美国国会《数据保护法综述》一文读懂美国数据保护立法情况
美国国会研究服务局(The Congressional Research Service,以下简称CRS)分别于3月25日和5月9日发布了《数据保护法:综述》(Data Protection Law: AnOverview)和《数据保护与隐私法律简介》(Data Protection and PrivacyLaw: An Introduction,即《数据保护法:综述》的简版)两份报告,系统介绍了美国数据保护立法现况以及在下一步立法中美国国会需要考虑的问题。 CRS专门为美国国会工作,向美国的参众两院提供政策和法律建议。因此,上述两份报告有一定的参考意义。通过对报告的梳理,本文旨在向读者介绍美国数据保护立法情况。 什么是数据保护? 在美国立法中,数据保护融合了数据隐私领域(即如何控制个人数据的收集、使用)以及数据安全领域(即如何保护个人数据免受未经授权的访问与使用,以及如何解决未经授权访问的问题)。过去,美国国会一直对数据隐私和数据安全领域进行分别立法。但是,从最近的立法来看,美国国会似有对这两个领域进行统一立法的趋势。 美国数据保护有哪些立法? 鉴于普通法和《宪法》对数据保护的局限性,美国国会颁布了一系列的数据保护联邦立法。与欧盟统一立法模式不同,美国联邦层面并没有统一的数据保护基本法,而是采取了分行业式分散立法模式,在电信、金融、健康、教育以及儿童在线隐私等领域都有专门的数据保护立法。具体如下: 1、《格雷姆-里奇-比利雷法》(GLBA):即《金融现代化法》,旨在对金融机构处理非公开个人信息(nonpublic personal information,以下简称NPI)进行规定。GLBA及其实施细则要求:除非告知用户能够“选择退出”,否则金融机构不得将NPI共享给第三方,金融机构禁止将用户帐号或信用卡号分享给第三方用于直接营销;金融机构应当向用户提供清晰明确的隐私政策;;金融机构必须通过“管理、技术、物理防护”等手段来确保NPI的安全。 2、《健康保险流通和责任法》(HIPAA):旨在保护受保护的健康信息(protectedhealth information,以下简称PHI)。HIPA要求:未经患者同意医疗机构不得让第三方使用或者向第三共享患者的PHI,个人有权要求机构提供其PHI的副本;医疗机构应当加强对于PHI的安全保护;在发生数据泄露时,应当在60日内告知受影响的患者。 3、《公平信用报告法》(FCRA):旨在确保信用报告机构(以下简称CRA)的报告中消费者信用信息的准确性,保护消费者免受错误信用信息的侵害。与HIPAA或GLBA相比,FCRA未规定CRA在收集或向第三方共享消费者信息时应当获得消费者“选择加入”或者“选择退出”同意的要求,也没有规定未经授权不得访问消费者信息的安全保护要求。FCRA还规定了允许披露消费者信用信息的情形,包括审查借款人的信用状况以及消费者要求批露信用报告等。 4、《视频隐私保护法》 (VPPA):旨在保护租赁、买卖或交付录像带和视听资料过程中的个人隐私,规定未经消费者明确同意不得披露消费者的个人可识别信息(personallyidentifiable information,以下简称PII)。 5、《家庭教育权和隐私权法》(FERPA):旨在保护教育机构收集的教育信息。FERPA适用对象覆盖面很广,几乎涵盖所有的高校。除非例外规定,任何教育机构未经家长或者年满18岁的学生本人许可而公开学生教育信息的,将不能获得联邦机构的资助。 6、《联邦证券法》:没有直接对数据保护进行规定,但是要求公司应采取防止数据泄露的控制措施,在发生数据泄漏时及时向证券交易委员会(以下简称SEC)披露相关情况。 7、《儿童在线隐私保护法》(COPPA):旨在对商业网站或网络服务商收集、使用或披露13岁以下儿童的个人信息行为进行规定。COPPA要求:商业网站或网络服务商制定清晰的隐私政策;通知并取得父母可验证的同意 (Verifiable parental consent);建立和维持合理的程序,以确保儿童的个人信息的安全性、保密性与完整性。 8、《电子通信隐私法》(ECPA):不针对特定领域进行规定,是美国目前有关电子信息最全面的立法。但是也有批评者指出,ECPA规定的是窃听和电子监听行为而非商业数据收集行为。实践表明,试图根据ECPA对违法的在线数据收集行为提起的诉求均未获支持。 9、《计算机欺诈和滥用法》(CFAA):旨在规制计算机黑客,禁止未经授权侵入计算机,不解决数据收集和使用等数据保护问题。但CFAA对于未经授权而侵入计算机并获得了他人信息的行为规定了法律责任。 10、《联邦贸易委员会法》(FTC Act):旨在“禁止不公平或欺骗性贸易行为”(以下简称UDAPs),UDAPs在数据保护方面发挥着重要作用。联邦贸易委员会(以下简称FTC)因为企业的数据实践活动违反UDAPs,已进行了数百起的执法行动。在FTC的实践中,有一项原则是企业受其对数据隐私和数据安全承诺的约束。FTC认为,当企业以与其发布的隐私政策或其他声明相抵触的方式处理个人数据时,或者当企业未能充分保护个人数据免受未经授权的访问时,企业即是采取欺骗性行为,违背自我承诺。除了违背承诺之外,FTC还认为企业的某些数据保护举措是不公平的,例如当企业设置难以更改的默认隐私选项。虽然,FTC对UDAPs的执行填补了联邦数据保护法中的一些立法空白。但FTC Act效力有限,与许多针对具体部门的数据保护法相反,FTC Act并未要求企业遵守特定的数据保护实践,并且无法规制没有做出数据保护承诺的企业。 11、《金融消费者保护法》 (CFPA):与FTC Act类似,旨在禁止机构从事不公平、欺骗或滥用行为。CFPA新设了消费者金融保护局(CFPB),专门负责消费者金融保护,CFPB职责包括制定规则、进行法律监督和执行。 美国联邦数据保护立法一览表
|
