文/黄悦波

　　美国个人信息安全保护的法权渊源

　　美国个人信息保护制度源自对公民个人隐私权的保护，历史悠久。不过，迄今为止美国还没有联邦层面的、统一的综合性个人信息保护法。由此造成的现状是“个人信息”（Personal Information）定义在美国各个州及其相关法规中并不统一。对此，美国学者戏称美国个人信息法为“变色龙”。
　　美国隐私权的法权渊源如美国宪法规范，源自1791年宪法第四修正案的表述：“人民的人身、住宅、文件和财产不受无理搜查和扣押的权利，不得侵犯。”不过，此时隐私权长期处于“睡美人”的法权状态，仅为法学研究的范畴。自1890年塞缪尔·瓦伦教授在《哈佛法学评论》发表了《隐私的权利》以来，历经威廉·普罗瑟等学者延伸阐释，隐私权就此深刻影响着美国法律人群体思维。根据普通法传统，基于堕胎权争议的几次激烈辩论的“格里斯沃尔德诉康涅狄格州案”（Griswold v. Connecticut，1965）和“罗诉韦德案”（Roe v. Wade，1973），联邦最高法院最终确定了隐私权为美国宪法所保障的基本权利。受此影响，美国国会先后于1970年制定了《公平信用报告法》、1974年制定了《隐私权法》（典型）、1986年制定了《电子通信隐私法》等法律，确认和保护了公民的隐私权。以此为基础，美国许多州制定了保护个人隐私权的法律。
　　 
　　美国个人信息安全保护的立法框架

　　美国个人信息安全保护的立法，主要包括联邦、州两个层面，涉及对象包括限制政府机关、非政府组织和个人。联邦层面首当其冲的是美国联邦宪法，这是抵御美国国家机关侵害个人信息安全的“定海神针”，诸如国土安全部等国家机关使用个人信息的行为必须符合宪法的规定。另外，联邦层面相关法律主要包括一般隐私法和特别隐私法。（1）一般隐私法包括：1970年的《公平信用报告法》（FCRA，15美国法典US Code 第1681-1681u条）、1974年的《家庭教育权利和隐私法》（FERPA，20美国法典 第 1232g 条）、1974年的《联邦隐私法》（5美国法典第552a条）、1977年的《公平债务催收实践法》（15美国法典 第1692-1692p条）、1986年的《电子通信隐私法案》（18美国法典 第2510-2522、2701-2711、3121、1367条）、1988年的《视频隐私保护法》（1988-18美国法典 第2710条）、1994年的《驾驶员隐私保护法》（18美国法典 第2721条）、1999年的《金融服务现代化法案》（Gramm-Leach-Bliley，GLB，隐私规则- 15美国法典 第6801-6809条）等。（2）特别隐私法包括：1996年的《健康保险流通和责任法案》（HIPAA，45 CFR第160和164条）、1998年的《联邦身份盗窃和假设威慑法案》（1998-18 美国法典 第1028条）、1984年的《计算机欺诈和滥用法案》（1984-18美国法典第1030条）、1988年《计算机匹配和隐私保护法》【5美国法典 第552a (a)(8)-(13)、(e)(12)、(o)、(p)、(q)、(r), &(u) 条】、1998年的《儿童在线隐私保护法》（COPPA，15美国法典 第6501条及以下）、2003年的《控制未经请求的色情和营销攻击法案》（CAN-SPAM，15美国法典 第7701-7713条）。（3）其他涵盖个人信息-隐私保护的法律，主要是指1966年的《信息自由法》、1970年的《公平信用报告法》、2012年的《联邦信息安全管理法案》（FISMA）等。值得一提的是，美国联邦贸易委员会等2010年发布的《个人身份信息指南》（PII）对个人信息的定义采取了开放式例举模式，强调“任何可以识别个人或提供识别个人线索的信息”，这成为当前美国法律实务界的重要参考性概念。
　　州层面个人信息安全保护的立法，总体上与联邦层面保持一致，只不过内容更加丰富，并且不同的州的具体规定也有些差异。加利福尼亚州的个人信息安全保护的立法有口皆碑。2018年的《加州消费者隐私法》（CCPA）和2020年加州再次通过的《加州隐私权法》（CPRA）构建了加州隐私保护的法律制度框架，并成为美国目前最具有典型意义的州隐私立法。加州隐私法也区分为一般隐私法和特别隐私法，并且法权渊源主要是来自加州民法典，极少数如身份盗窃类的渊源来自加州刑法典。另外，弗吉尼亚州议会于2021年3月通过了《消费者数据保护法》（CDPA），与该州的民法典和刑法典等合围，弗州由此成为美国第二个拥有全面隐私法的州。不过，该法2023年1月1日才正式生效。

　　美国个人信息安全保护的执法概况

　　美国侵害个人信息安全的形势不容乐观。以身份盗窃为例，当前美国身份盗窃受害者甚多。身份窃贼以受害者的名义做了很多事情，如开设新的信用账户、获取汽车贷款、享受医疗服务（并进行保险索赔），甚至犯罪并产生犯罪记录。据加州司法厅网站提供的信息显示，2014年美国成人的4%即1270万成为身份盗窃受害者（包括加州的150万人），平均每2.5秒就有一名受害者。与此同时，因身份盗用造成的损失也非常大，2014年，受害的个人和企业直接损失就达到1600万美元。美国个人信息安全保护机制，主要有两种方式，一是联邦和州县层面的执法机构利用行政或刑事权力加以规制；二是通过民事诉讼保护自身权益。不过，与美国没有统一的个人信息保护法相对应，其执法机构也不统一，主要的执法机构包括美国联邦贸易委员会（FTC）、联邦通信委员会、证券交易委员会、消费者金融保护局、卫生与公共服务部、教育部以及司法系统等。

　　案例一：“蓝色泄露”（Blue Leaks）暴露数百个警察部门的文件
　　2020年6月，一个名为“分散式拒绝秘密”（Distributed Denial of Secrets）的组织在网络上公开了美国200多个警察部门的数十万份执法机密数据。这些被泄露的数据被称为“蓝色泄露”。这是由黑客从美国联邦调查局（FBI）、国家融合中心协会（NFCA）及其他执法培训机构等的网站窃取后以索引的方式公开发布的。事后NFCA发布警报指出，这些数据容量达269GB，时长跨度达24年（从1996年8月到2020年6月19日），其数据转储包含电子邮件和相关附件，内容包括姓名、电子邮件地址、电话号码、PDF 文档、图像和大量文本、视频、CSV 和 ZIP 文件。据NFCA的分析显示，其中一些文件确实包含高度敏感的信息，如一些警力资源分布或卧底警察名单等机密信息。为此，各种犯罪势力将利用这些暴露的数据，进行针对NFCA和相关执法机构及其执法人员的各种网络攻击和违法犯罪活动。另外，由于发布这些数据的日期是6月19日，该日也称为“Juneteenth”（六月节），这是美国历史最悠久的结束奴隶制的全国性纪念活动。2020年5月因为乔治·弗洛伊德被明尼阿波利斯警察跪杀后引起了针对警察暴行的广泛抗议，导致该年这一纪念日引起了公众的高度关注，并由此担忧执法警察个人的安全以及这些警察家人的安全。

　　案例二：生育应用程序暴露女性个人和医疗信息的风险
　　加利福尼亚州辉光公司（Glow, Inc.）是一家运营生育追踪移动应用程序的技术公司，主营业务是运营存储女性生育等个人敏感信息和医疗信息。据加利福尼亚州司法厅警员的多次调查，该公司应用程序存在一系列严重隐私和基本安全问题，如未能充分保护女性的健康信息，未经用户同意就允许访问女性私密信息，并且该应用程序的密码更改功能存在其他安全问题，第三方可能会在未经用户同意的情况下重置用户账户密码并访问这些账户中的信息。这些问题使女性高度敏感的个人和医疗信息处于危险之中。对此，加州总检察长泽维尔·贝塞拉代表加州对辉光公司提出了诉讼，最后双方和解。和解协议包括辉光公司缴纳25万美元的民事罚款，并遵守州消费者保护和隐私法的禁令条款，防范隐私安全漏洞，确保女性私密信息不被泄露。事后贝塞拉称：“辉光公司收集敏感医疗信息，它应该知道，它必须确保顾客的隐私和安全。今天的和解也为每一个处理敏感私人数据的应用程序制造商敲响了警钟。”

　　案例三：谷歌因YouTube违反儿童隐私法受到处罚
　　多年来，隐私维权组织一直抱怨谷歌旗下的YouTube在其平台上不恰当地针对儿童投放广告，谷歌由此以定向广告推送的形式从这些信息中获利。他们认为YouTube在未经父母同意的情况下非法收集儿童的个人信息，违反了《儿童在线隐私保护法》。总部位于华盛顿特区的美国联邦贸易委员会接到投诉后，联合纽约总检察长办公室对此展开调查。联邦贸易专员丽贝卡·斯劳特（Rebecca Slaughter）指出，YouTube“使用童谣、卡通和其他内容来诱骗儿童，在频道上出现诱导儿童的内容”。纽约总检察长莱蒂蒂亚·詹姆斯（Letitia James）在一份声明中说：“谷歌和YouTube故意和非法地监控、跟踪和向幼儿投放有针对性的广告，只是为了保持广告收入……这些公司将儿童置于危险之中并滥用他们的权力。”2019年9月4日，联邦贸易委员会在华盛顿特区召开新闻发布会，通报谷歌旗下YouTube视频共享服务中非法收集来自未经父母同意的儿童隐私违法情况。通报稿显示，谷歌对此已同意支付1.7亿美元罚款，这成为有史以来涉及《儿童在线隐私保护法》违法的最严厉处罚。

　　案例四：个人信息被盗用作情感欺诈犯罪
　　情感欺诈（Romance Scams）犯罪是指诈骗者以恋爱的名义在约会网站和应用程序上创建虚假个人资料，或通过流行社交媒体网站联系被害人，一天会交谈或聊天数次，在取得信任后，他们编造一个故事并榨取钱财。联邦贸易委员会网站信息显示，当前，数以百万计的人转向在线约会应用程序或社交网站来认识某人，但是，许多人没有找到浪漫，而是发现骗子试图诱骗他们汇款。情感欺诈犯罪主要由联邦调查局刑事案件处理部门侦办金融欺诈案的特工负责。据负责侦办浪漫诈骗的联邦调查局休斯顿分局特工贝宁等介绍，情感骗子通常使用从网络上窃取的有吸引力的照片，创建自己虚假的在线个人资料，通过包装，吸引潜在的受害者，然后联系受害者，在网上分享信息，并假装有共同的兴趣以套取感情，同时他们又经常找一些合理的借口避免见面，例如许多诈骗分子声称自己在海外军队服役或在海上石油钻井平台工作。据联邦贸易委员会统计，截至2021年的前五年中，人们因情感诈骗损失了13亿美元。

　　美国个人信息安全保护的新挑战

　　随着互联网时代向纵深发展，美国民众认为个人信息安全受互联网的威胁越来越大。2021年9月由美联社等展开的一项民调显示，约64%的美国人认为他们的社交媒体活动和物理位置信息在网上得不到保护，50%的美国人认为他们的网络私人对话信息缺乏安全性。调查显示， 77%的人不满意联邦政府处理隐私和个人数据方面的努力。对此，约71%的美国人认为，个人数据隐私应被视为国家安全问题加以重视。另外，根据加利福尼亚司法厅发布的《加州数据泄露报告（2016）》，2012-2015年，司法部长收到了657起数据泄露事件的报告，总共影响了超过4900万条加州人的记录，即近3/5的加州人处于危险之中。当前，美国个人信息安全面临的新挑战主要是“定向广告”（Behavior Advertising）、“数据经济”（Data Broker）、“人脸识别”（Facial Recognition）。这其中，人脸识别技术受到美国警方的青睐。佛罗里达州自2000年以来就使用和普及人脸识别技术并使之成为日常治安维持的一部分。近年来，人脸识别技术在美国发展迅猛并功能强大，如亚马逊在2016年推出了人脸识别软件Rekognition，谷歌、IBM、微软等企业也都推出了自己的人脸识别应用产品。这些产品被美国警察等执法部门广泛用来维持社会治安和打击犯罪。佛罗里达州警察甚至称，他们一个月要查询这个系统4600次。不过，人脸识别技术在美国引起了巨大争议，民众认为它违背了美国宪法第四修正案，会引发隐私权侵害、种族歧视、民主程序违法等问题。面对巨大的舆论压力，2020年6月亚马逊宣布为期一年暂时禁止美国警方使用自己的人脸识别技术Rekognition。随后，美国众议院议员提出了一项警察改革法案，该法案将禁止联邦执法部门使用实时面部识别。目前，美国很多州通过立法，限制甚至是禁止警察等执法部门使用人脸识别技术。2020年2月美国参议员在参议院提出了《道德使用人脸识别法案》，将在联邦层面推进全美人脸识别技术的规范使用。这些法案无疑将极大推进和完善美国的个人信息安全保护体系。■
　　（本文为北京警察学院国别与区域警务研究中心重点课题“美国联邦警察法研究”（2021KWTXJ01）的阶段性成果。）
　　
　　【作者简介】黄悦波，博士，法学副教授，北京市公安交通管理局民警，首都法律法学人才库专家、教育部国别研究备案中心“湘潭大学南亚研究中心”研究员。历任北京警察学院“国别与区域警务研究中心”主任、公安部国际合作局“国别和区域研究专家”。研究方向为行政法、国别警务、希伯来法。出版专著编著6部，发表论文50余篇。
　　
　　(责任编辑：古静）