5.2　欧盟《通用数据保护条例》（GDPR）对美国数据隐私政策的影响

GDPR是一部综合性法律，规范了在欧盟境内外开展业务时对欧盟公民个人数据的保护。该条例于2018年5月生效，“主要有两大目的：统一欧盟范围内的数据隐私法，确保在‘大数据’时代背景下贯彻欧洲人民的基本隐私权”^[82]。

欧盟通过GDPR从根本上制定了一项全球标准，要求美国公司和世界各地的公司予以遵循^[83]。尽管在2018年5月GDPR生效前，美国在制定综合性数据保护法方面几乎未取得任何进展，但2018年7月，白宫宣布将与国会共同制定“消费者隐私保护政策，适当平衡隐私与繁荣的关系”^[84]。国会议员已就数据保护给出提案，且有迹象表明民主党与共和党可能愿意团结起来，通过全面性的数据隐私法^[85]。然而，其他人对此情况会否发生则持较大的怀疑态度^[86]。

因数据泄露频发^[87]而饱受民众和国会抨击的亚马逊、苹果、Facebook和谷歌等大型科技公司面对日益增长的反垄断情绪也开始游说国会制定新的数据保护法。虽然到目前为止的大多数执法都发生在欧洲并且相对来说都无关痛痒（最大一笔是谷歌公司的5 000万欧元罚金），但是2019年7月联邦贸易委员会对Facebook罚款50亿美元则标志着美国对技术巨头违反个人数据处理行为的执法更为激进。另外，据称已针对包括Facebook、领英和推特在内的美国高科技公司发起调查，潜在罚金可能高达数十亿欧元。

制定全面性联邦法的另一个驱动因素在于美国各州通过了与GDPR相符的法律^[88]。最值得注意的是2018年的《加利福尼亚消费者隐私法案》（CPPA），法案授予个人权利以查看企业持有的个人数据、数据的来源及与谁共享。“自2020年起，加州人民将能够要求删除自身的数据，并选择不得向第三方出售自己的数据”^[89]。加利福尼亚是美国人口最多的州，若该法案在2020年顺利实施，预计将为美国树立标准。纽约等其他人口众多的州计划自行制定与GDPR相一致的立法^[90]，高科技业界正推动制定全面性数据隐私法，以避免因美国各州隐私规则各异带来的复杂性。部分国会议员也可能抢占先机，避免各州制定更为严格的立法。加利福尼亚州的法律将于2020年生效，有人将此视为国会颁布全国性法律的最后期限^[91]。