综合五月天,少妇极度饥渴少妇高潮

隱私保護(hù)觀察 |《美國(guó)數(shù)據(jù)隱私和保護(hù)法案》：利益團(tuán)體的努力和妥協(xié)【走出去智庫(kù)】

來(lái)源網(wǎng)絡(luò)

2022-06-14

848

走出去智庫(kù)觀察當(dāng)?shù)貢r(shí)間6月3日，美國(guó)兩院聯(lián)合發(fā)布《美國(guó)數(shù)據(jù)隱私和保護(hù)法案》（簡(jiǎn)稱

走出去智庫(kù)觀察

當(dāng)?shù)貢r(shí)間6月3日，美國(guó)兩院聯(lián)合發(fā)布《美國(guó)數(shù)據(jù)隱私和保護(hù)法案》（簡(jiǎn)稱“《法案》”）草案文本，這是首個(gè)獲得兩黨、兩院支持的全面的關(guān)于國(guó)家數(shù)據(jù)隱私和數(shù)據(jù)安全框架的立法草案。

走出去智庫(kù)（CGGT）觀察到，《法案》體現(xiàn)了美國(guó)一以貫之追求數(shù)據(jù)處理活動(dòng)的高自由度和數(shù)據(jù)價(jià)值釋放的理念，也體現(xiàn)了美國(guó)這樣一個(gè)在數(shù)字經(jīng)濟(jì)中暫時(shí)領(lǐng)跑的國(guó)家對(duì)于兒童和青少年個(gè)人信息保護(hù)、大型數(shù)據(jù)持有者行為的特殊關(guān)切，還體現(xiàn)了美國(guó)各個(gè)利益團(tuán)體為盡快推出聯(lián)邦層面綜合性隱私保護(hù)法所作出的努力和妥協(xié)。

美國(guó)隱私保護(hù)立法有哪些特點(diǎn)？今天，走出去智庫(kù)（CGGT）刊發(fā)針對(duì)《法案》的解讀文章，供關(guān)注全球隱私保護(hù)的讀者參考。

要點(diǎn)

CGGT，CHINA GOING GLOBAL THINKTANK

1、《法案》將忠誠(chéng)義務(wù)的規(guī)定細(xì)化為：數(shù)據(jù)最小化原則；具體的忠誠(chéng)義務(wù)；設(shè)計(jì)的隱私保護(hù)；禁止價(jià)格歧視四大類。

2、《法案》規(guī)定除非取得個(gè)人肯定性明確同意，并通過(guò)單獨(dú)的、明確的通知對(duì)第三方傳輸?shù)姆绞竭M(jìn)行解釋，否則不得將個(gè)人互聯(lián)網(wǎng)搜索或?yàn)g覽歷史的聚合數(shù)據(jù)向第三方傳輸。

3、《法案》對(duì)于與其他聯(lián)邦或州法律的在適用方面的協(xié)調(diào)問(wèn)題作出了明確規(guī)定，整體呈現(xiàn)出克制的色彩。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

一、《美國(guó)數(shù)據(jù)隱私和保護(hù)法案》背景介紹

美國(guó)現(xiàn)行私營(yíng)部門隱私保護(hù)成文法錯(cuò)綜復(fù)雜，保護(hù)框架上分為一般性的消費(fèi)者保護(hù)，以及針對(duì)具體領(lǐng)域的特別保護(hù)。在一般性的消費(fèi)者保護(hù)上，可以由聯(lián)邦貿(mào)易委員會(huì)通過(guò)執(zhí)行《聯(lián)邦貿(mào)易委員會(huì)法》第5條對(duì)一般性的消費(fèi)者保護(hù)問(wèn)題進(jìn)行監(jiān)管。在具體領(lǐng)域或具體場(chǎng)景的保護(hù)上，美國(guó)聯(lián)邦和各州針對(duì)醫(yī)療健康、金融、電信、在線服務(wù)、教育、數(shù)字化營(yíng)銷、勞工關(guān)系、兒童個(gè)人信息保護(hù)、數(shù)據(jù)安全事件、行政執(zhí)法、訴訟和政府調(diào)查中的數(shù)據(jù)調(diào)取等問(wèn)題進(jìn)行了特別規(guī)定。

近年來(lái)，多國(guó)陸續(xù)出臺(tái)了綜合性的個(gè)人信息/個(gè)人數(shù)據(jù)保護(hù)法，受此影響，美國(guó)國(guó)內(nèi)出臺(tái)聯(lián)邦層面規(guī)制私營(yíng)部門的綜合性隱私保護(hù)法的呼聲愈發(fā)強(qiáng)烈。民主黨議員提出的代表性法案有包括《在線隱私法案2021》（H.R.6027）、《數(shù)據(jù)保護(hù)法案2021》（S.2134，S.919）、《保護(hù)消費(fèi)者信息法案》（H.R.474）、《數(shù)字服務(wù)監(jiān)督與安全法案2022》（H.R.6796）、《信息透明和個(gè)人數(shù)據(jù)控制法案》（H.R.1816）、《消費(fèi)者在線隱私權(quán)法案》（S.3195）；共和黨議員提出的代表性法案包括：《消費(fèi)者數(shù)據(jù)隱私與安全法案2021》（S.1494）、《制定美國(guó)框架以確保數(shù)據(jù)訪問(wèn)、透明度和責(zé)任法案》（S.2499）。但兩黨、兩院和相關(guān)利益團(tuán)體始終在兩個(gè)問(wèn)題上無(wú)法達(dá)成共識(shí)：第一，聯(lián)邦法律是否應(yīng)當(dāng)優(yōu)先于州法律適用；第二，是否應(yīng)當(dāng)在法律中設(shè)置私人訴訟權(quán)。

本次美國(guó)眾議院和參議院商務(wù)委員會(huì)的主要成員聯(lián)合發(fā)布的《美國(guó)數(shù)據(jù)隱私和保護(hù)法案》草案（American Data ?Privacy and Protection Act，以下簡(jiǎn)稱“《法案》”）是首份獲得兩黨、兩院支持的美國(guó)聯(lián)邦層面綜合性隱私保護(hù)法草案，[1]眾議院將于6月14日就法案舉行聽(tīng)證會(huì)。[2]《法案》在個(gè)人數(shù)據(jù)保護(hù)的總體思路上和歐盟《一般數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱“GDPR”）以及我國(guó)《個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“《個(gè)保法》”）截然不同。主要內(nèi)容上，提出了“忠誠(chéng)義務(wù)”的概念；進(jìn)一步加強(qiáng)了對(duì)兒童和青少年的個(gè)人數(shù)據(jù)保護(hù)；針對(duì)“大型數(shù)據(jù)持有者”設(shè)立了更為嚴(yán)苛的合規(guī)義務(wù)。針對(duì)此前爭(zhēng)議較大的優(yōu)先適用和私人訴訟權(quán)的問(wèn)題，法案也作出了明確回應(yīng)。《法案》對(duì)于理論界和實(shí)務(wù)屆判斷美國(guó)隱私保護(hù)法的發(fā)展有一定意義，為此，筆者結(jié)合《法案》文本和摘要，對(duì)部分要點(diǎn)作簡(jiǎn)要分析。

二、高自由度——重視個(gè)人數(shù)據(jù)底線保護(hù)之上的價(jià)值釋放

《法案》在保護(hù)邏輯上與歐盟GDPR和我國(guó)《個(gè)保法》存在著根本性的不同，體現(xiàn)出高自由度、重視個(gè)人數(shù)據(jù)底線保護(hù)之上的價(jià)值釋放的特點(diǎn)。歐盟GDPR和我國(guó)《個(gè)保法》在一般情況下禁止開(kāi)展個(gè)人信息處理活動(dòng)，除非具備相應(yīng)的合法性基礎(chǔ)。例如GDPR第6條“數(shù)據(jù)處理活動(dòng)的合法性”第1款規(guī)定，“僅在以下至少一項(xiàng)適用的情況下，數(shù)據(jù)處理活動(dòng)方具備合法性”。又如我國(guó)《個(gè)保法》第13條第1款規(guī)定，“符合下列情形之一的，個(gè)人信息處理者方可處理個(gè)人信息”?！斗ò浮返谋Ｗo(hù)邏輯則截然相反，并不要求數(shù)據(jù)處理活動(dòng)的開(kāi)展具備合法性基礎(chǔ)為前提，而是列明了特定情況下對(duì)個(gè)人數(shù)據(jù)處理活動(dòng)的限制。例如收集、處理、向第三方傳輸個(gè)人敏感數(shù)據(jù)的情況必需取得相關(guān)個(gè)人的明確同意；又如禁止向未滿17歲的個(gè)人投放定向廣告；又如受管轄實(shí)體不得以歧視性方式收集、處理或傳輸受保護(hù)數(shù)據(jù)等情況（詳見(jiàn)后文）。在此基礎(chǔ)上，《法案》又對(duì)限制處理的情況設(shè)置一般性例外條件。在滿足合理必要性、相稱性且僅限于特定目的的情況下，可以出于發(fā)起或完成交易、維護(hù)系統(tǒng)、改進(jìn)產(chǎn)品或服務(wù)、解決安全事件、防止欺詐或非法活動(dòng)、遵守法律義務(wù)或行使法律請(qǐng)求、防止個(gè)人遭受嚴(yán)重?fù)p害、根據(jù)法律召回產(chǎn)品、為公共利益或符合法律規(guī)定的科學(xué)/歷史/統(tǒng)計(jì)研究目的、與執(zhí)法機(jī)構(gòu)合作等目的得到限制處理情況的豁免。

在這樣高自由度的基礎(chǔ)上，《法案》特別突出了數(shù)據(jù)最小化原則的重要性，形式上，將數(shù)據(jù)最小化原則置于文本中除了定義條款之外的第一項(xiàng)實(shí)體性規(guī)定中，作為一項(xiàng)基線義務(wù)貫穿全文。內(nèi)容上，要求受管轄實(shí)體無(wú)論是否獲得個(gè)人同意或是否滿足透明度要求，都不得任意超出合理必要范圍收集和處理個(gè)人數(shù)據(jù)，并要求FTC出臺(tái)有關(guān)合理必要、適當(dāng)、受限等概念的細(xì)致指南。

三、忠誠(chéng)義務(wù)

此前參議院議員提出的《消費(fèi)者在線隱私權(quán)法案》（S.3195）和《數(shù)據(jù)保護(hù)法案2021》（S.919）中亦有對(duì)忠誠(chéng)義務(wù)（Duty of Loyalty）的規(guī)定，主要內(nèi)容是“受管轄實(shí)體不得從事欺騙性或損害性數(shù)據(jù)處理活動(dòng)”以及“受管轄實(shí)體不得以任何違反法案規(guī)定的方式處理或傳輸個(gè)人數(shù)據(jù)”，違反此類忠誠(chéng)義務(wù)的行為包括“以使得終端用戶受損的方式使得在線服務(wù)提供商受益”，“可合理預(yù)見(jiàn)的情況下將會(huì)導(dǎo)致個(gè)人承受重大物理性損害或金錢損害”和“對(duì)理性的終端用戶而言是無(wú)法預(yù)料且高度侵犯性的行為”，[3]相對(duì)較為模糊。

《法案》則將忠誠(chéng)義務(wù)的規(guī)定細(xì)化為：數(shù)據(jù)最小化原則；具體的忠誠(chéng)義務(wù)（Loyalty Duties）；設(shè)計(jì)的隱私保護(hù)；禁止價(jià)格歧視四大類。其中，具體的忠誠(chéng)義務(wù)對(duì)限制性和禁止性數(shù)據(jù)處理活動(dòng)作出詳細(xì)規(guī)定，包括：

第一，與社會(huì)保險(xiǎn)號(hào)碼有關(guān)的處理活動(dòng)。除非出于信貸展期、認(rèn)證或繳納和征收稅款的目的，不得收集、處理或轉(zhuǎn)移個(gè)人的社會(huì)保險(xiǎn)號(hào)碼。

第二，與個(gè)人的精確地理位置信息有關(guān)的處理活動(dòng)。除非取得個(gè)人的肯定性明確同意，并且通過(guò)單獨(dú)的、明確的通知對(duì)轉(zhuǎn)移方式進(jìn)行解釋，否則不得將個(gè)人的精確地理位置信息傳輸給第三方。

第三，與生物特征信息有關(guān)的處理活動(dòng)。除非出于數(shù)據(jù)安全、認(rèn)證、遵守法律義務(wù)、主張權(quán)利、執(zhí)法等目的或取得個(gè)人肯定性明確同意的情況下，并且通過(guò)單獨(dú)的、明確的通知對(duì)收集、處理和向第三方傳輸?shù)姆绞竭M(jìn)行解釋，否則不得收集、處理和傳輸生物特征信息。

第四，與密碼有關(guān)的處理活動(dòng)。除非是傳輸給指定的密碼管理人，或者是專門用于查明跨網(wǎng)站或賬戶重復(fù)使用的密碼的受管轄實(shí)體，否則不得向第三方傳輸密碼。

第五，與非自愿拍攝的私密圖像（nonconsensual intimate images）有關(guān)的處理活動(dòng)。除非是出于執(zhí)法目的，否則不得收集、處理和向第三方傳輸非自愿拍攝的私密圖像。

第六，與遺傳信息有關(guān)的處理活動(dòng)。除非是出于診斷、治療、醫(yī)學(xué)研究或執(zhí)法調(diào)查的目的，在取得個(gè)人肯定性明確同意的情況下，并通過(guò)單獨(dú)的、明確的通知對(duì)收集、處理和向第三方傳輸?shù)姆绞竭M(jìn)行解釋，否則不得收集、處理和向第三方傳輸遺傳信息。

第七，有關(guān)聚合數(shù)據(jù)的處理活動(dòng)。除非取得個(gè)人肯定性明確同意，并通過(guò)單獨(dú)的、明確的通知對(duì)第三方傳輸?shù)姆绞竭M(jìn)行解釋，否則不得將個(gè)人互聯(lián)網(wǎng)搜索或?yàn)g覽歷史的聚合數(shù)據(jù)向第三方傳輸。

第八，與個(gè)人身體活動(dòng)信息有關(guān)的處理活動(dòng)。除非取得個(gè)人肯定性明確同意，并通過(guò)單獨(dú)的、明確的通知對(duì)第三方傳輸?shù)姆绞竭M(jìn)行解釋，否則不得將智能手機(jī)或可穿戴設(shè)備中的個(gè)人身體活動(dòng)信息向第三方傳輸，傳輸至該個(gè)人的另一設(shè)備或服務(wù)的情況除外。

四、對(duì)大型數(shù)據(jù)持有者的特殊規(guī)制

2020年，歐盟提出了《數(shù)字服務(wù)法案》對(duì)大型數(shù)字平臺(tái)提出了嚴(yán)格的內(nèi)容監(jiān)管義務(wù)，提出了《數(shù)字市場(chǎng)法案》對(duì)數(shù)字市場(chǎng)的競(jìng)爭(zhēng)秩序進(jìn)行規(guī)制。美國(guó)在2021年提出了針對(duì)數(shù)字市場(chǎng)競(jìng)爭(zhēng)秩序的六大法案。

2022年，美國(guó)對(duì)數(shù)字平臺(tái)提出了綜合性平臺(tái)管理法《數(shù)字平臺(tái)委員會(huì)法案》，對(duì)數(shù)字平臺(tái)在消費(fèi)者保護(hù)、數(shù)據(jù)可攜權(quán)、算法決策等問(wèn)題進(jìn)行特殊規(guī)制。《法案》則對(duì)“大型數(shù)據(jù)持有者”設(shè)置了個(gè)人信息保護(hù)方面的特殊義務(wù)。在身份判定上，《法案》從定量方面進(jìn)行規(guī)定，大型數(shù)據(jù)持有者是年收入在2.5億美元以上，并且收集、處理或轉(zhuǎn)移超過(guò)500萬(wàn)人的個(gè)人數(shù)據(jù)或者超過(guò)10萬(wàn)人的敏感個(gè)人數(shù)據(jù)的實(shí)體?！秱€(gè)保法》則從“重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜”定性加定量的方式進(jìn)行規(guī)定。

《法案》在具體義務(wù)方面，第一，強(qiáng)化告知義務(wù)。除了公開(kāi)隱私政策外，還需要將其數(shù)據(jù)實(shí)踐通過(guò)簡(jiǎn)短通知的方式告知個(gè)人。第二，快速響應(yīng)個(gè)人的權(quán)利請(qǐng)求。對(duì)于個(gè)人的數(shù)據(jù)權(quán)利請(qǐng)求，大型數(shù)據(jù)持有者應(yīng)在核實(shí)請(qǐng)求后的30日內(nèi)完成處理，其他主體處理時(shí)限則放寬至核實(shí)請(qǐng)求后的60日。第三，算法影響評(píng)估的強(qiáng)制性義務(wù)。使用算法處理受保護(hù)數(shù)據(jù)的大型數(shù)據(jù)持有者應(yīng)當(dāng)在每年對(duì)相關(guān)算法進(jìn)行影響評(píng)估。第四，向聯(lián)邦貿(mào)易委員會(huì)的報(bào)告義務(wù)。法案實(shí)施一年后，大型數(shù)據(jù)持有者的首席執(zhí)行官（或最高級(jí)別管理者）、數(shù)據(jù)隱私官、數(shù)據(jù)安全官需要向FTC進(jìn)行年報(bào)，報(bào)告內(nèi)部控制、結(jié)構(gòu)、人員參與和對(duì)法案遵守情況等事項(xiàng)。第五，隱私影響評(píng)估。法案頒布后一年內(nèi)或受管轄實(shí)體符合大型數(shù)據(jù)持有者定義的一年內(nèi)（以較早者為準(zhǔn)），大型數(shù)據(jù)持有者應(yīng)當(dāng)進(jìn)行隱私影響評(píng)估，并在此后兩年進(jìn)行一次更新。第六，內(nèi)部人員報(bào)告。大型數(shù)據(jù)持有者應(yīng)當(dāng)至少一名作為內(nèi)部監(jiān)督者的隱私保護(hù)官直接向其最高級(jí)別管理者報(bào)告。第七，定期全面審計(jì)。大型數(shù)據(jù)持有者應(yīng)當(dāng)指定至少一名作為內(nèi)部監(jiān)督者的隱私保護(hù)官定期對(duì)其的政策、做法和程序的合規(guī)性進(jìn)行審計(jì)。第八，員工培訓(xùn)計(jì)劃。大型數(shù)據(jù)持有者應(yīng)當(dāng)指定至少一名作為內(nèi)部監(jiān)督者的隱私保護(hù)官制定對(duì)員工進(jìn)行合規(guī)要求方面的教育和培訓(xùn)的計(jì)劃。第九，記錄保存義務(wù)。大型數(shù)據(jù)持有者應(yīng)當(dāng)指定至少一名作為內(nèi)部監(jiān)督者的隱私保護(hù)官對(duì)其采取的所有隱私和數(shù)據(jù)安全做法保持更新、準(zhǔn)確、清晰和可理解的記錄。第十，設(shè)置與執(zhí)法機(jī)構(gòu)的聯(lián)絡(luò)官。大型數(shù)據(jù)持有者應(yīng)當(dāng)指定至少一名作為內(nèi)部監(jiān)督者的隱私保護(hù)官作為其與執(zhí)法機(jī)構(gòu)之間的聯(lián)絡(luò)官。

五、對(duì)兒童和未成年人個(gè)人數(shù)據(jù)保護(hù)的特殊關(guān)切

《法案》對(duì)兒童和未成年人的個(gè)人數(shù)據(jù)保護(hù)作出了特別規(guī)定，主要包括：第一，禁止受管轄實(shí)體向明知是未滿17歲的個(gè)人投放定向廣告；第二，未經(jīng)肯定性明確同意，禁止受管轄實(shí)體向第三方傳輸明知（has actual knowledge）是13歲至17歲個(gè)人的個(gè)人數(shù)據(jù)；第三，在聯(lián)邦貿(mào)易委員會(huì)內(nèi)部設(shè)青少年隱私和營(yíng)銷司，解決童和未成年人的隱私和營(yíng)銷問(wèn)題。該部門必須向國(guó)會(huì)提交年度報(bào)告，并雇傭包括青年發(fā)展、數(shù)據(jù)保護(hù)、數(shù)字廣告和數(shù)據(jù)分析專家在內(nèi)的員工；第四，對(duì)《1998年兒童在線隱私保護(hù)法》（COPPA）的評(píng)估報(bào)告。要求FTC有關(guān)負(fù)責(zé)人每?jī)赡晗驀?guó)會(huì)提交一份報(bào)告，分析COPPA安全港條款的公平性和有效性。

除此之外，《法案》對(duì)與COPPA相關(guān)條款的適用問(wèn)題也進(jìn)行了明確?！斗ò浮酚嘘P(guān)條款并不直接修正COPPA項(xiàng)下的相關(guān)規(guī)定，但法案正式頒布后180天內(nèi)，F(xiàn)TC須得修改COPPA配套規(guī)則，以符合《法案》項(xiàng)下對(duì)受管轄實(shí)體的附加要求。

六、與其他聯(lián)邦或州法律的在適用方面的協(xié)調(diào)

《法案》對(duì)于與其他聯(lián)邦或州法律的在適用方面的協(xié)調(diào)問(wèn)題作出了明確規(guī)定，整體呈現(xiàn)出克制的色彩。《法案》明確，就聯(lián)邦法律而言，在《法案》未作出特別規(guī)定的一般情況下，不對(duì)其他聯(lián)邦法律的適用構(gòu)成限制。也即，《法案》并不優(yōu)先于現(xiàn)有的諸如《公平信用報(bào)告法》《健康保險(xiǎn)攜帶和責(zé)任法》等聯(lián)邦法律適用，并且特別規(guī)定，受管轄主體行為符合《格雷姆-里奇-比利雷法》（GLBA）、《衛(wèi)生信息技術(shù)促進(jìn)經(jīng)濟(jì)和臨床健康法》（HITECH）、《家庭教育權(quán)利和隱私法》（FERPA）等法律規(guī)定的，視為滿足《法案》的規(guī)定。就州法律而言，《法案》未作出特別規(guī)定的一般情況下，《法案》優(yōu)先于為《法案》條款所覆蓋的州法律適用，但列出了保留（Preservation）適用的州法律類型和具體的州法律，包括：第一，具有一般適用性的消費(fèi)者保護(hù)法（特別規(guī)定，違反《法案》規(guī)定的事實(shí)并不當(dāng)然認(rèn)定為違反此類法律）；第二，民權(quán)法；第三，與隱私權(quán)或其他保護(hù)雇員、雇員信息、學(xué)生或?qū)W生信息有關(guān)的法律；第四，與數(shù)據(jù)違規(guī)事件通知有關(guān)的法律；第五，合同法或侵權(quán)法；第六，與欺詐、盜竊、未經(jīng)授權(quán)訪問(wèn)信息或電子設(shè)備，或者未經(jīng)授權(quán)使用信息、惡意行為或類似規(guī)定有關(guān)的刑法或刑事訴訟法；第七，與網(wǎng)絡(luò)跟蹤、網(wǎng)絡(luò)霸凌、非自愿色情圖像或性騷擾有關(guān)的刑事或民事法律；第八，與公共安全有關(guān)的法律，或者與隱私或安全無(wú)關(guān)的特定部門法；第九，與公共記錄、刑事司法信息系統(tǒng)、逮捕記錄、面部照片、定罪記錄或非定罪記錄有關(guān)的法律；第十，與銀行記錄、財(cái)務(wù)記錄、稅務(wù)記錄、社會(huì)保障號(hào)碼、信用卡、信用報(bào)告和調(diào)查、信用修復(fù)、信用診所或支票兌付有關(guān)的法律；第十一，僅涉及面部識(shí)別或面部識(shí)別技術(shù)、電子監(jiān)控、竊聽(tīng)或電話監(jiān)控的法律；第十二，《生物特征信息隱私法》（例如伊利諾伊州《生物特征信息隱私法》740 ILCS 14）和《基因信息隱私法》（例如伊利諾伊州《基因信息隱私法》410 ILCS 513）；第十三，與未經(jīng)請(qǐng)求的電子郵件、電話征集或來(lái)電顯示有關(guān)的法律；第十四，與健康信息、醫(yī)療信息、醫(yī)療記錄、HIV狀態(tài)或HIV檢測(cè)有關(guān)的法律；第十五，與圖書館記錄保密性有關(guān)的法律。第十六，《加州民法典》第1798.150節(jié)（《加州消費(fèi)者隱私法》中有關(guān)個(gè)人訴訟和損害賠償?shù)牟糠郑３酥?，《法案》與《1934年通信法》及聯(lián)邦通信貿(mào)易委員會(huì)據(jù)此發(fā)布的法規(guī)作了區(qū)分。

在涉及個(gè)人訴訟與救濟(jì)的問(wèn)題上，《法案》的相關(guān)規(guī)定在一般情況下并不優(yōu)先于聯(lián)邦普通法或成文法中的相關(guān)規(guī)定適用，除非違反《法案》規(guī)定的事實(shí)不能夠作為聯(lián)邦普通法或成文法中訴由的構(gòu)成要件。

七、有限的私人訴訟權(quán)

此前，關(guān)于是否應(yīng)當(dāng)在聯(lián)邦隱私法中設(shè)置私人訴訟權(quán)的討論，大體有三類觀點(diǎn)：第一種是設(shè)立廣泛的私人訴訟權(quán)，類似于我國(guó)《個(gè)人信息保護(hù)法》或歐盟GDPR的方式；第二種是設(shè)立有限的私人訴訟權(quán)，類似于CCPA的規(guī)定；第三種是完全取消私人訴訟權(quán)，將提起訴訟的權(quán)利交由監(jiān)管機(jī)構(gòu)或司法部長(zhǎng)，類似于伊利諾伊州《生物特征信息隱私法》修正案（HB 0560）采用的方式。

考慮到廣泛的私人訴訟權(quán)可能導(dǎo)致滋擾性訴訟，小企業(yè)可能面臨的高昂訴訟成本將會(huì)扼殺創(chuàng)新，相當(dāng)部分有影響力的立法專家都認(rèn)為應(yīng)當(dāng)對(duì)私人訴訟權(quán)進(jìn)行限制。2021年9月29日參議院商務(wù)委員會(huì)舉行的關(guān)于保護(hù)消費(fèi)者隱私的聽(tīng)證會(huì)上，前FTC代理主席Maureen Ohlhausen、前FTC消費(fèi)者保護(hù)局局長(zhǎng)David Vladeck和前FTC首席技術(shù)專家Ashkan Soltani都認(rèn)可私人訴訟權(quán)對(duì)于隱私保護(hù)的積極意義，認(rèn)為應(yīng)當(dāng)設(shè)立精心設(shè)計(jì)的、被關(guān)在圍欄里的有限私人訴訟權(quán)，在保護(hù)消費(fèi)者和防止濫訴之間尋求平衡。[4]

或許考慮到這些原因，《法案》設(shè)置了有限的私人訴訟權(quán)，其有限性體現(xiàn)在：第一：起訴時(shí)間的限制。《法案》規(guī)定，在法案生效4年后，因受管轄實(shí)體違反《法案》及相關(guān)規(guī)的行為而遭受損害的個(gè)人和集體才可以提起訴訟。第二，訴訟程序的限制。在提起訴訟之前，個(gè)人必需將提起訴訟的意圖以書面形式通知聯(lián)邦貿(mào)易委員會(huì)和居住地有管轄權(quán)的司法部長(zhǎng)，監(jiān)管部門將在60日內(nèi)決定是否由監(jiān)管部門提起單獨(dú)的訴訟。在此期限屆滿前或其中一個(gè)監(jiān)管部門提起訴訟前，個(gè)人向有關(guān)的受管轄實(shí)體提出金錢給付請(qǐng)求將被視為是出于惡意（Bad Faith）。目前，尚不確定監(jiān)管部門獨(dú)立起訴會(huì)不會(huì)導(dǎo)致個(gè)人喪失訴權(quán)，但筆者理解，從文義解釋看，既然監(jiān)管機(jī)構(gòu)可以在接收到個(gè)人通知后決定是否提起的是獨(dú)立的訴訟（independently seek to take action），那么就不會(huì)導(dǎo)致個(gè)人喪失訴權(quán)。第三，損害賠償范圍的限制?！斗ò浮穼⒕葷?jì)措施限定為補(bǔ)償性損害賠償金、禁令或聲明性救濟(jì)、合理的律師費(fèi)和訴訟費(fèi)，沒(méi)有將懲罰性損害賠償金納入在內(nèi)，也沒(méi)有如同《加州消費(fèi)者隱私保護(hù)法》《伊利諾伊州生物特征信息隱私法》等在先法律規(guī)定法定損害賠償金。

結(jié) 語(yǔ)

整體而言，我們可以從《法案》中看到各個(gè)利益團(tuán)體為盡快推出聯(lián)邦層面綜合性隱私保護(hù)法所作出的努力和妥協(xié)。例如，在優(yōu)先適用問(wèn)題上的克制，在有限私人訴訟權(quán)中規(guī)定的起訴時(shí)間點(diǎn)在法案生效的四年之后，似乎都是為了在這類問(wèn)題沒(méi)有明確答案的情況下做出的讓步。同時(shí)，我們也可以看到美國(guó)這樣一個(gè)在數(shù)字經(jīng)濟(jì)中暫時(shí)領(lǐng)跑的國(guó)家對(duì)于兒童和青少年個(gè)人信息保護(hù)、大型數(shù)據(jù)持有者行為的特殊關(guān)切。雖然《法案》僅僅走到立法程序的第一階段，但未來(lái)，美國(guó)立法者將會(huì)在聯(lián)邦層面綜合性隱私保護(hù)法中作出怎樣的創(chuàng)新，對(duì)所有國(guó)家都具有重大意義。

[1] 草案全文，請(qǐng)見(jiàn)：

https://energycommerce.house.gov/sites/democrats.energycommerce.house.gov/files/documents/Bipartisan_Privacy_Discussion_Draft_Bill_Text.pdf；草案摘要，請(qǐng)見(jiàn)：

https://energycommerce.house.gov/sites/democrats.energycommerce.house.gov/files/documents/Bipartisan_Privacy_Discussion_Draft_Section_by_Section.pdf

[2] 聽(tīng)證會(huì)信息，請(qǐng)見(jiàn)：

https://energycommerce.house.gov/newsroom/press-releases/house-and-senate-leaders-release-bipartisan-discussion-draft-of

[3] 請(qǐng)見(jiàn)：《數(shù)據(jù)保護(hù)法案2021》（S.919），

https://www.congress.gov/bill/117th-congress/senate-bill/919/text；另請(qǐng)見(jiàn)《消費(fèi)者在線隱私權(quán)法案》（S.3195），https://www.congress.gov/bill/117th-congress/senate-bill/3195/text

[4] 請(qǐng)見(jiàn)：

https://www.commerce.senate.gov/2021/9/protecting-consumer-privacy

文丨姬祥?信通院互聯(lián)網(wǎng)法律研究中心助理研究員

來(lái)源丨CAICT互聯(lián)網(wǎng)法律研究中心

延展閱讀

跨境數(shù)據(jù)觀察 | 歐盟GDPR的制度缺陷及其對(duì)我國(guó)《個(gè)人信息保護(hù)法》實(shí)施的警示

跨境數(shù)據(jù)合規(guī) | 《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》系列解讀之?dāng)?shù)據(jù)跨境篇

數(shù)據(jù)安全合規(guī) | 《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》系列解讀之個(gè)人信息保護(hù)篇

跨境數(shù)據(jù)合規(guī) | “流動(dòng)”的數(shù)據(jù)，“鐵打”的合規(guī)：解析《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》

數(shù)據(jù)合規(guī)觀察 | 如何打通個(gè)人信息保護(hù)與數(shù)據(jù)市場(chǎng)化利用的矛盾？

數(shù)據(jù)合規(guī)觀察 |《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》發(fā)布，數(shù)據(jù)合規(guī)要求進(jìn)一步明確

數(shù)據(jù)合規(guī)觀察 | 觀千劍而后識(shí)器：中美歐個(gè)人信息保護(hù)制度比較