原標題:美國兩議員重提《在線隱私法》,建議引入專門數字隱私機構

近年來,全球圍繞數據隱私立法進展迅速,隱私保護的治理格局變化巨大。

被譽爲目前世界上最全面的數據隱私法的歐盟《通用數據保護條例》(GDPR)於2018年5月正式生效,對全球的互聯網科技企業的合規和隱私策略產生了重大影響。今年11月1日,我國《個人信息保護法》也正式施行,標誌着我國網絡數據法律體系愈發完善。

相比之下,雖然美國聯邦隱私法的討論已經持續了很長時間,但目前尚未形成一個統一和全面的框架。近日,美國兩位衆議員重新提出《在線隱私法》,希望建立專門的數字隱私機構。

美議員重提《在線隱私法》

“美國人的隱私權在數字時代被嚴重忽視。我們的在線私人信息經常被竊取、濫用、用於牟利或處理不當,”提出該法案的其中一位衆議員說。“我們的立法將通過確保每個人都可以控制自己的數據,公司對侵犯隱私的行爲負責,政府提供嚴厲但公平的執法,來恢復和保護美國人民的隱私權。”

共同提出該法案的另一衆議員表示,“最近關於科技公司濫用職權事件的揭露,表明國會必須採取行動。我們需要針對的是最普遍存在的在線隱私問題。而《在線隱私法》將通過保護用戶數據和爲在線公司制定明確、堅定的標準來解決問題。該法案防止了個人信息的濫用收集和保留。”

立法文件顯示,《在線隱私法》的系列條款包含多方面內容,例如確立用戶數據權利,限制公司對用戶數據的收集和使用,和建立數字隱私機構(DPA)執行隱私法。

據瞭解,這兩位議員最初於2019年提出《在線隱私法》。此次重新提議後的立法包括幾項改進的條款和額外的隱私保護,包括DPA 中增加一個民權辦公室,並授權州隱私監管機構(例如加利福尼亞隱私保護局)與州檢察長一起執行立法,以及建設用戶投訴數據庫等。

隱私保護組織美國電子隱私信息中心(Electronic privacy Information Center,簡稱EPIC)的副主任Caitriona Fitzgerald表示,“該法案明確了互聯網用戶的權利,能促進創新。同時,法案提出建立數字隱私機構以確保充分監督,這是國會應該制定的法案。”

差異化和匹配性的制度設計

差異化和匹配性的制度設計出現在此次的《在線隱私法》中。立法文件顯示,符合條件的中小企業的經營活動可以豁免。文件中,這些企業被定義爲員工少於 200 人、年收入低於 2500 萬美元、沒有大型個人信息數據庫以及不以建立在處理或銷售個人數據上爲核心商業模式的企業。

“不同規模的個人信息處理者,在處理個人信息的技術水平、風險和模式上存在差異,因此制度設計需要“因人而異”。”中國信息通信研究院互聯網法律研究中心高級研究員楊婕表示。

對於小型個人信息處理者,考慮到其技術水平、風險等級與大型個人信息處理者之間的巨大差異,是否應進行部分義務的豁免,全球範圍內還處於探索階段,少數國家對此作出了規定。例如,GDPR明確要求考慮微型、小型以及中型經濟主體的特定需求,但還未出臺具有實踐指導性的文件;美國在《加州消費者隱私法》(CCPA)中明確,規制對象僅涵蓋收入超過2500萬美元的企業,以及銷售大量個人信息的數據經紀人,直接將中小型企業排除在調整範圍之外;印度《個人數據保護法(草案)》及澳大利亞《隱私法》中對小型企業作出界定,並直接豁免其部分個人信息保護義務。

而我國的《個人信息保護法》同樣回應了小型個人信息處理者問題,第六十二條明確由國家網信部門針對小型個人信息處理者制定專門個人信息保護規則、標準的規定。“這一規定留出了針對小型個人信息處理者的立法空間,下一步國家網信部門可以在降低要求、責任豁免等方面對小型個人信息處理者作出專門規則設計。”楊婕說。

設立隱私和個人信息保護專門機構

事實上,美國至今仍沒有全面的聯邦個人信息保護法,也沒有設立隱私和個人信息保護專門機構,而是由聯邦貿易委員會(FTC)作爲綜合性、跨越行業的個人隱私保護執法機構,對於大部分商業實體具有隱私保護相關事宜的進行管轄,並有權在特定領域(例如電話營銷,商業電子郵件和兒童隱私)發佈和執行隱私條例。

此次法案中提出建立專門數字隱私機構(DPA)執行隱私法正是建立在這一背景之下。

楊婕介紹,FTC涉及隱私執法的具體部門是消費者保護局,其中的隱私和身份保護部成立於2006年,主要通過執法、規則制定、政策發展、消費者和商業延伸等方式,解決不斷出現的消費者隱私事件。“個人信息保護機構是一國個人信息保護立法的實施機構,全面負責本國個人信息保護及相關事宜,是一國個人信息保護體制的核心組成部分。”楊婕說。

目前,全球超過九十個國家和地區依法成立或設立了專門的個人信息保護機構,其中既包括英國、德國、法國、美國等西方發達國家,也有亞洲的日本、韓國、新加坡等國,並且數量還在不斷增長。“這些個人信息保護機構一般都由法律明確授予職權,具有相對獨立的法律地位,主動執法、嚴格執法,全面支撐本國個人信息保護工作的運轉。”楊婕補充解釋道。

雖無一般性的聯邦個人信息保護法,但近年來美國各州層面個人信息保護立法比較活躍。當前,美國已經有3個州相繼出臺綜合性的全面隱私保護的法規,比如加利福尼亞州就在2018年頒佈了《加州消費者隱私法案》(CCPA),該法案於2020年1月1日生效,是美國第一個全面的隱私法。隨後,科羅拉多州和弗吉尼亞州也相繼頒佈全面隱私立法。

值得注意的是,2020年11月3日,加州通過了《加州隱私權與執法法案》(CPRA),該提案修正並擴展了CCPA。同時CPRA創建了一個獨立的數據監管機構,該機構將負責執行違反CPRA的行爲。

其他各州的全面隱私保護立法也在如火如荼地推進,全美州立法機關會議數據顯示,截至9月,2021年內已經有38個州提出了160 多項與消費者隱私相關的法案,其中綜合性隱私立法是最爲常見,在2021年至少有25個州曾提出過類似法案。

(作者:李潤澤子 編輯:魏雯靜)

相關文章