李明發(fā) 孫 昊

（安徽大學(xué)，安徽 合肥 230601）

對于美國和其他國家的經(jīng)濟(jì)和社會活動而言，互聯(lián)網(wǎng)不可或缺。網(wǎng)絡(luò)技術(shù)有利于激勵(lì)創(chuàng)新，使得全新的商業(yè)模式、消費(fèi)者和企業(yè)的信息以及商品服務(wù)在全球市場自由流通。

維護(hù)公眾對互聯(lián)網(wǎng)經(jīng)濟(jì)的信任是促進(jìn)經(jīng)濟(jì)可持續(xù)發(fā)展的關(guān)鍵。美國網(wǎng)上零售總額平均每年高達(dá)一萬四千五百億美元[1]。如果個(gè)人信息隱私安全性能得到適當(dāng)保障，那么合理使用這些信息就能額外增加大量就業(yè)機(jī)會。維持消費(fèi)者的信任對于充分實(shí)現(xiàn)互聯(lián)網(wǎng)技術(shù)的社會文化效益也必不可少。如果企業(yè)使用個(gè)人信息的方式與消費(fèi)者當(dāng)初披露這些信息的初衷不符，那么該企業(yè)勢必會逐漸喪失消費(fèi)者的信任。未經(jīng)授權(quán)披露個(gè)人敏感信息會侵犯信息所有者的合法權(quán)益，造成某些損害或人身性歧視，甚至?xí)?dǎo)致受害者為了維護(hù)合法權(quán)益而進(jìn)行訴訟[2]。

美國的《消費(fèi)者信息隱私權(quán)法案》正是在此背景之下應(yīng)運(yùn)而生，其不僅鼓勵(lì)改革創(chuàng)新，且有助于加強(qiáng)個(gè)人信息隱私的法律保護(hù)。以該法案為核心建立的個(gè)人信息保護(hù)框架主要涵蓋以下四個(gè)基本原則。

一、確立了個(gè)人信息隱私權(quán)保護(hù)的基本原則

強(qiáng)化消費(fèi)者隱私權(quán)保護(hù)，激發(fā)創(chuàng)新活力，需要建立完善的、全方位的、靈活的信息隱私權(quán)保護(hù)機(jī)制。美國極力推崇FIPPS，其最終成為全球性的信息隱私權(quán)保護(hù)基石，很多國際性信息隱私保護(hù)條約至今仍以FIPPS為基礎(chǔ)。但隨著企業(yè)收集、儲存、分析個(gè)人信息能力的快速發(fā)展，其已不能充分滿足時(shí)代的發(fā)展需求。

在以個(gè)人信息處理分散化和普遍化為顯著特征的時(shí)代里，《消費(fèi)者信息隱私權(quán)法案》使得FIPPS的有關(guān)規(guī)定能夠充分發(fā)揮作用。大公司和政府機(jī)構(gòu)不再是個(gè)人信息的收集、儲存的主力。公司為了實(shí)現(xiàn)各種各樣目的逐漸增加個(gè)人信息的收集數(shù)量；消費(fèi)者通過各種渠道，更加主動地與他人分享其個(gè)人信息。重新使用這類個(gè)人信息是提升創(chuàng)新水平的要件之一，在為消費(fèi)者帶來各種便利的同時(shí)也引發(fā)了很多隱私問題。

為了更好地應(yīng)對這種挑戰(zhàn)，《消費(fèi)者信息隱私權(quán)法案》在兩方面繼承發(fā)揚(yáng)了FIPPS的核心原則。首先，該法案明確了一系列消費(fèi)者權(quán)利，公司應(yīng)當(dāng)明確告知消費(fèi)者其將收集、處理何種個(gè)人信息。此外，該法案也明確了消費(fèi)者對其個(gè)人信息也負(fù)有一定保護(hù)義務(wù)。其次，該法案著重強(qiáng)調(diào)公司使用消費(fèi)者個(gè)人信息的情形，這與FIPPS的核心原則一致。確定使用情形的基礎(chǔ)是消費(fèi)者為使用某公司產(chǎn)品或服務(wù)而能預(yù)料到該公司使用其信息的目的，需注意的是公司必須確實(shí)能提供該服務(wù)，且個(gè)人信息交換對于其提供該服務(wù)是必不可少的。

《消費(fèi)者信息隱私權(quán)法案》規(guī)定了保護(hù)消費(fèi)者個(gè)人信息的基本原則，包括個(gè)人控制原則、透明度原則、尊重消費(fèi)者初衷原則、安全性原則、確保訪問暢通和信息精確性原則、責(zé)任原則。

此外，對于為了商業(yè)目的而使用消費(fèi)者信息的，也適用該法案。這里的信息是指所有的消費(fèi)者信息，包括那些與特定個(gè)體緊密聯(lián)系的信息[3]。

（一）個(gè)人控制原則

該原則指消費(fèi)者有權(quán)決定公司可以收集何種個(gè)人信息，也可決定這些信息的具體用途。公司應(yīng)當(dāng)提供簡明易用的機(jī)制，使消費(fèi)者能夠決定其與他人共享何種信息，選擇公司收集、使用、披露其個(gè)人信息的方式，同時(shí)該機(jī)制應(yīng)當(dāng)能全面反映公司收集、使用、披露的個(gè)人信息范圍、規(guī)模以及敏感程度。此外，公司應(yīng)允許消費(fèi)者取消或限制其先前做出的許可。該原則主要包括以下內(nèi)容：

1.對于收集、使用、披露的信息范圍、規(guī)模以及敏感性，公司應(yīng)為消費(fèi)者提供適當(dāng)?shù)倪x擇。尤其對于那些包括搜索引擎、在線社交平臺在內(nèi)的有機(jī)會接觸消費(fèi)者互聯(lián)網(wǎng)使用記錄的企業(yè)，隨時(shí)間的推移其能夠逐步建立詳細(xì)的個(gè)人行為檔案。這些檔案可能包含諸如個(gè)人健康信息等的敏感資料。在此情況下，個(gè)人選擇機(jī)制能夠有效控制公司使用、披露消費(fèi)者信息。相反，對于那些不收集、使用消費(fèi)者個(gè)人信息的企業(yè)，其可為消費(fèi)者提供相對較少的選擇。

在任何情況下，面向用戶的企業(yè)都應(yīng)為消費(fèi)者提供適當(dāng)?shù)倪x擇，無論是其使用消費(fèi)者信息，還是披露給他方使用。當(dāng)面向用戶的企業(yè)與第三方簽訂從消費(fèi)者處收集信息的合同，這些企業(yè)有義務(wù)了解第三方如何使用這些信息，以及其是否向消費(fèi)者提供有關(guān)信息收集、使用和披露的選擇。第三方也應(yīng)為消費(fèi)者提供與其收集信息范圍、規(guī)模、敏感性相符的選擇。近年來，有關(guān)第三方收集消費(fèi)者信息的討論主要聚焦在行為廣告上，即為了向消費(fèi)者投放定向廣告而收集消費(fèi)者上網(wǎng)信息，以了解消費(fèi)者興趣愛好。廣告商可以通過分析消費(fèi)者個(gè)人興趣愛好，達(dá)到投放定向廣告的目的，而這一切都是以收集消費(fèi)者的互聯(lián)網(wǎng)行為為基礎(chǔ)。許多消費(fèi)者和隱私權(quán)支持者發(fā)現(xiàn)類似的追蹤和廣告實(shí)踐很容易侵犯公眾的信息隱私權(quán)。

2.消費(fèi)者應(yīng)當(dāng)為自己的選擇結(jié)果承擔(dān)相應(yīng)的法律責(zé)任。消費(fèi)者選擇了相關(guān)的隱私權(quán)設(shè)置，并決定與他人分享個(gè)人信息已成為使用消費(fèi)者個(gè)人信息的開端，這類現(xiàn)象在近年來逐年增加，尤其在網(wǎng)絡(luò)社交平臺中。在類似的情形中，消費(fèi)者應(yīng)當(dāng)慎重評估其選擇的潛在風(fēng)險(xiǎn)，并為自己的選擇結(jié)果負(fù)責(zé)?？刂瞥跏嫉男畔⒎窒碓诒Ｗo(hù)消費(fèi)者信息隱私權(quán)中至關(guān)重要。

個(gè)人控制原則承認(rèn)消費(fèi)者信息中所包含的隱私權(quán)持續(xù)存在。因此，該原則賦予了消費(fèi)者撤銷權(quán)，使其能夠撤銷同意公司收集、使用其信息的決定。公司為消費(fèi)者提供的撤銷途徑在數(shù)量上應(yīng)當(dāng)?shù)韧谠摴精@取信息的途徑。

消費(fèi)者撤銷權(quán)的行使存在三個(gè)限制性條件。第一，能夠推定消費(fèi)者與公司的直接聯(lián)系從未中斷過；第二，僅僅對于那些在公司支配下的信息，公司才有義務(wù)尊重消費(fèi)者的撤銷權(quán)；第三，對于《消費(fèi)者信息隱私權(quán)法案》正式實(shí)施之前公司收集的消費(fèi)者信息并不適用該撤銷制度，除非公司在收集信息時(shí)已做出類似聲明。

（二）透明度原則

該原則指消費(fèi)者有權(quán)了解并獲悉與其隱私有關(guān)的信息。在消費(fèi)者能充分理解信息隱私權(quán)風(fēng)險(xiǎn)并能實(shí)施個(gè)人控制的情況下，企業(yè)應(yīng)當(dāng)向消費(fèi)者明確解釋其收集何種信息，為何收集該信息，如何使用該信息以及是否與第三方分享該信息，如果分享，又是出于何種目的。

對個(gè)人信息的收集、使用、披露進(jìn)行簡潔的語言陳述有利于消費(fèi)者理解有關(guān)商業(yè)條款的相互作用。當(dāng)這些陳述與判定隱私權(quán)風(fēng)險(xiǎn)密切相關(guān)時(shí)，公司應(yīng)當(dāng)確保消費(fèi)者能夠獲知該陳述?，F(xiàn)行的許多隱私聲明平等關(guān)注所有潛在的信息使用，與此不同的是，《消費(fèi)者信息隱私權(quán)法案》規(guī)定的隱私聲明強(qiáng)調(diào)的是如果公司使用個(gè)人信息超出消費(fèi)者預(yù)期，就應(yīng)全面告知消費(fèi)者。此外，該隱私聲明能將不同公司的信息披露方式逐漸統(tǒng)一起來，引起忽視隱私聲明的消費(fèi)者注意，甚至有利于促使分屬于不同服務(wù)或商品領(lǐng)域的隱私保護(hù)政策彼此競爭，更具特色。

此外，公司應(yīng)當(dāng)用方便消費(fèi)者實(shí)際閱讀的方式提供隱私聲明。公司有必要以更加人性化的方式為移動消費(fèi)者提供有關(guān)信息，提供服務(wù)時(shí)應(yīng)當(dāng)充分考慮移動設(shè)備的自身缺陷，如尺寸小，移動設(shè)備特有的隱私風(fēng)險(xiǎn)等。

最后，對于那些不直接面對消費(fèi)者的公司，如何收集、使用、披露消費(fèi)者的個(gè)人信息需作出切實(shí)可行的明確解釋，并向公眾公布解釋的可行方式。此外，對于那些直接面對消費(fèi)者的公司，當(dāng)其向第三方提供收集的信息時(shí)，需要向消費(fèi)者解釋該行為的特殊目的。這就要求消費(fèi)者將更多的精力放在判斷其是否與有關(guān)企業(yè)建立了聯(lián)系。同樣，公司應(yīng)當(dāng)明確披露其從第三方獲得的個(gè)人信息，第三方的身份以及如何使用該信息，這有利于提升消費(fèi)者信息隱私權(quán)保護(hù)的透明度。透明度的提升有利于促進(jìn)保護(hù)隱私技術(shù)的發(fā)展，并鼓勵(lì)消費(fèi)者使用該技術(shù)維護(hù)自身的信息隱私權(quán)。

（三）尊重消費(fèi)者初衷原則

該原則指消費(fèi)者有權(quán)期待公司收集、使用、披露其個(gè)人信息的方式與消費(fèi)者提供該信息的初衷相一致。公司使用、披露消費(fèi)者個(gè)人信息應(yīng)遵從其與消費(fèi)者達(dá)成的協(xié)議，法律有明確規(guī)定的除外。當(dāng)《消費(fèi)者信息隱私權(quán)法案》實(shí)施之后，如果公司需為其他目的而使用或披露消費(fèi)者個(gè)人信息，該公司就需提供更高層級的透明度和個(gè)人控制，可以通過易于消費(fèi)者接受的方式對所謂的其他目的進(jìn)行披露。最后，消費(fèi)者的年齡和對網(wǎng)絡(luò)技術(shù)的熟悉程度也是適用該原則時(shí)需考慮的重要因素。公司必須全面履行該原則所規(guī)定的義務(wù)，同時(shí)履行方式應(yīng)與消費(fèi)者的年齡和互聯(lián)網(wǎng)水平相適應(yīng)。尤其需要注意的是，與保護(hù)成年人的個(gè)人信息相比該法案更注重保護(hù)兒童[4]和青少年的個(gè)人信息。如不允許網(wǎng)絡(luò)服務(wù)商收集兒童的個(gè)人信息，即使其已取得所需的書面同意，這樣嚴(yán)格執(zhí)行更有利于保護(hù)兒童的隱私權(quán)。

該原則主要包括以下幾方面內(nèi)容。

1.該原則區(qū)分消費(fèi)者信息的使用基礎(chǔ)，判斷其與消費(fèi)者使用該公司服務(wù)初衷的聯(lián)系程度，同時(shí)也審核公司提供該服務(wù)所需的必要流程。首先，明確目的，即要求公司在收集個(gè)人信息時(shí)，向消費(fèi)者明確釋明其收集該信息目的。其次，限制使用，即要求公司只能為了實(shí)現(xiàn)該特定目的而使用其收集的消費(fèi)者信息。

該原則在兩方面繼承、發(fā)展了現(xiàn)有原則。首先，該原則規(guī)定了一個(gè)實(shí)質(zhì)性的準(zhǔn)則，并以該準(zhǔn)則指導(dǎo)公司的隱私保護(hù)實(shí)踐。總的來說，即使是為了實(shí)現(xiàn)與消費(fèi)者提供信息初衷相一致的目的，公司也應(yīng)當(dāng)限制使用收集的信息。其次，雖然該原則強(qiáng)調(diào)消費(fèi)者在披露信息時(shí)與公司建立相互關(guān)系十分重要，但也承認(rèn)這種關(guān)系會隨著時(shí)間的推移不斷發(fā)生變化。

此外，公司為實(shí)現(xiàn)消費(fèi)者特意要求的某些目標(biāo)而推斷消費(fèi)者同意其使用、披露有關(guān)信息的，只需消費(fèi)者對該服務(wù)有一般性了解即可。公司也可為一般性目的使用、披露消費(fèi)者個(gè)人信息，即使這些目的并不為消費(fèi)者所熟知。如為了提升服務(wù)質(zhì)量而分析消費(fèi)者如何使用該服務(wù)，防止欺詐，服從法律強(qiáng)制性規(guī)定和其他法定義務(wù)以及保護(hù)知識產(chǎn)權(quán)等。公司在嚴(yán)格遵守《消費(fèi)者信息隱私權(quán)法案》的其他基本原則基礎(chǔ)上，可以推斷消費(fèi)者同意其為了特定目的而使用個(gè)人信息。

2.規(guī)范公司與消費(fèi)者間的相互關(guān)系是決定該原則適用的另一要件。該原則并非排除所有商業(yè)廣告模式，而是要求公司能夠基于不同的個(gè)人信息識別不同類型的商業(yè)模式，從而判定不同程度的隱私風(fēng)險(xiǎn)。在消費(fèi)者提供個(gè)人信息的同時(shí)，公司應(yīng)當(dāng)明確告知其享有的權(quán)利。對于那些有關(guān)就業(yè)、保險(xiǎn)資格以及其他對消費(fèi)者有重要影響的信息，網(wǎng)絡(luò)廣告公司在收集、使用、披露的過程中保持最大限度的克制。

（四）安全性原則

該原則指消費(fèi)者有權(quán)保護(hù)以及負(fù)責(zé)任地處理其個(gè)人信息。公司有義務(wù)評估個(gè)人信息面臨的隱私權(quán)風(fēng)險(xiǎn)以及安全性問題，為了控制有關(guān)風(fēng)險(xiǎn)需要履行必要的安全保障義務(wù)。

確保個(gè)人信息安全的技術(shù)和程序?qū)τ诒Ｗo(hù)消費(fèi)者隱私至關(guān)重要。涉及個(gè)人信息的安全漏洞，無論是源于意外事件還是惡意攻擊，其都會造成一定的經(jīng)濟(jì)損失和人身損害。如果公司對個(gè)人信息喪失了控制權(quán)，公司的合作伙伴或客戶終止了相互間的協(xié)議，那么必將要面臨信譽(yù)崩潰的風(fēng)險(xiǎn)。為避免此惡果，公司會竭盡全力維護(hù)消費(fèi)者個(gè)人信息安全。對于特定公司來說，建立適當(dāng)?shù)男畔踩A(yù)防機(jī)制，需要考慮業(yè)務(wù)類型，收集的個(gè)人信息種類，潛在的損害以及其他各種因素。該原則承認(rèn)這些因素的存在，因此賦予公司一定的自由選擇權(quán)，允許選擇最符合公司特質(zhì)的技術(shù)和程序維護(hù)消費(fèi)者信息安全，但仍需遵守現(xiàn)行有效的規(guī)范信息安全的法律法規(guī)。

（五）確保訪問暢通和信息精確性原則

該原則指消費(fèi)者有權(quán)通過適當(dāng)?shù)耐緩?，以適當(dāng)?shù)姆绞皆L問、修正其個(gè)人信息，該途徑和方式必須與信息敏感度相符合。公司應(yīng)當(dāng)采取適當(dāng)?shù)氖侄未_保其持有信息精確無誤。公司也應(yīng)為消費(fèi)者提供合理的途徑，使其能夠訪問公司收集或持有的與其相關(guān)的個(gè)人信息，并允許消費(fèi)者修正錯(cuò)誤信息或請求公司刪除或限制使用該錯(cuò)誤信息。公司在決定采取何種措施確保信息精確性，并允許消費(fèi)者訪問、修正、刪除的過程中，應(yīng)當(dāng)將其收集、持有的個(gè)人信息范圍、規(guī)模以及敏感性納入考慮之中。

越來越多的企業(yè)依賴消費(fèi)者的個(gè)人信息進(jìn)行決策，這些決策將會從各個(gè)方面對消費(fèi)者產(chǎn)生影響。這些領(lǐng)域以外的情形受到其他特定的聯(lián)邦隱私權(quán)保護(hù)法案的規(guī)制，例如HIPAA和公平信用報(bào)告法案。雖然現(xiàn)階段消費(fèi)者尚無權(quán)訪問或修改其個(gè)人信息，但《消費(fèi)者信息隱私權(quán)法案》頒布以后，美國正致力于以方便移動設(shè)備閱讀的方式發(fā)布互聯(lián)網(wǎng)領(lǐng)域的有關(guān)信息[5]。允許消費(fèi)者訪問其個(gè)人信息正是在商業(yè)領(lǐng)域作出類似的承諾。政府鼓勵(lì)公司將個(gè)人信息轉(zhuǎn)化成特定可行的格式以方便消費(fèi)者及時(shí)訪問、修正。

該原則承認(rèn)使用錯(cuò)誤的個(gè)人信息會導(dǎo)致一系列嚴(yán)重后果。除了公司收集個(gè)人信息范圍、規(guī)模以及敏感性之外，這些損害風(fēng)險(xiǎn)也有助于判斷在特定情形中，何種訪問和修正是合理的。總之，公司向消費(fèi)者提供的，允許其訪問個(gè)人信息的機(jī)制都不能導(dǎo)致額外的隱私或安全風(fēng)險(xiǎn)。

（六）責(zé)任原則

該原則指對于公司收集、處理的個(gè)人信息，消費(fèi)者享有所有權(quán)，且有權(quán)通過特定的途徑確保公司貫徹落實(shí)《消費(fèi)者信息隱私權(quán)法案》的規(guī)定。公司應(yīng)就保證堅(jiān)持以上各項(xiàng)原則而對執(zhí)法當(dāng)局和消費(fèi)者承擔(dān)相應(yīng)的責(zé)任。公司也有義務(wù)確保員工遵守這些原則。為履行該義務(wù)，公司應(yīng)組織員工進(jìn)行培訓(xùn)，確保員工以適當(dāng)?shù)姆绞教幚硐M(fèi)者個(gè)人信息，并定期進(jìn)行有效評估。如果公司向第三方披露消費(fèi)者個(gè)人信息，那么應(yīng)承擔(dān)最低限度的保證義務(wù)，即確保信息接受方在可強(qiáng)制執(zhí)行的合同義務(wù)項(xiàng)下落實(shí)這些原則，除非法律明確規(guī)定其應(yīng)履行其他義務(wù)。

信息隱私權(quán)的保護(hù)依賴于公司對消費(fèi)者和執(zhí)法機(jī)構(gòu)的負(fù)責(zé)。然而，該原則已超越傳統(tǒng)意義上的外部責(zé)任。能以實(shí)際行動證明其圓滿完成了隱私聲明的公司定能進(jìn)一步維系、加強(qiáng)消費(fèi)者的信任。有必要以公司規(guī)模、業(yè)務(wù)構(gòu)成以及信息的敏感度為基礎(chǔ)建立適當(dāng)?shù)脑u估機(jī)制，該機(jī)制可以成為自我評估的手段，并不需完整的審計(jì)。

此外，必須將責(zé)任與不斷流動的個(gè)人信息緊密結(jié)合起來。站在《消費(fèi)者信息隱私權(quán)法案》的立場上看，該原則強(qiáng)調(diào)的并不是信息披露，而是信息披露是否會導(dǎo)致對個(gè)人信息的使用；該信息的使用是否符合消費(fèi)者初衷；是否能滿足消費(fèi)者控制信息的要求。因此，如果公司向第三方披露了收集的個(gè)人信息，那么該公司不僅要承擔(dān)相應(yīng)的責(zé)任，而且有義務(wù)確保信息接收者對信息的使用、披露符合該法案。

二、通過多方參與制定強(qiáng)制性的共同行為準(zhǔn)則

要想既執(zhí)行消費(fèi)者隱私權(quán)法案的基本原則，又能激勵(lì)使用個(gè)人數(shù)據(jù)，需要通過法定程序確立更多特定的行為方法。美國政府鼓勵(lì)私人公司、工業(yè)團(tuán)體、隱私權(quán)支持者、消費(fèi)者組織、專家學(xué)者、國際合作伙伴、其他組織團(tuán)體制定共同行為準(zhǔn)則，為有效執(zhí)行《消費(fèi)者信息隱私權(quán)法案》基本原則奠定基礎(chǔ)。

在消費(fèi)者個(gè)人信息隱私領(lǐng)域，以及其他影響國家互聯(lián)網(wǎng)戰(zhàn)略的領(lǐng)域，眾多機(jī)構(gòu)都能為互聯(lián)網(wǎng)繁榮做出貢獻(xiàn)是建立在多方參與基礎(chǔ)上的。這促使美國政府將互聯(lián)網(wǎng)定義為一個(gè)開放的，以消費(fèi)者為導(dǎo)向多方共同參與的平臺，通過該平臺能增進(jìn)交流，激勵(lì)創(chuàng)新，促進(jìn)經(jīng)濟(jì)增長[6]。

美國政府之所以支持開放、透明的多方參與架構(gòu)，是因?yàn)橐坏┙⒋思軜?gòu)，就能為參與者提供一定程度的靈活性，分散政策帶來的風(fēng)險(xiǎn)，更有效地應(yīng)對互聯(lián)網(wǎng)領(lǐng)域出現(xiàn)的挑戰(zhàn)。此外，美國在未來幾十年將會面對廣泛、復(fù)雜而又全球性的消費(fèi)者信息隱私問題，建立能在全球范圍內(nèi)有效運(yùn)轉(zhuǎn)的機(jī)制顯得尤為重要。

多方參與機(jī)制的另一個(gè)優(yōu)勢是與行政法規(guī)和其他政策性機(jī)構(gòu)相比，能更有效地提出合適的解決方案。最后，多方參與機(jī)制在解決問題時(shí)并不依賴單獨(dú)的權(quán)力機(jī)構(gòu)。特定的多方參與機(jī)構(gòu)能有效應(yīng)對互聯(lián)網(wǎng)領(lǐng)域出現(xiàn)的各種特定類型挑戰(zhàn)。這種特定化不僅能加速解決問題，更能避免參與者重復(fù)勞動。

此外，促使參與者加入該機(jī)制的誘因是雙重的。公司需要通過與消費(fèi)者和其他參與者直接互動贏得消費(fèi)者信任。選擇適用該機(jī)制的共同行為準(zhǔn)則能進(jìn)一步取得消費(fèi)者信任。在該行為準(zhǔn)則項(xiàng)下的所有執(zhí)法行動中，執(zhí)法機(jī)構(gòu)都會將公司堅(jiān)持該行為準(zhǔn)則作為從輕或減輕處罰的考慮因素。

NTIA有足夠的權(quán)力和管理互聯(lián)網(wǎng)的專業(yè)技術(shù)，所以能夠?yàn)榱私鉀Q消費(fèi)者隱私權(quán)保護(hù)問題而召集多方參與者共同創(chuàng)設(shè)特定的參與機(jī)制。創(chuàng)設(shè)消費(fèi)者隱私權(quán)保護(hù)的多方參與機(jī)制的基本程序：①商議制定共同行為準(zhǔn)則；②決定采用共同行為準(zhǔn)則；③隨著市場和技術(shù)的發(fā)展逐步修訂共同行為準(zhǔn)則[7]。

（一）商議

1.分析消費(fèi)者信息隱私權(quán)保護(hù)領(lǐng)域存在的主要問題。在NTIA的協(xié)助下，多方參與機(jī)構(gòu)對涉及重大的消費(fèi)者信息隱私問題的市場或工業(yè)領(lǐng)域進(jìn)行細(xì)致分析，為制定共同行為準(zhǔn)則做好充分準(zhǔn)備。

2.啟動和促進(jìn)商議進(jìn)程。NTIA應(yīng)當(dāng)采取相應(yīng)的措施支持更多的參與者加入制定共同行為準(zhǔn)則進(jìn)程。多方參與者的首要任務(wù)是建立相應(yīng)的操作流程。美國政府致力于堅(jiān)持該過程的開放性和透明性；然而商議過程必須滿足參與者的需求，從而確保參與者遵從商議結(jié)果。

3.得出結(jié)論。代表所有參與者利益的共同行為準(zhǔn)則已準(zhǔn)備就緒，只待公司確定采納。在此階段，NTIA需要與參與者共同努力，幫助其解決困難。有些參與者可能會提出某些僵化的條款，對達(dá)成共識造成很大阻礙，為將此情形發(fā)生的可能性降到最低，參與者需要在準(zhǔn)則之外討論、制定有關(guān)規(guī)則或程序，以此控制達(dá)成一致結(jié)論的途徑。

（二）采用

當(dāng)共同行為準(zhǔn)則制定完畢，有關(guān)公司可能會選擇采用該準(zhǔn)則。美國政府期望公司堅(jiān)持行為準(zhǔn)則的承諾最終能產(chǎn)生強(qiáng)制執(zhí)行力。強(qiáng)制執(zhí)行力對于確保公司對消費(fèi)者隱私的保護(hù)完全符合承諾至關(guān)重要，也有利于贏得消費(fèi)者信任。

（三）修訂

多方參與機(jī)制的核心目標(biāo)是使參與者能夠不斷修正其隱私保護(hù)策略，從而更好地應(yīng)對科技、消費(fèi)者期待以及市場環(huán)境的迅速變化，確保消費(fèi)者信息隱私安全。多方參與機(jī)制為遵守共同行為準(zhǔn)則提供多種方式?？紤]到技術(shù)和市場的改變，參與者有權(quán)在任意時(shí)刻宣布共同行為準(zhǔn)則對其不再具有任何效力。NTIA也可重新召集參與者，再次制定有關(guān)行為準(zhǔn)則。美國政府不會修訂共同行為準(zhǔn)則，但多方參與組織會在美國政府的指導(dǎo)下完成修訂。

三、由聯(lián)邦貿(mào)易委員會負(fù)責(zé)強(qiáng)制執(zhí)行《消費(fèi)者信息隱私權(quán)法案》

在執(zhí)行《消費(fèi)者信息隱私權(quán)法案》的過程中，政府機(jī)構(gòu)扮演著不可或缺的角色。聯(lián)邦貿(mào)易委員會（以下簡稱FTC）是聯(lián)邦政府機(jī)構(gòu)中領(lǐng)導(dǎo)保護(hù)消費(fèi)者隱私的權(quán)力機(jī)關(guān)。FTC展開執(zhí)法行動意味著公司未能嚴(yán)格遵守保護(hù)消費(fèi)者隱私的承諾。此外，在公司未采取合理有效措施保護(hù)消費(fèi)者個(gè)人信息安全的情況下，F(xiàn)TC可對該公司采取相關(guān)措施。FTC之所以能夠應(yīng)對技術(shù)和市場的改變對保護(hù)消費(fèi)者信息隱私帶來挑戰(zhàn)，是因?yàn)镕TC采取了靈活的執(zhí)法手段：在其管轄權(quán)范圍內(nèi)，F(xiàn)TC有權(quán)強(qiáng)制公司遵守共同行為準(zhǔn)則。

無論是否存在消費(fèi)者個(gè)人信息隱私方面的立法，F(xiàn)TC都應(yīng)為制定行為準(zhǔn)則提供幫助和建議。一旦參與者制定了共同行為準(zhǔn)則，為了獲得更大程度的確定性并讓客戶確信其正竭盡全力保護(hù)消費(fèi)者的信息隱私，公司會自愿遵守該準(zhǔn)則。公司可在不同的業(yè)務(wù)領(lǐng)域內(nèi)選擇適用共同行為準(zhǔn)則?！断M(fèi)者信息隱私權(quán)法案》的基本原則應(yīng)該確保共同行為準(zhǔn)則是持續(xù)存在的。

FTC有權(quán)執(zhí)行《消費(fèi)者信息隱私權(quán)法案》的各個(gè)構(gòu)成要素。對于履行保護(hù)消費(fèi)者信息隱私的義務(wù)，企業(yè)將擁有明確的路線圖。讓消費(fèi)者了解美國國會授權(quán)FTC在商業(yè)領(lǐng)域直接執(zhí)行完整的隱私保護(hù)政策對消費(fèi)者有利，同時(shí)，也能為FTC提供一定程度的靈活性，使其能夠通過特定的符合程序性要求的執(zhí)法行動有效處置突發(fā)公眾隱私問題。

更重要的是，《消費(fèi)者信息隱私權(quán)法案》為企業(yè)創(chuàng)造了公平的競爭環(huán)境，為消費(fèi)者提供一致的期望，為FTC的執(zhí)法行動提供更加明確、透明的基礎(chǔ)。

四、加強(qiáng)國際合作

企業(yè)在互聯(lián)網(wǎng)的協(xié)助下不斷擴(kuò)展自身業(yè)務(wù)范圍。這也使大范圍的數(shù)據(jù)流動成為國內(nèi)和全球經(jīng)濟(jì)的重要組成部分。信息隱私保護(hù)法律的多樣性必然導(dǎo)致企業(yè)轉(zhuǎn)移個(gè)人信息的代價(jià)上升，因?yàn)椴煌瑖业姆蓸?biāo)準(zhǔn)各不相同，企業(yè)要想順利地開展業(yè)務(wù)，就需要遵守多種法律法規(guī)。

雖然為了應(yīng)對這些挑戰(zhàn)，政府會出臺各種措施，但努力提升信息隱私保護(hù)領(lǐng)域的國際合作對于促進(jìn)互聯(lián)網(wǎng)經(jīng)濟(jì)持續(xù)發(fā)展仍至關(guān)重要。靈活的多方參與機(jī)制能促進(jìn)信息隱私保護(hù)領(lǐng)域的國際合作。美國正致力于與其合作伙伴一同加強(qiáng)信息隱私保護(hù)領(lǐng)域的國際合作。這些努力具體包括：促進(jìn)相互承認(rèn)，通過多方參與機(jī)制制定共同行為準(zhǔn)則，強(qiáng)化國際執(zhí)法合作。

（一）相互承認(rèn)

個(gè)人信息隱私法案的相互承認(rèn)是在全球范圍有效保護(hù)消費(fèi)者信息隱私安全的有效途徑。相互承認(rèn)的基礎(chǔ)是尋求個(gè)人信息隱私保護(hù)領(lǐng)域的共同價(jià)值核心。

當(dāng)公司在一國領(lǐng)域內(nèi)承擔(dān)某些法定義務(wù)，那么相互承認(rèn)就意味著所有國家都有權(quán)要求該公司履行相應(yīng)的義務(wù)。有效的執(zhí)行是建立國際合作機(jī)制的前提。執(zhí)行機(jī)制以及執(zhí)行機(jī)關(guān)因國而異，美國政府也承認(rèn)許多方式都能充分發(fā)揮效力。美國主要依靠FTC的個(gè)案執(zhí)行機(jī)制，該機(jī)制能有效阻止不公正或欺騙行為發(fā)生，同時(shí)該機(jī)制也促使在個(gè)人隱私保護(hù)領(lǐng)域形成不斷發(fā)展的標(biāo)準(zhǔn)。

在相互承認(rèn)的情況下，問責(zé)機(jī)制指的是企業(yè)有義務(wù)明確解釋其對強(qiáng)制性隱私保護(hù)政策和程序的執(zhí)行情況（無論是自愿接受還是法律要求）。問責(zé)機(jī)制包括自我評估和審計(jì)兩方面。促進(jìn)相互承認(rèn)的典型范例是APEC的跨境隱私規(guī)則體系，該體系的基礎(chǔ)是APEC的隱私保護(hù)法案和APEC成員國一致通過的隱私保護(hù)原則[8]。

（二）建立多方參與程序，制定共同的國際行為準(zhǔn)則

多方參與機(jī)制具有靈活性強(qiáng)、效率高等多種特征。當(dāng)需要制定保護(hù)消費(fèi)者、促進(jìn)創(chuàng)新的全球性規(guī)則時(shí)，與傳統(tǒng)的政府管理規(guī)則相比，多方參與機(jī)制具有很多優(yōu)勢。多方參與制定共同的國際行為準(zhǔn)則，將該準(zhǔn)則與現(xiàn)有的相互承認(rèn)的規(guī)則相銜接，能夠顯著降低企業(yè)的守法成本。

雖然安全港規(guī)則已經(jīng)證明能夠促進(jìn)大西洋兩岸的商貿(mào)合作，但對部分美國企業(yè)而言并非最佳解決方案。對于部分領(lǐng)域，F(xiàn)TC并無管理權(quán)限，如金融服務(wù)、保險(xiǎn)以及電信業(yè)，對此安全港規(guī)則亦未涉及。這些領(lǐng)域內(nèi)的部分公司已明確表示希望適用改進(jìn)后的大西洋數(shù)據(jù)交換規(guī)則[9]。

美國政府計(jì)劃以安全港規(guī)則為基礎(chǔ)制定額外的機(jī)制——如共同制定行為準(zhǔn)則，以此促進(jìn)相互承認(rèn)彼此的法律，鼓勵(lì)信息自由交換，應(yīng)對不斷出現(xiàn)的信息隱私保護(hù)挑戰(zhàn)。共同的國際行為準(zhǔn)則代表了在重要的隱私保護(hù)問題上，大西洋兩岸的雙方已達(dá)成共識，終將有一天共同行為準(zhǔn)則能夠成為安全港規(guī)則的重要補(bǔ)充。

（三）加強(qiáng)國際執(zhí)法合作

為了在全球范圍內(nèi)實(shí)現(xiàn)充分保護(hù)消費(fèi)者信息隱私權(quán)，健全的國際執(zhí)法合作機(jī)制必不可少。無論該合作是雙邊還是多邊，均有益于加強(qiáng)隱私權(quán)保護(hù)機(jī)構(gòu)間的信息共享。

在加強(qiáng)與國外伙伴合作方面，F(xiàn)TC享有廣泛權(quán)力。FTC設(shè)立了全球隱私執(zhí)法網(wǎng)絡(luò)（GPEN）。GPEN致力于進(jìn)一步提高隱私執(zhí)法的優(yōu)先層級，分享最佳的實(shí)踐經(jīng)驗(yàn)并為聯(lián)合執(zhí)法行動提供必要支持。FTC加入了大量國際組織，包括OECD、APEC、亞太區(qū)私隱機(jī)構(gòu)組織論壇。在GPEN、OECE以及APEC中，美國政府的主要職責(zé)是加強(qiáng)全球范圍內(nèi)的隱私調(diào)查和執(zhí)法合作。

五、《消費(fèi)者信息隱私權(quán)法案》特別規(guī)定的事由

（一）平衡消費(fèi)者信息隱私權(quán)保護(hù)中聯(lián)邦和州的關(guān)系

該法案強(qiáng)調(diào)應(yīng)當(dāng)為現(xiàn)行的信息隱私保護(hù)體制尚未覆蓋的領(lǐng)域提供全國性標(biāo)準(zhǔn)。設(shè)立全國性標(biāo)準(zhǔn)對于企業(yè)堅(jiān)持保護(hù)消費(fèi)者信息隱私是必要的。如果允許各州分別制定更加苛刻的標(biāo)準(zhǔn)，那么必將極大地削弱利益相關(guān)者加入多方參與機(jī)制的熱情，也會削弱企業(yè)采納共同行為準(zhǔn)則的動力。因此，美國政府建議國會取消那些已生效的與該法案相抵觸的州法案。

此外，美國聯(lián)邦政府推薦的方法在各州制定政策、執(zhí)行規(guī)則中起到了不可忽視的作用。各州應(yīng)在多方參與機(jī)制發(fā)揮建設(shè)性作用。總的來說，該機(jī)制將為各州解決消費(fèi)者信息隱私問題提供有效途徑，而這些途徑不僅僅取得了各州的共同認(rèn)可，更在國家層面上保持了一致性。聯(lián)邦政府與國會、各州以及其他參與者共同商討是否存在某些特殊領(lǐng)域，在這些領(lǐng)域中需要各州執(zhí)行各自的規(guī)則而又不會破壞聯(lián)邦法案的一致性。允許各州在其密切監(jiān)管的領(lǐng)域如電商零售適用各自的規(guī)則保護(hù)消費(fèi)者信息隱私。

（二）維持現(xiàn)有的聯(lián)邦隱私保護(hù)法律的有效性

消費(fèi)者信息隱私立法應(yīng)當(dāng)最大程度保持現(xiàn)有法案的有效性，將重復(fù)規(guī)制降到最低，明確消費(fèi)者的權(quán)利和義務(wù)，從而為服務(wù)消費(fèi)者和企業(yè)提供更好的服務(wù)。總體而言，現(xiàn)有特殊領(lǐng)域內(nèi)的聯(lián)邦隱私保護(hù)法律創(chuàng)設(shè)的義務(wù)針對的是該領(lǐng)域內(nèi)個(gè)人敏感信息的使用以及部分普遍做法。如HIPAA及其制定的隱私和安全規(guī)則主要規(guī)制的是醫(yī)療服務(wù)提供者、保險(xiǎn)人以及健康信息交換中心對個(gè)人健康信息的收集、使用和披露。HIPAA默許那些已經(jīng)被醫(yī)療服務(wù)提供者普遍接受的個(gè)人健康信息的使用實(shí)踐，如為治愈疾病，在兩個(gè)醫(yī)療服務(wù)提供者之間相互交換患者的健康信息。

（三）建立安全漏洞通知的國家標(biāo)準(zhǔn)

對于特定領(lǐng)域的安全漏洞通知，美國政府主張建立統(tǒng)一的國家標(biāo)準(zhǔn)，要求企業(yè)將未經(jīng)授權(quán)的個(gè)人信息披露及時(shí)告知消費(fèi)者。安全漏洞通知規(guī)則（SBN）有效保護(hù)了敏感個(gè)人信息。該規(guī)則要求企業(yè)在特定情況下告知消費(fèi)者個(gè)人信息已被傳遞給未經(jīng)授權(quán)的主體。及時(shí)告知可使消費(fèi)者免受潛在損害，也激勵(lì)企業(yè)著重建立更完善的個(gè)人信息保護(hù)體制。SBN模式已獲得國際社會的廣泛認(rèn)同，有效保護(hù)了消費(fèi)者的合法權(quán)益。

目前，美國的47個(gè)州以及哥倫比亞特區(qū)已制定SBN規(guī)則。各州設(shè)立的應(yīng)對緊急事件的有效機(jī)制各不相同，因此建立統(tǒng)一的國家機(jī)制的呼聲日益高漲。各州法律的混雜導(dǎo)致企業(yè)守法成本激增，同時(shí)也未能使消費(fèi)者明顯受益。作為網(wǎng)絡(luò)安全立法方案的一部分，美國政府建議創(chuàng)設(shè)非經(jīng)授權(quán)披露消費(fèi)者個(gè)人信息事件通知機(jī)制的國家標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)將取代現(xiàn)有的各州標(biāo)準(zhǔn)，也將在該領(lǐng)域中排除適用各州未來的有關(guān)立法。

六、對中國立法及司法的借鑒意義

（一）對中國立法的借鑒意義

2000年信息產(chǎn)業(yè)部發(fā)布了《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》，其中第12條規(guī)定：“電子公告服務(wù)提供者應(yīng)當(dāng)對上網(wǎng)用戶的個(gè)人信息保密，未經(jīng)上網(wǎng)用戶同意不得向他人泄露?！?/p>

2007年商務(wù)部印發(fā)了《商務(wù)部關(guān)于促進(jìn)電子商務(wù)規(guī)范發(fā)展的意見》，其中明確指出：“引導(dǎo)電子商務(wù)企業(yè)建立健全網(wǎng)絡(luò)與信息安全保障制度，采取有效的網(wǎng)站安全保障措施、企業(yè)信息保密措施和用戶信息安全措施，防范和制止利用互聯(lián)網(wǎng)盜取商業(yè)秘密和提供用戶信息給第三方以牟取利益的行為。”

2010年工商總局發(fā)布了《網(wǎng)絡(luò)商品交易管理暫行辦法》，其中第16條規(guī)定：“網(wǎng)絡(luò)商品經(jīng)營者和網(wǎng)絡(luò)服務(wù)經(jīng)營者對收集的消費(fèi)者信息，負(fù)有安全保管、合理使用、限期持有和妥善銷毀義務(wù)；不得收集與提供商品和服務(wù)無關(guān)的信息，不得不正當(dāng)使用，不得公開、出租、出售。但是法律、法規(guī)另有規(guī)定的除外?！钡?5條規(guī)定：“提供網(wǎng)絡(luò)交易平臺服務(wù)的經(jīng)營者應(yīng)當(dāng)采取必要措施保護(hù)涉及經(jīng)營者商業(yè)秘密或者消費(fèi)者個(gè)人信息的數(shù)據(jù)資料信息的安全。非經(jīng)交易當(dāng)事人同意，不得向任何第三方披露、轉(zhuǎn)讓、出租或者出售交易當(dāng)事人名單、交易記錄等涉及經(jīng)營者商業(yè)秘密或者消費(fèi)者個(gè)人信息的數(shù)據(jù)?！?/p>

總的來說，我國保護(hù)消費(fèi)者個(gè)人信息的法律條款較為有限，對于互聯(lián)網(wǎng)中消費(fèi)者個(gè)人信息隱私保護(hù)的條款更是少之又少。并且現(xiàn)行法律法規(guī)中關(guān)于個(gè)人信息保護(hù)的條款適用范圍較小，并不能適應(yīng)當(dāng)前經(jīng)濟(jì)發(fā)展的形勢。而且這些條款散見于各法律法規(guī)，缺乏體系上的呼應(yīng)，使得這些條款難以有效適用。即便這些條款提出對個(gè)人信息的保護(hù)，但細(xì)究內(nèi)容，多為對信息持有者的保密義務(wù)，且沒有規(guī)定違反該義務(wù)的民事責(zé)任。實(shí)際上現(xiàn)存為數(shù)不多的關(guān)于個(gè)人信息保護(hù)的規(guī)定也僅是形式，缺乏可操作性[10]。

在大數(shù)據(jù)時(shí)代，中國立法者應(yīng)順應(yīng)時(shí)代潮流，將制定完備、可行的保護(hù)消費(fèi)者信息隱私權(quán)的法案提上立法日程，并將其作為該領(lǐng)域內(nèi)的基本法。在法案制定過程中，應(yīng)廣泛征求科技類公司、工業(yè)團(tuán)體、消費(fèi)者組織、專家學(xué)者、國際合作伙伴以及司法工作者等利益相關(guān)者的意見，為更有效地執(zhí)行基本原則奠定基礎(chǔ)。

（二）對中國司法的借鑒意義

第一，確保消費(fèi)者信息隱私權(quán)基本法的貫徹落實(shí)，執(zhí)行至關(guān)重要。為了進(jìn)一步加強(qiáng)公眾對消費(fèi)者信息隱私權(quán)基本法的信任，促使公司自覺遵守行為準(zhǔn)則，有必要成立獨(dú)立的自我監(jiān)管機(jī)構(gòu)，將各個(gè)政府部門中涉及到保護(hù)消費(fèi)者信息隱私權(quán)的職能或權(quán)力集中到該監(jiān)管機(jī)構(gòu)，由其統(tǒng)一行使執(zhí)法權(quán)，以便其及時(shí)發(fā)現(xiàn)并糾正各利益相關(guān)者的履約問題。

第二，大范圍的數(shù)據(jù)流動已成為中國國內(nèi)和全球經(jīng)濟(jì)的重要組成部分。各國的隱私保護(hù)法律各不相同，嚴(yán)重阻礙企業(yè)在全球范圍內(nèi)自由轉(zhuǎn)移個(gè)人數(shù)據(jù)。為了應(yīng)對這些挑戰(zhàn)，提升隱私權(quán)保護(hù)領(lǐng)域的國際合作至關(guān)重要。中國立法者、執(zhí)法者有必要加快國際合作步伐，尋求個(gè)人信息保護(hù)領(lǐng)域的共同價(jià)值核心，并在此基礎(chǔ)上推動消費(fèi)者信息隱私保護(hù)法案的相互承認(rèn)。

第三，由于企業(yè)利用互聯(lián)網(wǎng)不斷在全球范圍內(nèi)擴(kuò)展業(yè)務(wù)，為了充分保護(hù)消費(fèi)者的信息隱私權(quán)，全球范圍內(nèi)的執(zhí)法合作不可或缺。因此在司法實(shí)踐中，必須加強(qiáng)全球范圍內(nèi)的隱私調(diào)查和執(zhí)法合作。

［1］Census Bureau,E-Stats[EB/OL].[2011-05-16].http://www.census.gov/econ/estats/2009/2009reportfinal.pdf.

［2］Fed.Trade Common,2006 Identity Theft Survey Report[EB/OL].[2007-11-20].http://www.ftc.gov/os/2007/11/SynovateFinalReport IDTheft2006.pdf.

［3］Peter S Frechette.FTC Jurisdiction over Information Privacy is“Plausible,”but How Far can It Go?[J].American University Law Review,2013（62）.

［4］Kate Crawford,Jason Schultz.Big Data and Due Process:Toward a Framework to Redress Predictive Privacy Harms[J].Boston College Law Review,2014（51）.

［5］National Science and Technology Council.A Policy Framework for the 21st Century Grid:Enabling Our Secure Energy Future[EB/OL].[2011-06-15].http://www.whitehouse.gov/sites/default/files/microsites/ostp/nstc-smart-grid-june2011.pdf.

［6］Neil M Richards,Jonathan H King.Big Data Ethics[J].Wake Forest Law Review,2014（34）.

［7］OECD.High-Level Meeting on the Internet Economy:Generating Innovation and Growth[EB/OL].[2011-06-28].http://www.ntia.doc.gov/legacy/ntiahome/privwhitepaper.html.

［8］Michael D Scott.The FTC,the Unfairness Doctrine,and Data Security Breach Litigation:Has the Commission Gone Too Far[J].University of Baltimore Law Review,2008（49）.

［9］Paul Schwartz,Dan Solove.The PII Problem:Privacy and a New Concept of Personally Identifiable Information[J].Harvard Business Law Review,2014（21）.

［10］張巖.電子商務(wù)中消費(fèi)者個(gè)人信息的法律保護(hù)[D].重慶:西南政法大學(xué),2011.