全球隐私及数据保护法律政策动态报告（中）

全球隐私及数据保护法律政策动态报告（下）

腾讯互联网法律研究中心 

2014年第3季度

三、美国

（一）移动应用成为数据隐私治理重点

鉴于移动应用服务领域发展迅猛，美国联邦贸易委员会 (Federal Trade Commission, FTC) 开始逐渐加强了对移动应用领域的监控、治理和指引。此前，美国消费者金融保护局(Consumer Financial Protection Bureau, CFPB)  曾与FTC沟通，要求后者提供消费者使用移动金融服务基本情况的相关材料。 10月10日FTC发布了回复，在向CFPB提供情况说明的同时也表明了未来的治理重点：移动应用。在回复中，FTC列出了其关心和重点治理的五大领域：

l 隐性收费的相关责任

l 移动运营商不正当收费问题

l 消费者个人金融数据的隐私保护

l 消费者金融数据安全

l 数据经纪人或第三方对消费者信息的使用

10月10日，为回应的请求，联邦贸易委员会就消费者使用移动金融服务情况进行了答复，主要强调对以下五大方面进行治理：(1) 使用预付或存储价值产品的未授权支付责任；(2) 移动运营商的不正当的收费业务；(3) 消费者个人以及金融数据的隐私；(3) 消费者数据的安全；(5) 数据经纪人或第三方对消费者信息的使用。下面就隐私和数据安全两方面进行详述。

1. 对个人金融数据隐私的保护

美国联邦贸易委员会对金融领域的隐私保护十分看重。移动平台有其自身的特性，当消费者使用移动应用提供的支付服务时，很多公司都会参与在这一过程之中，并有很大机会接触到个人数据，了解消费者的具体信息和购物习惯。

自从2012年起，FTC每年都会发布年度报告，就移动科技带来的隐私隐患为企业提供建议。在2012年度报告中，FTC催促公司在执行隐私政策过程中要更有目的性 (more purposeful)，并向消费者清晰准确地解释公司的政策和实践。2013年报告中，FTC要求公司在收集和分享敏感数据时，需要“及时”地告知 (‘just in time’ disclosures)，并且获得消费者的明示同意 (express consent)。2014年，鉴于当前各大公司的隐私政策中就数据收集和使用的权利规定得极为宽泛，并且几乎不对数据如何被处理进行澄清，FTC要求公司增强数据处理的透明度和明确性，并且建议消费者对自己使用的移动应用做出明示的选择。

2. 个人金融数据的安全性

根据FTC提供的数据，消费者将安全问题选为不使用移动金融应用的头号原因。在FTC看来，移动科技进步的同时也使得移动应用保障交易安全的能力有所提升。但是令人沮丧的是，目前很多公司都并没有强化安全性的考虑。比如，在2013年FTC与HTC公司进行和解，后者因“未能采取合理步骤为其设计的软件提供安全保障”而面临罚款。除了执法活动，FTC还致力于制定政策，展开教育活动，发布了若干指引文件。

（二）微软案促进数据保护法修改

2014年7月31日，美国纽约地方法官裁定，微软 (Microsoft) 需上交存储于爱尔兰数据中心中的美国用户邮件及其他账号信息。早在去年，美国法院批准搜查令，要求微软提供一位MSN用户的邮件信息，协助追查贩毒分子。而相关信息存储于微软位于爱尔兰的数据中心。微软拒绝履行，称政府应该遵循美国与爱尔兰的双边法律援助条约。今年4月，地方法院判决微软败诉，后者随即上诉。

二审法院维持了原判。判决一经出台引起了广泛关注，微软等科技公司表达了强烈担忧，判决结果不仅可能引发用户恐慌，还会让国外竞争对手处于优势之中。不少公司如Apple、AT&T、Cisco、Verizon等向法院提交声明材料表示支持微软。

微软案的判决也引起了美国议员的高度重视。以哈奇(Hatch)议员为首的三位议员致力于修改已经执行了30年之久的数据保护法案《电子通信保密法》(Electronic Communications Privacy Act, ECPA)。九月中旬，新法案（草案）《海外存储数据与法律执行法案》被提出，旨在替代ECPA，废除后者对政府获取海外数据的授权。ECPA授权政府在获得搜查令的情况下可以向科技公司请求获取数据，无论数据存储在何地；而新法案的提，主要是为了废除该项规定。LEADs法案规定，美国政府在要求获取海外存储数据时需要获得法院批准的搜查令，其次，在法院发现搜查令的执行将导致违反其他国家法律时，可以修改或废除该搜查令。因此，新法案不仅否认了搜查令的海外效力，同时还要求美国政府遵守他国法律。新法案还增设了附件条款，要求美国政府在获取海外存储数据时需要通知相关主体。这一通知义务被视为是利益平衡中的关键一环。

2014年8月中旬，微软回应美国商务部国家通信与信息管理局(NTIA）公众意见征集，就“大数据”问题提出一系列意见。就美国政府如何展开监控，如何保护数字隐私的问题，微软列出若干变革建议，认为这有助于“云端的信任建立”。但是，其他公司对于政府监控导致大量信息泄露几乎没有做出公共回应。代表Facebook、Google等公司的互联网协会呼吁行政管理部门将重心放在自愿的隐私承诺上面。该协会主张，“先发制人”式的立法将有损经济发展。

（三）加强学生隐私的保护

近年来，学生数据隐私成为全美国的热点问题，美国各州也开始有所作为。尽管在联邦层面的立法已在7月下旬出台，但各州也很积极地在完善学生隐私的立法。目前联邦保护学生隐私的法律有《家庭教育权利和隐私权法》 (FERPA)和《儿童网上隐私保护法案》 (COPPA)，但是这些法律是否能够有效保护隐私，在这一问题上教育家、隐私专家、议员以及行业专家的观点出现了分歧。根据Data Quality Campaign的统计，在美国有32个州83项相关议案正在讨论或审议之中。推动学生隐私法律完善的主要原因是因为在美国一些科技公司收集学生的数据并使用在广告中，吸引其他同龄学生购买商品或服务以及其他非教育性的目的。Google就在今年早些时候因为收集学生的邮件信息用户广告而被曝光，此后Google修改了相关的公司政策。

9月上旬加利福尼亚州有两部法案交到了州长Jerry Brown手中。其中，法案SB 1177为网站、网络服务商、网络应用以及移动应用提供了隐私保护的指引； 而法案AB 1584主要调整地方教育机构与第三方技术供应商的合同关系。

      法案SB 1177为互联网网站、网上服务商、网络应用商以及移动应用商列举了若干个“可以做”和“不得做”的事项。无论公司是否联络了学校，都需要遵守下述规定：

1. 不得基于K-12（K-12是指十二年级以下）用户的信息在网站上发布广告；

2. 不得使用服务收集的信息为K-12学生建立账号；

3. 不得售卖学生的信息；

4. 除非有合法理由不得披露保密信息；

5. 通过充分的安全程序和实践保护学生信息；

6. 根据请求删除学校或者地区管理的学生信息；

7. 根据法律要求或者以合法的科研目的披露学生信息。

法案AB 1584则具体规定了地方教育机构在与第三方数字记录和教育软件提供商的合同中应该规定哪些内容，包括：

1. 规定地方教育机构拥有并控制学生记录；

2. 规定学生如何控制自己的项目以及学校创设的其他内容，并规定学生如何将自己的信息转移到私人账号；  

3. 禁止第三方以合同以外的目的使用学生信息；

4. 规定家长、法定监护人以及学生如何查阅、修正记录中的个人可识别信息；

5. 规定第三方保障学生数据安全保密的措施；

6. 规定通知家长、法定监护人以及其他适格学生未经许可披露学生记录的程序；

7. 规定在合同终止后学生的数据不会被第三方获取；

8. 规定地方教育机构以及第三方如何履行联邦FERPA法案的规定；

9. 禁止第三方在广告中使用学生的个人可识别信息。

（四）美国众议院通过三部网络安全法案

美国众议院于7月28日通过三部法案，分别是《国家网络安全和关键基础设施保护法》、《关键基础设施研究发展进步法》，以及《国土安全网络安全人力资源法案》。这三部法案旨在增强美国国土安全部 (DHS) 的监管权威，推动DHS更新科研规划，发展网络安全科技，用于关键基础设施的保护，同时将重点发展国土安全部的网络劳动力资源。

1. 《国家网络安全和关键基础设施保护法》

(1) 简介

《国家网络安全和关键基础设施保护法案》 修正了《国土安全法案》 (2002) 的若干规定，要求国土安全部部长代表美国联邦政府进行网络安全维护行动，这有可能会改变国土安全部在防止和响应网络安全事件方面的角色。《关键基础设施研究发展进步法》在美国第113届国会上由美国众议院提出，是《国土安全法案》(Homeland Security Act of 2002, HSA) 的修正案。法案的起草人为Michael T. McCaul议员。《国家网络安全和关键基础设施保护法案》将修正《国土安全法案》的部分内容，要求美国国土安全部部长开展网络安全维护活动，包括规定联邦组织中共享的态势感知，在网络事件发生后展开中完成保护、预防、缓解、响应、恢复的实时、综合的业务活动。

(2) 科技支持和信息收集方面的规定主要总结如下：

a. 关键基础设施的保护与信息收集

l 美国国土安全部部长应该制定部门政策以及相关程序，确保关键基础设施所有者和运营者能够接收到实时的、可诉的、与网络威胁相关的信息。

l 美国国家安全部部长应该至少对每一个关键基础设施部门建立一个信息分享与收集中心。

b. 国家网络安全与通讯整合中心

l 建立国家网络安全与通讯整合中心，作为一个联邦平民化信息分享平台，提供共享的情态感知 (situation awareness)，向联邦、各州、地方政府、信息分享和分析中心等提供网络威胁的信息。

l 美国国土安全部部长应该向众议院国土安全委员会、国家国土安全和政府事务委员会以及美国总审计长呈交一份年度报告，对与联邦平民机构信息系统相关的事件进行总结，对网络安全事件的数量提供整合数据。

l 此外，美国国土安全部部长还需要提交国家网络安全与通讯整合中心运营情况的报告。

c. 对网络事件的响应以及技术援助

l 美国国土安全部部长应该设立网络事件应对小组，主要向联邦、各州、地方政府私人团体以及关键基础设施所有者和运营者提供及时的数据支持，以及风险管理支援。

l 美国国土安全部部长应该形成一份国家网络安全事件应对策划方案，保障对关键基础设施、信息系统以及信息系统网络构成威胁的事件作出有效地紧急应对。

d. 禁止从事追踪个人可识别信息 (PII) 的收集活动：本法案禁止美国国土安全部从事以追踪个人可识别信息为目的的任何监视、监测、泄露或收集活动。

e. 组建网络安全学术团队

l 美国国土安全部部长应该论证建立一个学术安全研究项目的可行性以及预期成果，这一项目将由国土安全部卓越研究中心的学者在内的研究人员负责，针对关键基础设施相关的网络威胁形成的挑战展开研究，增强相关知识。

l 美国国土安全部部长应该与国家研究理事会 (NRC) 达成协议，从事国家电力传输和分配系统相关的灵活性和可靠性的研究。这一研究被命名为“今天让我们节省更多美国资源” (Saving More American Resources Today Study, SMART)的研究，或者称为“SMART”研究。

NCCIP的内容特征可看做是“大整合”，将2003年《国土安全法案》在保护网络空间安全和维护关键基础设施安全方面未整合进去的职责，以及2003年之后到目前为止10年多的时间内联邦层级新出现的各类型机构都整合进去，在法律中固化，赋予法律地位，并全部纳入国土安全部的麾下，主要包括这几类：

一是跨部门协调类的，即，横跨关键基础设施各子部门的、对网络威胁需要作出实施反应和信息跨部门共享的超级协调中心——国家网络安全和通讯整合中心(NCCIC，the National Cybersecurity and Communications Integration Center)；

二是应急类的，即，网络事故应急小组 (CIRT, the Cyber Incident Response Teams)整合进来，明确法律地位，使其能够以法律名义在网络威胁和攻击中发挥其技术支撑、危机管理，以及向关键基础设施的拥有者和运营人提供紧急应对方法和日常技术建议的三大功能，此外，与之配套的《国家网络安全应急反应计划》(the National Cybersecurity Incident Response Plan)也整合进来，并对其施以法律要求，做到新形势下的日常更新，以及与联邦、州、地方和私营部门共同进行日常演练。

三是将私营部门的行动和作用也都整合进来，使其在公私合作的架构方面继续发挥作用。

2. 《关键基础设施研究发展进步法》

(1) 简介

《关键基础设施研究发展进步法》要求美国国土安全部 (DHS) 向美国国会呈交一份战略计划，内容是关于关键基础设施保护的研究和发展。同时，DHS还需呈交一份该部门对公私财团 (public-private consortiums) 使用情况的报告，增强对这些公共设施的保护。该法案还将指导美国审计总署 (Government Accountability Office, GAO) 评估DHS所建立的资料交换中心在分享科技创新上的有效性问题。该法旨在优化与关键基础设施保护的安全性技术研究相关的法律。立法起草人Meehan议员提到：“这一法案的提出是为了巩固美国对抗恐怖主义和网络威胁的成果，而不被过时的和官僚化的程序侵蚀殆尽。”《关键基础设施研究发展进步法》在美国第113届国会上由美国众议院提出，是《国土安全法案》(Homeland Security Act of 2002, HSA) 的修正案。

(2) 内容特征

《关键基础设施研究发展进步法》要求美国国土安全部向国会呈交：(1) 为了保护关键基础设施，指引联邦实体安全和网络安全技术的研究和进步的宏观方向的战略计划（以下简称《战略计划》），包括应对所有威胁。(2) 为了促进关键基础设施保护的科技发展，美国国土安全部使用公私研究和发展财团情况的报告（以下简称《报告》）。上述《战略计划》和《报告》每两年更新一次。

(3) 法案要求《战略计划》包括一下内容：

a) 识别关键基础设施安全风险，以及在风险/漏洞分析出台之后形成的安全技术漏洞。

b) 需要根据风险和漏洞进行优先性排列的一系列关键基础设施安全科技。

c) 识别用于支持这些安全科技的科研、发展、论证、测试、评估、获取的实验室、设施、模型、模拟功能 (simulation capabilities) 。

d) 识别目前以及预期促进快速发展的计划方案，以及关键设施保护的安全性技术的调度部署。

e) 与安全性技术漏洞关联的每一个关键基础措施安全风险的进度评估，以及在之前的战略计划中提出的关键基础措施科技需要。

(4) 法案要求《报告》包含以下内容：

a) 重点关注主要由私人运营的以及主要从飞速发展的安全性技术中赢利的关键基础设施的保护。

b) 现有关键基础设施安全性技术的财团进展和成果的综述。

c) 从公私研究和发展财团中获利最多的技术发展关注领域的优先表。

d) 执行计划扩展版的研究和发展财团项目的计划。

3. 《国土安全网络安全人力资源法案》

(1) 简介

《国土安全网络安全人力资源法案》要求美国国土安全部 (DHS) 采取若干措施丰富网络安全人力资源，提升他们的能力，确保人员严阵以待。《法案》还要求DHS形成招募训练额外雇员的行动计划。该法旨在要求国土安全部建立网络安全的专业分类，评定网络安全的劳动力，发展处一套识别网络安全劳动力漏洞的策略。《国土安全网络安全人力资源法案》 在美国第113届国会上由美国众议院提出。立法起草人为Yvette D. Clarke议员。该法案要求美国国土安全部：

a) 对参与国土安全部的任务的个人进行职业分类；

b) 确保每一种分类都在DHS中得以使用并且在其他联邦机构中也可以使用；

c) 评估DHS执行网络安全任务时是否具备能力，或者做足准备。

法案提出“网络安全任务”是减少威胁以及弱点，形成威慑效果，对突发事件及时回应，促进事后恢复，促进网络空间的安全和稳定。