吴沈括,北京师范大学网络法治国际中心执行主任、博导、中国互联网协会研究中心秘书长。

罗嫣,美国科文顿-柏灵律师事务所合伙人。

于智精,美国科文顿-柏灵律师事务所律师。

2020年11月3日的美国大选很可能会成为美国隐私与数据安全立法发展历程中的一个分水岭。根据不同的选举结果,本文深入分析美国大选将如何改变美国隐私与数据安全立法走向。

1. 联邦数据隐私立法走向

与大多数国家不同的是,美国目前为止并没有一部广泛适用的数据隐私法。在即将于2020年12月结束的本届国会中,参众两院的民主党和共和党议员提交了数量空前的立法提案,支持联邦隐私立法,但这些提案都不太可能获得通过。不过,在2021年1月开始的新一届国会中,联邦隐私立法获得通过的可能性会更大。

这些立法提议在很多方面有相似之处。比如,它们都主张赋予消费者访问、纠正和删除的权利,处理数据须征得同意或通过其他合法途径,以及保护敏感类型的数据等。然而,这些提案在某些方面也存在关键性的差异。虽然两党都有制定数据隐私法的动机,但这些关键性的差异尚无法弥合,因而阻止了这项立法的通过——这就是为何大选结果将决定美国隐私立法命运的原因。

我们列举了大选后联邦隐私立法的几种可能性

如果白宫和参议院由不同政党控制:

联邦隐私法案仍有可能通过,但会由于两党之争而进一步被推迟到2023年年初。此外,关键条款将经过更为激烈的谈判才能获得通过。例如,(1)联邦优先权可能只适用于立法的某些部分;(2)只有在某些情况下才允许私人诉讼;(3)联邦贸易委员会可能只在特定领域中被授权制定规则,类似于《儿童在线隐私保护法 (COPPA)》的做法。

如果拜登获胜且民主党控制了参议院:

联邦隐私法很可能会通过,不过需要等到2022年两年国会会议的后半程才能最终通过。在民主党控制的国会中,该立法的主要特点可能包括:(1)不优先使用州法律,因此公司将必须同时服从联邦和州的法律要求;(2)强调私人诉讼的权利,因此集体诉讼将成为联邦贸易委员会(FTC)和州检察长执法之外的法律风险;(3)联邦贸易委员会将有权制定更多的实施规则。

如果特朗普连任且共和党继续控制参议院:

这项法案同样可能会在2021年1月开始的本届国会的后半段通过。在这种情况下,联邦隐私立法的主要特点可能包括:(1)优先适用州法律,包括最近颁布的州法律,如《加州消费者保护法》(CCPA);(2)对私人诉讼权利进行限制;(3)联邦贸易委员会将不会被授予规则制定权。

2. 各州数据隐私立法走向

(1)加州

在选举日(11月3日)当天,加州选民投票通过第24号提案,即《加州隐私权法案》(CPRA)。CPRA在补充去年刚刚生效的《加州消费者隐私法(CCPA)》的基础上,将赋予加州居民一些新的权利,比如更正个人信息以及限制敏感个人信息的使用和披露的权利。CPRA还将要求公司采取数据最小化和保留措施,并在合同中加入某些特定条款。CPRA将于2023年1月1日生效。

CPRA的许多细节需要通过法规加以澄清和定义。CPRA还将成立一个新的机构——加州隐私保护机构(California Privacy Protection agency,CPPA)来执行这项法律。CPRA如何被解释和执行将在很大程度上取决于CPPA的五人委员会由谁组成。其中两个席位(包括主席)将由州长任命,其余席位分别由总检察长、参议院规则委员会和议会发言人来任命。这些职位将在大约90天内确定。

另外,本文希望强调以下三点在CPRA中十分重要的规定:

“暗纹模式”(Dark Pattern)

CPRA提到了关于“暗纹模式”的问题,并指出“通过使用暗纹模式获得的协议不构成同意”。CPRA对”暗纹模式“的定义是,“一个被设计或操控的用户界面,其实质影响是颠覆或损害用户的自主权、决策或选择(如法规所进一步定义的)“。这个定义并不明确,可能会在之后的规则制定过程中引发重大争论。尽管其他规则对”暗纹“模式已经有所规制,如《联邦绕行法》(Federal Detour Act),这些监管并没有取得太大进展。联邦贸易委员会委员乔普拉(Chopra)上个月就该问题发表了一份单独的声明。值得关注的是CPRA和规则制定过程是否会引发关于这一问题的更广泛的全国性讨论。

“服务提供者”和“承包商”的区别

根据CPRA,“承包商”(一个新定义的实体)和“服务提供者”受到类似的合同限制,包括禁止出售个人信息、限制个人信息的处理方式,以及禁止混合数据等。承办商必须证明它们将遵守这些合同限制,但没有明确的义务“代表”企业处理个人信息。CPPA有权澄清“承包商”与“服务提供者”合并个人资料的“商业目的”,而就CPRA而言,这些规则可能会进一步区分“承包商”与“服务提供者”。

跨语境行为广告的选择退出机制

CPRA规定了一项新的跨语境行为广告选择退出机制,其定位为“基于消费者的个人信息而针对特定消费者的广告,该个人信息是通过消费者的各项商业活动、个性化网站、应用或服务而获得的,不同于消费者通过其他商业、个性化网站、应用或服务而有意进行的交互行为”。为跨语境行为广告分享个人信息与“出售”个人信息是不同的,因为后者为那些不“出售”此类信息的公司提供了更大的确定性。

注:关于加州CPRA,北京师范大学网络法治国际中心团队后续将另文细化分析。


(2)密歇根州

密歇根州选民将投票表决一项州宪法修正案,该修正案禁止执法人员在没有搜查令的情况下搜查电子数据。

(3)缅因州

波特兰市的选民将考虑举行一次公投,以阻止执法部门使用面部识别软件,类似于今年早些时候华盛顿州和旧金山通过的禁令,以及俄勒冈州波特兰市通过的一项内容更为宽泛的禁令。

(4)各州一般隐私立法

在COVID-19疫情发生之前,很多州都计划在2020年颁布隐私法。疫情减缓了这一立法进程,但一旦各州立法机构恢复了更为正常的立法日程,这项立法的步伐可能会重新加快。在某种程度上,联邦政府的隐私立法进程越缓慢,各州采取行动来推进该立法的可能性就越大。

3. 数据安全相关立法走向

一般隐私立法并不是规制数据使用、查阅和储存的唯一途径。我们预计在下一届国会会议期间,下列几个领域的立法活动也将活跃起来:

第230条。美国《通信法》第230条规定,网站和数字平台对用户发布的内容享有豁免权,并允许网站和数字平台对内容进行适当调整。由于这一条款使网络和数字平台有权标记或删除与政党之争有关的内容,该豁免权的授予已经引起了不小的争议。如果特朗普总统再次当选,共和党控制了参议院,我们预计会出现寻求废除或实质上修改第230条款的立法活动。如果副总统拜登当选,并且民主党控制了参议院,我们预计完全废除该条款的可能性比较小,但可能会更关注具体问题(如深度造假或民权问题)。

外国情报监视法(FISA)。2020年7月16日,欧洲法院裁定,欧盟-美国隐私盾(Privacy Shield)未能充分保护欧洲数据主体免受FISA下美国监控的影响。正如美国商务部在此案发生后指出的那样,大多数美国企业不受FISA程序的约束。当法院上次驳回一项数据传输机制时,美国国会回应称要在《美国自由法案》(USA Freedom Act)中缩小FISA的适用范围。在新一届国会期间,可能会考虑采取类似的做法。但应该指出的是,在即将结束的本届国会上,改革FISA的过程十分艰难。

网络安全。如果副总统拜登当选,我们预计国会将启动重大的立法活动,以提高选举中的网络安全标准。

电子通信隐私法(ECPA)。ECPA规制联邦政府和诉讼当事人对存储数据的访问权限。该法案于1986年通过,现在已经明显过时。在过去的几年里,国会的内部分裂导致ECPA改革的努力受到了严重的阻碍。一党控制之下的国会,无论是共和党还是民主党,都将加快修订ECPA的努力。

防范敌对平台法(APP Act)。美国共和党参议员Marco Rubio提出的APP法案规定了外国高风险应用程序需要遵守的一系列与数据保护及内容审查相关的标准和限制。根据该法案,被认定为高风险的应用程序将被强制要求将美国用户的数据存储于美国境内。另外,上述应用程序的母公司还可能被要求向美国联邦贸易委员会和司法部提交相关信息。其他的民主党参议员也在准备类似的法律草案。

编辑:北京师范大学 张可欣