美国两议员重提《在线隐私法》，建议引入专门数字隐私机构

原标题：美国两议员重提《在线隐私法》，建议引入专门数字隐私机构

近年来，全球围绕数据隐私立法进展迅速，隐私保护的治理格局变化巨大。

被誉为目前世界上最全面的数据隐私法的欧盟《通用数据保护条例》（GDPR）于2018年5月正式生效，对全球的互联网科技企业的合规和隐私策略产生了重大影响。今年11月1日，我国《个人信息保护法》也正式施行，标志着我国网络数据法律体系愈发完善。

相比之下，虽然美国联邦隐私法的讨论已经持续了很长时间，但目前尚未形成一个统一和全面的框架。近日，美国两位众议员重新提出《在线隐私法》，希望建立专门的数字隐私机构。

美议员重提《在线隐私法》

“美国人的隐私权在数字时代被严重忽视。我们的在线私人信息经常被窃取、滥用、用于牟利或处理不当，”提出该法案的其中一位众议员说。“我们的立法将通过确保每个人都可以控制自己的数据，公司对侵犯隐私的行为负责，政府提供严厉但公平的执法，来恢复和保护美国人民的隐私权。”

共同提出该法案的另一众议员表示，“最近关于科技公司滥用职权事件的揭露，表明国会必须采取行动。我们需要针对的是最普遍存在的在线隐私问题。而《在线隐私法》将通过保护用户数据和为在线公司制定明确、坚定的标准来解决问题。该法案防止了个人信息的滥用收集和保留。”

立法文件显示，《在线隐私法》的系列条款包含多方面内容，例如确立用户数据权利，限制公司对用户数据的收集和使用，和建立数字隐私机构（DPA）执行隐私法。

据了解，这两位议员最初于2019年提出《在线隐私法》。此次重新提议后的立法包括几项改进的条款和额外的隐私保护，包括DPA 中增加一个民权办公室，并授权州隐私监管机构（例如加利福尼亚隐私保护局）与州检察长一起执行立法，以及建设用户投诉数据库等。

隐私保护组织美国电子隐私信息中心（Electronic privacy Information Center，简称EPIC）的副主任Caitriona Fitzgerald表示，“该法案明确了互联网用户的权利，能促进创新。同时，法案提出建立数字隐私机构以确保充分监督，这是国会应该制定的法案。”

差异化和匹配性的制度设计

差异化和匹配性的制度设计出现在此次的《在线隐私法》中。立法文件显示，符合条件的中小企业的经营活动可以豁免。文件中，这些企业被定义为员工少于 200 人、年收入低于 2500 万美元、没有大型个人信息数据库以及不以建立在处理或销售个人数据上为核心商业模式的企业。

“不同规模的个人信息处理者，在处理个人信息的技术水平、风险和模式上存在差异，因此制度设计需要“因人而异”。”中国信息通信研究院互联网法律研究中心高级研究员杨婕表示。

对于小型个人信息处理者，考虑到其技术水平、风险等级与大型个人信息处理者之间的巨大差异，是否应进行部分义务的豁免，全球范围内还处于探索阶段，少数国家对此作出了规定。例如，GDPR明确要求考虑微型、小型以及中型经济主体的特定需求，但还未出台具有实践指导性的文件；美国在《加州消费者隐私法》（CCPA）中明确，规制对象仅涵盖收入超过2500万美元的企业，以及销售大量个人信息的数据经纪人，直接将中小型企业排除在调整范围之外；印度《个人数据保护法（草案）》及澳大利亚《隐私法》中对小型企业作出界定，并直接豁免其部分个人信息保护义务。

而我国的《个人信息保护法》同样回应了小型个人信息处理者问题，第六十二条明确由国家网信部门针对小型个人信息处理者制定专门个人信息保护规则、标准的规定。“这一规定留出了针对小型个人信息处理者的立法空间，下一步国家网信部门可以在降低要求、责任豁免等方面对小型个人信息处理者作出专门规则设计。”杨婕说。

设立隐私和个人信息保护专门机构

事实上，美国至今仍没有全面的联邦个人信息保护法，也没有设立隐私和个人信息保护专门机构，而是由联邦贸易委员会（FTC）作为综合性、跨越行业的个人隐私保护执法机构，对于大部分商业实体具有隐私保护相关事宜的进行管辖，并有权在特定领域（例如电话营销，商业电子邮件和儿童隐私）发布和执行隐私条例。

此次法案中提出建立专门数字隐私机构（DPA）执行隐私法正是建立在这一背景之下。

杨婕介绍，FTC涉及隐私执法的具体部门是消费者保护局，其中的隐私和身份保护部成立于2006年，主要通过执法、规则制定、政策发展、消费者和商业延伸等方式，解决不断出现的消费者隐私事件。“个人信息保护机构是一国个人信息保护立法的实施机构，全面负责本国个人信息保护及相关事宜，是一国个人信息保护体制的核心组成部分。”杨婕说。

目前，全球超过九十个国家和地区依法成立或设立了专门的个人信息保护机构，其中既包括英国、德国、法国、美国等西方发达国家，也有亚洲的日本、韩国、新加坡等国，并且数量还在不断增长。“这些个人信息保护机构一般都由法律明确授予职权，具有相对独立的法律地位，主动执法、严格执法，全面支撑本国个人信息保护工作的运转。”杨婕补充解释道。

虽无一般性的联邦个人信息保护法，但近年来美国各州层面个人信息保护立法比较活跃。当前，美国已经有3个州相继出台综合性的全面隐私保护的法规，比如加利福尼亚州就在2018年颁布了《加州消费者隐私法案》（CCPA），该法案于2020年1月1日生效，是美国第一个全面的隐私法。随后，科罗拉多州和弗吉尼亚州也相继颁布全面隐私立法。

值得注意的是，2020年11月3日，加州通过了《加州隐私权与执法法案》（CPRA），该提案修正并扩展了CCPA。同时CPRA创建了一个独立的数据监管机构，该机构将负责执行违反CPRA的行为。

其他各州的全面隐私保护立法也在如火如荼地推进，全美州立法机关会议数据显示，截至9月，2021年内已经有38个州提出了160 多项与消费者隐私相关的法案，其中综合性隐私立法是最为常见，在2021年至少有25个州曾提出过类似法案。

（作者：李润泽子编辑：魏雯静）