回收与销毁 看美国的数据保护立法 提到了数据销毁

频道:体育热点 日期: 浏览:9427
美国国会研究服务局(Congressional Research Service)发布了两份报告,系统介绍了美国数据保护立法的现状以及国会在下一步立法中应考虑的问题。

回收与销毁 看美国的数据保护立法 提到了数据销毁

美国国会研究服务中心(congressional research service,CRS,以下简称CRS)分别于3月25日和5月9日发布了《数据保护法:综述》(数据保护法:概述)和《数据保护与隐私法律简介》(数据保护和隐私法3360介绍,即《数据保护法:综述》的简称)两份报告,系统介绍了美国数据保护立法的现状以及美国国会在接下来的立法中需要考虑的问题。

CRS专门为美国国会工作,向美国众议院和参议院提供政策和法律建议。因此,以上两篇报道具有一定的参考意义。通过对报告的梳理,本文旨在向读者介绍美国的数据保护立法。

什么是数据保护?

在美国立法中,数据保护结合了数据隐私(即如何控制个人数据的收集和使用)和数据安全(即如何保护个人数据不被非授权访问和使用,以及如何解决非授权访问的问题)两个领域。过去,美国国会一直对数据隐私和数据安全领域进行分别立法。但是,从最近的立法来看,美国国会似有对这两个领域进行统一立法的趋势。

美国数据保护有哪些立法?

鉴于普通法和《宪法》关于数据保护的局限性,美国国会颁布了一系列关于数据保护的联邦立法。与欧盟的统一立法模式不同,美国没有联邦层面统一的数据保护基本法,而是基于不同行业的分散立法模式,在电信、金融、卫生、教育、儿童网络隐私等领域都有专门的数据保护立法。如下所示:

1、 《格雷姆-里奇-比利雷法》 (GLBA): 《金融现代化法》,旨在规范金融机构对非公开个人信息(NPI)的处理。GLBA及其实施规则要求金融机构不得与第三方共享NPI,除非用户被告知他们可以“选择退出”。禁止金融机构与第三方共享用户账户或信用卡号进行直接营销;金融机构应向用户提供明确的隐私政策;金融机构必须通过“管理、技术和物理保护”来确保NPI的安全。

2、 《健康保险流通和责任法》 (HIPAA):它旨在保护受保护的健康信息(PHI)。HIPA要求:医疗机构未经患者同意,不得允许第三方使用或与第三方共享患者的PHI,个人有权要求机构提供其PHI的复印件;医疗机构应加强对PHI的安全防护;如果发生数据泄露,应在60天内通知受影响的患者。

3、 《公平信用报告法》 (FCRA):旨在确保征信机构(以下简称CRA)报告中消费者信用信息的准确性,保护消费者免受虚假信用信息的侵害。与HIPAA或GLBA相比,FCRA没有规定CRA在收集或与第三方共享消费者信息时应获得消费者的“选择加入”或“选择退出”同意,也没有规定未经授权不得访问消费者信息的安全保护要求。FCRA还规定了允许披露消费者信用信息的情况,包括审查借款人的信用状况和消费者要求披露信用报告。

4、 《视频隐私保护法》 (VPPA): It旨在保护个人在租借、买卖或交付录像带和视听资料过程中的隐私,规定未经消费者明确同意,不得披露消费者(以下简称PII)的个人身份信息。

5、 《家庭教育权和隐私权法》 (FERPA):它旨在保护教育机构收集的教育信息。FERPA的学科范围很广,几乎涵盖了所有的高校。除非有例外,任何教育机构未经家长或年满18岁的学生允许而公开学生的教育信息,都不会得到联邦机构的资助。

6、《联邦证券法》:没有直接对数据保护进行规定,但是要求公司应采取防止数据泄露的控制措施,在发生数据泄漏时及时向证券交易委员会(以下简称SEC)披露相关情况。

7、《儿童在线隐私保护法》(COPPA):旨在对商业网站或网络服务商收集、使用或披露13岁以下儿童的个人信息行为进行规定。COPPA要求:商业网站或网络服务商制定清晰的隐私政策;通知并取得父母可验证的同意 (Verifiable parental consent);建立和维持合理的程序,以确保儿童的个人信息的安全性、保密性与完整性。

8、《电子通信隐私法》(ECPA):不针对特定领域进行规定,是美国目前有关电子信息最全面的立法。但是也有批评者指出,ECPA规定的是窃听和电子监听行为而非商业数据收集行为。实践表明,试图根据ECPA对违法的在线数据收集行为提起的诉求均未获支持。

9、《计算机欺诈和滥用法》(CFAA):旨在规制计算机黑客,禁止未经授权侵入计算机,不解决数据收集和使用等数据保护问题。但CFAA对于未经授权而侵入计算机并获得了他人信息的行为规定了法律责任。

10、《联邦贸易委员会法》(FTC Act):旨在“禁止不公平或欺骗性贸易行为”(以下简称UDAPs),UDAPs在数据保护方面发挥着重要作用。联邦贸易委员会(以下简称FTC)因为企业的数据实践活动违反UDAPs,已进行了数百起的执法行动。在FTC的实践中,有一项原则是企业受其对数据隐私和数据安全承诺的约束。FTC认为,当企业以与其发布的隐私政策或其他声明相抵触的方式处理个人数据时,或者当企业未能充分保护个人数据免受未经授权的访问时,企业即是采取欺骗性行为,违背自我承诺。除了违背承诺之外,FTC还认为企业的某些数据保护举措是不公平的,例如当企业设置难以更改的默认隐私选项。虽然,FTC对UDAPs的执行填补了联邦数据保护法中的一些立法空白。但FTC Act效力有限,与许多针对具体部门的数据保护法相反,FTC Act并未要求企业遵守特定的数据保护实践,并且无法规制没有做出数据保护承诺的企业。

11、《金融消费者保护法》 (CFPA):与FTC Act类似,旨在禁止机构从事不公平、欺骗或滥用行为。CFPA新设了消费者金融保护局(CFPB),专门负责消费者金融保护,CFPB职责包括制定规则、进行法律监督和执行。

美国联邦数据保护立法一览表

联邦立法

保护的数据类型

规制对象

规定内容

监管机构

刑事处罚

《格雷姆-里奇-比利雷法》(GLBA)

NPI

金融机构

数据共享时消费者选择退出要求;

披露要求;

数据安全要求

消费者金融保护局(CFPB)、FTC、联邦银行

《健康保险流通和责任法》 (HIPAA)

PHI

医疗服务提供者;

健康计划;医疗保健信息中心

数据共享时用户同意要求;

披露要求;

数据安全和数据泄露通知要求

卫生部(HHS)

《公平信用报告法》 (FCRA)

消费者报告

信用报告机构

消费者报告准确性和使用要求;

披露要求;

CFPB、FTC

《视频隐私保护法》 (VPPA)

PII

录像带服务提供商

数据共享应获得消费者同意要去;

《家庭教育权和隐私权法》(FERPA)

教育记录

教育机构或接受联邦资助的机构

数据共享应获得消费者同意要去;

披露要求

教育部(DOE)

《联邦证券法》

N/A

公开上市交易的公司以及需要向SEC定期提交报告的公司

数据安全和数据泄露披露要求

SEC

《儿童在线隐私保护法》(COPPA)

在线收集的13岁以下儿童的个人信息

网站或者在线服务运营者:(1)直接向儿童提供服务(2)实际知道正在收集儿童个人信息

收集和共享儿童个人信息获得同意;

披露要求;

数据保护要求

FTC

《电子通信隐私法》 (ECPA)

利用电线、口头方式进行信息传递的窃听、电子信息存储等

所有个人和主体

拦截传输中的通信或访问存储通信需要授权的要求

《计算机欺诈和滥用法》(CFAA)

计算机中的信息

所有个人和主体

需经授权才可访问计算机的要求

《联邦贸易委员会法》(FTC Act)

N/A

除公共运营商、特定金融机构和非盈利组织以外的个人或商业机构

数据隐私和安全政策以及数据实践活动不得存在不公平或欺骗性

FTC

《金融消费者保护法》 (CFPA)

N/A

提供消费者金融产品或服务的主体

数据隐私和安全政策以及数据实践活动不得存在不公平或欺骗性

CFPB

在美国州层面,各州也形成了各自的数据保护法律框架。目前,各州均已制定了应对数据泄露的立法,一些州也出台了不同类型的消费者保护立法。其中,加利福尼亚州(以下简称加州)发布了《加州消费者隐私保护法》(以下简称CCPA),对消费者个人数据进行全面保护。

美国国会在数据立法方面存在哪些困境?

美国国会在数据保护立法方面多个提案不断进展,但规定尚不统一,可能涉及到各种法律问题,包括立法方法问题、与州立法平衡问题、执法问题、宪法第一修正案以及个人诉讼等问题。

1、立法方法问题。美国数据保护立法争论的一个主要问题是,立法采用“规范性”方法(立法规定数据保护规则和相关主体义务)亦或是“结果导向性”方法(立法规定所要实现数据保护结果,而非规定具体数据保护做法)。GDPR和CCPA均采用“规范性”立法方法,但目前特朗普政府官员主张采用“结果导向性”立法方法。

2、处理与州立法关系问题。一些州已经在数据保护领域进行积极立法,CCPA的出台展现出州立法在未来可能具有全国效力。除非国会出台统一的数据保护立法或采取其他措施,州立法可能会继续在数据保护领域发挥作用。

3、执法问题。目前,美国有多个联邦机构负责数据保护执法工作,包括FTC、金融消费者保护局、联邦通信委员会、卫生部等。这些机构中,FTC通常被视为领先的数据保护执法机构。但是,如上文所述,FTC执法能力存在若干法律限制。而且,FTC不能对首次违反UDAPs的企业寻求罚款,但只能做出停止令或衡平救济。只有在企业违反停止令和解决协议后,才能进行民事处罚。FTC还缺乏对银行、非盈利组织等实体机构的管辖权。

4、宪法第一修正案。数据保护不得不面对宪法第一修正案可能施加的限制。宪法第一修正案保障“言论自由”,学者们对如何将第一修正案应用于数据保护领域进行监管有不同的意见。有学者认为,数据构成了言论,即使在商业背景下,对这一言论进行监管不一定恰当。也有学者认为,扩大第一修正案的适用范围会限制政府规范商业活动的能力。但美国最高法院从未将第一修正案解释为禁止对所有通信实施监管。最高法院认为,仅仅因为受监管的活动涉及“沟通”并不意味着它属于第一修正案的范围。如果言论仅仅是受监管活动的“组成部分”,政府通常可以对该活动进行监管。

5、个人诉讼问题。美国国会可能会建立个人诉讼制度,对于违法数据保护的行为,允许个人提起诉讼。但是,个人可能很难证明受到数据保护制度下违规行为的侵害。一般而言,数据泄露和其他隐私侵权行为的受害者并不总是受到明显的损害。根据美国《宪法》的规定,任何联邦个人诉讼权利的适用范围都限于个人因法定违规行为遭受到具体的损害。

评述

目前,美国数据保护的法律环境复杂且技术性很强。除极端事件和政府调取个人数据的情况外,普通法和《宪法》中规定的“隐私权”只能为互联网用户提供较少的保护。尽管美国国会颁布了一系列旨在加强对个人数据权利保护的法律,但这种拼凑型的立法体系仅对特定行业、特定类型数据、不公平或有欺诈性质的数据活动进行规制。为了寻求更全面的数据保护体系,一些地方政府(例如加州)制定了覆盖各种类型个人数据、适用对象较广的数据保护立法。如果国会考虑从联邦层面制定全面的数据保护立法,则需要涉及多重法律因素,包括保护的数据范围、确定联邦机构应在何种程度上执行立法、采用规范性还是结果导向性立法方法、个人寻求救济的方式等。

标签: ftc  美国_科技  立法  美国国会  数据安全 

关键词:数据#美国国会#消费者

上一篇:港媒关注:深圳掏“真金白银”扶持跨境电商

下一篇:华为与索菲特就共同推动中国基础软件根技术发展达成战略共识

留言 0

评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。