摘要：美國各界一致呼吁制定統(tǒng)一的聯(lián)邦數(shù)據(jù)隱私立法，然而至今尚無任何提案能夠成功轉(zhuǎn)化為法律。《美國隱私權(quán)法》作為美國最新的立法提案，體現(xiàn)了美國聯(lián)邦數(shù)據(jù)隱私規(guī)制方案的最新動向，其以擴大消費者個人權(quán)利、限制科技巨頭數(shù)字權(quán)力為手段，旨在強化國家安全，促進數(shù)字經(jīng)濟合理有序發(fā)展。然而基于聯(lián)邦和州分層規(guī)制和市場自我規(guī)制的傳統(tǒng)，聯(lián)邦數(shù)據(jù)隱私立法面臨中央和地方立法沖突、政治利益集團的博弈，以及數(shù)據(jù)監(jiān)管目標(biāo)悖論的立法困境。聯(lián)邦數(shù)據(jù)隱私立法的出臺，一方面將可能形成新的全球隱私標(biāo)準(zhǔn)，樹立不同于《通用數(shù)據(jù)保護條例》的商業(yè)典范；另一方面，它也可能成為新的全球數(shù)字貿(mào)易壁壘和美式制裁工具。

關(guān)鍵詞：美國隱私權(quán)法；美國聯(lián)邦立法；數(shù)據(jù)隱私；數(shù)據(jù)保護；規(guī)制策略

一、引言

美國的數(shù)據(jù)隱私保護與歐盟明顯不同，歐盟擁有全面的數(shù)據(jù)隱私法——《通用數(shù)據(jù)保護條例》。與歐洲完善的數(shù)據(jù)保護法相比，美國目前尚未在聯(lián)邦層面出臺統(tǒng)一的保護公民數(shù)據(jù)隱私的法律。正因如此，美國聯(lián)邦數(shù)據(jù)隱私立法一直被呼吁制定。然而很多提案在被提出后都很快因為黨派政治而被否決。2022年6月，美國國會眾議院能源和商業(yè)委員會消費者保護和商業(yè)小組委員會正式就《美國數(shù)據(jù)隱私保護法》（American Data Privacy and Protection Act，簡稱ADPPA）草案召開聽證會，將美國聯(lián)邦層面的隱私保障納入立法日程。然而由于聯(lián)邦和地方立法優(yōu)先事項的沖突以及兩黨意見分歧、政治利益集團博弈等原因，這一草案后續(xù)失去動向。2024年4月華盛頓州參議員Maria Cantwell和眾議員Cathy McMorris Rodgers在ADPPA基礎(chǔ)上提出了新的《美國隱私權(quán)法》（American Privacy Rights Act，簡稱APRA）草案，再一次希望打破美國現(xiàn)行立法分散的現(xiàn)狀，彌合各州數(shù)據(jù)保護立法分歧，統(tǒng)一美國聯(lián)邦數(shù)據(jù)隱私立法。APRA代表了美國重塑數(shù)據(jù)隱私保護制度的重大嘗試，提出了一個平衡消費者權(quán)利與技術(shù)行業(yè)創(chuàng)新利益的復(fù)雜模式。聯(lián)邦數(shù)據(jù)隱私立法的進展和頒布將成為國內(nèi)和國際利益攸關(guān)方的焦點，不僅影響國內(nèi)數(shù)字經(jīng)濟的規(guī)制方向、中央和地方的權(quán)力制衡、政府與數(shù)字巨頭的政企關(guān)系，還可能關(guān)涉國際數(shù)字貿(mào)易體系的發(fā)展、全球隱私規(guī)范的標(biāo)準(zhǔn)，甚至涉及全球地緣政治的動向。因此，本文將在梳理美國數(shù)據(jù)隱私法律政策的基礎(chǔ)上，以最新的APRA為例分析美國聯(lián)邦數(shù)據(jù)隱私立法背后的規(guī)制理念、規(guī)制挑戰(zhàn)和可能產(chǎn)生的一系列影響。通過分析美國數(shù)據(jù)隱私立法的規(guī)制模式以及規(guī)制動態(tài)，本文嘗試進一步探究美國聯(lián)邦數(shù)據(jù)隱私立法的深層原因與本質(zhì)，及其背后隱匿的政治風(fēng)險和技術(shù)困境，以預(yù)測未來美國聯(lián)邦數(shù)據(jù)隱私立法產(chǎn)生的廣泛影響，為我國政府和企業(yè)提供有益借鑒。

二、美國數(shù)據(jù)隱私的規(guī)制模式

美國法律體系下，數(shù)據(jù)保護與隱私保護息息相關(guān)。通過既有的司法實踐、聯(lián)邦和各州分層立法、以市場為導(dǎo)向鼓勵企業(yè)自我監(jiān)管的規(guī)制傳統(tǒng)，美國借助隱私權(quán)概念構(gòu)建了具有特色的數(shù)據(jù)隱私規(guī)制模式。

（一）數(shù)據(jù)隱私一元規(guī)制

美國法律制度中規(guī)定的隱私權(quán)分為普通法隱私權(quán)和憲法隱私權(quán)。早期的普通法基本沒有涉及個人隱私權(quán)。在美國學(xué)者沃倫和布蘭代斯提出保護個人“不受干擾的權(quán)利”后，隱私權(quán)保護逐漸被納入各州法律。各州隱私侵權(quán)可以分為四種類型：“對個人獨處或私人事務(wù)的入侵、向公眾揭露使個人難堪的私人事實、將個人置于不正常的公眾理解之下、為個人利益未經(jīng)他人同意使用其姓名或其他類似事物?！痹趹椃ㄉ?，美國聯(lián)邦憲法沒有明確提到隱私權(quán)，只是司法實踐中聯(lián)邦最高法院在涉及《美國聯(lián)邦憲法第一修正案》《美國聯(lián)邦憲法第四修正案》《美國聯(lián)邦憲法第十四修正案》等憲法性文件時有所承認(rèn)，涉及隱私和自由的關(guān)系問題。《第一修正案》的隱私權(quán)指的是個人的思想自由和休息自由不受其他人的言論自由侵?jǐn)_。《第四修正案》的隱私權(quán)指的是個人合理的獨處領(lǐng)域不受政府搜查和扣押行為侵?jǐn)_?！兜谑男拚浮穭t涉及決定隱私權(quán)，創(chuàng)造出關(guān)于“選擇自由”的隱私。相較于歐盟基于人格尊嚴(yán)的隱私保護，美國的隱私內(nèi)涵側(cè)重于自由意志。1977年“沃倫訴羅伊案”聯(lián)邦最高法院首次確認(rèn)了信息隱私權(quán)，將其界定為個人享有控制個人信息披露的權(quán)利，有權(quán)避免披露其個人事項。隨著美國工業(yè)化和城市化的發(fā)展，不同類型的隱私權(quán)，逐步得到廣泛認(rèn)可。

隨著數(shù)字技術(shù)的發(fā)展，美國個人信息和數(shù)據(jù)保護的立法和司法實踐開始圍繞隱私權(quán)展開。然而，美國缺少關(guān)于隱私的有效連貫概念。雖然司法部門不斷擴張隱私權(quán)保護方式以應(yīng)對新型數(shù)字技術(shù)對個人信息的侵蝕，學(xué)界也不斷細(xì)化信息隱私的概念，但是隱私概念仍然模糊不清。學(xué)界或是認(rèn)為隱私可以通過其他概念和權(quán)利來界定，并不能構(gòu)成單一概念；或是認(rèn)為隱私不僅是個體概念還是集體概念，再或是認(rèn)為隱私概念具有多元性，應(yīng)當(dāng)圍繞個人事務(wù)免受特定行為的干擾這一核心構(gòu)建具有操作性和場景性的隱私概念。學(xué)者索洛夫?qū)㈦[私侵害分為四類：信息收集、信息處理、信息傳播和侵入。這一分類得到廣泛關(guān)注和認(rèn)同。為了遏制隱私概念在信息時代的擴張，貝林提出純粹隱私理論，區(qū)分了自由和隱私、隱私權(quán)與隱私、擴大個人信息范圍、并豐富披露層次，以控制和限縮隱私的范圍。然而，在數(shù)字社會，法律實踐中的隱私不再只是個人不受侵?jǐn)_，還涉及數(shù)據(jù)處理過程中的安全、控制和透明度，即個人需要知道自己的何種數(shù)據(jù)正在被收集、如何被使用、是否安全。而這些數(shù)據(jù)保護問題已超出隱私權(quán)保護的傳統(tǒng)司法實踐和隱私理論的涵蓋范疇。

（二）聯(lián)邦和州分層規(guī)制

在計算機開始普及的20世紀(jì)70年代，美國為處理個人信息保護中的個人隱私，將隱私標(biāo)準(zhǔn)與消費者權(quán)利等保護措施相結(jié)合，形成相對完整的“公平信息實踐”框架，以此主導(dǎo)信息隱私保護實踐。數(shù)據(jù)隱私則常常與數(shù)據(jù)安全一起被納入數(shù)據(jù)保護法律框架中。數(shù)據(jù)隱私涉及個人信息的收集、使用和傳播，仍然要被放置在信息隱私權(quán)框架下理解。由于對數(shù)據(jù)保護立法、聯(lián)邦法優(yōu)先事項，個人訴權(quán)等問題無法達成共識，聯(lián)邦層面的綜合性數(shù)據(jù)保護法案遲遲無法推出。隨著國內(nèi)Equifax、Uber、劍橋分析等數(shù)據(jù)泄露和數(shù)據(jù)濫用事件頻頻出現(xiàn)，歐盟GDPR帶動的全球數(shù)據(jù)保護大潮興起，美國也開始重新審視數(shù)據(jù)保護立法。各州數(shù)據(jù)隱私立法相繼制定，聯(lián)邦數(shù)據(jù)隱私立法提案不斷被提出?？萍季揞^、行業(yè)協(xié)會等其他社會力量也在推動數(shù)據(jù)隱私立法進程。

當(dāng)前美國數(shù)據(jù)保護法律體系的構(gòu)成包括聯(lián)邦成文法和各州單行立法。美國各州率先在數(shù)據(jù)隱私立法上走在前沿。自2018年以來，美國州層面的個人數(shù)據(jù)相關(guān)立法明顯呈增長趨勢。其中，最有名的當(dāng)屬2018年《加利福尼亞消費者隱私法》（CCPA）及其延伸的2020年《加利福尼亞隱私權(quán)法》（CPRA）。加利福尼亞州在2018年6月通過的CCPA是美國第一部州級數(shù)據(jù)隱私法，創(chuàng)設(shè)了美國歷史上最嚴(yán)格和全面的數(shù)據(jù)隱私保護制度，是個人數(shù)據(jù)保護的先鋒。由于加利福尼亞州互聯(lián)網(wǎng)公司眾多，經(jīng)濟體量巨大，該法影響力遠超州領(lǐng)域，形成“加州效應(yīng)”，有助于推動美國數(shù)據(jù)隱私保護的升級。然而制定隱私法保護公民數(shù)據(jù)隱私的州仍然是少數(shù)，在近年大批的法律提案出臺后，未來全面生效的將有13個州法，形成了以更有創(chuàng)新性的CCPA和以未生效的《華盛頓隱私法》為基礎(chǔ)的兩種立法模式。由于許多公司收集的數(shù)據(jù)在大多數(shù)州不受監(jiān)管，因此這些公司可以在未通知用戶的情況下使用、出售或共享用戶的數(shù)據(jù)。同時，這些州法律在某些領(lǐng)域譬如定義、消費者同意、數(shù)據(jù)安全要求和豁免等方面存在很大差異，為跨州運營的企業(yè)監(jiān)管增加了復(fù)雜性。

在聯(lián)邦層面，自20世紀(jì)70年代以來，美國國會利用部門法規(guī)制政府部門或私營部門收集和利用個人信息的行為，涉及消費者信息、電子通信、銀行記錄、健康信息、兒童信息等。在立法領(lǐng)域，主要由聯(lián)邦貿(mào)易委員會根據(jù)《聯(lián)邦貿(mào)易委員會法》第5（a）條“禁止不公平和欺詐行為或做法”授予的權(quán)力要求公司執(zhí)行其隱私政策。美國有一部較早的1974年《隱私權(quán)法》，對聯(lián)邦政府各機構(gòu)存儲的數(shù)據(jù)和隱私進行了保護性規(guī)定，但是這部法律沒有延伸到對大型科技公司和數(shù)字企業(yè)的監(jiān)管。當(dāng)前美國沒有一般性的聯(lián)邦數(shù)據(jù)隱私保護法，但在金融、保險、消費者信用、兒童隱私等特別領(lǐng)域通過單獨立法形式進行監(jiān)管，例如《金融隱私權(quán)法》（The Right to Financial Privacy Act）、《公平信用報告法》（Fair Credit Reporting Act， FACRA）、《電子通信隱私法》（Electronic Communications Privacy Act，ECPA）、《健康保險流通與責(zé)任法》（The Health Insurance Portability and Accountability Act， HIPAA）、《兒童在線隱私保護法》（The Children's Online Privacy Protection Act， COPPA）等。隨著各州隱私法案的提出和通過，是否應(yīng)當(dāng)在聯(lián)邦層面建立全面的數(shù)據(jù)隱私法、建立的具體規(guī)則應(yīng)當(dāng)如何設(shè)計等問題成為聯(lián)邦立法的爭議焦點。在各州立法推動、企業(yè)、民間組織的呼吁下美國聯(lián)邦層面開始采取行動，兩黨兩院先后提出《社交媒體隱私和消費者權(quán)利法案（2019）》《數(shù)字問責(zé)制和透明度以提升隱私保護法案》《應(yīng)用程序隱私、保護和安全法案》等多項提案。雖然GDPR對各項提案有所影響，但提案在如何借鑒方面也存在諸多差異，在數(shù)據(jù)隱私保護力度、保護方式等都存在較大分歧。

（三）鼓勵企業(yè)自我規(guī)制

總體上美國數(shù)據(jù)隱私保護以市場經(jīng)濟為導(dǎo)向，為了確保經(jīng)濟優(yōu)先發(fā)展，強調(diào)防范政府對個人數(shù)據(jù)隱私的侵犯。因此美國采取公私分立立法模式，分別劃分為公共領(lǐng)域和私人領(lǐng)域數(shù)據(jù)隱私秩序，涉及政治、經(jīng)濟、社會的各個方面。

在公共領(lǐng)域，1973年，聯(lián)邦健康、教育與福利部發(fā)布了公平信息實踐規(guī)則，建議所有具備電子數(shù)據(jù)系統(tǒng)的機構(gòu)遵循這一規(guī)則。1974年《隱私權(quán)法》借鑒了公平信息實踐規(guī)則的大部分規(guī)范，然而由于私人公司的立法游說，法案排除了私人主體，僅規(guī)制公權(quán)力機關(guān)，開創(chuàng)公私分立立法模式先河?！峨[私權(quán)法》對政府機構(gòu)采集、使用個人數(shù)據(jù)以及公開和保密問題作出詳細(xì)規(guī)定。《電子郵件隱私法》（EPA）也提高了執(zhí)法機關(guān)獲取個人電子通信數(shù)據(jù)的標(biāo)準(zhǔn)。從具體規(guī)則來看，政府與私人主體在數(shù)據(jù)收集、使用、存儲等方面存在較大差異，分開規(guī)制可以更好回應(yīng)實踐需求。

在私人領(lǐng)域，聯(lián)邦政府通過一系列單行法律和公平信息實踐（Fair Information Practices，F(xiàn)IPs），對兒童隱私、金融信息、健康信息、生物信息等進行規(guī)制，并鼓勵行業(yè)自律組織和私營企業(yè)進行自我規(guī)制，作為立法之外的補充。在美國法中，數(shù)據(jù)隱私保護延續(xù)傳統(tǒng)隱私保護目標(biāo)，強調(diào)個人免受政府侵害。為防止政府對個人數(shù)據(jù)隱私的侵害以及對互聯(lián)網(wǎng)市場的嚴(yán)格監(jiān)管造成的數(shù)字技術(shù)發(fā)展壁壘，美國法律鼓勵數(shù)據(jù)隱私保護措施由私人主體在市場自發(fā)的市場競爭機制作用下自行采用。

美國當(dāng)下的行業(yè)自律形式主要有三類：建議性的行業(yè)指引、網(wǎng)絡(luò)隱私認(rèn)證、技術(shù)保護模式。除了自我監(jiān)管，政府和企業(yè)的合作監(jiān)管也很常見。2018年9月，特朗普政府正式宣布建立美國消費者隱私標(biāo)準(zhǔn)計劃。根據(jù)該計劃，國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）和國家電信和信息管理局（NTIA）正與公共和私營部門合作，制定自愿隱私框架。

總體而言，以私域數(shù)據(jù)為主的美國數(shù)據(jù)隱私保護重點防范的是公權(quán)力的侵害，強調(diào)私主體自我規(guī)制。這與美國以市場為導(dǎo)向的數(shù)據(jù)法律政策相符合。雖然在消費者隱私等私主體保護領(lǐng)域，數(shù)據(jù)隱私法重點是防止用戶受到企業(yè)的不當(dāng)數(shù)據(jù)處理行為侵害，但是與歐盟GDPR相比，美國數(shù)據(jù)隱私保護力度并非強而有力，并未對科技企業(yè)做出一系列限制。這源于美國有大量互聯(lián)網(wǎng)巨頭企業(yè)，過度的數(shù)據(jù)隱私保護可能影響互聯(lián)網(wǎng)企業(yè)的國際競爭力，進而影響國家的地緣政治競爭。為擴大互聯(lián)網(wǎng)企業(yè)的國際市場份額，美國數(shù)據(jù)法律政策一直強調(diào)以市場為導(dǎo)向，采用自由主義規(guī)制模式，注重經(jīng)濟效率和數(shù)據(jù)自由流動。在美國整個數(shù)據(jù)保護法律體系中，數(shù)據(jù)隱私保護與數(shù)據(jù)跨境自由流動目標(biāo)并不矛盾。為解決數(shù)據(jù)隱私規(guī)制沖突，美國在一系列區(qū)域貿(mào)易協(xié)定中不斷植入數(shù)據(jù)跨境自由流動規(guī)則。從2012年《美—韓自由貿(mào)易協(xié)定》、2014年《跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）、2018年《美墨加協(xié)定》（USMCA）等，美國要求締約方應(yīng)當(dāng)允許數(shù)據(jù)跨境流動，原則上禁止數(shù)據(jù)本地化措施。

三、聯(lián)邦數(shù)據(jù)隱私立法的規(guī)制理念

基于國家安全和數(shù)字經(jīng)濟發(fā)展的考慮，美國近年提出ADPPA、APRA等聯(lián)邦數(shù)據(jù)隱私保護法案，以解決各州數(shù)據(jù)隱私保護不一致的問題，打破碎片化的數(shù)據(jù)隱私立法模式。為避免聯(lián)邦立法與州立法的沖突，聯(lián)邦法案以各州制定的相關(guān)數(shù)據(jù)隱私保護法為基準(zhǔn)，強化消費者權(quán)利的同時加大大型科技公司的責(zé)任和義務(wù)。

（一）強化消費者數(shù)字權(quán)利

網(wǎng)絡(luò)普及以來，美國聯(lián)邦層面的數(shù)據(jù)隱私保護制度一直沒有出臺，而各州立法的保護水平參差不齊，存在重大監(jiān)管漏洞。數(shù)字平臺可以出于任何目的進行數(shù)據(jù)收集、存儲和傳輸活動。如今，隱私侵犯已經(jīng)對公民權(quán)利構(gòu)成重要風(fēng)險。

與歐盟以個人權(quán)利為導(dǎo)向的數(shù)據(jù)保護模式相比，美國數(shù)據(jù)隱私保護雖然也注重個人權(quán)利，但“市場”色彩更重，是從消費者權(quán)利出發(fā)保護公民數(shù)據(jù)隱私，整體數(shù)字規(guī)則是以市場為導(dǎo)向。歐盟GDPR構(gòu)建了選擇同意機制，要求個人數(shù)據(jù)處理活動除法定事由外必須事先獲得個人同意，以個人同意為原則，不需同意為例外，即“原則禁止，例外允許”。美國消費者保護模式則是選擇退出機制，僅規(guī)定特定數(shù)據(jù)處理活動需要取得個人同意，一般情況下企業(yè)可未經(jīng)同意處理個人數(shù)據(jù)，以不需同意為原則，獲得同意為例外，即“原則允許，例外禁止”。消費者可以“選擇退出”，即選擇退出企業(yè)的數(shù)據(jù)處理和數(shù)據(jù)使用活動。這一模式在美國州隱私立法和隱私保護實踐中普遍被采用。與“選擇同意”模式相比，“選擇退出”更有利于企業(yè)對個人數(shù)據(jù)的利用，實現(xiàn)數(shù)據(jù)的商業(yè)價值。APRA中這一機制得到加強，包括選擇退出定向廣告、算法決策和受保護的數(shù)據(jù)傳輸?shù)?。對于使用算法決策的數(shù)字企業(yè)，APRA要求企業(yè)向個人提供清晰的通知，提供有關(guān)算法如何做出后續(xù)決策（即影響個人住房、就業(yè)、教育入學(xué)、醫(yī)療保健、保險或信貸機會的決策）等有價值的信息。

APRA還借鑒了ADPPA的個人保護條款，擴大消費者對數(shù)據(jù)的控制權(quán)，增加了消費者數(shù)據(jù)權(quán)利保護范圍，進一步賦予個人控制信息去向的權(quán)利，要求個人有權(quán)訪問、更正、刪除和移植受監(jiān)管實體持有的個人受保護數(shù)據(jù)。企業(yè)的數(shù)據(jù)存儲須具有靈活性和敏捷性，以便及時刪除、更正，或提供可移植數(shù)據(jù)。例如，如果個人請求獲取其收集的所有受保護數(shù)據(jù)的副本，則可以以可訪問的方式導(dǎo)出受保護數(shù)據(jù)，以便與個人共享。即使這些數(shù)據(jù)將與競爭對手共享或公開，這些權(quán)利也適用。此外，APRA也借鑒ADPPA創(chuàng)設(shè)了私人訴權(quán)，允許個人對某些違法行為提起訴訟，例如未經(jīng)其同意披露或使用其敏感、生物特征或遺傳信息；侵犯其個人權(quán)利；以及數(shù)據(jù)安全違規(guī)導(dǎo)致其受保護數(shù)據(jù)被泄露。在此類訴訟中，法院可以判給受害人實際損害賠償金、禁令救濟、訴訟費用和律師費。針對未成年人保護，APRA將“適用未成年”年齡設(shè)定為17歲以下，這一規(guī)定較當(dāng)前美國大多數(shù)企業(yè)對13歲以下兒童隱私合規(guī)的關(guān)注要更為嚴(yán)格。

（二）限制科技公司數(shù)字權(quán)力

聯(lián)邦數(shù)據(jù)隱私立法關(guān)注的另一個重點就是對大型科技公司的規(guī)制。企業(yè)自我監(jiān)管如若沒有外界監(jiān)督，容易成為逃避政府監(jiān)管的手段，難以達到有效的數(shù)據(jù)隱私保護目標(biāo)。2024年9月，美國聯(lián)邦貿(mào)易委員會（FTC）發(fā)布報告《屏幕背后的真相》（A Look behind the Screens）再一次審視了美國社交媒體和流媒體平臺的數(shù)據(jù)收集實踐，發(fā)現(xiàn)被調(diào)查企業(yè)存在大量侵犯個人數(shù)據(jù)隱私的行為，首要建議便是加快美國聯(lián)邦隱私立法，重申全面立法的重要性。

為約束大型科技公司，ADPPA草案在第一章就規(guī)定了企業(yè)的忠誠義務(wù)（duty of loyalty），要求企業(yè)在提供、維持特定產(chǎn)品或服務(wù)的過程中遵守合理必要性、適當(dāng)性原則進行數(shù)據(jù)收集、處理和傳輸活動。ADPPA忠誠義務(wù)包括了數(shù)據(jù)最小化、隱私設(shè)計、敏感個人信息處理限制、價格忠誠等內(nèi)容，將這一義務(wù)的內(nèi)涵大幅擴充，對企業(yè)提出了更高的數(shù)據(jù)隱私保護要求。APRA同樣也為大型企業(yè)設(shè)定了多方面義務(wù)，并延續(xù)了ADPPA的忠誠義務(wù)要求，企業(yè)只能收集完成某項任務(wù)所必需的數(shù)據(jù)。APRA將進行數(shù)據(jù)處理活動的企業(yè)視為個人數(shù)據(jù)的受托人，為其設(shè)定了數(shù)據(jù)最小化、限制或禁止特定敏感數(shù)據(jù)處理、隱私設(shè)計、定價義務(wù)四方面的忠誠義務(wù)。

“忠誠義務(wù)”是APRA的重點，這一概念最初來自信托法。在ADPPA之前，多位學(xué)者就曾建議數(shù)據(jù)隱私保護轉(zhuǎn)向關(guān)系規(guī)制模式，提出數(shù)據(jù)信托概念，采用信托法框架，根據(jù)不同信任關(guān)系程度，企業(yè)承擔(dān)不同程度的義務(wù)。立法者則在2019年的《消費者在線隱私權(quán)法》草案中將這一信托義務(wù)理論進行實質(zhì)性的立法嘗試。然而，ADPPA和APRA項下的忠誠義務(wù)似乎與學(xué)者理解的不同。學(xué)者們認(rèn)為忠誠義務(wù)作為信托義務(wù)的基石，指的是“為數(shù)據(jù)被披露者的最佳利益行事而不與之沖突”。然而，《消費者在線隱私權(quán)法》草案、《數(shù)據(jù)保護法案》提案等法案中的忠誠義務(wù)更類似于醫(yī)生、律所的信托責(zé)任：數(shù)據(jù)控制者不得為了自身利益欺騙消費者或作出其他傷害性行為，不得傷害向他們披露個人數(shù)據(jù)的消費者。忠誠義務(wù)也與“數(shù)據(jù)管理”原則相關(guān)，這一原則是指“如果企業(yè)收集、使用消費者的數(shù)據(jù)，并且犯下錯誤造成傷害，則應(yīng)該對此行為負(fù)責(zé)”。 ADPPA和APRA與《消費者在線隱私權(quán)法》草案和《數(shù)據(jù)保護法》提案有所不同。它們并未明確要求企業(yè)“以披露數(shù)據(jù)的人的最佳利益行事”，也沒有禁止企業(yè)“以與信托方的最佳利益相沖突的方式設(shè)計數(shù)字工具或處理數(shù)據(jù)”。因此，APRA面臨相似的情形，其忠誠義務(wù)究竟是等同于限制處理敏感個人信息、數(shù)據(jù)最小化和隱私設(shè)計？還是和學(xué)界以及其他法案所假設(shè)的那樣，指代一項防止數(shù)據(jù)控制者出于自身利益做出對消費者具有欺騙性、損害性決定的原則？由此可見，在學(xué)界和實踐中，忠誠義務(wù)的內(nèi)涵存在多種理解方式，即便在法案討論過程中，議員們就忠誠義務(wù)的理解很可能還存在分歧。

除了忠誠義務(wù)，APRAA與APRA兩部法案都特別列出大型數(shù)據(jù)持有者和處理者應(yīng)當(dāng)額外重點規(guī)制。為此，APRA規(guī)制對象特意排除了小型企業(yè)。大型數(shù)據(jù)持有者是指上一自然年度年總收入且收集的數(shù)據(jù)達到法案規(guī)定門檻的受監(jiān)管實體。APRA要求其必須進行兩年一次的隱私影響評估和算法影響評估，并設(shè)置企業(yè)數(shù)據(jù)隱私和安全官，以評估數(shù)據(jù)收集的潛在風(fēng)險和收益。

（三）促進數(shù)字經(jīng)濟發(fā)展

美國傳統(tǒng)數(shù)據(jù)隱私保護遵循經(jīng)濟自由原則，以市場為導(dǎo)向，優(yōu)先發(fā)展數(shù)字經(jīng)濟。由于缺乏統(tǒng)一的聯(lián)邦標(biāo)準(zhǔn)，美國各州立法機構(gòu)頒布的數(shù)據(jù)隱私法數(shù)量不斷增加，導(dǎo)致各類企業(yè)組織在收集和使用個人數(shù)據(jù)上面臨不一致的法律義務(wù)要求，帶來一系列的合規(guī)困境。具體而言，各州對類似或相同的關(guān)鍵概念容易使用不同的術(shù)語和定義或者采用不同的術(shù)語來描述相似的概念，使企業(yè)組織數(shù)據(jù)合規(guī)變得復(fù)雜。例如各州一般都認(rèn)為“敏感數(shù)據(jù)”會增加消費者風(fēng)險，因此需要進行特定的保護，然而各州法律的這一定義差異較大。加州和新澤西州對敏感個人數(shù)據(jù)的定義較其他州更為寬泛，包括個人賬戶登錄詳情、金融賬戶信息、借記卡或信用卡號碼、密碼等任何必要的安全或訪問代碼和憑證。加州還包括消費者通信內(nèi)容、政府身份信息、哲學(xué)信仰和工會會員身份等。即使大多數(shù)州都認(rèn)為精確地理位置數(shù)據(jù)屬于敏感數(shù)據(jù)，但科羅拉多州的隱私法并未將其納入定義范疇。州和州之間的差異給企業(yè)的數(shù)據(jù)隱私合規(guī)和管理帶來不必要的負(fù)擔(dān)，企業(yè)需要分析哪些差異具有實質(zhì)意義，而哪些差異幾乎沒有實際影響。這還會使美國消費者因所在位置不同受到不同程度的隱私保護。

除了國內(nèi)合規(guī)，美國企業(yè)還面臨國際合規(guī)挑戰(zhàn)。在國際層面，全球已經(jīng)有100多個國家制定了數(shù)據(jù)隱私保護制度，特別是歐盟已將數(shù)據(jù)保護寫入《基本權(quán)利憲章》，頒布了GDPR，通過布魯塞爾效應(yīng)將歐盟數(shù)據(jù)保護法的影響擴張至全球。美國支離破碎的數(shù)據(jù)隱私保護框架與之形成鮮明對比，歐盟尚未認(rèn)定美國的數(shù)據(jù)法保護“充分”，兩個司法轄區(qū)之間的數(shù)據(jù)跨境傳輸一直存在很大不確定性。歐盟法院分別于2015年和2020年宣布美歐安全港和隱私盾數(shù)據(jù)跨境流動協(xié)定無效。法國也在2023年禁止在政府設(shè)備上使用美國公司的Netflix，Instagram和Twitter。美國的聯(lián)邦隱私法遲遲未定，不僅損害本國的全球聲譽，也為美國企業(yè)特別是依賴數(shù)據(jù)跨境流動的小型企業(yè)和初創(chuàng)企業(yè)的跨境業(yè)務(wù)帶來不確定性和合規(guī)難題。

企業(yè)合規(guī)之外，聯(lián)邦數(shù)據(jù)隱私未定還可能影響到美國新興領(lǐng)域發(fā)展。特別是在數(shù)字經(jīng)濟最前沿的人工智能領(lǐng)域，人工智能與數(shù)據(jù)隱私有著緊密聯(lián)系，兩個領(lǐng)域相互影響，相互作用。歐盟已經(jīng)頒布了《人工智能法案》，但美國目前仍然是分散監(jiān)管，采取自愿指導(dǎo)原則，形成了多樣化的人工智能監(jiān)管環(huán)境。在美國沒有通過立法制定具有約束力的規(guī)則的情況下，許多美國科技公司采取的措施都是先遵守最高的共同標(biāo)準(zhǔn)——歐盟法，創(chuàng)建一個單一穩(wěn)定的數(shù)據(jù)隱私評估體系以應(yīng)對美國各州的相關(guān)保護要求?！度斯ぶ悄芊ò浮肥欠駮缤珿DPR產(chǎn)生“布魯塞爾效應(yīng)”還有待觀察，但歐盟以GDPR為代表的數(shù)據(jù)法已經(jīng)影響了國際商業(yè)慣例，并成為多國政府和企業(yè)的指導(dǎo)方針。然而，《人工智能法案》和GDPR的某些規(guī)定可能會一定程度地限制人工智能的開發(fā)，例如其中要求實體盡量減少出于合法或正當(dāng)目的對個人信息的處理、獲得用戶同意處理敏感數(shù)據(jù)、允許個人選擇不參與重大自動化決策。盡管《人工智能法案》明確規(guī)定實體可以使用敏感信息來識別和減輕算法偏差，但GDPR不會自動將人工智能開發(fā)視為處理數(shù)據(jù)的合法目的。歐盟過于嚴(yán)苛的標(biāo)準(zhǔn)并不有利于美國人工智能的長遠發(fā)展。因此，美國國會仍需要頒布聯(lián)邦立法，制定符合美國發(fā)展水平的數(shù)據(jù)隱私保護條款。2024年5月，參議院兩黨工作組發(fā)布了一份人工智能治理路線圖。其中參議院支持聯(lián)邦數(shù)據(jù)隱私立法，并提到全面的數(shù)據(jù)隱私立法可以提高人工智能開發(fā)者的監(jiān)管確定性，同時，統(tǒng)一的數(shù)據(jù)隱私立法模式所構(gòu)建的數(shù)據(jù)隱私標(biāo)準(zhǔn)必須平衡支持美國數(shù)字貿(mào)易、通信和創(chuàng)新的跨境數(shù)據(jù)流動需求。

（四）強調(diào)國家安全保護

美國是傳統(tǒng)隱私權(quán)保護的起源地，也是最早將個人信息保護上升到國家安全戰(zhàn)略層面的國家。1999年美國《國家安全戰(zhàn)略》中首次將“個人信息”納入加密技術(shù)出口管制過程，意味著隱私保護正式進入美國國家安全戰(zhàn)略。

數(shù)字時代，數(shù)據(jù)安全成為國家安全的重要組成部分。隨著全球經(jīng)濟下行和地緣政治風(fēng)險加劇，國家安全在美國政策和法律中日漸泛化。美國數(shù)據(jù)政策開始愈發(fā)強調(diào)國家安全保護理念，市場導(dǎo)向的數(shù)據(jù)監(jiān)管模式逐漸有轉(zhuǎn)向國家安全監(jiān)管模式的趨勢。從美國國家安全理念來看，美國數(shù)據(jù)政策從安全利益、安全威脅、安全空間、安全戰(zhàn)略、安全效益五個不同方面全面收縮，國家安全正在從政策變成工具、從例外變?yōu)樵瓌t、從傳統(tǒng)領(lǐng)域擴張到新興領(lǐng)域，成為美國應(yīng)對新興經(jīng)濟體崛起的手段，在美國對外關(guān)系中扮演日益重要的角色。當(dāng)前美國主要有數(shù)字自由貿(mào)易、阻斷對手、隱私法和數(shù)據(jù)盟友四種對外數(shù)據(jù)政策模式，其中阻斷對手模式所占比重愈來愈大。作為一種重要的對外政策工具，數(shù)據(jù)隱私對阻斷對手模式的制定和實施會產(chǎn)生非常大的影響。全面的隱私立法不僅是解決人工智能問題的方法，也是解決對手企業(yè)、對手國家數(shù)據(jù)收集問題，提升國際競爭力的方法。例如，拜登政府為在全球數(shù)據(jù)資源爭奪中獲取優(yōu)勢于2024年3月發(fā)布第14117號行政令，專門防止美國實體組織向特定對手國家出口特殊類型的敏感數(shù)據(jù)。然而，如果不先對美國實體收集和存儲數(shù)據(jù)的方式制定嚴(yán)格的法律制度框架，很難防止其后續(xù)將敏感個人數(shù)據(jù)轉(zhuǎn)移給對手國家。該行政令也意識到這一問題，指出：“總統(tǒng)將繼續(xù)敦促國會通過全面的兩黨隱私立法。商業(yè)數(shù)據(jù)的交易市場廣闊但缺乏監(jiān)管，個人信息可以被無限制多次交易。只要美國實體可以合法收集、轉(zhuǎn)移、使用敏感個人數(shù)據(jù)，外國對手就可以有多種途徑獲取?！卑莸钦谶^去幾年制定了一系列數(shù)據(jù)保護的法律政策，如果缺乏聯(lián)邦統(tǒng)一隱私立法規(guī)范科技公司收集和使用數(shù)據(jù)的行為，這些法律和政策的效力將非常有限。

在數(shù)據(jù)安全領(lǐng)域，美國聯(lián)邦數(shù)據(jù)立法還尤其關(guān)注數(shù)據(jù)共享和出售問題。為阻止敵對國家獲取數(shù)據(jù)危害國家安全，美國開始關(guān)注數(shù)據(jù)經(jīng)紀(jì)人這類特殊的第三方主體，逐漸加強對其行為監(jiān)管，也將其納入數(shù)據(jù)隱私監(jiān)管范疇。美國崇尚市場導(dǎo)向的自由主義傳統(tǒng)促生了高度發(fā)達的數(shù)據(jù)經(jīng)紀(jì)人制度。這一制度歷史悠久，指的是合法進行數(shù)據(jù)買賣的公司。數(shù)據(jù)經(jīng)紀(jì)人可以收集、分析并出售個人數(shù)據(jù)，可能包括涵蓋個人喜好、健康狀況、收入、行為等涉及隱私的敏感信息。一般而言，數(shù)據(jù)買家是需要針對特定人群投放廣告的營銷商。但美國政府部門譬如情報機關(guān)、執(zhí)法部門等也會向數(shù)據(jù)經(jīng)紀(jì)人購買大量數(shù)據(jù)，用于情報分析和犯罪調(diào)查。因此美國學(xué)界和政界的很多人都開始擔(dān)心數(shù)據(jù)經(jīng)濟行業(yè)使外國政府特別是中國、俄國能夠訪問、收集、評估和傳播美國大量敏感個人數(shù)據(jù)、消費者數(shù)據(jù)和政府相關(guān)數(shù)據(jù)，危害國家安全。杜克大學(xué)助理教授Justin Sherman曾分析數(shù)據(jù)經(jīng)紀(jì)人制度可能給美國公民個人隱私和美國國家安全帶來巨大危害。 2021年4月，國會民主黨Ron Wyden聯(lián)合Chunk Schumer等議員提出《第四修正案不出售法案》，其中禁止數(shù)據(jù)經(jīng)紀(jì)人向美國政府部門出售個人數(shù)據(jù)。第14771號行政令及《受關(guān)注國家獲取美國人大量敏感個人數(shù)據(jù)和美國政府相關(guān)數(shù)據(jù)規(guī)則》（以下簡稱《預(yù)通知》）也已將數(shù)據(jù)經(jīng)紀(jì)人納入監(jiān)管范疇。為了完全堵住數(shù)據(jù)經(jīng)紀(jì)人泄露美國敏感數(shù)據(jù)的可能性，行政令鼓勵消費者金融保護局（CFPB）局長考慮采取符合CFPB現(xiàn)有法律權(quán)限的措施，以應(yīng)對這方面的威脅并加強對聯(lián)邦消費者保護法的執(zhí)法。2018年的《數(shù)據(jù)經(jīng)紀(jì)人問責(zé)制和透明度法案》《數(shù)據(jù)問責(zé)和信任法案》等對數(shù)據(jù)經(jīng)紀(jì)人的透明度義務(wù)、隱私審計義務(wù)等作出要求。2024年3月美國出臺的H.R.7521法案正式向數(shù)據(jù)經(jīng)紀(jì)人制度開刀，其中借鑒了很多ADPPA條款，力圖堵住外國政府借此獲得美國敏感數(shù)據(jù)路徑。APRA也同步增加了第三方特殊主體義務(wù)，設(shè)置數(shù)據(jù)經(jīng)紀(jì)人監(jiān)管制度。聯(lián)邦貿(mào)易委員會將建立一個中央數(shù)據(jù)經(jīng)紀(jì)人注冊表，其中包含“不收集”機制，允許個人選擇不讓數(shù)據(jù)經(jīng)紀(jì)人收集其受保護數(shù)據(jù)。眾議院更新草案將更進一步要求聯(lián)邦貿(mào)易委員會創(chuàng)建“刪除我的數(shù)據(jù)”機制，允許個人要求所有注冊的數(shù)據(jù)經(jīng)紀(jì)人刪除其受保護數(shù)據(jù)。

四、聯(lián)邦數(shù)據(jù)隱私立法的規(guī)制挑戰(zhàn)

即使制定聯(lián)邦數(shù)據(jù)隱私法眾望所歸，但究竟應(yīng)當(dāng)制定何種聯(lián)邦隱私法卻存在非常大的爭議。在實際立法過程中，美國聯(lián)邦數(shù)據(jù)隱私立法遭遇重重阻礙，理念和實踐之間漸趨背離。由于在聯(lián)邦法優(yōu)先權(quán)、私人訴訟權(quán)、平衡消費者保護與商業(yè)利益等方面的分歧，美國過去在全面隱私立法方面的努力均以失敗告終。美國聯(lián)邦立法的政治環(huán)境復(fù)雜，牽涉到多方利益博弈，不僅涉及國內(nèi)縱向?qū)用媛?lián)邦和州之間的關(guān)系，還涉及橫向間的政黨利益斗爭以及政府和科技巨頭、保護組織的博弈。在各方爭論中，包括科技巨頭、消費者權(quán)益保護團體和州政府在內(nèi)的各種利益相關(guān)者，關(guān)注的優(yōu)先事項往往相互沖突，導(dǎo)致美國聯(lián)邦數(shù)據(jù)隱私立法面臨非常大的挑戰(zhàn)，進一步影響美國數(shù)據(jù)法律體系整體規(guī)制走向以及美國對外數(shù)據(jù)話語敘事的構(gòu)建。

（一）中央與地方的立法沖突

自新中國成立以來美國就存在聯(lián)邦權(quán)和州權(quán)之爭，在數(shù)據(jù)隱私問題上亦是如此。2022年ADPPA草案難以推進的主要原因之一來自各州的反對力量。聯(lián)邦立法與州立法在數(shù)據(jù)隱私保護上的主要矛盾在于州層面的保護力度更強，聯(lián)邦法的優(yōu)先適用可能降低各州已有的數(shù)據(jù)隱私保護水平，并且還會削弱各州自主制定數(shù)據(jù)隱私規(guī)則的權(quán)力和能力，導(dǎo)致各州無法維護本地產(chǎn)業(yè)利益。其中，聯(lián)邦立法對隱私保護更為領(lǐng)先的加利福尼亞州的影響最大。在ADPPA草案的討論過程中，加利福尼亞州的反對之聲持續(xù)不斷：不僅提出一項涉及“為保護水平更高的州法設(shè)置豁免”的修正案，還利用美國墮胎法倒退的契機強化州內(nèi)對公民生殖隱私的保護、向眾議院提出反對票。

此次APRA在ADPPA基礎(chǔ)上進一步明確了聯(lián)邦法優(yōu)先適用條款，不再保留特定的州隱私法，全面優(yōu)先適用于美國各州的隱私保護法。這一條款得到了共和黨的支持。然而優(yōu)先權(quán)對先前立法帶來挑戰(zhàn)，這成為包括許多民主黨人在內(nèi)的關(guān)鍵性群體反對ADPPA的主要原因。APRA草案面臨和ADPPA相似的情況，若無法在草案討論過程中尋得彌合各州不同利益的解決辦法，APRA也勢必遭受沖突州的強烈反對。聯(lián)邦數(shù)據(jù)隱私法的全部意義在于它將取代各州雜亂無序的數(shù)據(jù)隱私法，但與此同時它也取代了可以提供更強有力保護的消費者保護法，例如《加州消費者隱私法》（CCPA）。APRA的出臺可能剝奪加州人本應(yīng)有的數(shù)據(jù)隱私保護。加州隱私保護局（CPPA）執(zhí)行董事Ashkan Soltani在一份聲明中表示：“美國人不應(yīng)該滿足于聯(lián)邦數(shù)據(jù)隱私法，該法限制各州在應(yīng)對技術(shù)的快速變化和政策新威脅時推進強有力的法律保護的能力——尤其是在加州人的基本權(quán)利受到威脅時。國會應(yīng)該設(shè)定法律底線，而不是上限?！奔永Ｄ醽喼菰趪鴷泻艽笥绊懥?，因此這對于APRA來說是一個重大挑戰(zhàn)。

對于各州的擔(dān)憂，APRA給出的解決方案一是采用嚴(yán)格的條款標(biāo)準(zhǔn)，這將有利于聯(lián)邦數(shù)據(jù)隱私法優(yōu)先適用各州法律；二是聯(lián)邦法將同時保留各州一些已制定的標(biāo)準(zhǔn)。APRA列出了一些不會被優(yōu)先適用的州法律，包括州違規(guī)通知法、員工隱私和健康信息隱私等法律規(guī)定。然而，問題在于ARPA制定的標(biāo)準(zhǔn)與其他各州立法相比是否更加嚴(yán)格。同時例外情況清單很長，涵蓋范圍很寬泛，這使得哪些法律被優(yōu)先，哪些法律不被優(yōu)先的標(biāo)準(zhǔn)確定成為問題。如果例外適用的法律過多，APRA所制定的統(tǒng)一標(biāo)準(zhǔn)事實上被架空，將成為一紙空文。

（二）政治利益集團的博弈

美國政治利益集團的博弈首先體現(xiàn)在政黨之間。美國黨爭不斷，聯(lián)邦數(shù)據(jù)隱私立法遲遲未立的一個重要原因是美國民主黨和共和黨在數(shù)據(jù)安全與數(shù)據(jù)隱私保護的立法理念上存在差異。民主黨主張建立統(tǒng)一的國內(nèi)國際秩序，通過規(guī)范性立法實行全面的數(shù)據(jù)安全監(jiān)管。而共和黨則認(rèn)為全面統(tǒng)一的規(guī)范性立法會導(dǎo)致以監(jiān)管為中心，無法真正服務(wù)于民。共和黨重心在于維護美國公民數(shù)據(jù)隱私。民主黨則更關(guān)注如何通過數(shù)據(jù)本地化政策防止“敵對國家”獲取關(guān)鍵數(shù)據(jù)，并約束大型數(shù)字公司權(quán)力。在數(shù)據(jù)隱私方面，兩黨長期以來在兩個關(guān)鍵問題上存在分歧：聯(lián)邦數(shù)據(jù)隱私法是否應(yīng)該凌駕于現(xiàn)有的可以提供更嚴(yán)格保護的州隱私法，以及普通公民是否應(yīng)該能夠?qū)Ρ恢缚厍址钙潆[私的企業(yè)提起訴訟。目前在APRA這兩個關(guān)鍵問題上，兩黨暫時達成一致意見，聯(lián)邦立法優(yōu)先權(quán)和公民私人訴權(quán)得到保留。

其次，美國政府和大型數(shù)字企業(yè)之間的博弈也很激烈。ADPPA和APRA都獲得了兩黨支持，然而因為政府和數(shù)字巨頭在關(guān)鍵問題上存在分歧，ADPPA最終“破產(chǎn)”，APRA還在面臨不斷的爭議。美國數(shù)據(jù)隱私保護一直是以市場為中心的消費者利益保護模式，而近年聯(lián)邦數(shù)據(jù)隱私法提案在試圖加大對大型數(shù)字企業(yè)的監(jiān)管力度。因此大型數(shù)字企業(yè)對提案提出疑問：雖然隱私權(quán)法案的目的是保護消費者隱私，但消費者隱私保護過度可能會扼殺技術(shù)創(chuàng)新，抑制中小企業(yè)發(fā)展。法案嚴(yán)格的數(shù)據(jù)最小化原則和同意要求可能會限制可用于開發(fā)新技術(shù)和服務(wù)的數(shù)據(jù)使用行為，而當(dāng)前正是新的人工智能和其他數(shù)據(jù)密集型技術(shù)發(fā)展的關(guān)鍵時刻。尤其是對于初創(chuàng)公司和小型企業(yè)，法案可能會造成其沉重的合規(guī)負(fù)擔(dān)，這可能會減緩美國的創(chuàng)新和技術(shù)進步進展。

APRA在過去十年來美國國會提出的各種法案的基礎(chǔ)上制定，特別是基于ADPPA，旨在保護美國人不受大型科技公司的侵入性監(jiān)控和數(shù)據(jù)侵占。雖然立法者一直希望公民可以掌控自己的數(shù)據(jù)，但是聯(lián)邦隱私法案在過去十年間一直未能通過，不斷被修改和爭論。其中很大一部分原因在于美國經(jīng)濟依賴于大型數(shù)字企業(yè)，而這些企業(yè)需要收集、分析、傳輸、使用個人數(shù)據(jù)才能維持?jǐn)?shù)字生態(tài)，為公民生活提供更優(yōu)質(zhì)的服務(wù)。而法案旨在對大型數(shù)字企業(yè)施加一系列新的義務(wù)，要求他們提供、修改甚至刪除有關(guān)個人數(shù)據(jù)，并通過選擇退出、知情同意等機制將數(shù)據(jù)收集要求降至最低，還制定了透明度規(guī)則和數(shù)據(jù)安全標(biāo)準(zhǔn)。這對于大型數(shù)字企業(yè)而言打擊力度過大。IFTF實證調(diào)研后認(rèn)為類似GDPR的數(shù)據(jù)隱私法將給企業(yè)和經(jīng)濟帶來巨大的合規(guī)成本和“隱形”成本，阻礙行業(yè)生產(chǎn)力和創(chuàng)新能力。一部設(shè)置最低隱私保護標(biāo)準(zhǔn)的聯(lián)邦立法有助于解決實際的隱私危害，同時降低企業(yè)成本。

僅就目前而言，APRA有向企業(yè)利益傾斜的趨勢。大型數(shù)字企業(yè)的游說，加上共和黨堅決反對針對企業(yè)的過于嚴(yán)苛的保護措施，APRA在一些條款上作出讓步。與ADPPA相比，APRA對企業(yè)的忠誠義務(wù)規(guī)定僅列舉了四個方面，并且并未清晰完整地表述企業(yè)怎樣做才算忠誠履行受托義務(wù)。這種分歧將是立法進程中的爭議焦點之一。此外，APRA對私人訴訟權(quán)也有很大限制。一是該權(quán)利需在APRA施行后四年才可以行使。二是個人需將提起訴訟的意圖告知聯(lián)邦貿(mào)易委員會或所在州的總檢察長，由他們在60日內(nèi)決定是否提起訴訟。若在此期間個人向相關(guān)實體索取賠償，該行為則將被視為惡意。三是賠償限定為補償性損害賠償金、禁令或聲明性救濟、合理的律師費和訴訟費。個人的訴訟權(quán)過大將可能導(dǎo)致對訴訟的濫用，使大型企業(yè)面臨高額賠償，并增加中小企業(yè)的合規(guī)成本，阻礙其數(shù)據(jù)創(chuàng)新。這種有限的私人訴訟權(quán)正是政府對商業(yè)利益妥協(xié)的結(jié)果。2024年6月底，眾議院能源和商業(yè)委員會取消了其最新提案《美國隱私權(quán)法案》的預(yù)定修訂，同時還刪除了旨在防止數(shù)據(jù)驅(qū)動的歧視并允許個人選擇不參與私營公司基于人工智能做出的“重大”決策的條款。APRA立法者后續(xù)撤回了關(guān)于APRA的審議，這被視為是新一輪的立法妥協(xié)。APRA逐漸削減了法案中的幾項強力保護措施。新的文本刪除了保護社會弱勢群體免受歧視條款、人工智能驅(qū)動技術(shù)有害副產(chǎn)品條款、授予用戶的選擇退出條款、公司的算法審計和檢查條款等。由于非常關(guān)鍵的公民權(quán)利條款已被從提案中刪除，APRA愈發(fā)失去社會支持。美國公民自由聯(lián)盟和民主與技術(shù)中心等組織表示，他們不再支持APRA。Access Now、Demand Progress和Free Press Action等數(shù)字權(quán)利組織也加入進來，向民主黨施壓，不認(rèn)可法案的最新變化。

（三）數(shù)據(jù)監(jiān)管的三難選擇

美國傳統(tǒng)自由主義的數(shù)據(jù)監(jiān)管政策將數(shù)據(jù)隱私保護和數(shù)據(jù)安全置于次要地位，強調(diào)市場優(yōu)先，以促進數(shù)字經(jīng)濟的發(fā)展。在對外政策上，美國一直強調(diào)數(shù)據(jù)跨境自由流動，只設(shè)置最低限度的數(shù)據(jù)隱私和安全保護措施，在OECD隱私原則、USMCA、UJDTA、CPTPP等諸多區(qū)域經(jīng)貿(mào)協(xié)定中都貫徹了這一政策目標(biāo)。在國內(nèi)美國的數(shù)據(jù)監(jiān)管政策也一直較為寬松，《通信規(guī)范法》第230條和《數(shù)字千年版權(quán)法案》（DMCA）避風(fēng)港條款促進了科技企業(yè)的繁榮發(fā)展。美國數(shù)據(jù)監(jiān)管規(guī)則整體上也較為零散，聯(lián)邦層面沒有制定統(tǒng)一的數(shù)據(jù)保護法，以各行業(yè)、各州單獨立法為主。

隨著全球經(jīng)濟下行和美國綜合實力的衰退，美國開始強調(diào)維護國家安全，整體法律制度由傳統(tǒng)自由主義模式向安全模式調(diào)整。2023年3月，美國國家安全事務(wù)顧問杰克·沙利文（Jake Sullivan）在布魯金斯學(xué)會發(fā)表演講時提出“新華盛頓共識”，將推動美國由傳統(tǒng)自由經(jīng)濟模式轉(zhuǎn)向以“維護國家安全”為主導(dǎo)的強政府干預(yù)模式。數(shù)字時代數(shù)據(jù)安全日漸成為國家安全的突出問題。為維護數(shù)據(jù)安全，美國數(shù)據(jù)監(jiān)管法律政策也逐漸從自由主義轉(zhuǎn)向保守主義。首先，美國跨境數(shù)據(jù)自由流動政策日漸限縮，逐漸由數(shù)據(jù)跨境自由流動模式過渡為數(shù)據(jù)安全保護模式。2023年10月，在瑞士日內(nèi)瓦WTO電子商務(wù)聯(lián)合聲明倡議會議期間，美國貿(mào)易代表凱瑟琳申明美國在WTO電子商務(wù)規(guī)則談判中放棄長久以來堅持的跨境數(shù)據(jù)自由流動主張，為美國國會加強對大型數(shù)字跨國公司的監(jiān)管騰出空間。其次，美國國內(nèi)與此同時也在加強數(shù)據(jù)隱私監(jiān)管，針對中國等特定國家采取一系列安全性制裁措施，不斷強化涉及數(shù)據(jù)的國家安全審查工具。聯(lián)邦數(shù)據(jù)隱私立法進一步表明了美國對數(shù)據(jù)安全和國家安全的重視。近年來美國逐漸同步對內(nèi)和對外數(shù)據(jù)限制措施，意味著美國國內(nèi)與涉外數(shù)據(jù)政策趨向一致，以加強國內(nèi)外數(shù)據(jù)政策的聯(lián)動。

然而這也進一步帶來美國數(shù)據(jù)監(jiān)管法律政策的統(tǒng)籌和協(xié)調(diào)問題。數(shù)據(jù)監(jiān)管在數(shù)據(jù)隱私、數(shù)據(jù)自由流動、數(shù)據(jù)安全之間存在不可能三角，即三個目標(biāo)不可能同時達成。這意味著美國數(shù)據(jù)政策轉(zhuǎn)向國家安全將犧牲數(shù)據(jù)自由流動目標(biāo)。進一步地，美國將如何在國家安全語境下整合和統(tǒng)一數(shù)據(jù)監(jiān)管體系？向內(nèi)收縮的安全化數(shù)據(jù)政策如何與資本市場導(dǎo)向的擴張性法律政策協(xié)調(diào)？美國法律體系是否要經(jīng)歷國家安全和保守主義的整體轉(zhuǎn)向？一方面，美國面臨著數(shù)據(jù)監(jiān)管政策在數(shù)據(jù)隱私、數(shù)據(jù)跨境流動、數(shù)據(jù)安全之間的價值選擇和平衡困境；另一方面，美國也面臨著國內(nèi)資本主義生產(chǎn)模式下生產(chǎn)關(guān)系和對外關(guān)系的沖突和挑戰(zhàn)，以及對外關(guān)系中自由主義的話語重構(gòu)困境。

因此，APRA聚焦了上述矛盾，自由和安全的沖突集中于數(shù)據(jù)隱私之上，數(shù)據(jù)隱私保護無法既偏向市場自由化又偏向國家安全保護，數(shù)據(jù)規(guī)制的三難困境要求美國必須在自由主義和安全主義之間做出選擇。當(dāng)自由主義敘事已無法涵蓋和解釋美國從“經(jīng)濟全球化”到“安全全球化”的政策變化時，美國需要考量如何構(gòu)建新的話語敘事以延續(xù)資本主義驅(qū)動下的國家利益和全球霸權(quán)地位。當(dāng)自由主義不能作為國家政策宣傳口號時，數(shù)據(jù)隱私、數(shù)據(jù)安全與數(shù)據(jù)跨境流動政策應(yīng)當(dāng)如何整合在新的意識形態(tài)之下？

五、聯(lián)邦數(shù)據(jù)隱私立法規(guī)制的影響

美國的隱私法不單純是一個國內(nèi)問題，同時也是國際問題。美國的數(shù)據(jù)實踐不僅影響著其國內(nèi)的數(shù)字政策，更對全球數(shù)字貿(mào)易、數(shù)據(jù)隱私規(guī)則等產(chǎn)生一定的影響。

（一）對國際數(shù)字貿(mào)易體系的影響：或?qū)⑿纬尚碌臄?shù)字貿(mào)易壁壘

對全球數(shù)字貿(mào)易而言，美國數(shù)據(jù)隱私規(guī)制的動向?qū)θ驍?shù)字貿(mào)易有著重要影響。根據(jù)國際貿(mào)易法的內(nèi)容和邏輯，相關(guān)國際貿(mào)易法的立法和實踐對數(shù)據(jù)隱私的規(guī)制大致可以分為兩類：貿(mào)易例外和貿(mào)易事項模式。WTO對數(shù)字隱私的規(guī)制是貿(mào)易例外模式，出現(xiàn)在《服務(wù)貿(mào)易總協(xié)定》（GATS）第XIV（e）（ii） 條規(guī)定，如果相關(guān)法律或法規(guī)涉及“保護與個人數(shù)據(jù)和傳播有關(guān)的個人隱私，以及保護個人記錄和賬戶的機密性”，即可構(gòu)成與GATS不相抵觸的法律或法規(guī)。這意味著WTO已認(rèn)識到數(shù)據(jù)處理和傳輸過程中個人隱私的重要性。即便成員方相關(guān)措施違反了WTO的相關(guān)貿(mào)易義務(wù)，也可以被允許。然而該例外條款沒有限定成員方選擇何種保護制度和標(biāo)準(zhǔn)，只說明符合最低貿(mào)易限度即可。這并不能確保所有成員方都采取適當(dāng)?shù)臄?shù)據(jù)隱私保護措施，可能導(dǎo)致因各國隱私保護沖突而產(chǎn)生貿(mào)易壁壘。貿(mào)易事項模式則指的是將數(shù)據(jù)隱私作為數(shù)字貿(mào)易重要關(guān)切事項直接予以規(guī)制。對此美國和歐盟之間存在很大差別。歐盟GDPR有著非常之高的數(shù)據(jù)隱私保護標(biāo)準(zhǔn)和域外管轄效力。因此歐盟在對外貿(mào)易協(xié)定章節(jié)中普遍缺乏數(shù)據(jù)自由流動條款。美國則與之恰好相反，在能夠簽署的各項貿(mào)易協(xié)定中均納入數(shù)據(jù)自由流動條款，對于采取數(shù)字保護主義的國家，則公開指責(zé)對方數(shù)據(jù)本地化的行為。在《跨太平洋伙伴關(guān)系協(xié)定》（TPP）談判過程中，美國代表提出應(yīng)當(dāng)將數(shù)據(jù)跨境自由流動作為缺省規(guī)則，各締約方不得阻礙數(shù)據(jù)的流入和流出。通過USMCA、UJDTA、CPTPP等雙邊、多邊貿(mào)易協(xié)定美國主導(dǎo)了數(shù)據(jù)自由跨境流動的數(shù)字貿(mào)易模式。

然而，伴隨地緣政治風(fēng)險和大國競爭的加劇，為維護自身科技大國的主導(dǎo)地位，美國國內(nèi)法律政策早已開始從市場導(dǎo)向的自由主義規(guī)制模式偏向國家安全導(dǎo)向的保守主義規(guī)制模式。美國立場的轉(zhuǎn)變并非突然。近年來，基于對國家安全的重視，美國國內(nèi)數(shù)據(jù)安全監(jiān)管趨嚴(yán)，開始加大對數(shù)字跨國公司規(guī)制力度。反壟斷方面矛頭直指國內(nèi)數(shù)字跨國公司，針對Meta、Facebook、Amazon等科技巨頭加大監(jiān)管力度。對于外國大型科技企業(yè)，一方面，美國以國家安全審查為核心，由政府行政部門主導(dǎo)審查私人商業(yè)交易帶來的國家安全風(fēng)險，潛移默化地針對特定對手國家推進數(shù)據(jù)安全審查。自美國政策轉(zhuǎn)向國家安全化以來，政府創(chuàng)設(shè)了一系列國家安全審查工具。數(shù)據(jù)也在逐漸納入國家安全審查范圍。以“國家安全”為名，借助出口管制、外商投資審查、ICTS監(jiān)管、長臂管轄等制度工具進行各式安全審查，美國由此可以進行各類經(jīng)濟制裁，包括限制數(shù)據(jù)跨境傳輸。近年針對中國已制定了一系列科技、數(shù)據(jù)限制措施。另一方面，美國構(gòu)建“數(shù)據(jù)同盟”，主導(dǎo)同盟國跨境數(shù)據(jù)流動圈。此次APRA的制定恰好貼合其跨境數(shù)據(jù)監(jiān)管國際規(guī)則立場的變化，折射出美國數(shù)據(jù)監(jiān)管思路和方法的全方位轉(zhuǎn)向，監(jiān)管重點從自由貿(mào)易調(diào)整為國家安全。這一轉(zhuǎn)變背離了美國自二戰(zhàn)后主導(dǎo)的WTO自由貿(mào)易體系，將會加劇逆全球化趨勢。數(shù)據(jù)隱私或?qū)⒊蔀樾碌臄?shù)字貿(mào)易壁壘，阻止全球數(shù)據(jù)自由流動。

（二）對全球隱私規(guī)范的影響：新的全球隱私標(biāo)準(zhǔn)或?qū)⒔?/p>

歐盟自2018年實施GDPR后，對全球個人信息和隱私保護立法產(chǎn)生了巨大影響，布魯塞爾效應(yīng)席卷全球。許多國家參考GDPR，制定了較高的個人信息保護標(biāo)準(zhǔn)。譬如為個人制定了廣泛的數(shù)據(jù)權(quán)利、高額罰款制度、個人信息保護影響評估機制等。歐盟已然成為全球數(shù)據(jù)隱私立法的引領(lǐng)者。然而這一數(shù)據(jù)保護體系與美國倡導(dǎo)的市場導(dǎo)向的數(shù)據(jù)保護模式相異，產(chǎn)生了巨大分歧，非常不利于美國大型科技企業(yè)的數(shù)據(jù)收集、處理和使用，對外進行市場擴張。在數(shù)據(jù)跨境傳輸上，GDPR要求非常嚴(yán)格，明確要求其他國家應(yīng)當(dāng)提供與歐盟相同水平的隱私保護，歐盟法院因此認(rèn)定美國數(shù)據(jù)保護水平低于歐盟，先后宣告美歐《安全港》《隱私盾》數(shù)據(jù)傳輸協(xié)定無效。而由于美國缺少統(tǒng)一的數(shù)據(jù)隱私立法，國內(nèi)各州立法分散，國內(nèi)大型企業(yè)容易以歐盟標(biāo)準(zhǔn)為參考制定了較高的數(shù)據(jù)保護守則。美國由此難以推廣其數(shù)據(jù)隱私保護理念，構(gòu)建符合其利益的全球數(shù)據(jù)隱私保護體系。2018年，特朗普政府就表示希望制定一部可以與GDPR相抗衡的數(shù)據(jù)法，以此抵抗GDPR成為事實上的全球標(biāo)準(zhǔn)。

因此美國頒布全面的聯(lián)邦數(shù)據(jù)隱私立法可能會對尚未在該領(lǐng)域制定立法的國家產(chǎn)生重大影響。積極的影響是美國可能為隱私保護設(shè)定一個新的基準(zhǔn)，以方便其他國家的采用或調(diào)整。GDPR采用更嚴(yán)格的基于同意的模式進行數(shù)據(jù)處理，并為個人提供廣泛的權(quán)利，而此次美國的APRA則尋求一種更平衡的方法，旨在保護消費者隱私，同時考慮企業(yè)的運營現(xiàn)實。這種方法標(biāo)志著一條與歐盟和其他已制定數(shù)據(jù)保護法律的地區(qū)截然不同的途徑，有可能為隱私立法開創(chuàng)新的先例。然而，也存在一種風(fēng)險，即不同的標(biāo)準(zhǔn)可能會使國際業(yè)務(wù)運營復(fù)雜化，特別是對于在有和沒有隱私法的司法管轄區(qū)開展業(yè)務(wù)的公司。全球應(yīng)對措施可能會在與美國模式保持一致或隱私標(biāo)準(zhǔn)進一步碎片化之間搖擺不定。

然而，美國聯(lián)邦數(shù)據(jù)隱私立法動向不明，雖然美國意圖開辟可以與GDPR相媲美的新型數(shù)據(jù)治理路徑，但是，一方面，歐盟GDPR對數(shù)據(jù)的高水平保護和對數(shù)據(jù)主體控制權(quán)的加強影響了美國聯(lián)邦數(shù)據(jù)隱私立法的監(jiān)管模式。APRA借鑒了GDPR的多項條款，兩項立法很多方面都非常類似：相似的目標(biāo)；強化個人權(quán)利；加強敏感數(shù)據(jù)保護；企業(yè)“數(shù)據(jù)最小化”義務(wù)等?？梢姡珹PRA無法擺脫GDPR的影響。另一方面，美國國內(nèi)各利益群體沖突不斷，難以協(xié)調(diào)一致，APRA是否最終得以出臺還存在疑問。而且APRA正在偏向企業(yè)利益，實際的發(fā)展方向在向市場和資本妥協(xié)，刪去了相當(dāng)多的個人權(quán)利保護條款，即使最終得以出臺，保護程度也都弱于GDPR甚至國內(nèi)州立法。而當(dāng)前數(shù)據(jù)立法存在逐項競爭趨勢，就企業(yè)而言，為了市場利益最大化，參照的數(shù)據(jù)保護標(biāo)準(zhǔn)就高不就低，最終可能還是會參照GDPR履行合規(guī)義務(wù)。因此APRA不論最終是與作為國際數(shù)據(jù)隱私標(biāo)準(zhǔn)的GDPR相背離，還是相一致，是否具有實際意義還有待觀望。

（三）對我國的影響：或?qū)⒊蔀樾滦椭撇霉ぞ?/p>

隨著中美博弈的加劇，美國開始將中國視為首要的競爭對手，甚至是最主要的國家安全威脅。2017年美國就明確宣布國家安全的最大威脅是大國競爭。2022年，拜登政府發(fā)布新版《國家安全戰(zhàn)略》，明確列明中國是美國“最嚴(yán)重的地緣政治挑戰(zhàn)”和“唯一的競爭對手”。2023年《新版網(wǎng)絡(luò)安全戰(zhàn)略》對中國的戰(zhàn)略定位則從“長期競爭對手”轉(zhuǎn)向“最大威脅”，稱中國對美國的政府和企業(yè)構(gòu)成最廣泛、持久和活躍的威脅。在近幾年的《情報界年度威脅評估》中美國也一直大肆渲染中國對美國的威脅，將中國定位為唯一有實力塑造國際秩序，在各方面也有力量實現(xiàn)這一目標(biāo)的競爭對手。這充分反映了美國對于中國實力增強和大國崛起的焦灼和不安。隨著數(shù)字技術(shù)的發(fā)展，中美數(shù)字競爭也愈發(fā)激烈。為與中國競爭，美國推行一系列技術(shù)發(fā)展措施，高度重視數(shù)字經(jīng)濟產(chǎn)業(yè)的發(fā)展。通過增加研發(fā)投入、企業(yè)減稅等政策，重點支持人工智能、5G、量子計算等領(lǐng)域，同時對中國展開全方位的科技制裁。2020年5月，白宮發(fā)布新的《美國對華戰(zhàn)略方針》報告，公然宣稱將采取公開施壓辦法以遏制中國在各領(lǐng)域的擴張。通過對外投資安全審查、出口管制、總統(tǒng)行政令、ICT安全審查等多重手段和制裁工具針對中國科技領(lǐng)域?qū)嵤┲撇么胧?。在?shù)據(jù)監(jiān)管上也是如此，自特朗普時期美國開始將中國明確列為首要對手后，通過一系列政策法案限制美國數(shù)據(jù)向中國流動，不同程度地創(chuàng)建各式安全審查工具對華進行數(shù)據(jù)限制。2024年3月出臺的第14117號行政令以及司法部《預(yù)通知》的擬定規(guī)則，是美國首次禁止數(shù)據(jù)流動的法令，創(chuàng)設(shè)了第一個數(shù)據(jù)跨境傳輸審查機制。美國也開始基于國家安全理由明確介入商業(yè)數(shù)據(jù)跨境流動的國家。白宮稱其為“美國總統(tǒng)為保護美國人數(shù)據(jù)安全采取的最重要的行政行動”。

此次出臺的聯(lián)邦數(shù)據(jù)隱私統(tǒng)一法案也可能作為美國對外國家的新型制裁工具。APRA保護模式與國家安全關(guān)注的焦點不同，它主要側(cè)重于對個人數(shù)據(jù)的整體保護，而不是評估特定對手手中數(shù)據(jù)的安全風(fēng)險。然而，數(shù)據(jù)隱私立法不僅可以解決跨境隱私風(fēng)險，還可以成為專門限制中國和其他對手的武器和工具。2024年6月，美國聯(lián)邦貿(mào)易委員會指控TikTok及其母公司字節(jié)跳動違反《兒童在線隱私保護法》（COPPA），司法部收到指控后準(zhǔn)備對TokTok提起消費者保護訴訟。APRA如若成功出臺，將對中國企業(yè)在美投資帶來更大的合規(guī)風(fēng)險和新的挑戰(zhàn)。

六、結(jié)論

盡管多年來兩院提出許多提案，但美國至今尚未出臺綜合性的聯(lián)邦數(shù)據(jù)隱私法案。APRA是美國在數(shù)字時代構(gòu)建統(tǒng)一隱私法的新嘗試，然而在最終頒布成為法律之前，該法案仍面臨重重障礙。美國傳統(tǒng)隱私保護主要是為防止政府對公民隱私的侵害。在數(shù)字經(jīng)濟發(fā)展背景下，美國將數(shù)據(jù)保護納入隱私保護體系中，采取公私分離、上下分層規(guī)制模式，公領(lǐng)域仍然延續(xù)隱私保護傳統(tǒng)限制政府權(quán)力，私領(lǐng)域鼓勵市場自治。然而數(shù)字經(jīng)濟的繁榮大幅擴張了數(shù)字企業(yè)的社會性權(quán)力，政府嘗試制定綜合性的聯(lián)邦數(shù)據(jù)隱私法以約束大型數(shù)字企業(yè)，進一步強化個人數(shù)據(jù)權(quán)利，促進數(shù)字經(jīng)濟安全有序發(fā)展。這無疑與美國鼓勵自由放任的市場自發(fā)秩序傳統(tǒng)相背離。因此，聯(lián)邦數(shù)據(jù)隱私立法不斷遭受大型數(shù)字企業(yè)的質(zhì)疑。另一方面，與數(shù)據(jù)隱私保護程度較高的州立法相比，聯(lián)邦數(shù)據(jù)隱私立法的有關(guān)條款又被質(zhì)疑缺乏保護力度，降低州立法的隱私保護水平。在個人數(shù)據(jù)保護、數(shù)據(jù)自由流動、數(shù)據(jù)安全之間，聯(lián)邦數(shù)據(jù)隱私立法目標(biāo)面臨三難困境。未來APRA的出臺將對國內(nèi)利益相關(guān)方以及國際數(shù)字貿(mào)易體系、全球隱私規(guī)范甚至他國國家安全產(chǎn)生至關(guān)重要的影響，我國政府和企業(yè)應(yīng)當(dāng)提前做好安全布局，應(yīng)對美國未來可能的數(shù)據(jù)隱私規(guī)制風(fēng)險。

Research on United States Federal Data Privacy Legislative and Regulatory Strategies

Abstract： There has been a concerted call for uniform federal data privacy legislation in the United States， however， to this day， no proposal has successfully been turned into law. The U.S. Privacy Act is the latest legislative proposal that reflects the latest developments in the U.S. federal data privacy regulatory program. The U.S. federal data privacy legislation aims to strengthen national security and promote the rational and orderly development of the digital economy by expanding the rights of individual consumers and restricting the digital power of tech giants. However， based on the tradition of hierarchical regulation at the federal and state levels and self-regulation by the market， federal data privacy legislation faces the legislative dilemma of conflicting central and local legislation， the game of political interest groups， and the paradox of data regulatory goals. On the one hand， the introduction of federal data privacy legislation will likely form a new global privacy standard and set a business model that is different from GDPR. On the other hand， it could also become a new global digital trade barrier and a tool for U.S.-style state sanctions.

Keywords： American Privacy Rights Act; United States Federal Legislation; Data Privacy; Data Protection; Regulatory Strategy