首页> 图书频道> 工学> 计算机科学

美国的数据保护措施、法律和政策

2025年10月13日
版权
3.美国的数据保护措施、法律和政策

美国国会自20世纪70年代起颁布隐私法,但一直避免通过综合性数据隐私法,而是聚焦于范围有限的部门法。虽然多个国家就个人数据采取了全面的法律保护措施,但美国仍依赖于松散的针对具体部门的法律法规、行业自律和各州立法。随着时间的推移,一系列大规模数据泄露事件、对企业和政府监听的揭露以及不断涌现的、证明数据保护工作不到位的证据使得人们再次呼吁联邦政府建立综合性数据保护制度。

1997—2007年间,为处理个人数据而制定了一系列行业或政府支持的自我监管指导方针,但“发起的大多数行业自律方案以一种或多种方式惨淡收场,许多甚至完全消失”[56]

自2000年以来,由于党派偏见,国会“制定的法律缺乏解决隐私和数据安全问题所需的细微差别和平衡。多个州承认其公民可能因个人数据被广泛收集和分享而受到伤害。在此期间,各州紧锣密鼓纷纷通过各自立法。每个州都颁布了数据泄露告知法。各州通过的隐私法亦是数不胜数——加利福尼亚州尤为如此”[57]

联邦政府和州政府的法律间存在一些冲突,在许多情况下,州政府和联邦政府的要求难以协调。

总体而言,数据保护相关的联邦法律法规在过去几十年间未发生重大变化。然而,欧盟《通用数据保护条例》的颁布、各州新的立法以及对大型科技公司权力的日益关注,促使人们考虑制定全面性的联邦隐私法,本文稍后会对此进行探讨。

主要的联邦隐私法摘要如下。

(1)联邦贸易委员会法案(FTCA)

1914年的《联邦贸易委员会法案》(Federal Trade Commission Act)旨在促进美国企业间的公平竞争,保护消费者免受欺诈性、不公平或欺骗性商业行为的侵害。“依据本法案,商业中或影响商业的不公平竞争方法及商业中或影响商业的不公平或欺骗性行为或做法均视为非法”[58]。依据该法案设立了联邦贸易委员会,委员会是独立的执法机构,负责加强竞争、保护消费者免受不公平或欺骗性商业行为的影响。在过去的百年间,FTCA已经过多次修改。

(2)电子通信隐私法案(EPCA)

《电子通信隐私法案》和《有线电子通信存储法案》统称为《1986年电子通信隐私法案》。目前,法案“对有线、口头和电子通信的进行、传输及其在计算机上的存储予以保护。法案适用于电子邮件、电话通话和以电子形式存储的数据”[59]

(3)计算机欺诈和滥用法案(CFAA)

《计算机欺诈和滥用法案》于1986年由国会颁布,旨在解决计算机犯罪问题。法案的初衷在于将“黑客攻击或入侵计算机系统或数据”定为犯罪。该法案已多次修订以适应技术的变革。法案将以下行为视为犯罪:

故意未经授权或超出访问权限访问计算机并获取受保护的信息;

故意以欺骗为目的,未经授权或超出授权权限访问受保护的计算机,且一年内所获价值超过5 000美元;

故意致使程序、信息、代码或命令发生传输,从而有意导致受保护的计算机因未经授权的行为遭受损害;

在未经授权的情况下有意访问受保护的计算机并肆意造成损害;

故意以欺骗为目的窃取密码或获取信息;以及涉及计算机的勒索。[60]

(4)健康保险便携和问责法案(HIPAA)

随着美国医疗保健行业开始转向电子化病历和索赔处理,1996年的《健康保险便携与问责法案》(HIPAA)要求对数字形式的特定健康信息进行保护和保密处理。HIPPA法案要求美国卫生与公共服务部(HHS)制定法规以实现该目标。HHS颁布了两条相关细则。《可识别个人身份的健康信息隐私标准》(“隐私细则”)为特定健康信息的数据保护确立了国家标准。《受保护电子健康信息的安全防护标准》(“安全细则”)为数字形式的特定数据制定了国家安全标准。卫生部下设民权办公室(OCR)负责两部细则的执行。2009年,《经济和临床健康信息技术法案》(HITECH)引入了HIPAA隐私和安全法规的补充条款,2013年,《HIPAA综合法规》对此类隐私和安全规定进行了更新。[61]

(5)金融服务现代化法案(FSMA)

《格雷姆·里奇·比利雷法案》(亦称为《1999年金融服务现代化法案》[62])要求金融机构将隐私的共享告知客户以解释其共享信息的做法,同时要求金融机构保护敏感数据。隐私声明中必须允许消费者有选择退出的能力。该法案包含一项《保障细则》,要求各金融机构采取措施保护客户数据,并对数据处理部门进行全面的风险分析。

(6)公平信用报告法案(FCRA)

目前,美国有三个主要的信用机构。这些机构是赢利性公司,负责监控、收集和维护个人信用信息,并将其作为展示个人信誉的个人信用报告对外出售。该法案于1970年通过,后经多次修订,旨在保护消费者免受信用机构的不公正伤害。此外,法案允许授信公司(如银行或移动电话运营商)、雇主、住宅楼业主和其他人对个人信誉进行评估。法案令各消费者均得以了解自身信用报告中包含哪些信息,同时纠正可能导致财务损失的不准确之处。法案还规定了相应内容在消费者信用报告中的留存期限[63]

(7)儿童网络隐私保护法案(COPPA)

《1998年儿童网络隐私保护法案》(COPPA)针对为13岁以下儿童提供服务的网站运营商或其他在线服务的要求进行了规定,同时对知晓自身从13岁以下儿童处收集数据的运营商进行了规定。法案要求“经家长同意且可验证”,即“任何合理的努力(考虑现有技术条件),包括在告知中就未来收集、使用和披露信息征求授权,确保在收集儿童信息前,该儿童家长收悉运营商有关个人信息收集、使用和披露行为的告知,并对个人信息的收集、使用和披露(如有)及后续使用进行授权”[64]