美國聯(lián)邦警察法研究”（2021KWTXJ01）的階段性成果。）

【作者簡介】黃悅波，博士，法學(xué)副教授，北京市公安交通管理局民警，首都法律法學(xué)人才庫專家、教育部國別研究備案中心“湘潭大學(xué)南亞研究中心”研究員。歷任北京警察學(xué)院“國別與區(qū)域警務(wù)研究中心”主任、公安部國際合作局“國別和區(qū)域研究專家”。研究方向?yàn)樾姓?、國別警務(wù)、希伯來法。出版專著編著6部，發(fā)表論文50余篇。

（責(zé)任編輯：古靜）EAA4A85F-DB63-4DE5-8A1C-E58D72807926