欧盟惩治数据隐私违规（论数据相关的权利保护和问题）

可他是命 2022-10-30 16:55:52

欧盟惩治数据隐私违规（论数据相关的权利保护和问题）(1)

欧盟惩治数据隐私违规（论数据相关的权利保护和问题）(2)

【论文摘要】

数据的搜集、保存、转移、传输和分析已然成为当前整个电子商务最具关键的功能之一，犹如人体的神经系统和其中的讯号，带动著全球错综复杂而且相互依赖的产业链条能够有序运转。然而究竟数据应如何定义？其本身是否应该享有如何的权利保护？汇集数据的数据库又应如何？其背后所折射、反应的个人隐私信息究竟应当如何处理？如何在个人的隐私需求与国家和社会安全的需求之间求取平衡？这些问题自从电子商务开展以来便一直困扰著全球各国。本文拟从美、欧两地的发展、经验和实践进行概括的梳理并就其中发生的问题予以评论，以其对国内目前正在推展的相关立法提供参考。

【关键词】

数据；大数据；数据库；隐私；《通用数据保护条例》；《加州消费者隐私法》；《加州隐私权法》

【作者】

孙远钊（Andy Y. Sun），美国亚太法学研究院执行长，暨南大学知识产权学院特聘教授。本文不代表作者服务单位意见。

本文纸本版将发表于《知识产权研究》第28卷（2022）。

重点导读

※ 引言

※ 数据的定义

※ 数据的保护方式

一、数据本身

二、数据库

1、起源

2、后续

3、特殊赋权

4、现况

5、评论

6、案例与成效

7、自律

三、新闻出版者权

1、内涵

2、争议与评论

四、隐私权

1、概念与定义

2、美国的发展

3、欧盟的发展

五、法人求偿与反不正当竞争

六、反垄断

※ 结论

※ 后记

在日前发布的论数据相关的权利保护和问题——美国与欧盟相关规制的梳理与比较（1）一文中，笔者分析了数字经济时代数据的定义与价值，数据库的起源、发展与保护方式。

在本篇中，笔者将继续分析美国、欧洲与澳大利亚等地的立法与司法制度，为大家介绍新闻出版者权与隐私权对数据的保护。

三、新闻出版者权

内涵

能够体现数据价值（尤其是及时性价值）的一个重要指标是新闻报道。这也成为欧盟《DSM指令》当中最具争论性的内容之一。《DSM指令》第15条所规定的“新闻出版者权”既是欧盟新创的一个邻接权（neighboring right或“相关权”（related right）），又与数据保护息息相关（因为涉及对不具独创性的新闻事实报道予以赋权）。其主要的目的是作为给投资新闻创作的经济回报，具体的内容是：

1、额外赋予新闻出版者对其新闻报道从事网络使用的复制权和向公众提供权（right of making available to the public），包括当信息社会服务提供者（如谷歌（Google）或脸书（Facebook）等网络平台）在网络上使用新闻内容时，纵使该新闻报道不受著作权保护，在该新闻报道出版日起2年，仍需经许可并支付相应的费用才可从事复制或信息网络传播。

2、在下列三种例外情形排除适用上述的条款：

个人的私人或非商业性使用，
网络链接行为，或
个别字词或非常简短的摘录。

3、各会员国应于2021年6月前将指令规定转化为国内法，完成整合。[49]

争议与评论

1欠缺实证调研基础

在互联网时代，网络平台服务提供商（Internet platform providers，简称IPPs）往往也同时扮演了所谓“新闻聚合者”（news aggregator）的角色。不少的调研显示，这已成为当前欧盟多数人获取新闻信息的主要来源之一。[50]

因此当欧盟执行委员会提出《DSM指令》第15条的立法草案时（当时是列为第11条），显然认定作为“新闻聚合者”的平台服务提供商不但没有开创出“市场扩张效应”（market expansion effect），反而还造成了“替代效应”（substitution effect），亦即认为新闻聚合者在其平台上已经提供了足够详细的信息以致于用户不再有兴趣或是觉得有需要链接到原始的出处去阅读完整的新闻报道。于是这就导致新闻媒体在网络流量与广告收益等各方面的大量损失，继而又产生连锁反应与恶性循环，最终造成创作量的大幅下跌，也让一般人对各种新闻内容的接触和取用更加不断下滑。然而实际的状况是否果真如此恐怕还有很大的商榷余地。已经有学者专家对这个立法的基本前提提出了批判，尤其如果参酌德国和西班牙的经验，实际的状况显非如此，更不是直截了当的因果关系。因此批评者认为欧盟执行委员会的这个前提假设太过表面化，这样规定反而会对网络电子商务的供需造成不当的干扰。[51]

2市场的对应与屏蔽效应

这个要求新闻聚合者必须事先寻求新闻内容出版者的许可并支付费用的规定经常被称为“链接税”（link tax）条款或直接被称为“谷歌税”。对此，谷歌公司的一位高阶主管曾经表示，“真正让我们担忧的并不是费用，对谷歌而言那可能无关痛痒，而是如此一来所创设出的前例。试想我们是不是还得向每一个把自己烹饪的食谱放到网络上的人寻求事先许可还要签约付费？”谷歌负责新闻业务的副总裁则是进一步警告，这个规定很可能会产生始料不及的后果：在《DSM指令》出台生效前会出现在“谷歌新闻”（Google News）当中的各种新闻出版者大约有八万个左右，由于现在谷歌必须同这些出版者一一协商订立许可协议，在有限的时间和资源下，这就意味着谷歌势必得严选慎挑，大幅限缩未来所能涵盖的媒体范围，以后就只能从非常有限的新闻来源提供内容。[52]

这个“链接税”条款的一个根本问题是，虽然欧盟执行委员会在其幕僚的工作报告中列举了许多统计数字试图显示当前“报业危机”（newspaper crisis）的严重性，然而却始终未曾提出“关联性的”实证数据与经济分析，显示增加这个“新闻出版者权”将会替新闻出版业者带来如何的经济收益；也没有提出任何证据来支持成为新闻聚合者的平台服务提供者与新闻媒体之间究竟产生了如何的“替代效应”，因此也就难以建立前者的所获利益是以后者的所受损失为代价，无论是直接或间接的因果关系。[53]毕竟传统实体新闻出版的利润不断下滑的主要导因是人们可以从网络获得同样的内容甚至更多附加内容（如多媒体的呈现）、更为实时的相关新闻以及在数字市场电子商务环境下的新型广告经销模式，这些都与搜索引擎或是新闻聚合市场没有如何直接的关联。

相反的，从德国和西班牙之前的经验反而显示新闻聚合者对于个别媒体的网站流量增长具有相当重要的贡献。德国的经验进一步显示，自从该国修法对新闻出版者设置了这个类似邻接权的“附加权”（ancillary right）后，对于像谷歌或脸书这种大型并具有绝对优势地位的新闻聚合者而言，最直截了当的做法就是把凡是没有同他们订约的所有检索结果悉数过滤掉，以免替自己带来侵权诉讼的风险。这样一来就会直接导致使用者在从事检索时将再也看不到不知有多少原本应该被呈现列出的检索结果，这自然也会对网络最重要的一项功能——检索——的质量造成非常不利的影响，也必定会连带大幅限缩了使用者接触和取用网络各项资源的能力，甚至导致因信息不足而误判状况。但是如果谷歌真要这么做，也可能会重挫本身的商誉和信用。

3违反国际公约与保护过当

学界对这个赋权举措的另一个批判是，这条规定涉嫌违反国际公约。《伯尔尼公约》第2条第（8）项规定明确排除了对“日常新闻或仅止于具有新闻信息性质的杂项事实”（news of the day or to miscellaneous facts having the character of mere items of press information）给予著作权保护。因此，即使要赋权给新闻出版者，其范围自然也应受到同样的局限。但是欧盟的这个指令显然没有设定任何的限制，因此明显逾越了国际公约所容许的范围。不但如此，如果撷取某个新闻报道的一个片段或是对新闻内容从事其他的数字使用（例如所谓的“文本挖掘”或“文本探勘”（text mining）等）都还有可能被这个新设的“权利”所覆盖（《DSM指令》并没有明确定出相关例外的分际），那么这种对原本根本不应享有任何知识产权的数据从事赋权不但构成保护过当，而且势将对未来科技的研发和教育、知识的分享造成相当不利甚至严重的影响。[54]

4与反垄断的竞合

前已提及，如谷歌或脸书等具有绝对优势地位的新闻聚合者，为了避免惹祸上身，最简单、也最直截了当的做法就是藉助人工智能等机械手段，只要在检索过程中出现了没有与其订立许可合同的媒体新闻就立即全部自动撤除，根本不会显示在最终的检索结果当中。这就让法国竞争委员会（Autorité de la Concurrence）决定出面干预。为了促使谷歌尽速与该国的新闻内容提供商展开相关的授权协商，该委员会于2020年4月9日公布了一个长达72页的“暂行措施”（interim measures/mesures conservatoires），其中禁止谷歌与各家新闻内容提供商进行协商的过程中把任何关于新闻检索的结果自动排除或撤除。[55]

这样的做法可说是非比寻常，因为根据欧盟反垄断规定，传统上只有当权利人拒绝提供（refusal to supply）其享有著作权保护的作品给竞争者时可能会产生是否构成滥用权利的行为；但这回却变成了如果是谷歌拒绝向著作权利人要求提供作品就会被视为滥用其优势地位（即使承受高度的诉讼与侵权赔偿风险）。这形同法国政府在直接干预一个跨国企业在当地的运营自由和选择。所以谷歌毫不意外地已经对此提出上诉。

另一方面，诸如网络社交平台、检索等已经成为当前使用互联网不可或缺的关键设施或服务，本来的市场准入门槛就已非常之高，让后来的竞争者无论从技术、管理与数据的累积等等各方面都难以望其项背。现在突然再增加这么一道必须取得媒体出版者的许可并支付相应费用的新门槛，无异于假立法之手把这道门槛拉抬得更高了，而且明显只会对既有的优势平台服务提供者给予更大的优势。换句话说，这样的立法涉嫌以行政（公权力）帮助特定企业形成更大的垄断。

前已提及谷歌高层主管的担忧：是否将来只要一有任何人把到可著作权保护的著作物给放置到了网络上（从而可以被检索到），如谷歌等所有的搜索引擎企业或具有这个功能的任何网络平台都必须从事许可协商？从法国竞争委员会还必须出具一个极具争议性的“暂行措施”作为配套就可见到其中的具体执行将有多么的困难。无论如何，欧盟指令做出这样的规定和要求的确不排除将来可能会导致检索的质量在一定程度上会下降，这对未来新闻传播事业的发展会造成如何的冲击也还在未定之天。

此外，可能最具逻辑反讽意味的是，众所周知，谷歌的主要收益是来自广告。在实际的操作上除非使用者点击了相关检索的超链接然后联系到原始的网站，谷歌就无法从中获得任何的利润。因此如果真的是因为谷歌检索呈现的结果太过翔实导致使用者没有兴趣再链接到原始的网站从事进一步的浏览，反而意味着谷歌整个经营模式的失败，也显然完全不符合谷歌自身的利益。

由于对新闻的转载基本上就是对特定形式数据库的内容从事取用，借鉴过去的经验和实践，最佳的处理方案恐怕还是要让这些数字市场的各个角色扮演者以自律的方式去找出最符合大家共同利益的合作共赢方案（事实上目前已有多个，而且成效颇为可观）。主管机关所需要做的只是确保这些企业或厂商的所作所为符合反不正当竞争、反垄断与消费者保护的法规、政策即可。欧盟这样突如其来增加一个新的权利，而且还形同在推行一个变相的强制授权机制，不但不能替整个体系找到一个适当有效的平衡，却反而制造出更多的问题和混乱，甚至造成“寒蝉效应”，徒然让未来的检索质量很有可能会不断下滑。

澳大利亚的发展

欧盟的做法至少还先透过赋权的方式给了新闻媒体一个立足点作为与同时扮演了新闻聚合者角色的网络平台进行协商的基础（哪怕这个赋权本身就非常值得商榷，已如前述）。澳大利亚的做法则是更加的“简单粗暴”，直接摆明了要针对谷歌和脸书“空手夺刀”，硬性强制这两个网络平台必须付费给新闻提供者，完全不问其中的权利基础与法律关系究竟为何。

澳大利亚联邦国会在2021年2月25日通过了一个《新闻媒体暨数字平台强制协商法》（Treasury Laws Amendment (News Media and Digital Platforms Mandatory Bargaining Code) Bill 2021）。[56]其中并未采取欧盟的做法创设任何新的权利，而是直接强制网络平台（主要还是针对谷歌和脸书两家）与该国的各主要媒体比照劳资争议处理的模式进行协商，建立对使用新闻内容的付费标准。如果协商不成就要移交强制仲裁程序来裁判。[57]

澳大利亚国会通过这个新法之后谷歌随即选择妥协接受，但脸书则进行全面性的抵制，把当地所有的新闻分享全部断绝，结果一度造成了相当大的问题，也导致澳洲政府和国会议员对脸书提出了严词抨击（几乎都是在脸书上发表）。[58]不过双方最终还是达成了协议，澳洲国会也对法律做了一些技术性的修改，基本上是给网络平台较多的时间进行协商，并将在该法通过之前就已经达成的协议一并纳入作为是否已经合规（compliance）的考量，另外就是政府必须在出台其最终认定的前一个月给网络平台通知等。[59]目前两家企业已经与澳大利亚当地的若干主要媒体展开协商，有的已经达成协议（事实上谷歌在法律通过前已经和两家媒体谈妥）。[60]

值得注意的是，虽然该国的政府部门、大型媒体都支持这个立法，小、微媒体却认为这样的法规文句只会让大型媒体蒙利。所以并不是所有的媒体都支持这项立法。[61]

究竟欧盟与澳大利亚的做法是否会产生更大的“涟漪效应”（ripple effect），让其他的国家或地区准备跟进，以及究竟这样的举措可能会对整个数据库领域（尤其是涉及新闻内容的数据库）产生如何的冲击，目前还难以评估，只能有待时间来检证。但是各界已经出现了许多表达严重关切的声音，尤其认为澳大利亚国会已经开了一个非常危险的先例，将会导致发生完全无法预期的严重后果。[62]

四、隐私权

前已论及，个别不具独创性的数据本身基本上无非就是体现特定的事实，因此没有任何的权利可言。但是由一个或多个组合的数据却可能会呈现某些个人隐私（例如，从购买的商品等推知可能未婚先孕），甚至影响其人身安全（例如，泄漏对刑事案件秘密举报者（“吹哨人”whistleblower）或关键证人本应保密的身份等）。

在经过规模性和更精细的数据（大数据）分析后，这方面的问题更加容易出现。但是数据分析显然对于企业的运营、更准确的管理库存、更具效果的行销等等具有极重要的价值。因此，一方面是从数据（或大数据）背后所折射出的个人隐私需要给予保护，另一方面则是企业对消费者或使用者需要提供更具效能、更符合需求的产品或服务。如何在这两个需求之间取得适当、有效的平衡，便成为极具挑战性的课题，在互联网和大数据的环境下尤其凸显。

（一）概念与定义

隐私权（right to privacy）的概念可上溯到12至13世纪的罗马法，对于拉丁字“ius”的使用已逐渐从原来的“法律的公正性”扩展到个人对某件事物能否占有或控制的主张，已经类似于现代对“权利”的概念；而且这个起源于自然法的概念从特定的视角而言，意涵着所有人都是平等的（无论是天主教或基督教的教义都认为所有的人是依照上帝的形象打造而成，可以按照自己的理性自由行动，特别对于善恶的理性判断等等），于是也逐渐让个人的自由与尊严产生了连结。[63]

当代首先把数据与隐私保护予以连结，也就是因数据的揭露可能产生的隐私保护问题与应有的法则可溯源到经济合作与发展组织（Organisation for Economic Co-operation and Development，简称OECD）于1980年9月23日通过，给各成员国作为立法参考的一项决议。[64]其中列举了八项基本原则：

（1）有限搜集 —— 数据的搜集应有限度而且必须是以合法公平的方式取得，而且应在适当的情形下征得数据主体（当事人）的同意或认知；

（2）数据质量 —— 个人数据应与所欲使用的目的相关，而且为达成其目的在必要的范围内应确保其正确性、完整性与及时性；

（3）具体目的 —— 应在搜集个人数据之前表明其目的并将其后的使用局限于达成其预定目的，或从事其他的使用不可与原先所定的目的不相容，如需改变其目的的亦需表明；

（4）使用限制 —— 依据前项原则，个人数据不得从事表明的目的以外的揭露、提供或用途，除非

获得数据主体的同意，或
依据法律的授权；

（5）安全保障 —— 个人数据应以合理的安全措施给予保护以避免流失或对数据从事未经许可的接触、毁坏、使用、修改或揭露；

（6）公开透明 —— 对于个人数据的开发、使用实践与做法应建立一个通用的公开政策。应建立随时可供确认是否存在个人数据和其主要使用目的的方式，以及数据控制者的身份与通常的居（住）所；

（7）个人参与 —— 个人应有权：

从数据控制者确认是否获取了其个人数据、
在合理期间内与用合理方式与容易理解的形式被告知所获取到与其相关的个人数据，如有任何费用，亦不得过度；
依前两项提出要求遭拒时，可对该拒绝提出挑战；
对其相关的数据提出挑战，如获成功，可将数据予以删除、纠错、补充或修改；

（8）责任承担 —— 数据控制者应对于做到符合上述原则承担责任。

在每个原则的背后原本都有各种利益的争辩与搏奕，所以可以说从一开始就充满了相当的争议（例如如何平衡对数据的安全保障与公权力以国家或社会安全的需求为由进行的取用和调查，以及授予消费者或使用者这些权利是否会导致交易成本过高，反而产生反竞争的效应，让既有的大型网络平台或服务提供者，尤其是反而更加强化了入口或接口位置的所谓“把关者”或“守门员”（gatekeepers）的控制力等）。

然而经济合作与发展组织的成员国最终依然能够达成共识，主要是因为一方面全球在1970年代陷入了相当严重的经济不景气和社会的不安与动乱，另一方面透过计算机系统来从事运算同时带来了各种新的契机和风险。成员国的主要考量是希望能对其中涉及个人隐私保护的问题订立作为基础的一些原则，从而可以确保彼此之间的信息流通，不至于因为隐私保护的争议和诉讼等因素形成对全球经济和社会发展的障碍。[65]

这个决议对于后来全球相关领域的法制发展产生了很大的影响。据一项研究显示，截至2017年1月，全球已有120个国家和地区通过了关于数据保护的立法。[66]其中欧盟是完全接受了上述的八个原则并反应在其相关的规制当中，其规制也是目前国际间最具指标性和影响力的立法。美国迄今始终没有制订一个全面性的联邦立法，于是产生了迥然不同的面貌。

（二）美国的发展

把违反或侵害他人的隐私列为侵权责任的概念最早始于美国，可上溯到一篇刊载于1890年12月15日出版的《哈佛法学评论》（Harvard Law Review），由两位当时在波士顿的律师山谬‧华伦（Samuel Warren）和路易斯·布兰代斯（Louis Brandeis，后来成为美国联邦最高法院大法官）联合撰写，题目就是名为《隐私权》的论文。[67]文章开篇就破题阐明：“每个人应对其人身和财产获得完全的保障是个与普通法同样古老的原则，但却不时需要对其具体的性质和范畴予以重新界定。……法律权利的范围逐渐扩大，以致现在的生命权已经成为是指享受生命的权利 —— 即不受打扰的权利；……”[68]至于如何具体定义何谓“不受打扰的权利”则还有待将来的司法实践去逐步探索、厘清。

在互联网时代，信息数据传输已经成为带动整个社会和经济发展最重要的神经系统。一旦发生对隐私或关键信息的侵害，往往是规模性的重大破坏。因此数据、隐私保护与网络安全已经融为一体，成为当前最重要的社会与经济课题之一。

多个国际组织、不同国家的各级政府以及无数具有指标性的企业和机构在近年分别遭遇了不断的“黑客”（hacker）攻击，造成的损失与不良后果难以估计。[69]2021年5月殖民石油输管公司（Colonial Pipelines）遭到勒索软件（ransomware）攻击的事件瘫痪了整个美国东半部的汽油供应将近一整周的时间，对美国的基础设施和经济、社会造成了巨大的影响。雅虎公司（Yahoo）则是在2014年间发生了迄今已知规模最大的使用者数据外泄事件，而且是受到来自多方的黑客攻击，结果至少导致30亿名使用者的账号、密码、实名、电子邮件信箱、出生日期与电话号码等悉数被盗取并“销赃”到所谓的“网络暗区”（Dark Net）兜售，让其他的不法之徒可以对这个庞大群体当中的个别对象继续从事盗取和欺诈。[70]

美国虽然是现代隐私权保护的发源地，又历经了无数互联网的攻击破坏与数据信息外泄事件，再加上社会各界的高度关注，关于网络安全与数据隐私保护的相关法制本应十分完备才是。然而实际上却没有直接采纳上述经济合作与发展组织的建议，仅从立法来看就非常的分散、复杂和技术化（在联邦的层级至少有12个不同的法律分别规制），负责主管的政府机构也是叠床架屋、各自为政、令出多门，欠缺整体划一的体系（详见后述）。

造成这个状态的主要原因是：

（1）美国对于个人隐私保障的基础固然可以溯源到《联邦宪法》第三、四、五和十四修正条款的禁止与授权规定，[71]但传统上几乎完全是聚焦和局限于保障个人的生命、自由、财产等权益不受政府的无端侵入或干扰，并不及于他人（自然人或法人）对个人隐私的侵入，一直要到20世纪60年代末期才开始发生变化；[72]以及

（2）美国关于信息隐私保护的司法实践，无论涉及联邦宪法或各州的普通法（common law），始终呈现零星和碎片式的发展，即使偶有案例或判决认同的确存在一个范围广泛、一般性的隐私权，但是往往最终是“进三退二”，呈现牛步化的发展。[73]尤其受制于“国家行为法则”（state action doctrine）的要求，任何人如想对非政府机构或他人以侵害其信息隐私诉讼，在传统上从一开始就会面临当事人不适格或是无诉讼资格的挑战，难以跨越，而且“无论其行为可能有多么的不公正”。[74]

正因为历来的司法实践无法对信息或数据的隐私保护提供一个完整的框架，美国在这个领域主要是依靠成文立法来提供保障。但是如此一来几乎注定会是令出多门而且互不协调。与许多工业化国家的法制通常会对个人数据与隐私保障制订一个综合性、完整的法律不同，美国的隐私保障法制是分别不同的领域或部门来分别立法，这也就会让相当大的区域欠缺必要的规制。[75]

1联邦层级的现况

鉴于20世纪70年代初发生的“水门事件”（Watergate Incident）严重挫伤了美国人民对其联邦政府的信任，国会制订了《1974年隐私法》（Privacy Act of 1974）来明确界定政府应如何处理关于人民的个人数据，希望能藉此修补联邦政府的公信。[76]后来又制订了《2002年联邦信息系统安全管理法》（Federal Information Security Management Act of 2002，简称FISMA），把政府所拥有的数据提升到国家安全的层级，并要求各联邦政府部门或机构必须设置信息安全体系并符合由白宫管理暨预算局（Office of Management and Budget，简称OMB）与国家标准与技术研究院（National Institute of Standards and Technology，简称NIST）所制订的标准。[77]不过这些都还是规制政府行为的立法。

至于前述关系到政府以外的机构、企业等应如何对其使用者或消费者的信息数据给予保护的12个联邦立法分别是：

（1）《1999年金融服务现代化法》（Financial Services Modernization Act of 1999，又称为Gramm-Leach-Bliley Act或简称GLBA，即以三位共同原始提案人的姓氏命名）[78]

主要是禁止金融机构（如银行等）未经当事人同意与无隶属关系的第三方分享消费者（或客户）未公开的私人识别信息，除非事先明确通知其消费者或客户，并给予后者“选择退出”（opt-out）或拒绝同意的机会。另外则是要求金融机构必须采取措施维护这些信息的安全，防止外界未经许可或授权对其接触取用，包括建立一套对应未经许可取用消费者信息的机制。

在主管机构方面，就数据安全部分而言，数个联邦金融规制部门对诸如商业银行等从事储蓄业务的机构有专属管辖权，不从事储蓄业务的机构则归联邦贸易委员会（Federal Trade Commission）管辖。虽然这套法律并未对受到影响的当事人明文提供任何民事救济规定，主管部门仍可依据其行政执法权限对违法者科处罚金。而且法律对“明知且故意”（knowingly and intentionally）以错误或欺诈的陈述或表示获取或披露客户信息的可处最高五年有期徒刑及罚金。

（2）《1996年可携健康保险暨问责法》（Health Insurance Portability and Accountability Act of 1996，又称为Kennedy–Kassebaum Act或簡稱HIPAA）[79]

授权联邦卫生暨福利部（U.S. Department of Health and Human Services）制订行政命令，定义需要受保护的医疗信息（protected health information，简称PHI）、所适用的对象（包括医疗提供者、健康或保险计划提供者、医疗保险索赔清算所（healthcare clearing houses）、以及该等机构的特定相关人员）、以及具体的范围等（对医疗信息的使用或分享、对消费者的揭露、对信息的保全与安全维护、以及一旦发生侵害事件对消费者的通知义务等）。[80]

（3）《公平信用申报法》（Fair Credit Reporting Act）[81]

主要是确保信用申报机构提供正确的消费者信用数据并只能使用于特定的用途。不过这套法律当中并没有任何隐私保障条款，诸如要求信用申报机构在搜集或分享消费者的信用信息给第三方之前让消费者有权选择加入（opt in）或退出（opt out），也没有信息安全保障、维护与发生事故时的通知义务等规定。

（4）《1996年电信法》（The Telecommunications Act of 1996）[82]

这是对1934年《通信法》（Communications Act）的重大修正。其中依不同的承载讯号类型分别针对一般承载者（common carriers）、有线操作者（cable operators）和卫星承载者（satellite carriers）增加了对数据保护与安全的强制性规定，包括除了特定的例外，原则上不可未经许可使用、揭露或允许他人接触取用可以从事个人识别（individually identifiable）的信息、必须设置防护措施以确保对个人识别信息的正当使用与揭露、以及必须符合关于数据泄漏的相关规制等。[83]

这个法律的执法部门是联邦通信委员会（Federal Communications Commission，简称FCC）。该委员会曾经在2016年制订一套关于保护消费者隐私的行政规定，试图对所谓的“客户商用信息”（customer proprietary information）给予非常广泛的定义，涵盖所有可以构成对个人从事识别和通信内容的信息数据。[84]不过这项规定之后遭到国会依《国会审查法》（Congressional Review Act）予以否决。[85]

无论如何，任何认为其权益受损的个人均可对涉嫌违反的承载者起诉，请求民事损害赔偿、诉讼费用及合理律师费，联邦通信委员会也可对涉嫌违法者直接提出民、刑事诉讼。[86]

（5）《视频隐私保护法》（Video Privacy Protection Act，简称VPPA）四、标题标题标题标题很长的标题很长的标题很长的标题[87]

国会在1988年制订这项立法时主要是为了在出租、购买或交付录像带或其他类似的视听材料时保全个人的隐私信息。这项法律没有对厂商必须设置保护信息或数据的强制性要求，不过还是设置了条款禁止受到管辖的厂家未经当事人事先选择加入或同意故意揭露涉及任何消费者的个人识别信息，但是属于正常业务运营过程中的附带性揭露（incident to the ordinary course of business）则不在此限。对于违反者受损害的当事人可提出民事诉讼请求禁令或损害赔偿，但无刑事的救济或处罚规定。

（6）《1974年家庭教育权暨隐私法》（Family Educational Rights and Privacy Act of 1974，又称为Buckley Amendment，简称FERPA）[88]

要求任何教育事业机构或组织必须给予家长或视学生的年龄是否已达成年给学生本人对该学生所有教育记录的控制权、审查、以及对其中内容的正确性予以挑战的机会。对违反此法的教育机构联邦教育部可采取“适当的行动”，包括由部长签发“停止令”（cease and desist order）、暂停或终止对该机构的联邦教育经费补助等。不过这个法律没有刑事处罚条款，当事人也无法直接起诉涉嫌违反的教育机构。[89]

（7）联邦证券交易法规（Federal securities laws）

虽然联邦证券交易法与相关的行政规定并没有明文对数据保护直接进行规制，不过有至少两处要求对于企业应如何避免以及对应数据泄漏会产生一定的影响。其一是联邦《证券交易法》（Securities and Exchange Act of 1934）第13条第（b）款第（2）项第（B）子项规定，所有的上市企业或需要向证券监管部门提出申报的公司必须设置并维持一套内部的会计监控系统，以确保所有的交易以及对资产的接触或取用都必须经过管理阶层的一般或特别授权。[90]

鉴于已发生多起企业遭到诈骗将数以百万计的资金错误转汇，联邦证券交易委员会（Security Exchange Commission，简称SEC）在2018年出台的一个调查报告中进一步表明，企业在布局相关的会计管控系统时，建议应一并纳入与网络威胁相关的考量。[91]其二是证券交易法规要求企业在从事必要的申报时必须注明相关的风险事项（risk factors）并予以解释。联邦证券交易委员会已经在相应的指南中表明，其中包含了必须揭露诸如数据外泄等网络安全方面的事项。违反这些会计管控合规要求的可遭受行政处罚与民事损害赔偿。故意违法的还可能遭到刑事起诉并面临到有期徒刑与罚金等。

（8）《儿童线上隐私保护法》（Children’s Online Privacy Protection Act，简称COPPA）[92]

这个法律和负责执行的联邦贸易委员会所制订的行政规定是规制对线上儿童信息的搜集和使用，适用的范围涵盖所有指向儿童的网站或线上服务及其操作者或是任何事实上知悉在从儿童搜集信息的操作者。

操作者必须向儿童的父母直接提供关于其隐私政策的通知，而且必须在其网站首页予以醒目标示此一通知的相关链接；未经儿童的父母或监护人的同意之前不准搜集年龄未达13岁的儿童的个人数据，而且此一同意必须是以可被确认的方式来操作；而且对于所搜集到的数据信息保障其机密性、安全性与完整性，如要提供给第三方之前，也必须确保该第三方提供同样的保障。违反者将被视为从事不公平或欺诈性的商业行为受到对应的行政处罚与民事损害赔偿。不过这个法律没有刑事罚则或提供个人的诉权，所以必须透过执法部门来出面执行。

（9）《1986年电子通信隐私法》（Electronic Communications Privacy Act of 1986）[93]

这个法律是由《窃听法》（Wiretap Act）、《存储通信法》（Stored Communications Act）、以及《电话记录器法》（Pen Register Act）三个子法组合而成，主要着眼于电子通信的刑事执法过程中对个人隐私的保障，不过也规定了非政府行为人必须提供隐私保障的义务。

从法规的文字和表面上来看，这套法律很可能是所有关于隐私保障的联邦法律当中覆盖最为全面的一个，没有局限于特定的领域或特定的行为主体，然而这套法律迄今产生的影响却相当有限。一个可能的原因是，基于罪刑法定原则，司法实践不愿意对其中的规定给予扩张解释，而是把其适用范围局限在原始制订的目的和精神上，也就是对窃听或电子窥探的规制，因此凡是想以本法对商业性的数据搜集行为主张构成不法都难以胜诉。[94]

（10）《电脑欺诈暨滥用法》（Computer Fraud and Abuse Act） [95]

这项立法的原始目的是防制对他人电脑或计算机系统未经许可从事侵入、破坏、勒索或欺诈等行为（即通称的“黑客侵害”（hacking）），并没有涉及对信息的搜集和使用等与数据保障相关的规制。[96]

由于这套法规授权受损害的当事人可以提起民、刑事自诉，许多互联网的使用者也试图透过这个路径主张企业使用特定的装置或软件对其电脑信息从事追踪构成了未经许可的取用。不过由于本法设定了必须超过5,000美元的经济损失、身体伤害或医疗照顾损害的门槛，多个诉讼都因无法符合此一门槛举证的要求而遭到法院撤销。[97]

此外，美国联邦最高法院在最近出台的一个判决进一步限缩了这个法律的适用范围，表示纵使取用特定文档数据的动机和目的不当，如果行为人原本就具有对特定计算机系统与其中特定数据库资料的取用权限（在本案是涉及地方警察调阅他人的汽车牌照与其他犯罪执法记录等），就不构成违反本法。换句话说，获得授权可以使用特定数据库的使用者其具体的行为只要在客观上没有逾越授权的范围就不构成违法。[98]

（11）《联邦贸易委员会法》（Federal Trade Commission Act）[99]

这个立法原本是美国国会在1914年响应伍德罗·威尔逊（Thomas Woodrow Wilson）总统的呼吁，为了强化反垄断法制并设置一个专门的执法机构而制订。1938年把第5条做了修正，明文禁止在商业领域中或影响商业的不公平竞争手段以及不公平或欺诈性的行为或做法，另授权联邦贸易委员会可以制定相关的行政规定，并对几乎所有的自然人与法人有相关的执法管辖（不受其管辖的例外包括公共承运人（common carriers）、非营利组织和金融机构等）。[100]换句话说，国会表明了这个立法不仅适用于竞争者之间的交易行为，也同时适用于对消费者的保护。[101]

由于美国对于隐私保护的体系犹如“瑞士奶酪”（Swiss cheese）一般，中间呈现出许多空洞，既有的立法又只能做到如同贴膏药般的处理，因此许多涉及隐私保护又难以从其他法律获得救济的问题便纷纷转向联邦贸易委员会，希望能透过第5条规定所附予的广泛执法管辖来弥补各种现行体系的不足。

联邦贸易委员会固然可以依该条规定所赋予的“授权立法”（delegated legislation）权限自行制定所谓的“贸易规定法则”（trade regulation rules，简称TRRs），但是因为程序繁琐（超过联邦《行政程序法》（Administrative Procedure Act，简称APA）第553条制订一般行政规定的要求），而且消耗资源和时间，实际上鲜少以这个途径订立规则，也从未以此方式制订与数据保护相关的规则。截至目前该委员会都是透过行政执法来向外界释放讯号，显示有哪些具体的行为会被视为更成不正当竞争（当然不服的当事人还是可以上诉到法院）。

在数据的保障方面，委员会最主要的执法依据是一个企业或厂家是否违反了自身对其消费者或使用者关于数据隐私和安全保障的承诺，其中包括了对于数据的搜集、使用或揭露等自订的政策为何？是否在如何的情况下没有采取适当有效的举措来坚持其自订的政策？是否做出了误导性的陈述来诱使消费者或使用者揭露其个人的信息等？[102]

例如，在一个指标性的案件，被告透过网络广告（包括现金回馈等促销手法）让使用者到其网站下载一个软件程序，并且要点击同意在其中预设好的终端使用者许可合同（end user licensing agreement，简称EULA）或“点击许可合同”。这份文件使用了各种对一般人而言晦涩难懂的法律术语和小体字型来对其准备要做的事情作了表述，埋在其中的一个条款实际上的意思就是会追踪并搜集使用者的网络浏览历史记录。虽然在形式上被告完全合法，但却还是遭到联邦贸易委员会的调查起诉，被告选择接受了委员会的处罚和命令，必须向其使用者以明确且醒目（clear and prominent）的通知告知其软件具有追踪搜集的功能并表明将会搜集如何的信息（因此没有上诉到法院）。[103]

这个案件的不寻常之处在于，一般而言，只要制式性的合同内容没有显然不合理之处，法院通常会认为只要使用者在屏幕上点击了“同意”，双方就成立了一个有效的契约关系（哪怕绝大多数的使用者在点击同意之前事实上根本没有阅读其中的内容）。然而联邦贸易委员会显然想藉这个案件释放出一个信息：纵使双方当事人可以透过“点击许可合同”建立彼此的法律关系，但并不表示其中的一方就可以在其中使用欺瞒或误导性的手段并藉此避开责任。[104]

联邦贸易委员会另外的几个执法立场也值得注意：

（1）当网络平台运营者显著修改了其追踪搜集使用者个人数据数据的政策时，如果溯及适用到之前按原有的政策已经搜集到的数据，会被视为构成“不公平”的操作（unfair practice）。[105]

（2）如果应用软件当中预设的隐私选项需要使用者通过烦琐或困难的步骤后才能更改也会被视为“不公平”的操作。[106]

（3）在数据安全方面，即使电子商务或网络服务提供者在表面上并未与其公开宣布的政策或声明产生冲突，如果实际上未能保全其使用者的个人数据同样可能会被视为“不公平”或“不正当”。[107]

不过至少联邦第十一巡回上诉法院已经表示，联邦贸易委员会在签发禁制令（cease and desist order）时，如果是指控特定企业对数据安全措施有“不公平”的行为或操作，必须明确地指出究竟是哪些具体行为导致产生了如何的数据安全问题以及必须采取哪些特定的措施才能符合“公平”或“正当”的要求，不能只是概括地用“合理措施”等模糊的概念一笔带过，否则该禁制令即无法执行（unenforceable）。[108]法院虽然在判决中婉拒对联邦贸易委员会依据《联邦贸易委员会法》第5条第（n）款规定从事执法时的具体范围予以界定，但是本案至少对该机构要如何签发禁制令给出了相当的限制，至少不至于因为内容过于空泛抽象导致企业无所适从。

（12）《消费者财务保护法》（Consumer Financial Protection Act）[109]

这项立法是《华尔街改革暨消费者保护法》的一个环节，列为该法的第10编。而后者则是针对从2007年12月到2009年6月，由次级住屋信贷危机（sub-prime residential mortgage crisis）引发的全球经济“大衰退”（The Great Recession）对整个世界的债信市场和无数消费者的个人信用与居住、就业等都造成了严重的冲击而制订。其主要内容是禁止受管辖的金融机构或事业单位以不公平、欺骗性或滥用性的行为或操作向消费者推销与金融或理财相关的产品或服务，并创设了一个消费者财务保护局（Consumer Financial Protection Bureau，简称CFPB）作为执法机构，整个模式与前述的《联邦贸易委员会法》相当类似。[110]

虽然两者有颇多类似之处，但也有若干的差异。例如，消费者财务保护局的执法包括了一个新增的“滥用性行为”（abusive act）。这是指（1）对于消费者了解某个金融理财产品当中的一个名称或条件从事相当程度或过度的干扰，或是（2）因为消费者欠缺了解、在选择消费金融理财产品或服务时无力保障其自身的利益、或必须依赖受管辖的金融机构、事业单位或个人来代其行使权益等状况从事不合理的利用。虽然“滥用性行为”可能同时兼具不公平或欺骗性，这三者各自构成具有法定意义的不法行为，而且“滥用性行为”可覆盖更为广泛的领域。此外，这些行为必须是与提供消费型的金融理财产品或服务有关。对此，法律提供了一个详细的清单罗列符合的项目。[111]

另一个不同之处是，消费者财务保护局也获得了国会赋予的“授权立法权”，但与联邦贸易委员会受制于繁芜的程序性要求不同，该局只需依据联邦《行政程序法》的一般规则制订程序即可。这就让该局的潜在执法功能更为强大。也正因为如此，有论者认为消费者财务保护局正可藉助此一有力的执法与立法授权对相关的数据安全和保护予以规制。[112]不过截至目前为止该局在数据保护方面还处于相对静默的状态，相关执法案件只发生过一宗，是关于一家线上支付平台对其数据和操作系统的安全性从事了欺骗性的表述，最终是双方达成了和解并由该局签发“同意令”结案。[113]

（13）总统行政命令（Presidential executive orders）

美国《联邦宪法》没有直接明文规定总统可以使用如何具体的方式来治国理政。不过自乔治‧华盛顿（George Washington）于1789年就任第一任总统迄今，除了第九任总统威廉‧亨利‧哈里森（William Henry Harrison，于就职后第31天即因病去世，也成为迄今实际任期最短的总统），历任总统无不使用总统命令作为管理联邦政府的重要工具，也就形成了一个宪政惯例和总统行使行政权的固有权力。[114]

国会在通过立法时有时也会透过立法明示或默示授权总统制订相关的施行法规，总统也会以总统行政命令的形式来推行。[115]所以总统行政命令必须基于宪法或国会的立法授权，既不等同于国会的立法，不具有法律的位阶，更不能抵触法律和宪法。不过除非经法院宣判违法或违宪或是由国会另行通过立法对其修正或予以废除，总统行政命令一旦制订出台，在法律推定有效的基本原则下便形同是有效的法规，而且位阶还略高于其他行政部门制订的行政规定。[117]

在数据安全方面，第33任总统哈里·杜鲁门（Harry S. Truman）于1951年9月24日发布了一个总统行政命令，对所有联邦政府涉及安全问题的信息按机密等级统筹建立一个最低程度的分类与保护机制。[118]这还是属于对政府内部信息数据从事管理的规制。等到国会在1977年通过《国际紧急经济权力法》，本意是想对于总统行政权力设限，但却产生了相反的结果。[119]

到了第45任总统唐纳德·特朗普（Donald J. Trump）主政时期，正是以《国际紧急经济权力法》的授权和国家安全的顾虑为由，先后发布了3个总统行政命令，准备大幅扩张数据安全的限制范围，禁止与特定国家有关联的商用或消费型应用软件在美国境内的流通（主要针对北京字节跳动公司开发的“抖音”（TikTok）和深圳腾讯公司开发的“微信”（WeChat）两款软件），也导致无数使用者的账户与大量的信息面临如果无法及时转移到其他的平台就会遭到被全面、非自愿性删除的严重后果。[120]之后可能会受到影响的使用者自发组织向联邦地区法院起诉并分别获得了法院的支持（抖音公司也另外单独起诉，但腾讯公司没有采取任何法律行动），认为前两个总统命令违反《联邦宪法第一修正条款》对人民言论自由的保障并签发了适用于全国范围的暂时禁令。[121]联邦地区法院关于“微信”部分的暂时禁令之后并获得了联邦第九巡回上诉法院的支持。[122]

第46任总统约瑟夫‧拜登（Joseph Biden）上任后于2021年5月12日签署了一项关于网络安全的总统行政命令，要求与政府采购或承揽合同有关的各方必须分享数据，并协调整合，建立、整合网络系统安全的通报与对应机制。接著于2021年6月9日又签署了一个总统行政命令，一方面直接废除了特朗普总统原先的三道命令，另一方面责成商务部部长连同其他几个与国家安全、外交事务和健康福利等相关部门的负责人在120天内提交一份报告，研拟要如何确保美国人民个人识别信息、健康医疗数据与基因信息等不受到来自境外对手的侵入、取用、转让和销售，并在180天内提出需要在行政和立法上进一步采取如何行动的具体建议。国家情报总负责人另须在60天内提出一份关于境外对手对美国数据安全威胁的分析报告。商务部部长并且要对可能会对美国信息通信技术与服务造成破坏的应用软件使用状况予以持续的追踪评估并采取适当的行动。[124]所谓的“境外对手”（foreign adversary）明显是指俄罗斯、中国、伊朗和朝鲜四国。

美国联邦行政部门试图把消费型的商用软件直接提升到对国家安全威胁的层次并用总统命令来直接封杀的做法显然已经触碰到了多道宪法对言论自由保障的底线，而且对数据、隐私安全的保障形成了一个相当大的扭曲，让消费者成为遭到来自政府部门和平台厂家两路夹击的对象。拜登政府显然明了这一点，也认知法院的禁令不易解除，自然无意继续承接这个来自特朗普政府的负担。因此试图从中另谋某种平衡并希望能找到一个下台阶。但是由于这扇门板已被推开，今后厂家在美国市场推出任何的应用软件或线上服务时，都必须多一层考虑，思考对美国国家安全可能会产生的影响以及应如何对应。

2各州层级的现况

美国各州传统上对隐私的保障主要是由司法部门（各州的州法院）透过相关侵权责任或合同违约案件的判决在普通法的法理基础上逐渐形成一套相对全面的保护与责任体系。但是虽然都称为“普通法”（也就是以案例判决为依据的法制体系），各州的判决在具体内容上经常不一致、不协调，即是同州之内的不同法院，甚至同法院内的不同法官或法庭也都经常会出现不一致的判决结果。

除了普通法（案例法），许多州还通过了各种对数据安全和私人企业搜集、使用数据等行为会产生直接或间接影响的成文立法，诸如各州的消费者权益保护法或数据安全法等。虽然在立法当时“数据”未必是关注的焦点，但已有愈来愈多的案件试图透过消费者权益保护的路径来寻求对数据信息背后隐私权益的保护，也因此这类立法有时被称为“小《联邦贸易委员会法》”（little FTC Acts）。[125]

在各式各样的立法中，加利福尼亚州（California，简称加州）于2018年通过施行的《加州消费者隐私法》（California Consumer Privacy Act，简称CCPA）尤其受到关注，也可能产生了最大的影响。[126]这项法律在后续的两年又经历了两次重大修正，最近的一次是透过2020年11月3日的选举以“第24号提案”（Proposition 24）的公民创制方式通过了一个名为《加州隐私权法》（California Privacy Rights Act，简称CPRA）的新法，已于2020年12月16日生效，将于2023年1月1日正式开始施行，并将于届时完全取代2018年的现行立法。[127]这项立法至少有下列的新规定值得关注：

（1）“敏感个人信息”（sensitive personal information）

这是新法聚焦的一个重点，在个人信息的栏目下创设了一个新的次栏目，称为“敏感个人信息”，并赋予消费者或使用者额外的权利来限制厂家或企业对这类信息的使用和揭露（这个法律在用语上没有严格区分“数据”和“信息”）。其中包括了（但不限于），政府文件的身份识别证号（如社会安全卡号、驾驶证号、护照证号等）、信用或银行卡帐号（包括相关的密码或其他的保密安全代码等）、所在的精确地理位置、宗教信仰、族裔背景、生物识别信息、性向或性生活信息、以及邮件、电子邮件、短信等通信内容等（除非该企业就是收信方）。[128]

（2）“跨场景行为广告”（cross-context behavioral advertising）

这是新法的另一个聚焦重点，是指除了消费者意图与特定厂家或企业从事互动以外，另从该消费者在不同商业领域中的各种不同活动、浏览或使用具有特殊取向的网站、应用或服务等行为所获取的个人信息来推送具有针对性的广告。新法要求凡是准备使用此种行销方式或与采用此种行销的第三方分享消费者信息的厂家必须提供消费者有事先选择退出的机会。[129]

（3）取用自身信息及修正不确内容

新法创设并赋予给消费者一项新的权利，可以接触取用该企业所占有（通称为“接触权”或“取用权”（right of access）），关于其本身的相关信息，并可要求修改其中不正确的内容。企业应以“商业上合理的努力”（commercially reasonable efforts）修正不正确的信息。新法并责成加州总检察长（California Attorney General）制订相关的施行规定以进一步澄清并强化此一权利。[130]

（4）强化对16岁以下消费者的个人信息保护

在2015年出台的《加州网络隐私保护法》(California Online Privacy Protection Act, CalOPPA)[131]和现行法的基础上，新法进一步强化对所谓“16以下消费者”（under-16 consumers）的个人信息保护。任何企业或厂家机构在没有获得消费者本人（如果已届龄13岁或以上）或者其家长或监护人（如果年龄在13岁以下）的确认同意（affirmative consent）前，不得出售或分享任何“16以下消费者”的相关信息。[132]同条款并规定，凡是任何企业或厂家“刻意忽视”（willful disregard）其消费者的年龄的均视为“实际知悉”（actual knowledge）其消费者的年龄；违反这项规定的将面临对每个违反科处7,500美元罚款。

（5）对自动决定技术的处理

新法试图对应技术发展的前沿，鉴于由机器（如人工智能）根据数据运算自动做成某种“决定”必然会对消费者隐私造成一定的影响，责成加州总检察长对于企业使用此种技术对消费者个人信息的接触取用和消费者的选择退出权制订相关的施行规定。

尤其要著重两个地方：其一是，企业或厂家如何可以利用个人信息与数据分析对消费者从事类型化的“特征剖析”（profiling）；[133]其二是，要求企业必须回应消费者为何要搜集、取用其个人信息，包括应如何提供有意义或实质性的说明来解释其自动决定牵涉的逻辑并描述通过此种分析对该消费者可能会产生如何的结果。[134]

（6）明确“同意”的定义

新法试图厘清究竟在如何的情况下消费者真正“同意”或“允许”让企业或厂家从事《加州隐私权法》原本所不允许的行为或活动。依据法规的定义，“同意”是指由消费者本人或是其法定监护人、法定代理人或保护人（conservator）依其意愿自由提出、具体明确、知悉情况而且没有含混不明的表达，诸如一项声明陈述或一个明晰的积极行动，对于为特定狭义定义的目的而处理关于其个人信息表示认同。[135]新法另也特别指明，下列的状况不构成“同意”：

企业或厂家让消费者接受的使用条件或类似文件只是广泛的描述对个人信息与其他不相关信息的处理；
对使用内容的某个部分予以轻描淡写、保持沉默、避重就轻或予以略过；或是
透过使用“黑暗模式”或“互联网陷阱”（Dark patterns）促使消费者接受或同意。[136]

（7）执法禁止删除例外

新法授权执法机构可以要求并禁止企业在90天内不得删除消费者的个人信息。换句话说，如果某个企业先后或同时接到来自消费者对特定个人信息要求删除与执法机构对同样信息不要删除的要求，就必须继续暂时保留该信息，但也只能作为执法机构执行公务之用。此外，如有合理事由，执法机构可以要求对此期限再延展90天，但以从事调查必要的范围为限。[137]

（8）对未来修法的限制

鉴于现行的《加州消费者隐私法》才通过施行后不久就有州议会的议员们不断尝试提出各式修正草案试图淡化其中的规制，有的果然获得通过，这个主要由消费者保护团体所主导撰写的新法便直接明文表示未来的修改或相关施行规则的制订必须与新法的目的一致或更加推进对消费者隐私的保障（予以最大化）。[138]

（9）成立专责执法机构

新法在州政府（行政部门）设置一个“加州隐私保护局”（California Privacy Protection Agency，简称CPPA）作为专门负责执行的机构。[139]这也成为全美第一个完全专注于消费者隐私数据问题的政府机构，由一个5人组成的理事会负责领导，其中由州长聘任一名主席兼理事和一名理事，另由加州检察长、州参议院规则委员会（California Senate Rules Committee）、州众议院议长（Speaker of the California General Assembly）个别聘任一名理事组成，最多任期为8个连续年。

新法授权这个机构从事调查、签发传票、调阅档案文件、举行听证以及行使行政裁判和处罚的权力。在加州隐私保护局举行涉及是否发生违法情事的听证会之前，新法规定该局必须1）给被指控方至少30天的事前通知；2）对于相关指控的陈述、证据摘要、与被指控方的权益（包括亲自出庭与寻求律师辩护代理等）；以及3）举行听证的合理依据（probable cause）为何。[140]

（10）扩展适用范围

现行法对企业或厂家规定的义务限定在任何对个人信息的“销售”（sale）。不过对于何谓“销售”则是采取了非常广泛的定义，包括出售、出租、释出、揭露、散布、提供、转移消费者的个人信息给其他的企业或第三方，无论是以口头、书面、电子或其他方式，但应以金钱或具价值的对价为目的。[141]新法把适用的范围从“销售”扩展到了“分享”（share），包括为从事跨场景行为广告与第三方分享消费者的个人信息，无论是否涉及金钱或其他对价。[142]

（11）调整适用客体

新法一方面扩展了有哪些类型的企业或厂家的行为或活动会受到管辖，另一方面相较于现行法则限缩了所涵盖的客体范围。具体而言，依据现行的《加州隐私权法》，凡是年度收入总额超过2,500万美元、为商业目的销售或分享了50,000个或以上的消费者、家庭或装置的个人信息、或其年收入的50%或以上是来自销售消费者的个人信息的法人实体都受到现行法的管辖。如有任何法人实体本身未必符合，但受到符合上述要件的企业或厂家的管控或实际上在管控符合上述要件的企业或厂家，并且共同分享品牌（common branding），也同样受到管辖（称为“管控＋品牌测试法”（control branding test））。[143]

新法在这个基础上做了一些澄清和调整：

关于收入总额必须达到或超过2,500万美元的要求是要看前一个年度；
把50,000笔（个）的门槛提升到100,000，而且仅限于消费者或家庭（取消了对装置的计算）；
把50%年收入从销售改为“销售或分享”；
原本不受管辖的法人实体如果从受到管辖的实体获得分享个人信息并通过“管控＋品牌测试”的也要受到新法的管辖；
扩展了“共享品牌”的定义和范围，不再仅限于形式上是否共同使用一个商号、服务标章或商标，还包括一般消费者是否认知或了解两个或更多的企业或厂家是共同所有；
在合伙或合资的情形，只要其中的任何单个实体享有40%或更多的利益，即使各个合伙人之间没有“共享品牌”，也要受到新法的管辖；
对于不符合管辖门槛的法人实体而言，依然可以自愿性的寻求主管机构对其运营符合了新法要求的认证。[144]

（12）扩展对“公开可用”的定义

对于如何的信息属于“公开可用”（publicly available），因此不再构成“个人信息”，新法采取了比现行法范围更广的定义，表明除了可从联邦、各州或个别地方政府合法取得的文档记录之外，还包括企业有合理的基础相信是由消费者提供，让一般公众可以合法取得或经由媒体广泛传播的信息，以及由消费者向特定人揭露但并未限制该信息只对特定群体发布，然后再由该特定个人予以揭露的信息。[145]换句话说，凡是可以公开合法取得的信息或是“公众所关切、以合法途径获得的真实信息”都不再构成个人信息。[146]

（13）扩大企业通知义务的内涵

现行法要求企业或厂家必须通知消费者关于其意图搜集的个人信息类型和准备使用的目的，并禁止搜集更多额外或其他类型的信息。[147]新法同样要求企业必须给消费者必要的通知，而且更进一步要求企业 ——

1）必须向消费者揭示是否销售或分享了该消费者的个人信息以及准备依照如何的准则来对哪一类的个人信息保留多长的时间；以及

2）尤其必须对敏感个人信息准备如何使用和多长的时间等给予明确的交代。不过对于企业已经搜集到的个人信息或敏感个人信息而言，如果企业打算从事其他或额外的目的时，只有当额外的目的与原来搜集个人信息时所揭示的目的不相容时才需要对消费者另行发出新的通知。[148]

（14）对服务提供者的要求更严格

当企业或厂家与第三方服务提供者签订承揽合同（即委外合同（outsourcing contract））来处理消费者的个人信息时，现行法要求合同中必须明列，除了该服务提供者为履行合同的特定目的可对该等信息从事必要的使用外，禁止对该个人信息予以留置（或保存）、使用或揭露。[149]新法更要求在合同中必须明文禁止服务提供者：

销售或分享个人信息；
在合同明订的目的范围以外对个人信息予以留置、使用或揭露；
在与企业或厂家的直接商务关系范围之外对个人信息予以留置、使用或揭露；以及
把来自企业或厂家搜集的信息数据与来自其他来源（包括消费者）的信息合并或混同。

此外，合同也必须表明，被销售或分享的个人信息只限于在特定、有限的目的范围内使用；服务提供者将受到新法的管辖并需提供合规的隐私保护机制；企业或厂家保留对服务提供者“采取合理适当的步骤”以确保服务提供者以合规的方式使用企业或厂家转移或揭露的个人信息；如果服务提供者无法履行其义务时应即通知企业或厂家；以及企业或厂家保留“采取合理适当的步骤停止对个人信息从事未经许可的使用并给予救济”等各项条款。[150]

由于国会在当前的环境下几乎不可能像欧盟一般通过一个全面性的联邦数据隐私保护立法，目前至少有25个以上（过半数）的州议会已经尝试制订本身的数据隐私保护法制，不再等待联邦的动静，其中加州的立法明显产生了极大的影响。不过截至目前为止还没有产生真正的“多米诺效应”（domino effect，也称为骨牌效应或连锁反应）。[151]目前正式通过成为法律的只有弗吉尼亚州（Commonwealth of Virginia）的《消费者数据保护法》（Consumer Data Protection Act，于2023年1月1日施行）和科罗拉多州（State of Colorado）的《科罗拉多州隐私法》[152]（Colorado Privacy Act）。另外纽约州（State of New York）、北卡罗来纳州（State of North Carolina）、新罕布什尔州（State of New Hampshire）和宾夕法尼亚州（Commonwealth of Pennsylvania）的相关立法草案都还在个别州议会的相关委员会审议阶段，也有希望获得通过。

虽然发生在多个州的立法尝试先后遭到挫败，但已然出现了风起云涌的现象，一时的挫败显然无法阻止其支持者在未来适当的时机重新提案。而且从失败的经验当中汲取更多的教训有助于未来的立法草案更易获得两党议员的共识和支持。

另一个值得关注的发展是，在经过两年的努力后，美国法律统一委员会于2021年7月14日通过了一个名为“统一个人数据保护法”（Uniform Personal Data Protection Act，简称UPDPA）的模范法规，预定在2022年年初正式提呈给各州的州议会参考并考虑是否接受。[153]

这个模范法规在规范的当事人方面也是依循了数据控制者、处理者和数据主体的三分模式，不过在涵盖范围和权利的设定方面都要比加州和弗吉尼亚州的法律要限缩了许多。例如，模范法没有提供个人对其相关数据的删除权，也没有赋予权利主体对涉及侵害其个人信息的企业单独的诉权（但如果各州的消费者权益保护法规另有规定的完全不受影响）。另外的一个不同点是，模范法并未要求另行设置执法的部门，因此如果目前的版本内容获得州议会的采纳，未来将由该州的州检察长办公室负责执行。

欧盟的发展

欧盟对于个人信息的保护可直接溯源到1950年的《欧洲人权公约》（European Convention on Human Rights）[154]第8条（私人和家庭生活受尊重的权利）、第9条（思想、意识和宗教信仰自由）、第10条（言论表达自由）和第17条（禁止滥用权利）等对基本人权的保障以及1981年的《第108号公约》（Convention No. 108）。[155]此外，德国的黑森邦（Hesse）于1970年通过了全球首个关于数据保护的法律，也成为后来《联邦数据保护法》（Bundesdatenschutzgesetz，简称BDSG）的雏形。[156]在此基础上，欧盟于1995年通过了《数据保护指令》（Data Protection Directive），[157]但是由于未能及时赶上后来电子商务快速蓬勃的发展，很快就发现已经过时。因此欧盟先是于2016年通过了具强制性的《通用数据保护条例》（General Data Protection Regulation，简称GDPR）来完全取代1995年的指令，规制涉及个人隐私的数据保护。[158]又于2018年另行通过了《非个人数据自由流通条例》（Free Flow of Non-personal Data Regulation）[159]来规制不涉及识别个人身份的数据流通问题。

欧盟透过《通用数据保护条例》（以下简称《通用条例》）和2002年的《电子通信隐私指令》（Directive on Privacy and Electronic Communications，简称e-Privacy Directive）[160]，加上作为其施行配套，于2013年通过的《个人数据泄漏通知规定》（Regulations on Notification of Personal Data Breaches）[161]，以及2017年通过的《线上内容跨界携带规定》（Cross-Border Portability of Online Content Services Regulation）[162]和《非个人数据自由流通条例》（Free Flow of Non-personal Data Regulation）等五套规制共同建构出了对数据隐私保护的框架。另外再透过欧盟法院的判决与执法机构做成的决定、解释或建议事项等让欧盟目前已经有了相当统一和完整的数据隐私保护体系，与美国呈现碎片化的发展非常不同。

另一个发展是，随著欧盟与欧洲自由贸易协会（European Free Trade Association，简称EFTA，成员包括冰岛、挪威、列支敦士登和瑞士）的进一步整合与建构完善更大范围的欧洲经济区（European Economic Area，简称EEA），前三套法规已经被指定为需要被纳入、修正和整并的法规，以便顺利过渡。[163]不过可以确定的是，其中的实体性规制都会维持现状，完全不受影响。[164]

1《通用数据保护条例》的重点内涵

（1）适用对象

凡是任何涉及处理欧盟公民或居民的个人数据（包括追踪其消费者的网络使用行为或状况），或是向欧盟公民或居民提供任何产品或服务要约（offer）的自然人或法人实体，即使所在地不在欧盟，都受到《通用条例》的管辖。[165]

（2）定义范围

首先是《通用条例》对于“个人数据”采取了非常广义的定义，只要是可用于识别任何自然人（又称为“数据主体”或“资料当事人”（data subject））身份的任何信息，无论是直接或间接，都构成“个人数据”。[166]这就意味着除了身分证件的信息、地址、电话等明显属于直接的个人识别信息，诸如在网络操作时厂家经常使用，在使用者电脑中置放具有追踪功能的所谓“饼干”（cookies）小程序、电子邮件的名称、线上账户的使用者名称或昵称、地理位置数据、甚至网络地址（IP address）等等都符合这个定义。

此外，《通用数据保护条例》还规制了需要特别受到保障的特殊“敏感信息”（sensitive data），包括族裔背景、政治面貌或党派隶属、宗教信仰、商会组织会员身份、基因和生物识别数据、健康医疗状况、犯罪记录以及个人性取向与性生活的数据等。[167]即使是经过“匿名化”的数据（pseudonymized data），只要具备识别功能，就可能依然构成个人数据。[168]

其次是《通用条例》把适用的主体区分为对数据的“控制者”（controller）和“处理者”（processor）两种类型。前者是指决定为何及如何（目的与方法）处理个人数据的自然人或法人，包括了所有涉及数据处理的单位、机构或企业以及其中的雇主和雇员（在实践上主要是从事数据控制的指法人实体）；后者是指代表数据控制者处理数据的第三方，包括诸如提供云计算服务器或电子邮件服务的厂家。[169]

《通用条例》另外还对“共同控制者”（joint controller）提供了定义和特别规定来处理涉及两个或多个数据控制者的情形，其中可能是共同决定（common decision），也可能是融合决定（converging decision，即兼具互补性与必要性），而最重要的特征是，如果没有彼此相互或共同的参与即难以完成对数据的处理，也就是说各个决定相互之间具有密不可分的联接关系（inextricably linked）。[170]

欧盟在数据信息的规制方面，尤其是涉及具有识别个人身份能力的数据，刻意避免使用诸如“所有人”或“权利人”，而是用“控制者”的概念来表述，意在反应至少对于不具独创性的数据，尤其是做为反应特定事实的数据而言（无论是单个或多数的组合），并不存在“所有权”的概念，而是强调对于数据只是相当于民法上“占有”的性质。[171]

就地域的适用范围而言，只要数据控制者或处理者在欧盟境内有办公处所或商业活动，纵使数据的处理发生在欧盟境外，依然受到《通用条例》的管辖。[172]

（3）基本法则

《通用条例》明确了七个基本或指导法则，亦即：

合法性、公正性与透明度（lawfulness, fairness and transparency） —— 即数据处理必须对数据主体或其所归属的当事人而言是合法、公正与透明；
有限目的（purpose limitation） —— 亦即在搜集数据前必须向数据主体具体表明合法的目的为何并只在该目的范围内从事数据处理；
数据最小化（data minimization） —— 数据处理只能在明确表达的目的和对绝对必要的范围内进行；
正确性（Accuracy） —— 即必须保持数据的更新和正确性；
储存限制（storage limitation） —— 数据控制者和处理者只能在必要的时间与空间范围内储存个人数据；
完整性与机密性（Integrity and confidentiality） —— 即对于数据的处理必须确保适当的安全性、完整性和机密性（例如使用加密保护措施等）；以及
问责性（Accountability） —— 数据控制者必须显示其已做到符合《通用条例》规定的所有法则与要求（合规）并承担相应的义务与责任。[173]

（4）合规要求

《通用条例》要求数据控制者必须能随时显示其已做到符合对数据主体隐私保护的各项合规要求。[174]这意味着数据控制者在从事数据的搜集、处理和分析之前，控制者就必须把的后续的每个环节、举措都布置妥当，并建立完整的文档记录，绝不能等到事后再回头补充。实践上如果控制者从主观上自认已经合规但却无法提出足够的佐证究竟是如何具体从事数据处理，就表示客观上其实并未合规。此时数据控制者或可考虑立即采取下列的行动以避免遭受潜在的严厉处罚——

指定负责数据保护的团队并明确交代相关的责任；
详细记录所搜集的数据资料，包括对这些数据是从事了如何的使用、储存于何处、以及负责人员与联系信息等；
安排团队成员适当的培训并实施相关的技术与组织安全措施；
准备妥当数据处理协议（合同）的文本作为聘请第三方从事数据处理的协商基础；以及
视机构或企业本身的需求聘任一名专门负责数据信息安全的“数据保护官”（Data Protection Officer，简称DPO）。

（5）数据安全

《通用条例》要求数据控制者和处理者必须实施“适当的技术和组织措施”以确保是在安全的状态下处理数据。[175]至于“技术措施”的具体内涵究竟为何《通用条例》并未给出明确的定义。不过依据欧盟官方提供的说明，是指凡是涉及任何存有个人数据的账户时，对该账户的接触或取用必须使用并通过诸如“双因素验证”（two-factor authentication，简称2FA）或是在与提供云计算服务的第三方联系时使用诸如“端点至端点加密”（end-to-end encryption）的方式等。[176]所谓“组织措施”《通用条例》本身也没有提供定义，通常是指诸如对员工的相关培训、制订并严格执行企业的数据隐私政策、或是管控能取得接触个人数据的范围，原则上应只限于有必要接触的工作人员。

欧盟明确试图藉由《通用条例》的施行，要求所有的企业今后“从设计和从设定”（by design and by default）上就必须考虑数据保护的问题。[177]一旦发生数据外泄，《通用条例》要求数据处理者必须立即通知数据控制者；而数据控制者原则上必须在知悉后72小时之内通知受到影响的数据主体，否则将面临高额的罚金（不超过1,000万欧元或前一年度全球总收入的2%）。[178]但是对于已经采取了技术保全措施（例如经过加密的个人数据）让外泄的数据基本上成为无用的数据控制者而言，有可能获得免除通知（notification waiver）的义务，也就没有遭到处罚的顾虑。

（6）数据处理

《通用条例》采取了“正面清单”或“正面表列”的方式，明确列举了六种企业可以处理个人数据的情况。凡是不在此列的任何其他情形，企业应极力避免搜集、储存、或是向第三方销售其数据主体的个人数据[179]——

数据主体给予数据控制者具体明确的同意可以处理其数据，例如自愿选择加入企业行销的名单；
为预备或签订合同对数据主体从事必要的数据处理，例如出租人对潜在的承租人从事信用背景调查；
为履行法律义务对数据主体的相关信息予以处理，例如收到法院判决书后为执行其中的具体要求从事数据处理；
为维护数据主体或其他人的生命或身体安全；
为履行公务或从事公益性的工作，包括与政府部门签订承揽合同从事特定公益性的工作，如对不同社区的垃圾收集和处理；
对数据处理有合法利益需求，但依然不能对数据主体的根本权利和自由造成侵害。这是数据控制者可以作为合理化其行为最具弹性的一项主张，需要视个别案例的整体情况综合研判，尤其需要指明具体的合法利益为何（可以是自己或第三方的利益）、从事特定数据处理的必要性以及与数据主体的权益和自由相互权衡后不至于对后者造成侵害或损害。[180]

（7）同意要求

《通用条例》对于数据控制者如何可以获得数据主体同意对其从事数据处理做出了严格的规定[181]——

1）该同意必须是“自由给予，具体、知情并且明确”（freely given, specific, informed and unambiguous）；

2）数据控制者的请求同意必须“明显与其他事物有所区别”而且以“清楚明了的文字”呈现；

3）数据主体可随时撤销先前的同意，而且数据控制者不得刻意增加数据主体选择撤销的困难度，也不得任意把对该数据主体的数据处理转移到其他的管辖领域。一旦事后撤销，不影响之前已经对其数据从事处理的合法性；

4）未满13岁的青少年或儿童只能在获得其父母或监护人的允许后给予同意；

5）数据控制者必须保留所有数据主体给予同意的书面证据。

（8）数据保护官

并非所有的数据控制者或处理者都需要在其组织内延聘一名数据保护官。只有符合下列三种情形之一时才必须延聘[182]——

由政府机构所从事的数据处理，但法院执行与司法有关的业务不在此限；
数据控制者与处理者从事的操作其本质、范围、以及（或）目的需要对于规模性的数据主体从事固定与系统性的追踪，例如谷歌公司的检索系统等；或是
其核心活动或业务是对于《通用条例》第9条所列示的“敏感个人数据”或第10条所规定的犯罪记录或相关安全措施从事规模性的处理，例如医疗系统等。

虽然《通用条例》没有强制其他的机构或企业必须要聘请数据保护官，凡是符合数据控制者或处理者的机构或企业仍然可以自愿延聘。数据保护官的主要职责包括：提供关于如何具体落实《通用条例》的规定与要求，以做到合规；对于数据控制者或处理者内部人员的职责划分提供咨询、举行数据安全培训、从事内部稽核以及追踪是否合规、以及担任与执法部门的对口和沟通桥梁等。[183]

（9）个人权利

为了让数据主体（消费者或使用者）能够对其个人数据享有更多的控制，《通用条例》一共赋予了数据主体8个彼此环环相扣的权利。除了“删除权”，其余的7个权利是从1995年的《数据保护指令》（于1998年10月24日开始施行）及其后续相关的实践经验积累而成，所以严格而论是个“演化”的过程（evolutionary）而不是“革命性”的创造（revolutionary）——

1） 知情权（right to be informed） —— 数据控制者在搜集数据主体的个人数据当时，应向当事人提供下列的信息：数据控制者的身份、其代表或联系人以及相关的联系方式；如有数据保护官，该保护官的联系方式；搜集数据的目的与法律基础；如果是基于获得了同意而搜集，数据控制者或第三方的合法利益为何；如有数据的收受者，该收受者的身份或类型；如果数据控制者意图把数据转往第三国或国际组织，相关的审批决定、安全保障措施以及取用的方式等。为确保对数据处理的公正和透明，数据控制者另需提供下列的信息：其个人数据将被保留多久或用于决定该期间的标准；数据主体对其顾人数据可以行使的各项权利；向主管部门申诉或举报的权利；提供个人数据是否为法规或合同的要求，是否为建立合同关系的前提以及如果未提供数据可能产生的后果。如果数据控制者拟将搜集到的个人数据用于原订目的以外的其他用途，在从事该其他用途之前应告知数据主体该其他的目的为何以及其他的相关信息；[184]

2）取用权（right of access） —— 亦即向数据控制者要求确认是否使用或处理了涉及其个人的数据。如获得确认，可进一步要求告知使用或处理其个人数据的目的、被取用的个人数据类型、其个人数据揭露的收受方（尤其涉及第三国或国际组织时）、其个人数据将被留置（或保存）的期间（如无法评估，是依据如何的标准来决定该留置或保存期间）、是否存在应对其个人数据予以更改、删除、限制或抗议的事由、向监管部门举报的权利、是否存在包括特征剖析等自动决定机制以及其中的逻辑与预期的后果等；[185]

3）更改权（right to rectification） —— 亦即要求数据控制者即时更改个人数据中不正确的信息，不得有不当的延误，包括充实不完整的数据；[186]

4）删除权（right to erasure，亦即“被遗忘权”（right to be forgotten）） —— 有下列的情形之一时，数据主体可要求数据控制者删除相关的个人数据：已经与所要搜集和处理的目的无关；已经撤回其同意并且已无其他可作为数据处理的法律基础；已经依《通用条例》第21条第（1）款提出抗议而且已无足以推翻该抗议的合法基础继续处理其数据；其处理为非法；依据欧盟或成员国法规对数据控制者的合规要求必须删除；[187]或是

5）限制处理权（right to restrict processing）—— 如果对个人数据的正确性提出质疑；认为数据处理不合法而且反对删除其中的个人数据；需要留置（或保存）对数据控制者而言已不需要处理的个人数据作为法律（诉讼）程序中证据确认、权利行使或防御抗辩之用；或已经行使《通用条例》第21条规定的抗议权，正等待确认数据控制者是否有足以推翻数据主体权益的强烈合法立场，除非经过数据主体的同意或法律权益的主张所需，相关的数据处理即应予以限制，但数据的储存不在此限；[188]

6）数据携带权（right to data portability） —— 即数据主体原则上可以要求特定的数据控制者将其平台内所持有，关于该主体所有的个人数据转移给该主体本人或直接转移到另一个数据控制者（平台），但不得对其他人的权利和自由造成不利影响；[189]

7）抗议权（right to object） —— 亦即对数据控制者藉由个人数据从事特征剖析或直接营销（direct marketing）的行为可随时提出抗议，除非数据控制者能够显示具有强烈的合法立场足以推翻数据主体的权益，即应终止处理该个人数据；[190]以及

8）自动决定技术与特征剖析相关权（rights in relation to automated decision making and profiling） —— 对于凡是透过自动化的数据处理和分析（例如“人工智能”）所做成、会对当事人在法律上造成显著影响的“决定”（例如特征或性向剖析），没有任何人必须受制于此种决定，除了少许的例外，数据控制者必须向当事人提供说明，包括所使用的逻辑演绎与计算方式等。[191]

例外的情形有三：为了建立或履行数据主体与数据控制者彼此之间的合同关系、经欧盟或其成员国法规的授权以数据控制者为对象并且已对数据主体的权利和自由提供了适当的保护措施；以及基于数据主体的明确同意所从事的自动化“决定”。[192]

（10）救济途径

《通用条例》授权因企业不合规而遭受损害的自然人可以自行提起民事诉讼请求损害赔偿。[193]此外，欧盟本身与各成员国的执法部门（统称为“欧盟数据保护执法部门”（Data Protection Authorities或DPAs））[194]也在对涉嫌违法的企业依《通用条例》第58条第（2）款除了提出警告或要求整改之外，还可依职权裁定行政处罚。[195]

虽然《通用条例》要求行政处罚必须在个别案件做到符合“有效、比例与吓阻”（effective, proportionate and dissuasive）的原则，实际上不分企业规模大小，凡是不合规的都可能潜在的会面临到高额的罚金。《通用条例》规定的最高额是2,000万欧元或企业前一年度总营收的4%（以其中的高额者为准）。[196]

据一项非官方的调研，在《通用条例》开始施行的前18个月，相关的执法活动可谓相当沉寂。然而从2020年开始却突然产生了很大的变化。从当年1月26日到2021年1月27日的一年之间，或因发生严重的新冠疫情，人们更依赖网络从事各种通信、购物和娱乐等活动，数据隐私和安全的问题也愈为频繁。[197]

这项调研发现，欧盟数据保护执法部门依据《通用条例》开出的罚金比之前的一年增加了40%，总额达到1亿5千8百50万欧元（约折合1亿9千1百50万美元），一共记录到了121,165笔数据泄漏或破坏的事件，比之前同比增加了19%。至于遭到行政处罚金额最高的前五名数据控制者依次是谷歌公司（5,000万欧元，约5,660万美元）、H&M（3,500万欧元，约4,100万美元）、意大利电信公司（Telecom Italia或TIM，2,780万欧元，约3,150万美元）、英国航空公司（2,200万欧元，约2,600万美元）和万豪酒店集团（2,040万欧元，约2,380万美元）。如以国别来看，从《通用条例》开始施行迄今开出罚金额度最高的依次是意大利、德国、法国、英国和西班牙（见下图，资料来源：DLA Piper）。[198]

欧盟惩治数据隐私违规（论数据相关的权利保护和问题）(3)

截至目前，违反《通用条例》的主要原因是不当促销活动、未依当事人的要求移除个人数据以及不法要求雇员提供个人的生物识别数据等。另外一个造成对数据隐私或安全侵害的导因是错发电子邮件。[199]

数据隐私安全的执法与保护

种种迹象显示，未来欧盟数据保护执法部门的执法力度还会继续加强，因此相关的案例与罚金数额也可能还会持续成长。首先是欧盟执行委员会在2020年依据《通用条例》第97条的要求，首次发布了一个对《通用条例》的两年执法报告（以后则是每4年发布一次）；一方面标榜了过去的成就，另一方面也承认了各地执法的认识不足和力道不均，尤其在跨国性的数据传输方面问题依然重重，未能妥善解决。[200]

因此首当其冲的是跨境数据转移的问题，也就是如何具体落实对数据携带权的保护成为评价整个体系执法成效的指标性因素。由于全球已经形成了各种错综复杂的产业链条，数据的跨境转移、分享、和传输正是支撑这个庞大复杂体系的重要关键。如果用人体的构造来做类比，就犹如连接整个人体各个器官的神经系统一般。所以对于数据的跨境转移和传输的规制也是一个极度复杂、微妙的动态性平衡，必须战战兢兢、谨小慎微。不过欧盟的发展却引发了一场与美国的“数据危机”。

触发这个问题的关键是欧盟法院于2015年和2020年先后对奥地利公民马克西米利安‧施雷姆斯（Maximillian Schrems）诉请爱尔兰数据保护委员长（Data Protection Commissioner）禁止脸书（爱尔兰）有限责任公司（Facebook Ireland Ltd.）将其个人数据转移到该公司在美国的总部进行处理的案件做出的两个判决（通称Schrems I和Schrems II案）。[201]

法院在两案都支持了原告的主张，认为由于美国的1978年《外国情报侦察法》（Foreign Intelligence Surveillance Act of 1978，简称FISA）[202]容许并授权国家安全或情报部门对于涉嫌在美国境内从事破坏美国安全事务或进行恐怖活动的任何人可以经过该法特定的程序从事监控，包括电子监听、向网络平台服务提供者要求提供数据进行分析等，与《通用条例》第46条对个人数据所要求的保护措施显然不符，因此判决欧盟执行委员会在2016年出台的“隐私盾裁定”（Privacy Shield Decision）完全无效（不过对于欧盟在数据移转中所使用的“标准合同条款”（Standard Contractual Clauses，简称SCC）则判决有效，但仍有若干还需要进一步澄清与补强的地方）。[203]这连带导致欧、美之间的“隐私盾框架”（EU-U.S. Privacy Shield Frameworks）也跟着立即失效。[204]虽然欧、美双方很快又展开协商，在经过了9个月后谈判依然陷于胶着，再加上特朗普政府任内发动了对欧洲多项产品的贸易关税制裁，也导致雪上加霜，让许多问题相互纠结，更加难于处理。[205]

纵然欧盟法院已经对这个问题先后出台了两个判决，类似的跨国性数据转移和传输问题仍然层出不穷。一个导火索事件是数名欧洲议会（European Parliament）的议员在2020年10月发现该议会自己针对新冠病毒疫情与检测所设置的官方网站（实际上是委托一家与阿联酋相关的企业来运营）把整个议会工作人员的敏感个人数据转移到了总部设在欧盟境外的第三方企业（谷歌公司）。于是议会方面试图促使相关的执法部门立即采取行动，然而却始终无果。[206]面对这样的发展和情势，欧洲议会方面已然感到非常不耐，最终于2021年5月20日以541票赞成、1票反对、151票缺席的压倒性多数通过了一项决议案，试图敲山震虎，针对爱尔兰数据保护委员会严词抨击，并要求欧盟执行委员会在美国未能修改其国家安全的相关法规前，应完全终止双方涉及个人数据的传输或转移，也不得再通过任何容许双方数据传输的新裁定。[207]虽然这个决议没有任何法律效力，但却有相当高的指标意义，也对欧盟内部以及对美国的双边协商形成了极大的政治压力。

不久之后欧盟执行委员会果然出台了新版的“标准合同条款”。[208]负责执法的欧洲数据保护理事会也随后正式通过了数据转移的“建议措施”（2.0版），推荐企业采取六个步措施来做到合规。[209]虽然表面上不是强制性的要求，但在实际上就是直接反应了该理事会的执法态度。这些举措势将导致未来大型网络平台或企业想从欧盟进行跨境的数据传输会益加困难。

另一个具有指标性的执法参考因素是数据主体的删除权（或“被遗忘权”）。由于欧盟法院在2014年《冈萨雷斯》案的判决[210]引发了许多争议和不确定的问题，《通用条例》试图更细致地平衡数据主体的要求和数据控制者或处理者的需求。当数据的使用涉及下列的事由时，数据主体不得要求删除：

言论或信息的自由表达、
未履行法律义务或遵从裁判、
依循组织或机构的正式职权从事公益任务、
为公益性的公共卫生目的、
施打预防性或对于特别职业需要的医药（不过只限于医疗专业人士基于履行其职业上的法律保密义务）、
基于公益、科学、历史或统计的研究，如将该数据删除将可能导致终止或破坏整个研究的近程、或是
为了成立诉讼抗辩或行使其他的法律主张。[211]

不过这也就无可避免的会产生更多的灰色地带。由于只有当数据控制者（如谷歌搜索引擎）认为请求删除的链接符合了“不恰当、无关或不再有关或是过分”（inadequate, irrelevant or no longer relevant or excessive）的要件，再加上前述的各项公益考量后认为没有冲突时才必须删除，也就意味着这个赋予给数据主体的“权利”实际上无非只是一个“请求”罢了，是否特定的信息果真会被删除还是完全由数据控制者依其自由裁量予以认定，也等于让数据控制者至少在与信息权利相关的领域成了一个准司法（quasi-judiciary）机构。

以谷歌公司为例，该公司的搜索引擎从2014年5月29日开始受理欧盟各界的删除请求（也就是欧盟法院判决出台后的第16天），第一天就收到了约12,000个请求。[212]截至2021年7月4日为止，该公司共收到了1,118,995个请求，共涉及4,339,351个网址，其中共有1,777,227个网页（址）被切断了链接，不再显示于搜索结果之上，也就表示数据主体请求删除其数据链接获得成功的比率不到半数（具体占比为47.5%）。[213]

此外，欧盟法院在2019年的一个判决确认适用《通用条例》应受地域原则的限制（虽然互联网本身的环境显然不受此限制），因此如谷歌等所有的网络检索服务提供者只需对来自欧盟境内的移除请求予以处理并从检索结果移除相关的链接即可，不需要从事全球性的“阻断”或“断链”（geo-blocking）；不过法院另外开了一道门缝，表示此一限制不排除各成员国的数据保护执法部门依其本国国内法的授权，透过合法途径并考量、平衡其中的利益后，在可能范围内仍可促使搜索服务提供者从事全球性的“断链”。[214]

--------------------未完待续--------------------

本篇为《论数据相关的权利保护和问题——美国与欧盟相关规制的梳理与比较》系列第二篇，“知产前沿”会陆续发布文章全文，敬请期待！

欧盟惩治数据隐私违规（论数据相关的权利保护和问题）(4)