美国个人数据保护法律制度简介

来源:兰台律师事务所

文章摘要
导读 当地时间2019年7月12日,美国联邦贸易委员会(The U.S.

导读
当地时间2019年7月12日,美国联邦贸易委员会(The U.S. Federal Trade Commission, FTC)宣布就“2018年剑桥分析公司丑闻案”与Facebook公司达成和解,并对其开出50亿美元“罚单”。此罚款金额远超2012年FTC对谷歌公司处以的2250万美元罚款,创造了罚款新纪录[1]。Facebook数据泄露事件再次引发了公众对与大数据技术相关的新型社会风险的关注。本文的写作目的是对美国的数据保护法律制度进行简要介绍,希冀促进读者了解美国数据保护法规和数据治理模式。
1. 美国个人数据保护法律体系
与欧盟统一立法保护模式所不同,在个人信息保护领域,美国并没有一部综合性、统领性的联邦法律。
美国个人信息法是一个复杂的拼凑体,包括适用于特定问题或部门的联邦法、进一步解决个人隐私和信息安全的州级法律,以及联邦或州禁止不公平或欺骗性商业行为的规定和判例。
在联邦立法层次,个人信息保护法是部门化的,分别管辖金融、电信、个人健康信息、个人信用信息、邮件营销等特定领域[2]。
而在州立法层次,美国的50个州制定了数百个隐私和数据安全法规,涉及数据保护、数据处理、隐私政策、社会安全号码使用、数据泄露通知等多个领域。
例如,加利福尼亚州就有超过25项州隐私和数据安全法[3]。
2. FTC管辖下的个人信息保护
美国联邦贸易委员会(FTC)是执行个人信息保护的主要机关,在其权力范围内对广泛的商业实体拥有管辖权,以保护消费者免受不公平或欺诈性的贸易对待,其中就包括严重不公平的隐私和数据安全做法。
美国国会授权FTC授权执行的与个人信息保护有关的特定行业法规主要包括:
诚信借贷法(the Truth in Lending Act)、儿童线上隐私保护法(Children's Online Privacy Protection Act)、平等信用机会法(Equal Credit Opportunity Act)、公平债务催收法(Fair Debt Collection Practices Act)、电话营销及消费者欺诈和滥用预防法(Telemarketing and Consumer Fraud and Abuse Prevention Act),等等。
概括而言,FTC利用在授权范围内,对企业的如下行为进行调查和采取执法行动:
(1)未能实施合理的数据安全保障措施;
(2)做出严重不准确的隐私和安全声明(包括隐私政策);
(3)未遵守行业自律规则;
(4)没有在消费者隐私政策中明确披露,却试图或已经将消费者个人信息转移到拟破产企业或并购交易下的拟收购实体中;
(5)违反FTC的消费者隐私框架或国家隐私法律法规,通过违法收集、使用、共享或未能充分保护消费者信息而侵犯消费者隐私权[4]。
3. 其他联邦部门管辖下的个人信息保护
除FTC管辖范围内的法规之外,联邦部门还有六个主要的具体立法[5],分别介绍如下。
(1)金融服务现代化法
《金融服务现代化法》(Financial Services Modernization Act)又名“Gramm-Leach-Bliley法”,该法于1999年通过,消除了《1933年格拉斯-斯蒂格尔法》(Glass-Steagall Act)将银行、保险和经纪分隔的规定,使得银行可以进入金融服务和金融产品的所有支线[6]。
该法对金融机构使用消费者“非公开个人信息”(Nonpublic personal information)作出了规定。
“非公开个人信息”包括消费者由于与金融机构进行交易或接受金融机构服务而向金融机构提供的个人可识别财务信息,以及金融机构以其他方式获得的消费者个人可识别财务信息[7]。
为提供金融服务之须要,金融机构可以将消费者个人信息转移给其他公司,或者与信用报告机构或金融监管机构共享,但除此之外,金融机构不得泄露消费者的个人信息[8]。
(2)健康保险流通与责任法
《健康保险流通与责任法》(Health Insurance Portability and Accountability Act,简称HIPAA法)对所有医疗保健机构及其承包商提出了数据保护的最低标准,要求数据处理者采用行政、物理以及技术措施保护信息的机密性、完整性和可用性,并对安全事故进行汇报[9]。
受保护的个人健康信息指通过电子媒体或其他任何形式的媒介传播或存储的可识别的个人健康信息,包括涉及如下事项的人口统计数据:
个人过去、现在或未来的身体或精神健康状况;
个人医疗保健;
过去、现在或将来为个人提供医疗保健的费用,以及其他可识别具体个人的和有合理依据认为可用于识别具体个人的的人口统计数据[10]。
较未电子化的个人健康信息而言,HIPAA法对电子化的个人健康信息(electronic Protected Health Information, e-PHI)提出了更高的保护要求。
具体而言,数据处理者必须:
确保其创建、接收、维护或传输的所有e-PHI的机密性、完整性和可用性;
识别并防止对信息安全性或完整性的可预期威胁;
防止可预见的非法使用或泄露;
确保其员工合规操作[11]。
(3)反垃圾邮件法
《反垃圾邮件法》(CAN-SPAM Act )规范了个人电子邮件地址的收集和使用。
只要邮件的主要目的是商业广告或商业产品或服务的推广,发信人对收信人电子邮箱的收集和使用就受本法管辖[12]。
该法要求,商业电子邮件必须明确地表明本邮件为广告,并包含真实的发件人、主题信息、退订条款、寄件人地址[13]。
非法收集他人电子邮箱地址情节严重的,可能面临刑事处罚[14]。
(4) 公平信用报告法等
《公平信用报告法》(The Fair Credit Reporting Act)及对其进行修订的《公平和准确信用交易法》(Fair and Accurate Credit Transactions Act)适用于使用或提供“消费者报告”(Consumer reports)的消费者报告机构(consumer reporting agency ,CRA),比如出借方和信用卡公司。
“消费者报告”是指消费者报告机构就消费者的信誉、信用记录、信贷能力、个性和一般声誉发布的用于评估消费者信用或保险资格的任何信息[15]。
消费者报告机构须遵循合理的程序来确保信息的准确性;
如果数据不准确、不完整或无法验证,必须立即更正数据[16]。
(5)电子通信隐私法
《电子通信隐私法》(Electronic Communications Privacy Act)禁止未经他人同意或法院批准而对电子通信进行窃听,并禁止使用或披露通过非法窃听获取的任何信息[17]。
窃听(Interception),是指对电子、机械或其他设备进行的各种形式的通讯的内容进行听觉的或其他方式的获取[18]。
(6)计算机欺诈和滥用法案
《计算机欺诈和滥用法案》(Computer Fraud and Abuse Act)禁止个人或组织超出授权范围进行访问,防止和惩罚与“未经授权访问受保护计算机”的相关黑客行为[19]。
“受保护的计算机”包括金融机构、美国政府使用的计算机,和用于或影响州际或国外商业或通信的计算机[20]。
结语
美国并没有统一的、综合性的个人信息保护联邦法。美国的个人信息保护法律体系是分散的,包括针对特定问题或部门的联邦法、进一步规定个人隐私和信息安全的州法律,以及联邦或各州禁止不公平或欺骗性商业行为的规定和判例。由于篇幅限制,本文简要介绍了美国个人信息保护法律体系的构成,并对主要的联邦部门立法进行介绍。
参考文献
[1]DavidMcLaughlinandDanielStoller,Facebook'sGettingSlappedWitha$5BillionFTCPrivacySettlement,July12,2019.https://time.com/5625764/ftc-facebook-privacy-settlement/(last reviewed July 21, 2019).
[2][5][12]Shawn Marie Boyne, Data Protection in theUnited States, 66 Am. J. Comp. L. 299, 299 (2018)
[3[4]DataProtectionLawsoftheWorld,https://www.dlapiperdataprotection.com/index.htmlt=lawc=US(lastreviewedJuly21,2019).
[6]OverviewofTheFinancialServicesModernization Act, 2000 WL 33990855
[7]15 U.S.C. § 6809(4)
[8]TheGramm-Leach-BlileyAct,ELEC. PRIVACYINFO.CTR.,https://epic.org/privacy/glba/ (last reviewed July 21, 2019).
[9]MargaretP.Eisenhauer,BnaInt'lWorldDataProtectionReport,ManagingYourDataProcessors:LegalRequirementsandPracticalSolutions(Aug.27,2007),http://www.privacystudio.com/Links%20posted%20to%20web/BNAI%20%20Managing%20Data%20Processors%20Aug%2007.pdf,(lastreviewed July 21, 2019).
[10]45 C.F.R. § 160.103.
[11]SummaryoftheHIPAASecurityRule,DEP'TOFHEALTH&HUMANSERVS,https://www.hhs.gov/hipaa/forprofessionals/security/laws-regulations/index.html(lastreviewedJuly21,2019).
[13]15U.S.C.§§7701-7713.
[14]CANS-PAMAct:AComplianceGuideforBusiness,FED.TRADECOMM'N,https://www.ftc.gov/tips-advice/businesscenter/guidance/can-spam-act-compliance-guide-business (lastreviewedJuly21, 2019).
[15]15 U.S.C. § 1681(d)(1).
[16]Id. § 1681i(a)(5)(A).
[17]Charles Doyle, Privacy: An Overview of theElectronicCommunicationsPrivacy Act,CONG.RES.SERV.(Oct.9,2012),https://fas.org/sgp/crs/misc/R41733.pdf(last reviewed July 21, 2019).
[18]18 U.S.C. § 1030(a)(5).
[19]Id. § 1030(e)(6).
[20]Id. § 1030(e)(2).

技术驱动法律,专业成就未来