美国个人信息的保护是建构在隐私权基础上的,其隐私保护的立法分散,以行业自律为主导。立法层面,主要体现在以下方面:1974年出台的《隐私法案》,该法案是第一部个人隐私保护领域的综合性联邦立法;1974年出台了《家庭教育权和隐私法案》;1978年《财务隐私权利法》;1980年《隐私保护法》;1986年《电子通讯隐私法案》;1988《录像隐私保护法》;1991年《电话购物消费者保护法》;1994年《驾驶员隐私保护法》;1998年《儿童网上隐私保护法》;1999年《金融服务现代化法》;2003年《反垃圾邮件法》;2015年2月,美国白宫还公布了修订后的《消费者隐私权法案(草案)》。
美国在个人信息的保护方面,采用了两种方式:一种是立法模式,一种是行业自律模式。虽然上述立法对个人信息的保护提出了要求,但国会的立法仅发挥补充与辅助作用。美国在个人信息保护方面主要采取的是政策性引导下的行业自律模式。[23]行业自律模式由行业规范实现个人信息权利的保护与信息自由流动间的平衡。与欧盟统一立法保护模式所不同的是,美国并没有一部综合性、统领性的保护个人信息的法律,其在个人信息的立法保护方面,往往区分不同事项、不同行业与领域,分别进行保护。行业自律的主要形式包括网络隐私认证计划、行业指引、技术保护与企业自律等。[24]
行业自律模式体现在如下方面:
第一,建议性的行业指引。大多由保护个人信息的自律组织制定,参加组织的成员承诺遵守行业指导性原则。如美国隐私在线联盟,这是一个产业联盟,该联盟成立于1998年,同年6月,该组织公布了《在线隐私指引》,联盟成员线上采集用户个人信息时,需遵守该指引的要求。[25]美国隐私在线联盟并不监督该指引贯彻执行的情况,对违反该指引的行为也不施以制裁。其公布《在线隐私指引》的意义与作用,仅仅是为联盟成员提供一个参考范本,联盟成员需保证其制定的隐私保护政策的保护力度满足联盟隐私保护指引的要求。
第二,网络隐私认证计划。这是非官方机构发展出的一种自律认证模式。该认证计划通过对达到个人信息保护相应标准的机构颁发隐私认证的模式,督促相关机构加强个人信息的保护。[26] TRUSTe是这当中较为知名的网络认证组织,它的认证项目由两部分组成,分别为一般网络隐私项目要求(General Web Privacy Program Requirements) 和特别认证项目要求(Specific Seal Program Requirements) 。作为一家独立的非营利组织,此组织的一般网络隐私项目,要求所有经过认证的成员网站都有隐私声明,能为消费者提供对其信息的控制权,有相应的安全措施并配置争议纠纷的投诉解决程序。而特别认证的项目包括儿童隐私认证项目、欧盟安全港认证项目和电子邮件隐私认证项目。此类网络隐私保护的认证组织能给予的最严厉的处罚是取消认证。
美国倚重行业自律模式,是出于对自由政策的传统、快速发展的网络技术、冗长繁琐的立法程序与业已形成的利益分配格局的考量。在信息技术发展日新月异的年代,美国虽然能根据每个行业各自的特点,有针对性地对不同行业的信息采集、处理、利用行为进行规制,但行业自律模式也存在如下方面的明显不足:(www.xing528.com)
第一,缺乏强制力。行业自律规范往往缺乏完善的纠纷解决程序,其投诉与争端解决机制并不完善。当发生争议时,行业自律规范很难作为裁判依据在司法裁判中被直接援引。
第二,普遍性不足。行业自律的前提是企业的自愿参与。以美国在线隐私联盟为例,其成员最多时曾达到80多个,现已缩减至30多个。[27]虽然其中不乏全球顶尖的互联网公司与协会组织,但相较于成千上万的企业而言,在普遍性上仍显不足,大部分企业仍游离于自律规范之外。
第三,合法性质疑。行业制定的自律规范往往会强调行业对个人信息所享有的财产利益,大多数行业与机构往往会主张它们收集、处理、利用的信息资源是属于它们的财产,它们有权以其认为恰当的方式对信息进行处理。而个人信息财产权与机构团体的信息财产权明显相悖。[28]
第四,效果不理想。美国所倚重的行业自律模式并未构建出一个保护个人信息的良好环境。众多企业在隐私治理及安全防范措施的落实方面都存在诸多不足。美国的行业自律模式曾受到来自欧盟1995年《数据保护指令》的挑战。欧盟在《数据保护指令》中要求,所有与欧盟进行贸易的国家,对欧盟公民个人数据的保护,要达到欧盟认定的“充分性”标准,欧盟境内的个人数据信息才能传输到该国境内。美国政府迫于可能中断的数据传输引发的影响美欧贸易的压力,及时推出了“安全港原则”来调和行业自律的不足,使与欧盟有经济往来,涉及信息储存、处理的美国企业,在数据保护方面能够达到1995年欧盟《数据保护指令》的保护标准。可“安全港协议”已于2015年10月6日被欧洲法院宣布为无效。
总体来看,欧洲国家对个人信息的保护往往是通过自上而下的严格立法、对个人信息使用进行限制以及信息主体的明确同意来实现的。欧盟将个人信息的保护视为一项超越了其他权利的基本权利。[29]美国隐私法关注的重点是矫正对消费者隐私产生侵害的行为,在隐私保护与有效率的商业交易之间找寻平衡,通过在特定领域、如金融、医疗、信用体系等领域实施特别规则来管控侵害隐私的风险。[30]美国对与隐私保护范围相关的“个人身份可识别信息”的界定较窄。[31]事实上,美国信息隐私的保护,立法分散,欠缺整体规划,倚重行业自律,很少有能够适用于信息保护全领域的普适规则。这当中存在诸多不足,但这也为产品与服务的创新留下更多的空间。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
