“充分借鉴《健康保险流通与责任法案》的经验可能是最合理、最实用的解决方案,但美国制定联邦层面隐私统一立法的可能性仍然相当低。” 文 | Daniel J. Solove 乔治华盛顿大学法学院教授,隐私法领域享誉全球的权威学者;TeachPrivacy公司创始人,并担任多家世界500强企业的专家顾问 最近一段时间,关于美国联邦层面是否会制定隐私统一立法的讨论越来越多。20世纪70年代、80年代和90年代,美国国会开始制定隐私法,但是至今一直没有出台联邦层面的隐私统一立法。 美国选择的是分散立法模式——制定多部仅针对特定行业适用的法律。90年代末21世纪初,美国一些企业提议制定统一的隐私立法,全国上下也对此展开过简短的争论。但是,大多数企业都表示不支持,他们认为分散立法没有问题,愿意接受联邦层面、州层面多部隐私法的分散监管。 我当时曾在一些会议、活动中表达过自己的观点,我认为“不制定隐私统一立法”这一看法非常短视。世界其他国家已经开始向制定隐私统一立法这一方向迈进。多部法律的分散监管导致隐私保护存在许多空白和漏洞,也导致法律内部存在诸多自相矛盾的地方。而当时的国会什么也没做。 国会的瘫痪与各州的崛起 自2000年以来,很多隐私立法在国会得不到通过。国会倒是通过了一些现行法律的修正案,但是很多重要的隐私规制法律都没有获得通过,更不要说制定联邦层面的统一立法了。 在应对隐私和数据安全的问题上,国会显然制定不出一部精细的、能够平衡各方利益的法律。究其原因,在很大程度上是由于党派之争、拒绝妥协、不够成熟。正是在此期间,各州通过大量的法律。每个州都制定了自己的数据泄露通知法,通过了无数的隐私法。其中,加州表现得尤为突出。 欧盟《通用数据保护条例》(GDPR)于2018年5月起开始实施,加州《消费者隐私保护法案》(CCPA)随后出台,这些再次引发了关于是否制定联邦隐私统一立法的争论。 不少人说:“是时候了。” 现在,业界急需一部统一的隐私立法。2018年11月,国家电信信息管理局(NTIA)就是否应制定联邦统一隐私法向社会征求意见,许多企业表示赞成。 但是我认为在本届国会任期内不太可能会出台一部统一的隐私立法。 联邦隐私统一立法涉及许多复杂的问题,例如个人信息的定义、法律的适用范围、删除权、数据携带权、供应商管理、隐私设计、联邦优先权、救济措施、私人诉权,等等。 到目前为止,这届国会面对问题时,表现出来的更多是拒绝妥协。因此,随便从上面这些难题里拿出来一个,国会都无法形成共识,更别说要求他们在所有问题上达成一致了。 联邦的优先权就是一个非常复杂的问题,要弄明白如何行使优先权、行使多大的优先权,不是一件容易的事。甚至在是否需要优先权的问题上,国会就存在不小的分歧。对于加州这样有影响力的大州,让他们的国会议员放弃此类重要问题的规制权,是不太可能的。 因此,我并不认为国会能够顺利出台一部隐私统一立法。
未来的方向:由FTC制定规则 有一种方法可以帮助国会在这个问题上有所作为。是什么方法? 国会可以授予联邦贸易委员会(FTC)以特殊的规则制定权,由联邦贸易委员会制定统一的隐私规制法律。目前,部分行业的隐私法规已经授予了联邦贸易委员会规则制定权,例如《儿童在线隐私保护法》(COPPA),《金融服务现代化法案》(GLBA)等。 《联邦贸易委员会法》(FTC Act)第5条规定了联邦贸易委员会的管辖范围。根据该规定,联邦贸易委员会的规则制定权有限且繁琐——这有效限制了其制定规则的权力。在这一背景下,通过国会的特别授权,联邦贸易委员会将获得更大的规则制定权。 在打击隐私侵权、保障数据安全方面,联邦贸易委员会多年来的表现虽然称不上完美,但是也做得不错。在我与伍德罗·哈特佐格(Woodrow Hartzog)合写的文章《联邦贸易委员会与新隐私习惯法》(The FTC and the New Common Law of Privacy)中,我们对联邦贸易委员会的执法案例进行了分析,指出其执法实践都是基于人们普遍认可的规范和做法,具有一致性。 应在第5条的基础上,赋予联邦贸易委员会更大的管辖权。第5条规定的权限范围虽然很宽泛,但还是留有一些空白。例如,该条不适用于非营利组织。但是,很多非营利组织都存在侵犯隐私的可能,如果将其排除在监管范围之外,那么以后要是再出现剑桥分析这样的公司,他们就很可能会给自己贴上非营利组织的标签,从而规避规制。 借鉴HIPAA的经验 《健康保险流通与责任法案》(HIPAA)的经验具有一定的借鉴意义。由于健康隐私问题太过复杂,国会自己应对不了,因此把规则制定权下放给卫生与公众服务部(HHS)。卫生与公众服务部于是制定了《健康保险流通与责任法案》(实际上是一系列规则)。 1996 年,时任美国总统克林顿签署《健康保险流通与责任法案》 在我看来,《健康保险流通与责任法案》是美国较好的隐私法之一,如果没有最好的话。虽然该法案远非十全十美,但它是美国所有法律中与欧盟《通用数据保护条例》的风格最接近的一部。 《健康保险流通与责任法案》为我们描绘了一幅美好的蓝图。我不建议大规模复制《健康保险流通与责任法案》,但其中许多重要的元素应该在隐私统一立法中得到体现:使用限制、同意的条件、去身份识别的规定、供应商管理要求、数据执行权力、严厉的惩罚、重要治理的规定等。 如果法律有效,优先权就没有必要 对于联邦法律是否应优先于州法律的问题,一般认为如果联邦法律没有优先权,那么各州将会继续出台各自的隐私法。这些隐私法加起来数量会是巨大的,但人们不可能去遵守这些杂乱无章、自相矛盾的隐私法,因此需要赋予联邦法律以优先权。 事实上,《健康保险流通与责任法案》就不具有优先于州法律适用的效力,但是现实中并没有出现各州大量出台更加严格的健康隐私法的风潮。 加州之所以出台《消费者隐私保护法案》,是因为联邦立法机构在隐私保护问题上不够积极。 国会基于“隐私悖论”(privacy paradox)认为公众对隐私的担忧是不理性的、没有根据的。“隐私悖论”是指人们口头上表示很在乎隐私,但行动中却表现得完全不在乎。但是,加州民众明确表示他们非常在意个人隐私。 《消费者隐私保护法案》在全民投票中得到629000名民众的支持,以显著优势获得通过。立法者和反对者长期以来淡化隐私保护,但是现在的情况是民众真的关注个人隐私,并且希望隐私得到更有意义的保护。 加州制定《消费者隐私保护法案》的原因很简单。如果联邦立法者达到了公众对隐私保护的期待,那么各州就不会在隐私立法的问题上如此着急。 现在的情况是,国会在隐私保护上不作为,而民众又十分担忧隐私问题,因此州立法自然而然就出现了。相比于消除人们的担忧,减轻担忧对减少州立法更加有效。这样一来,优先权也就没有存在的必要了。 保罗·施瓦茨(Paul Schwartz)写过一篇名为《优先权和隐私》(Preemption and Privacy)的文章,这篇文章非常精彩。作者在文中提出许多有说服力的论点,来说明为什么联邦不应享有优先权。 彼得·施怀雅(Peter Swire)曾就优先权写过一篇很棒的文章,发表在国际隐私专业人士协会(IAPP)的博客上,这篇文章由两部分组成。 第二部分的核心论点是:一项不合理的优先权条款可能会造成无法预见的灾难性后果,会扰乱州法律的正常运行(窃听法、医疗保密法、教育隐私法等)。优先权可能会对成千上万部法律产生干扰,也会造成优先权适用范围问题上的诉讼混乱。 美国商会(U.S.Chamber of Commerce)提出过一项联邦统一隐私法提案,其中的优先权条款很荒谬: “本法的规定应优先于所有州、所有地区以及所有州下属政治性区域的所有法律、法规、规则、条例、要求或类似规定,包括但不限于侵权法、税法、消费者保护法以及不正当执业法,只要这些规定涉及隐私与个人信息安全或构成隐私与个人信息安全的执法基础。” 这项规定极其宽泛、模糊,过于简化。对于优先权这样一个复杂的问题,该规定显得不仅可笑而且愚蠢。 我现在担心的是许多业内人士和国会议员会坚持认为优先权不可或缺,没有优先权,就无法阻止州立法的浪潮。但是,对于优先权这样一个棘手的问题,如果强行坚持,那么很可能会使制定隐私统一立法的所有努力化为乌有。 相比之下,《健康保险流通与责任法案》的做法就简单多了,设定保护下限而不去设定保护上限。这种做法能够轻松避开很多困境,避免隐私统一立法的努力被扼杀。 因此,我的方案很简单,那就是充分借鉴《健康保险流通与责任法案》的经验。把细节问题都丢给联邦贸易委员会,让它通过制定规则去解决;设定保护下限而非保护上限,以此绕开优先权的争议;赋予州检察长一定的执法权。 《健康保险流通与责任法案》中有很多行之有效的做法,可以将它们作为隐私统一立法的起点。这就是目前我能想到的最合理、最实用的解决方案。 通过对过往隐私法的回顾,我们得到的经验教训是,如果法律能够提供有意义的保护,并且州检察长有相应的执法权,那么联邦法律就没有太多必要享有优先权。各州会主动作出让步。 尽管上文提出的解决方案务实且可行,但我仍认为美国制定联邦层面隐私统一立法的可能性相当低。 翻译:段雨潇 编辑:王豪 |