美國(guó)聯(lián)邦數(shù)據(jù)隱私立法規(guī)制研究

摘要：美國(guó)各界一致呼吁制定統(tǒng)一的聯(lián)邦數(shù)據(jù)隱私立法，然而至今尚無(wú)任何提案能夠成功轉(zhuǎn)化為法律?！睹绹?guó)隱私權(quán)法》作為美國(guó)最新的立法提案，體現(xiàn)了美國(guó)聯(lián)邦數(shù)據(jù)隱私規(guī)制方案的最新動(dòng)向，其以擴(kuò)大消費(fèi)者個(gè)人權(quán)利、限制科技巨頭數(shù)字權(quán)力為手段，旨在強(qiáng)化國(guó)家安全，促進(jìn)數(shù)字經(jīng)濟(jì)合理有序發(fā)展。然而基于聯(lián)邦和州分層規(guī)制和市場(chǎng)自我規(guī)制的傳統(tǒng)，聯(lián)邦數(shù)據(jù)隱私立法面臨中央和地方立法沖突、政治利益集團(tuán)的博弈，以及數(shù)據(jù)監(jiān)管目標(biāo)悖論的立法困境。聯(lián)邦數(shù)據(jù)隱私立法的出臺(tái)，一方面將可能形成新的全球隱私標(biāo)準(zhǔn)，樹(shù)立不同于《通用數(shù)據(jù)保護(hù)條例》的商業(yè)典范；另一方面，它也可能成為新的全球數(shù)字貿(mào)易壁壘和美式制裁工具。

關(guān)鍵詞：美國(guó)隱私權(quán)法；美國(guó)聯(lián)邦立法；數(shù)據(jù)隱私；數(shù)據(jù)保護(hù)；規(guī)制策略

一、引言

美國(guó)的數(shù)據(jù)隱私保護(hù)與歐盟明顯不同，歐盟擁有全面的數(shù)據(jù)隱私法——《通用數(shù)據(jù)保護(hù)條例》。與歐洲完善的數(shù)據(jù)保護(hù)法相比，美國(guó)目前尚未在聯(lián)邦層面出臺(tái)統(tǒng)一的保護(hù)公民數(shù)據(jù)隱私的法律。正因如此，美國(guó)聯(lián)邦數(shù)據(jù)隱私立法一直被呼吁制定。然而很多提案在被提出后都很快因?yàn)辄h派政治而被否決。2022年6月，美國(guó)國(guó)會(huì)眾議院能源和商業(yè)委員會(huì)消費(fèi)者保護(hù)和商業(yè)小組委員會(huì)正式就《美國(guó)數(shù)據(jù)隱私保護(hù)法》（American Data Privacy and Protection Act，簡(jiǎn)稱ADPPA）草案召開(kāi)聽(tīng)證會(huì)，將美國(guó)聯(lián)邦層面的隱私保障納入立法日程。然而由于聯(lián)邦和地方立法優(yōu)先事項(xiàng)的沖突以及兩黨意見(jiàn)分歧、政治利益集團(tuán)博弈等原因，這一草案后續(xù)失去動(dòng)向。2024年4月華盛頓州參議員Maria Cantwell和眾議員Cathy McMorris Rodgers在ADPPA基礎(chǔ)上提出了新的《美國(guó)隱私權(quán)法》（American Privacy Rights Act，簡(jiǎn)稱APRA）草案，再一次希望打破美國(guó)現(xiàn)行立法分散的現(xiàn)狀，彌合各州數(shù)據(jù)保護(hù)立法分歧，統(tǒng)一美國(guó)聯(lián)邦數(shù)據(jù)隱私立法。APRA代表了美國(guó)重塑數(shù)據(jù)隱私保護(hù)制度的重大嘗試，提出了一個(gè)平衡消費(fèi)者權(quán)利與技術(shù)行業(yè)創(chuàng)新利益的復(fù)雜模式。聯(lián)邦數(shù)據(jù)隱私立法的進(jìn)展和頒布將成為國(guó)內(nèi)和國(guó)際利益攸關(guān)方的焦點(diǎn)，不僅影響國(guó)內(nèi)數(shù)字經(jīng)濟(jì)的規(guī)制方向、中央和地方的權(quán)力制衡、政府與數(shù)字巨頭的政企關(guān)系，還可能關(guān)涉國(guó)際數(shù)字貿(mào)易體系的發(fā)展、全球隱私規(guī)范的標(biāo)準(zhǔn)，甚至涉及全球地緣政治的動(dòng)向。因此，本文將在梳理美國(guó)數(shù)據(jù)隱私法律政策的基礎(chǔ)上，以最新的APRA為例分析美國(guó)聯(lián)邦數(shù)據(jù)隱私立法背后的規(guī)制理念、規(guī)制挑戰(zhàn)和可能產(chǎn)生的一系列影響。通過(guò)分析美國(guó)數(shù)據(jù)隱私立法的規(guī)制模式以及規(guī)制動(dòng)態(tài)，本文嘗試進(jìn)一步探究美國(guó)聯(lián)邦數(shù)據(jù)隱私立法的深層原因與本質(zhì)，及其背后隱匿的政治風(fēng)險(xiǎn)和技術(shù)困境，以預(yù)測(cè)未來(lái)美國(guó)聯(lián)邦數(shù)據(jù)隱私立法產(chǎn)生的廣泛影響，為我國(guó)政府和企業(yè)提供有益借鑒。

二、美國(guó)數(shù)據(jù)隱私的規(guī)制模式

美國(guó)法律體系下，數(shù)據(jù)保護(hù)與隱私保護(hù)息息相關(guān)。通過(guò)既有的司法實(shí)踐、聯(lián)邦和各州分層立法、以市場(chǎng)為導(dǎo)向鼓勵(lì)企業(yè)自我監(jiān)管的規(guī)制傳統(tǒng)，美國(guó)借助隱私權(quán)概念構(gòu)建了具有特色的數(shù)據(jù)隱私規(guī)制模式。

（一）數(shù)據(jù)隱私一元規(guī)制

美國(guó)法律制度中規(guī)定的隱私權(quán)分為普通法隱私權(quán)和憲法隱私權(quán)。早期的普通法基本沒(méi)有涉及個(gè)人隱私權(quán)。在美國(guó)學(xué)者沃倫和布蘭代斯提出保護(hù)個(gè)人“不受干擾的權(quán)利”后，隱私權(quán)保護(hù)逐漸被納入各州法律。各州隱私侵權(quán)可以分為四種類型：“對(duì)個(gè)人獨(dú)處或私人事務(wù)的入侵、向公眾揭露使個(gè)人難堪的私人事實(shí)、將個(gè)人置于不正常的公眾理解之下、為個(gè)人利益未經(jīng)他人同意使用其姓名或其他類似事物?！痹趹椃ㄉ?，美國(guó)聯(lián)邦憲法沒(méi)有明確提到隱私權(quán)，只是司法實(shí)踐中聯(lián)邦最高法院在涉及《美國(guó)聯(lián)邦憲法第一修正案》《美國(guó)聯(lián)邦憲法第四修正案》《美國(guó)聯(lián)邦憲法第十四修正案》等憲法性文件時(shí)有所承認(rèn)，涉及隱私和自由的關(guān)系問(wèn)題?！兜谝恍拚浮返碾[私權(quán)指的是個(gè)人的思想自由和休息自由不受其他人的言論自由侵?jǐn)_?！兜谒男拚浮返碾[私權(quán)指的是個(gè)人合理的獨(dú)處領(lǐng)域不受政府搜查和扣押行為侵?jǐn)_。《第十四修正案》則涉及決定隱私權(quán)，創(chuàng)造出關(guān)于“選擇自由”的隱私。相較于歐盟基于人格尊嚴(yán)的隱私保護(hù)，美國(guó)的隱私內(nèi)涵側(cè)重于自由意志。1977年“沃倫訴羅伊案”聯(lián)邦最高法院首次確認(rèn)了信息隱私權(quán)，將其界定為個(gè)人享有控制個(gè)人信息披露的權(quán)利，有權(quán)避免披露其個(gè)人事項(xiàng)。隨著美國(guó)工業(yè)化和城市化的發(fā)展，不同類型的隱私權(quán)，逐步得到廣泛認(rèn)可。

隨著數(shù)字技術(shù)的發(fā)展，美國(guó)個(gè)人信息和數(shù)據(jù)保護(hù)的立法和司法實(shí)踐開(kāi)始圍繞隱私權(quán)展開(kāi)。然而，美國(guó)缺少關(guān)于隱私的有效連貫概念。雖然司法部門不斷擴(kuò)張隱私權(quán)保護(hù)方式以應(yīng)對(duì)新型數(shù)字技術(shù)對(duì)個(gè)人信息的侵蝕，學(xué)界也不斷細(xì)化信息隱私的概念，但是隱私概念仍然模糊不清。學(xué)界或是認(rèn)為隱私可以通過(guò)其他概念和權(quán)利來(lái)界定，并不能構(gòu)成單一概念；或是認(rèn)為隱私不僅是個(gè)體概念還是集體概念，再或是認(rèn)為隱私概念具有多元性，應(yīng)當(dāng)圍繞個(gè)人事務(wù)免受特定行為的干擾這一核心構(gòu)建具有操作性和場(chǎng)景性的隱私概念。學(xué)者索洛夫?qū)㈦[私侵害分為四類：信息收集、信息處理、信息傳播和侵入。這一分類得到廣泛關(guān)注和認(rèn)同。為了遏制隱私概念在信息時(shí)代的擴(kuò)張，貝林提出純粹隱私理論，區(qū)分了自由和隱私、隱私權(quán)與隱私、擴(kuò)大個(gè)人信息范圍、并豐富披露層次，以控制和限縮隱私的范圍。然而，在數(shù)字社會(huì)，法律實(shí)踐中的隱私不再只是個(gè)人不受侵?jǐn)_，還涉及數(shù)據(jù)處理過(guò)程中的安全、控制和透明度，即個(gè)人需要知道自己的何種數(shù)據(jù)正在被收集、如何被使用、是否安全。而這些數(shù)據(jù)保護(hù)問(wèn)題已超出隱私權(quán)保護(hù)的傳統(tǒng)司法實(shí)踐和隱私理論的涵蓋范疇。

（二）聯(lián)邦和州分層規(guī)制

在計(jì)算機(jī)開(kāi)始普及的20世紀(jì)70年代，美國(guó)為處理個(gè)人信息保護(hù)中的個(gè)人隱私，將隱私標(biāo)準(zhǔn)與消費(fèi)者權(quán)利等保護(hù)措施相結(jié)合，形成相對(duì)完整的“公平信息實(shí)踐”框架，以此主導(dǎo)信息隱私保護(hù)實(shí)踐。數(shù)據(jù)隱私則常常與數(shù)據(jù)安全一起被納入數(shù)據(jù)保護(hù)法律框架中。數(shù)據(jù)隱私涉及個(gè)人信息的收集、使用和傳播，仍然要被放置在信息隱私權(quán)框架下理解。由于對(duì)數(shù)據(jù)保護(hù)立法、聯(lián)邦法優(yōu)先事項(xiàng)，個(gè)人訴權(quán)等問(wèn)題無(wú)法達(dá)成共識(shí)，聯(lián)邦層面的綜合性數(shù)據(jù)保護(hù)法案遲遲無(wú)法推出。隨著國(guó)內(nèi)Equifax、Uber、劍橋分析等數(shù)據(jù)泄露和數(shù)據(jù)濫用事件頻頻出現(xiàn)，歐盟GDPR帶動(dòng)的全球數(shù)據(jù)保護(hù)大潮興起，美國(guó)也開(kāi)始重新審視數(shù)據(jù)保護(hù)立法。各州數(shù)據(jù)隱私立法相繼制定，聯(lián)邦數(shù)據(jù)隱私立法提案不斷被提出。科技巨頭、行業(yè)協(xié)會(huì)等其他社會(huì)力量也在推動(dòng)數(shù)據(jù)隱私立法進(jìn)程。

當(dāng)前美國(guó)數(shù)據(jù)保護(hù)法律體系的構(gòu)成包括聯(lián)邦成文法和各州單行立法。美國(guó)各州率先在數(shù)據(jù)隱私立法上走在前沿。自2018年以來(lái)，美國(guó)州層面的個(gè)人數(shù)據(jù)相關(guān)立法明顯呈增長(zhǎng)趨勢(shì)。其中，最有名的當(dāng)屬2018年《加利福尼亞消費(fèi)者隱私法》（CCPA）及其延伸的2020年《加利福尼亞隱私權(quán)法》（CPRA）。加利福尼亞州在2018年6月通過(guò)的CCPA是美國(guó)第一部州級(jí)數(shù)據(jù)隱私法，創(chuàng)設(shè)了美國(guó)歷史上最嚴(yán)格和全面的數(shù)據(jù)隱私保護(hù)制度，是個(gè)人數(shù)據(jù)保護(hù)的先鋒。由于加利福尼亞州互聯(lián)網(wǎng)公司眾多，經(jīng)濟(jì)體量巨大，該法影響力遠(yuǎn)超州領(lǐng)域，形成“加州效應(yīng)”，有助于推動(dòng)美國(guó)數(shù)據(jù)隱私保護(hù)的升級(jí)。然而制定隱私法保護(hù)公民數(shù)據(jù)隱私的州仍然是少數(shù)，在近年大批的法律提案出臺(tái)后，未來(lái)全面生效的將有13個(gè)州法，形成了以更有創(chuàng)新性的CCPA和以未生效的《華盛頓隱私法》為基礎(chǔ)的兩種立法模式。由于許多公司收集的數(shù)據(jù)在大多數(shù)州不受監(jiān)管，因此這些公司可以在未通知用戶的情況下使用、出售或共享用戶的數(shù)據(jù)。同時(shí)，這些州法律在某些領(lǐng)域譬如定義、消費(fèi)者同意、數(shù)據(jù)安全要求和豁免等方面存在很大差異，為跨州運(yùn)營(yíng)的企業(yè)監(jiān)管增加了復(fù)雜性。

在聯(lián)邦層面，自20世紀(jì)70年代以來(lái)，美國(guó)國(guó)會(huì)利用部門法規(guī)制政府部門或私營(yíng)部門收集和利用個(gè)人信息的行為，涉及消費(fèi)者信息、電子通信、銀行記錄、健康信息、兒童信息等。在立法領(lǐng)域，主要由聯(lián)邦貿(mào)易委員會(huì)根據(jù)《聯(lián)邦貿(mào)易委員會(huì)法》第5（a）條“禁止不公平和欺詐行為或做法”授予的權(quán)力要求公司執(zhí)行其隱私政策。美國(guó)有一部較早的1974年《隱私權(quán)法》，對(duì)聯(lián)邦政府各機(jī)構(gòu)存儲(chǔ)的數(shù)據(jù)和隱私進(jìn)行了保護(hù)性規(guī)定，但是這部法律沒(méi)有延伸到對(duì)大型科技公司和數(shù)字企業(yè)的監(jiān)管。當(dāng)前美國(guó)沒(méi)有一般性的聯(lián)邦數(shù)據(jù)隱私保護(hù)法，但在金融、保險(xiǎn)、消費(fèi)者信用、兒童隱私等特別領(lǐng)域通過(guò)單獨(dú)立法形式進(jìn)行監(jiān)管，例如《金融隱私權(quán)法》（The Right to Financial Privacy Act）、《公平信用報(bào)告法》（Fair Credit Reporting Act， FACRA）、《電子通信隱私法》（Electronic Communications Privacy Act，ECPA）、《健康保險(xiǎn)流通與責(zé)任法》（The Health Insurance Portability and Accountability Act， HIPAA）、《兒童在線隱私保護(hù)法》（The Children's Online Privacy Protection Act， COPPA）等。隨著各州隱私法案的提出和通過(guò)，是否應(yīng)當(dāng)在聯(lián)邦層面建立全面的數(shù)據(jù)隱私法、建立的具體規(guī)則應(yīng)當(dāng)如何設(shè)計(jì)等問(wèn)題成為聯(lián)邦立法的爭(zhēng)議焦點(diǎn)。在各州立法推動(dòng)、企業(yè)、民間組織的呼吁下美國(guó)聯(lián)邦層面開(kāi)始采取行動(dòng)，兩黨兩院先后提出《社交媒體隱私和消費(fèi)者權(quán)利法案（2019）》《數(shù)字問(wèn)責(zé)制和透明度以提升隱私保護(hù)法案》《應(yīng)用程序隱私、保護(hù)和安全法案》等多項(xiàng)提案。雖然GDPR對(duì)各項(xiàng)提案有所影響，但提案在如何借鑒方面也存在諸多差異，在數(shù)據(jù)隱私保護(hù)力度、保護(hù)方式等都存在較大分歧。

（三）鼓勵(lì)企業(yè)自我規(guī)制

總體上美國(guó)數(shù)據(jù)隱私保護(hù)以市場(chǎng)經(jīng)濟(jì)為導(dǎo)向，為了確保經(jīng)濟(jì)優(yōu)先發(fā)展，強(qiáng)調(diào)防范政府對(duì)個(gè)人數(shù)據(jù)隱私的侵犯。因此美國(guó)采取公私分立立法模式，分別劃分為公共領(lǐng)域和私人領(lǐng)域數(shù)據(jù)隱私秩序，涉及政治、經(jīng)濟(jì)、社會(huì)的各個(gè)方面。

在公共領(lǐng)域，1973年，聯(lián)邦健康、教育與福利部發(fā)布了公平信息實(shí)踐規(guī)則，建議所有具備電子數(shù)據(jù)系統(tǒng)的機(jī)構(gòu)遵循這一規(guī)則。1974年《隱私權(quán)法》借鑒了公平信息實(shí)踐規(guī)則的大部分規(guī)范，然而由于私人公司的立法游說(shuō)，法案排除了私人主體，僅規(guī)制公權(quán)力機(jī)關(guān)，開(kāi)創(chuàng)公私分立立法模式先河?！峨[私權(quán)法》對(duì)政府機(jī)構(gòu)采集、使用個(gè)人數(shù)據(jù)以及公開(kāi)和保密問(wèn)題作出詳細(xì)規(guī)定。《電子郵件隱私法》（EPA）也提高了執(zhí)法機(jī)關(guān)獲取個(gè)人電子通信數(shù)據(jù)的標(biāo)準(zhǔn)。從具體規(guī)則來(lái)看，政府與私人主體在數(shù)據(jù)收集、使用、存儲(chǔ)等方面存在較大差異，分開(kāi)規(guī)制可以更好回應(yīng)實(shí)踐需求。

在私人領(lǐng)域，聯(lián)邦政府通過(guò)一系列單行法律和公平信息實(shí)踐（Fair Information Practices，F(xiàn)IPs），對(duì)兒童隱私、金融信息、健康信息、生物信息等進(jìn)行規(guī)制，并鼓勵(lì)行業(yè)自律組織和私營(yíng)企業(yè)進(jìn)行自我規(guī)制，作為立法之外的補(bǔ)充。在美國(guó)法中，數(shù)據(jù)隱私保護(hù)延續(xù)傳統(tǒng)隱私保護(hù)目標(biāo)，強(qiáng)調(diào)個(gè)人免受政府侵害。為防止政府對(duì)個(gè)人數(shù)據(jù)隱私的侵害以及對(duì)互聯(lián)網(wǎng)市場(chǎng)的嚴(yán)格監(jiān)管造成的數(shù)字技術(shù)發(fā)展壁壘，美國(guó)法律鼓勵(lì)數(shù)據(jù)隱私保護(hù)措施由私人主體在市場(chǎng)自發(fā)的市場(chǎng)競(jìng)爭(zhēng)機(jī)制作用下自行采用。

美國(guó)當(dāng)下的行業(yè)自律形式主要有三類：建議性的行業(yè)指引、網(wǎng)絡(luò)隱私認(rèn)證、技術(shù)保護(hù)模式。除了自我監(jiān)管，政府和企業(yè)的合作監(jiān)管也很常見(jiàn)。2018年9月，特朗普政府正式宣布建立美國(guó)消費(fèi)者隱私標(biāo)準(zhǔn)計(jì)劃。根據(jù)該計(jì)劃，國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）和國(guó)家電信和信息管理局（NTIA）正與公共和私營(yíng)部門合作，制定自愿隱私框架。

總體而言，以私域數(shù)據(jù)為主的美國(guó)數(shù)據(jù)隱私保護(hù)重點(diǎn)防范的是公權(quán)力的侵害，強(qiáng)調(diào)私主體自我規(guī)制。這與美國(guó)以市場(chǎng)為導(dǎo)向的數(shù)據(jù)法律政策相符合。雖然在消費(fèi)者隱私等私主體保護(hù)領(lǐng)域，數(shù)據(jù)隱私法重點(diǎn)是防止用戶受到企業(yè)的不當(dāng)數(shù)據(jù)處理行為侵害，但是與歐盟GDPR相比，美國(guó)數(shù)據(jù)隱私保護(hù)力度并非強(qiáng)而有力，并未對(duì)科技企業(yè)做出一系列限制。這源于美國(guó)有大量互聯(lián)網(wǎng)巨頭企業(yè)，過(guò)度的數(shù)據(jù)隱私保護(hù)可能影響互聯(lián)網(wǎng)企業(yè)的國(guó)際競(jìng)爭(zhēng)力，進(jìn)而影響國(guó)家的地緣政治競(jìng)爭(zhēng)。為擴(kuò)大互聯(lián)網(wǎng)企業(yè)的國(guó)際市場(chǎng)份額，美國(guó)數(shù)據(jù)法律政策一直強(qiáng)調(diào)以市場(chǎng)為導(dǎo)向，采用自由主義規(guī)制模式，注重經(jīng)濟(jì)效率和數(shù)據(jù)自由流動(dòng)。在美國(guó)整個(gè)數(shù)據(jù)保護(hù)法律體系中，數(shù)據(jù)隱私保護(hù)與數(shù)據(jù)跨境自由流動(dòng)目標(biāo)并不矛盾。為解決數(shù)據(jù)隱私規(guī)制沖突，美國(guó)在一系列區(qū)域貿(mào)易協(xié)定中不斷植入數(shù)據(jù)跨境自由流動(dòng)規(guī)則。從2012年《美—韓自由貿(mào)易協(xié)定》、2014年《跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）、2018年《美墨加協(xié)定》（USMCA）等，美國(guó)要求締約方應(yīng)當(dāng)允許數(shù)據(jù)跨境流動(dòng)，原則上禁止數(shù)據(jù)本地化措施。

三、聯(lián)邦數(shù)據(jù)隱私立法的規(guī)制理念

基于國(guó)家安全和數(shù)字經(jīng)濟(jì)發(fā)展的考慮，美國(guó)近年提出ADPPA、APRA等聯(lián)邦數(shù)據(jù)隱私保護(hù)法案，以解決各州數(shù)據(jù)隱私保護(hù)不一致的問(wèn)題，打破碎片化的數(shù)據(jù)隱私立法模式。為避免聯(lián)邦立法與州立法的沖突，聯(lián)邦法案以各州制定的相關(guān)數(shù)據(jù)隱私保護(hù)法為基準(zhǔn)，強(qiáng)化消費(fèi)者權(quán)利的同時(shí)加大大型科技公司的責(zé)任和義務(wù)。

（一）強(qiáng)化消費(fèi)者數(shù)字權(quán)利

網(wǎng)絡(luò)普及以來(lái)，美國(guó)聯(lián)邦層面的數(shù)據(jù)隱私保護(hù)制度一直沒(méi)有出臺(tái)，而各州立法的保護(hù)水平參差不齊，存在重大監(jiān)管漏洞。數(shù)字平臺(tái)可以出于任何目的進(jìn)行數(shù)據(jù)收集、存儲(chǔ)和傳輸活動(dòng)。如今，隱私侵犯已經(jīng)對(duì)公民權(quán)利構(gòu)成重要風(fēng)險(xiǎn)。

與歐盟以個(gè)人權(quán)利為導(dǎo)向的數(shù)據(jù)保護(hù)模式相比，美國(guó)數(shù)據(jù)隱私保護(hù)雖然也注重個(gè)人權(quán)利，但“市場(chǎng)”色彩更重，是從消費(fèi)者權(quán)利出發(fā)保護(hù)公民數(shù)據(jù)隱私，整體數(shù)字規(guī)則是以市場(chǎng)為導(dǎo)向。歐盟GDPR構(gòu)建了選擇同意機(jī)制，要求個(gè)人數(shù)據(jù)處理活動(dòng)除法定事由外必須事先獲得個(gè)人同意，以個(gè)人同意為原則，不需同意為例外，即“原則禁止，例外允許”。美國(guó)消費(fèi)者保護(hù)模式則是選擇退出機(jī)制，僅規(guī)定特定數(shù)據(jù)處理活動(dòng)需要取得個(gè)人同意，一般情況下企業(yè)可未經(jīng)同意處理個(gè)人數(shù)據(jù)，以不需同意為原則，獲得同意為例外，即“原則允許，例外禁止”。消費(fèi)者可以“選擇退出”，即選擇退出企業(yè)的數(shù)據(jù)處理和數(shù)據(jù)使用活動(dòng)。這一模式在美國(guó)州隱私立法和隱私保護(hù)實(shí)踐中普遍被采用。與“選擇同意”模式相比，“選擇退出”更有利于企業(yè)對(duì)個(gè)人數(shù)據(jù)的利用，實(shí)現(xiàn)數(shù)據(jù)的商業(yè)價(jià)值。APRA中這一機(jī)制得到加強(qiáng)，包括選擇退出定向廣告、算法決策和受保護(hù)的數(shù)據(jù)傳輸?shù)?。?duì)于使用算法決策的數(shù)字企業(yè)，APRA要求企業(yè)向個(gè)人提供清晰的通知，提供有關(guān)算法如何做出后續(xù)決策（即影響個(gè)人住房、就業(yè)、教育入學(xué)、醫(yī)療保健、保險(xiǎn)或信貸機(jī)會(huì)的決策）等有價(jià)值的信息。

APRA還借鑒了ADPPA的個(gè)人保護(hù)條款，擴(kuò)大消費(fèi)者對(duì)數(shù)據(jù)的控制權(quán)，增加了消費(fèi)者數(shù)據(jù)權(quán)利保護(hù)范圍，進(jìn)一步賦予個(gè)人控制信息去向的權(quán)利，要求個(gè)人有權(quán)訪問(wèn)、更正、刪除和移植受監(jiān)管實(shí)體持有的個(gè)人受保護(hù)數(shù)據(jù)。企業(yè)的數(shù)據(jù)存儲(chǔ)須具有靈活性和敏捷性，以便及時(shí)刪除、更正，或提供可移植數(shù)據(jù)。例如，如果個(gè)人請(qǐng)求獲取其收集的所有受保護(hù)數(shù)據(jù)的副本，則可以以可訪問(wèn)的方式導(dǎo)出受保護(hù)數(shù)據(jù)，以便與個(gè)人共享。即使這些數(shù)據(jù)將與競(jìng)爭(zhēng)對(duì)手共享或公開(kāi)，這些權(quán)利也適用。此外，APRA也借鑒ADPPA創(chuàng)設(shè)了私人訴權(quán)，允許個(gè)人對(duì)某些違法行為提起訴訟，例如未經(jīng)其同意披露或使用其敏感、生物特征或遺傳信息；侵犯其個(gè)人權(quán)利；以及數(shù)據(jù)安全違規(guī)導(dǎo)致其受保護(hù)數(shù)據(jù)被泄露。在此類訴訟中，法院可以判給受害人實(shí)際損害賠償金、禁令救濟(jì)、訴訟費(fèi)用和律師費(fèi)。針對(duì)未成年人保護(hù)，APRA將“適用未成年”年齡設(shè)定為17歲以下，這一規(guī)定較當(dāng)前美國(guó)大多數(shù)企業(yè)對(duì)13歲以下兒童隱私合規(guī)的關(guān)注要更為嚴(yán)格。

（二）限制科技公司數(shù)字權(quán)力

聯(lián)邦數(shù)據(jù)隱私立法關(guān)注的另一個(gè)重點(diǎn)就是對(duì)大型科技公司的規(guī)制。企業(yè)自我監(jiān)管如若沒(méi)有外界監(jiān)督，容易成為逃避政府監(jiān)管的手段，難以達(dá)到有效的數(shù)據(jù)隱私保護(hù)目標(biāo)。2024年9月，美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）發(fā)布報(bào)告《屏幕背后的真相》（A Look behind the Screens）再一次審視了美國(guó)社交媒體和流媒體平臺(tái)的數(shù)據(jù)收集實(shí)踐，發(fā)現(xiàn)被調(diào)查企業(yè)存在大量侵犯?jìng)€(gè)人數(shù)據(jù)隱私的行為，首要建議便是加快美國(guó)聯(lián)邦隱私立法，重申全面立法的重要性。

為約束大型科技公司，ADPPA草案在第一章就規(guī)定了企業(yè)的忠誠(chéng)義務(wù)（duty of loyalty），要求企業(yè)在提供、維持特定產(chǎn)品或服務(wù)的過(guò)程中遵守合理必要性、適當(dāng)性原則進(jìn)行數(shù)據(jù)收集、處理和傳輸活動(dòng)。ADPPA忠誠(chéng)義務(wù)包括了數(shù)據(jù)最小化、隱私設(shè)計(jì)、敏感個(gè)人信息處理限制、價(jià)格忠誠(chéng)等內(nèi)容，將這一義務(wù)的內(nèi)涵大幅擴(kuò)充，對(duì)企業(yè)提出了更高的數(shù)據(jù)隱私保護(hù)要求。APRA同樣也為大型企業(yè)設(shè)定了多方面義務(wù)，并延續(xù)了ADPPA的忠誠(chéng)義務(wù)要求，企業(yè)只能收集完成某項(xiàng)任務(wù)所必需的數(shù)據(jù)。APRA將進(jìn)行數(shù)據(jù)處理活動(dòng)的企業(yè)視為個(gè)人數(shù)據(jù)的受托人，為其設(shè)定了數(shù)據(jù)最小化、限制或禁止特定敏感數(shù)據(jù)處理、隱私設(shè)計(jì)、定價(jià)義務(wù)四方面的忠誠(chéng)義務(wù)。

“忠誠(chéng)義務(wù)”是APRA的重點(diǎn)，這一概念最初來(lái)自信托法。在ADPPA之前，多位學(xué)者就曾建議數(shù)據(jù)隱私保護(hù)轉(zhuǎn)向關(guān)系規(guī)制模式，提出數(shù)據(jù)信托概念，采用信托法框架，根據(jù)不同信任關(guān)系程度，企業(yè)承擔(dān)不同程度的義務(wù)。立法者則在2019年的《消費(fèi)者在線隱私權(quán)法》草案中將這一信托義務(wù)理論進(jìn)行實(shí)質(zhì)性的立法嘗試。然而，ADPPA和APRA項(xiàng)下的忠誠(chéng)義務(wù)似乎與學(xué)者理解的不同。學(xué)者們認(rèn)為忠誠(chéng)義務(wù)作為信托義務(wù)的基石，指的是“為數(shù)據(jù)被披露者的最佳利益行事而不與之沖突”。然而，《消費(fèi)者在線隱私權(quán)法》草案、《數(shù)據(jù)保護(hù)法案》提案等法案中的忠誠(chéng)義務(wù)更類似于醫(yī)生、律所的信托責(zé)任：數(shù)據(jù)控制者不得為了自身利益欺騙消費(fèi)者或作出其他傷害性行為，不得傷害向他們披露個(gè)人數(shù)據(jù)的消費(fèi)者。忠誠(chéng)義務(wù)也與“數(shù)據(jù)管理”原則相關(guān)，這一原則是指“如果企業(yè)收集、使用消費(fèi)者的數(shù)據(jù)，并且犯下錯(cuò)誤造成傷害，則應(yīng)該對(duì)此行為負(fù)責(zé)”。 ADPPA和APRA與《消費(fèi)者在線隱私權(quán)法》草案和《數(shù)據(jù)保護(hù)法》提案有所不同。它們并未明確要求企業(yè)“以披露數(shù)據(jù)的人的最佳利益行事”，也沒(méi)有禁止企業(yè)“以與信托方的最佳利益相沖突的方式設(shè)計(jì)數(shù)字工具或處理數(shù)據(jù)”。因此，APRA面臨相似的情形，其忠誠(chéng)義務(wù)究竟是等同于限制處理敏感個(gè)人信息、數(shù)據(jù)最小化和隱私設(shè)計(jì)？還是和學(xué)界以及其他法案所假設(shè)的那樣，指代一項(xiàng)防止數(shù)據(jù)控制者出于自身利益做出對(duì)消費(fèi)者具有欺騙性、損害性決定的原則？由此可見(jiàn)，在學(xué)界和實(shí)踐中，忠誠(chéng)義務(wù)的內(nèi)涵存在多種理解方式，即便在法案討論過(guò)程中，議員們就忠誠(chéng)義務(wù)的理解很可能還存在分歧。

除了忠誠(chéng)義務(wù)，APRAA與APRA兩部法案都特別列出大型數(shù)據(jù)持有者和處理者應(yīng)當(dāng)額外重點(diǎn)規(guī)制。為此，APRA規(guī)制對(duì)象特意排除了小型企業(yè)。大型數(shù)據(jù)持有者是指上一自然年度年總收入且收集的數(shù)據(jù)達(dá)到法案規(guī)定門檻的受監(jiān)管實(shí)體。APRA要求其必須進(jìn)行兩年一次的隱私影響評(píng)估和算法影響評(píng)估，并設(shè)置企業(yè)數(shù)據(jù)隱私和安全官，以評(píng)估數(shù)據(jù)收集的潛在風(fēng)險(xiǎn)和收益。

（三）促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展

美國(guó)傳統(tǒng)數(shù)據(jù)隱私保護(hù)遵循經(jīng)濟(jì)自由原則，以市場(chǎng)為導(dǎo)向，優(yōu)先發(fā)展數(shù)字經(jīng)濟(jì)。由于缺乏統(tǒng)一的聯(lián)邦標(biāo)準(zhǔn)，美國(guó)各州立法機(jī)構(gòu)頒布的數(shù)據(jù)隱私法數(shù)量不斷增加，導(dǎo)致各類企業(yè)組織在收集和使用個(gè)人數(shù)據(jù)上面臨不一致的法律義務(wù)要求，帶來(lái)一系列的合規(guī)困境。具體而言，各州對(duì)類似或相同的關(guān)鍵概念容易使用不同的術(shù)語(yǔ)和定義或者采用不同的術(shù)語(yǔ)來(lái)描述相似的概念，使企業(yè)組織數(shù)據(jù)合規(guī)變得復(fù)雜。例如各州一般都認(rèn)為“敏感數(shù)據(jù)”會(huì)增加消費(fèi)者風(fēng)險(xiǎn)，因此需要進(jìn)行特定的保護(hù)，然而各州法律的這一定義差異較大。加州和新澤西州對(duì)敏感個(gè)人數(shù)據(jù)的定義較其他州更為寬泛，包括個(gè)人賬戶登錄詳情、金融賬戶信息、借記卡或信用卡號(hào)碼、密碼等任何必要的安全或訪問(wèn)代碼和憑證。加州還包括消費(fèi)者通信內(nèi)容、政府身份信息、哲學(xué)信仰和工會(huì)會(huì)員身份等。即使大多數(shù)州都認(rèn)為精確地理位置數(shù)據(jù)屬于敏感數(shù)據(jù)，但科羅拉多州的隱私法并未將其納入定義范疇。州和州之間的差異給企業(yè)的數(shù)據(jù)隱私合規(guī)和管理帶來(lái)不必要的負(fù)擔(dān)，企業(yè)需要分析哪些差異具有實(shí)質(zhì)意義，而哪些差異幾乎沒(méi)有實(shí)際影響。這還會(huì)使美國(guó)消費(fèi)者因所在位置不同受到不同程度的隱私保護(hù)。

除了國(guó)內(nèi)合規(guī)，美國(guó)企業(yè)還面臨國(guó)際合規(guī)挑戰(zhàn)。在國(guó)際層面，全球已經(jīng)有100多個(gè)國(guó)家制定了數(shù)據(jù)隱私保護(hù)制度，特別是歐盟已將數(shù)據(jù)保護(hù)寫入《基本權(quán)利憲章》，頒布了GDPR，通過(guò)布魯塞爾效應(yīng)將歐盟數(shù)據(jù)保護(hù)法的影響擴(kuò)張至全球。美國(guó)支離破碎的數(shù)據(jù)隱私保護(hù)框架與之形成鮮明對(duì)比，歐盟尚未認(rèn)定美國(guó)的數(shù)據(jù)法保護(hù)“充分”，兩個(gè)司法轄區(qū)之間的數(shù)據(jù)跨境傳輸一直存在很大不確定性。歐盟法院分別于2015年和2020年宣布美歐安全港和隱私盾數(shù)據(jù)跨境流動(dòng)協(xié)定無(wú)效。法國(guó)也在2023年禁止在政府設(shè)備上使用美國(guó)公司的Netflix，Instagram和Twitter。美國(guó)的聯(lián)邦隱私法遲遲未定，不僅損害本國(guó)的全球聲譽(yù)，也為美國(guó)企業(yè)特別是依賴數(shù)據(jù)跨境流動(dòng)的小型企業(yè)和初創(chuàng)企業(yè)的跨境業(yè)務(wù)帶來(lái)不確定性和合規(guī)難題。

企業(yè)合規(guī)之外，聯(lián)邦數(shù)據(jù)隱私未定還可能影響到美國(guó)新興領(lǐng)域發(fā)展。特別是在數(shù)字經(jīng)濟(jì)最前沿的人工智能領(lǐng)域，人工智能與數(shù)據(jù)隱私有著緊密聯(lián)系，兩個(gè)領(lǐng)域相互影響，相互作用。歐盟已經(jīng)頒布了《人工智能法案》，但美國(guó)目前仍然是分散監(jiān)管，采取自愿指導(dǎo)原則，形成了多樣化的人工智能監(jiān)管環(huán)境。在美國(guó)沒(méi)有通過(guò)立法制定具有約束力的規(guī)則的情況下，許多美國(guó)科技公司采取的措施都是先遵守最高的共同標(biāo)準(zhǔn)——?dú)W盟法，創(chuàng)建一個(gè)單一穩(wěn)定的數(shù)據(jù)隱私評(píng)估體系以應(yīng)對(duì)美國(guó)各州的相關(guān)保護(hù)要求?！度斯ぶ悄芊ò浮肥欠駮?huì)如同GDPR產(chǎn)生“布魯塞爾效應(yīng)”還有待觀察，但歐盟以GDPR為代表的數(shù)據(jù)法已經(jīng)影響了國(guó)際商業(yè)慣例，并成為多國(guó)政府和企業(yè)的指導(dǎo)方針。然而，《人工智能法案》和GDPR的某些規(guī)定可能會(huì)一定程度地限制人工智能的開(kāi)發(fā)，例如其中要求實(shí)體盡量減少出于合法或正當(dāng)目的對(duì)個(gè)人信息的處理、獲得用戶同意處理敏感數(shù)據(jù)、允許個(gè)人選擇不參與重大自動(dòng)化決策。盡管《人工智能法案》明確規(guī)定實(shí)體可以使用敏感信息來(lái)識(shí)別和減輕算法偏差，但GDPR不會(huì)自動(dòng)將人工智能開(kāi)發(fā)視為處理數(shù)據(jù)的合法目的。歐盟過(guò)于嚴(yán)苛的標(biāo)準(zhǔn)并不有利于美國(guó)人工智能的長(zhǎng)遠(yuǎn)發(fā)展。因此，美國(guó)國(guó)會(huì)仍需要頒布聯(lián)邦立法，制定符合美國(guó)發(fā)展水平的數(shù)據(jù)隱私保護(hù)條款。2024年5月，參議院兩黨工作組發(fā)布了一份人工智能治理路線圖。其中參議院支持聯(lián)邦數(shù)據(jù)隱私立法，并提到全面的數(shù)據(jù)隱私立法可以提高人工智能開(kāi)發(fā)者的監(jiān)管確定性，同時(shí)，統(tǒng)一的數(shù)據(jù)隱私立法模式所構(gòu)建的數(shù)據(jù)隱私標(biāo)準(zhǔn)必須平衡支持美國(guó)數(shù)字貿(mào)易、通信和創(chuàng)新的跨境數(shù)據(jù)流動(dòng)需求。

（四）強(qiáng)調(diào)國(guó)家安全保護(hù)

美國(guó)是傳統(tǒng)隱私權(quán)保護(hù)的起源地，也是最早將個(gè)人信息保護(hù)上升到國(guó)家安全戰(zhàn)略層面的國(guó)家。1999年美國(guó)《國(guó)家安全戰(zhàn)略》中首次將“個(gè)人信息”納入加密技術(shù)出口管制過(guò)程，意味著隱私保護(hù)正式進(jìn)入美國(guó)國(guó)家安全戰(zhàn)略。

數(shù)字時(shí)代，數(shù)據(jù)安全成為國(guó)家安全的重要組成部分。隨著全球經(jīng)濟(jì)下行和地緣政治風(fēng)險(xiǎn)加劇，國(guó)家安全在美國(guó)政策和法律中日漸泛化。美國(guó)數(shù)據(jù)政策開(kāi)始愈發(fā)強(qiáng)調(diào)國(guó)家安全保護(hù)理念，市場(chǎng)導(dǎo)向的數(shù)據(jù)監(jiān)管模式逐漸有轉(zhuǎn)向國(guó)家安全監(jiān)管模式的趨勢(shì)。從美國(guó)國(guó)家安全理念來(lái)看，美國(guó)數(shù)據(jù)政策從安全利益、安全威脅、安全空間、安全戰(zhàn)略、安全效益五個(gè)不同方面全面收縮，國(guó)家安全正在從政策變成工具、從例外變?yōu)樵瓌t、從傳統(tǒng)領(lǐng)域擴(kuò)張到新興領(lǐng)域，成為美國(guó)應(yīng)對(duì)新興經(jīng)濟(jì)體崛起的手段，在美國(guó)對(duì)外關(guān)系中扮演日益重要的角色。當(dāng)前美國(guó)主要有數(shù)字自由貿(mào)易、阻斷對(duì)手、隱私法和數(shù)據(jù)盟友四種對(duì)外數(shù)據(jù)政策模式，其中阻斷對(duì)手模式所占比重愈來(lái)愈大。作為一種重要的對(duì)外政策工具，數(shù)據(jù)隱私對(duì)阻斷對(duì)手模式的制定和實(shí)施會(huì)產(chǎn)生非常大的影響。全面的隱私立法不僅是解決人工智能問(wèn)題的方法，也是解決對(duì)手企業(yè)、對(duì)手國(guó)家數(shù)據(jù)收集問(wèn)題，提升國(guó)際競(jìng)爭(zhēng)力的方法。例如，拜登政府為在全球數(shù)據(jù)資源爭(zhēng)奪中獲取優(yōu)勢(shì)于2024年3月發(fā)布第14117號(hào)行政令，專門防止美國(guó)實(shí)體組織向特定對(duì)手國(guó)家出口特殊類型的敏感數(shù)據(jù)。然而，如果不先對(duì)美國(guó)實(shí)體收集和存儲(chǔ)數(shù)據(jù)的方式制定嚴(yán)格的法律制度框架，很難防止其后續(xù)將敏感個(gè)人數(shù)據(jù)轉(zhuǎn)移給對(duì)手國(guó)家。該行政令也意識(shí)到這一問(wèn)題，指出：“總統(tǒng)將繼續(xù)敦促國(guó)會(huì)通過(guò)全面的兩黨隱私立法。商業(yè)數(shù)據(jù)的交易市場(chǎng)廣闊但缺乏監(jiān)管，個(gè)人信息可以被無(wú)限制多次交易。只要美國(guó)實(shí)體可以合法收集、轉(zhuǎn)移、使用敏感個(gè)人數(shù)據(jù)，外國(guó)對(duì)手就可以有多種途徑獲取?！卑莸钦谶^(guò)去幾年制定了一系列數(shù)據(jù)保護(hù)的法律政策，如果缺乏聯(lián)邦統(tǒng)一隱私立法規(guī)范科技公司收集和使用數(shù)據(jù)的行為，這些法律和政策的效力將非常有限。

在數(shù)據(jù)安全領(lǐng)域，美國(guó)聯(lián)邦數(shù)據(jù)立法還尤其關(guān)注數(shù)據(jù)共享和出售問(wèn)題。為阻止敵對(duì)國(guó)家獲取數(shù)據(jù)危害國(guó)家安全，美國(guó)開(kāi)始關(guān)注數(shù)據(jù)經(jīng)紀(jì)人這類特殊的第三方主體，逐漸加強(qiáng)對(duì)其行為監(jiān)管，也將其納入數(shù)據(jù)隱私監(jiān)管范疇。美國(guó)崇尚市場(chǎng)導(dǎo)向的自由主義傳統(tǒng)促生了高度發(fā)達(dá)的數(shù)據(jù)經(jīng)紀(jì)人制度。這一制度歷史悠久，指的是合法進(jìn)行數(shù)據(jù)買賣的公司。數(shù)據(jù)經(jīng)紀(jì)人可以收集、分析并出售個(gè)人數(shù)據(jù)，可能包括涵蓋個(gè)人喜好、健康狀況、收入、行為等涉及隱私的敏感信息。一般而言，數(shù)據(jù)買家是需要針對(duì)特定人群投放廣告的營(yíng)銷商。但美國(guó)政府部門譬如情報(bào)機(jī)關(guān)、執(zhí)法部門等也會(huì)向數(shù)據(jù)經(jīng)紀(jì)人購(gòu)買大量數(shù)據(jù)，用于情報(bào)分析和犯罪調(diào)查。因此美國(guó)學(xué)界和政界的很多人都開(kāi)始擔(dān)心數(shù)據(jù)經(jīng)濟(jì)行業(yè)使外國(guó)政府特別是中國(guó)、俄國(guó)能夠訪問(wèn)、收集、評(píng)估和傳播美國(guó)大量敏感個(gè)人數(shù)據(jù)、消費(fèi)者數(shù)據(jù)和政府相關(guān)數(shù)據(jù)，危害國(guó)家安全。杜克大學(xué)助理教授Justin Sherman曾分析數(shù)據(jù)經(jīng)紀(jì)人制度可能給美國(guó)公民個(gè)人隱私和美國(guó)國(guó)家安全帶來(lái)巨大危害。 2021年4月，國(guó)會(huì)民主黨Ron Wyden聯(lián)合Chunk Schumer等議員提出《第四修正案不出售法案》，其中禁止數(shù)據(jù)經(jīng)紀(jì)人向美國(guó)政府部門出售個(gè)人數(shù)據(jù)。第14771號(hào)行政令及《受關(guān)注國(guó)家獲取美國(guó)人大量敏感個(gè)人數(shù)據(jù)和美國(guó)政府相關(guān)數(shù)據(jù)規(guī)則》（以下簡(jiǎn)稱《預(yù)通知》）也已將數(shù)據(jù)經(jīng)紀(jì)人納入監(jiān)管范疇。為了完全堵住數(shù)據(jù)經(jīng)紀(jì)人泄露美國(guó)敏感數(shù)據(jù)的可能性，行政令鼓勵(lì)消費(fèi)者金融保護(hù)局（CFPB）局長(zhǎng)考慮采取符合CFPB現(xiàn)有法律權(quán)限的措施，以應(yīng)對(duì)這方面的威脅并加強(qiáng)對(duì)聯(lián)邦消費(fèi)者保護(hù)法的執(zhí)法。2018年的《數(shù)據(jù)經(jīng)紀(jì)人問(wèn)責(zé)制和透明度法案》《數(shù)據(jù)問(wèn)責(zé)和信任法案》等對(duì)數(shù)據(jù)經(jīng)紀(jì)人的透明度義務(wù)、隱私審計(jì)義務(wù)等作出要求。2024年3月美國(guó)出臺(tái)的H.R.7521法案正式向數(shù)據(jù)經(jīng)紀(jì)人制度開(kāi)刀，其中借鑒了很多ADPPA條款，力圖堵住外國(guó)政府借此獲得美國(guó)敏感數(shù)據(jù)路徑。APRA也同步增加了第三方特殊主體義務(wù)，設(shè)置數(shù)據(jù)經(jīng)紀(jì)人監(jiān)管制度。聯(lián)邦貿(mào)易委員會(huì)將建立一個(gè)中央數(shù)據(jù)經(jīng)紀(jì)人注冊(cè)表，其中包含“不收集”機(jī)制，允許個(gè)人選擇不讓數(shù)據(jù)經(jīng)紀(jì)人收集其受保護(hù)數(shù)據(jù)。眾議院更新草案將更進(jìn)一步要求聯(lián)邦貿(mào)易委員會(huì)創(chuàng)建“刪除我的數(shù)據(jù)”機(jī)制，允許個(gè)人要求所有注冊(cè)的數(shù)據(jù)經(jīng)紀(jì)人刪除其受保護(hù)數(shù)據(jù)。

四、聯(lián)邦數(shù)據(jù)隱私立法的規(guī)制挑戰(zhàn)

即使制定聯(lián)邦數(shù)據(jù)隱私法眾望所歸，但究竟應(yīng)當(dāng)制定何種聯(lián)邦隱私法卻存在非常大的爭(zhēng)議。在實(shí)際立法過(guò)程中，美國(guó)聯(lián)邦數(shù)據(jù)隱私立法遭遇重重阻礙，理念和實(shí)踐之間漸趨背離。由于在聯(lián)邦法優(yōu)先權(quán)、私人訴訟權(quán)、平衡消費(fèi)者保護(hù)與商業(yè)利益等方面的分歧，美國(guó)過(guò)去在全面隱私立法方面的努力均以失敗告終。美國(guó)聯(lián)邦立法的政治環(huán)境復(fù)雜，牽涉到多方利益博弈，不僅涉及國(guó)內(nèi)縱向?qū)用媛?lián)邦和州之間的關(guān)系，還涉及橫向間的政黨利益斗爭(zhēng)以及政府和科技巨頭、保護(hù)組織的博弈。在各方爭(zhēng)論中，包括科技巨頭、消費(fèi)者權(quán)益保護(hù)團(tuán)體和州政府在內(nèi)的各種利益相關(guān)者，關(guān)注的優(yōu)先事項(xiàng)往往相互沖突，導(dǎo)致美國(guó)聯(lián)邦數(shù)據(jù)隱私立法面臨非常大的挑戰(zhàn)，進(jìn)一步影響美國(guó)數(shù)據(jù)法律體系整體規(guī)制走向以及美國(guó)對(duì)外數(shù)據(jù)話語(yǔ)敘事的構(gòu)建。

（一）中央與地方的立法沖突

自新中國(guó)成立以來(lái)美國(guó)就存在聯(lián)邦權(quán)和州權(quán)之爭(zhēng)，在數(shù)據(jù)隱私問(wèn)題上亦是如此。2022年ADPPA草案難以推進(jìn)的主要原因之一來(lái)自各州的反對(duì)力量。聯(lián)邦立法與州立法在數(shù)據(jù)隱私保護(hù)上的主要矛盾在于州層面的保護(hù)力度更強(qiáng)，聯(lián)邦法的優(yōu)先適用可能降低各州已有的數(shù)據(jù)隱私保護(hù)水平，并且還會(huì)削弱各州自主制定數(shù)據(jù)隱私規(guī)則的權(quán)力和能力，導(dǎo)致各州無(wú)法維護(hù)本地產(chǎn)業(yè)利益。其中，聯(lián)邦立法對(duì)隱私保護(hù)更為領(lǐng)先的加利福尼亞州的影響最大。在ADPPA草案的討論過(guò)程中，加利福尼亞州的反對(duì)之聲持續(xù)不斷：不僅提出一項(xiàng)涉及“為保護(hù)水平更高的州法設(shè)置豁免”的修正案，還利用美國(guó)墮胎法倒退的契機(jī)強(qiáng)化州內(nèi)對(duì)公民生殖隱私的保護(hù)、向眾議院提出反對(duì)票。

此次APRA在ADPPA基礎(chǔ)上進(jìn)一步明確了聯(lián)邦法優(yōu)先適用條款，不再保留特定的州隱私法，全面優(yōu)先適用于美國(guó)各州的隱私保護(hù)法。這一條款得到了共和黨的支持。然而優(yōu)先權(quán)對(duì)先前立法帶來(lái)挑戰(zhàn)，這成為包括許多民主黨人在內(nèi)的關(guān)鍵性群體反對(duì)ADPPA的主要原因。APRA草案面臨和ADPPA相似的情況，若無(wú)法在草案討論過(guò)程中尋得彌合各州不同利益的解決辦法，APRA也勢(shì)必遭受沖突州的強(qiáng)烈反對(duì)。聯(lián)邦數(shù)據(jù)隱私法的全部意義在于它將取代各州雜亂無(wú)序的數(shù)據(jù)隱私法，但與此同時(shí)它也取代了可以提供更強(qiáng)有力保護(hù)的消費(fèi)者保護(hù)法，例如《加州消費(fèi)者隱私法》（CCPA）。APRA的出臺(tái)可能剝奪加州人本應(yīng)有的數(shù)據(jù)隱私保護(hù)。加州隱私保護(hù)局（CPPA）執(zhí)行董事Ashkan Soltani在一份聲明中表示：“美國(guó)人不應(yīng)該滿足于聯(lián)邦數(shù)據(jù)隱私法，該法限制各州在應(yīng)對(duì)技術(shù)的快速變化和政策新威脅時(shí)推進(jìn)強(qiáng)有力的法律保護(hù)的能力——尤其是在加州人的基本權(quán)利受到威脅時(shí)。國(guó)會(huì)應(yīng)該設(shè)定法律底線，而不是上限?！奔永Ｄ醽喼菰趪?guó)會(huì)有很大影響力，因此這對(duì)于APRA來(lái)說(shuō)是一個(gè)重大挑戰(zhàn)。

對(duì)于各州的擔(dān)憂，APRA給出的解決方案一是采用嚴(yán)格的條款標(biāo)準(zhǔn)，這將有利于聯(lián)邦數(shù)據(jù)隱私法優(yōu)先適用各州法律；二是聯(lián)邦法將同時(shí)保留各州一些已制定的標(biāo)準(zhǔn)。APRA列出了一些不會(huì)被優(yōu)先適用的州法律，包括州違規(guī)通知法、員工隱私和健康信息隱私等法律規(guī)定。然而，問(wèn)題在于ARPA制定的標(biāo)準(zhǔn)與其他各州立法相比是否更加嚴(yán)格。同時(shí)例外情況清單很長(zhǎng)，涵蓋范圍很寬泛，這使得哪些法律被優(yōu)先，哪些法律不被優(yōu)先的標(biāo)準(zhǔn)確定成為問(wèn)題。如果例外適用的法律過(guò)多，APRA所制定的統(tǒng)一標(biāo)準(zhǔn)事實(shí)上被架空，將成為一紙空文。

（二）政治利益集團(tuán)的博弈

美國(guó)政治利益集團(tuán)的博弈首先體現(xiàn)在政黨之間。美國(guó)黨爭(zhēng)不斷，聯(lián)邦數(shù)據(jù)隱私立法遲遲未立的一個(gè)重要原因是美國(guó)民主黨和共和黨在數(shù)據(jù)安全與數(shù)據(jù)隱私保護(hù)的立法理念上存在差異。民主黨主張建立統(tǒng)一的國(guó)內(nèi)國(guó)際秩序，通過(guò)規(guī)范性立法實(shí)行全面的數(shù)據(jù)安全監(jiān)管。而共和黨則認(rèn)為全面統(tǒng)一的規(guī)范性立法會(huì)導(dǎo)致以監(jiān)管為中心，無(wú)法真正服務(wù)于民。共和黨重心在于維護(hù)美國(guó)公民數(shù)據(jù)隱私。民主黨則更關(guān)注如何通過(guò)數(shù)據(jù)本地化政策防止“敵對(duì)國(guó)家”獲取關(guān)鍵數(shù)據(jù)，并約束大型數(shù)字公司權(quán)力。在數(shù)據(jù)隱私方面，兩黨長(zhǎng)期以來(lái)在兩個(gè)關(guān)鍵問(wèn)題上存在分歧：聯(lián)邦數(shù)據(jù)隱私法是否應(yīng)該凌駕于現(xiàn)有的可以提供更嚴(yán)格保護(hù)的州隱私法，以及普通公民是否應(yīng)該能夠?qū)Ρ恢缚厍址钙潆[私的企業(yè)提起訴訟。目前在APRA這兩個(gè)關(guān)鍵問(wèn)題上，兩黨暫時(shí)達(dá)成一致意見(jiàn)，聯(lián)邦立法優(yōu)先權(quán)和公民私人訴權(quán)得到保留。

其次，美國(guó)政府和大型數(shù)字企業(yè)之間的博弈也很激烈。ADPPA和APRA都獲得了兩黨支持，然而因?yàn)檎蛿?shù)字巨頭在關(guān)鍵問(wèn)題上存在分歧，ADPPA最終“破產(chǎn)”，APRA還在面臨不斷的爭(zhēng)議。美國(guó)數(shù)據(jù)隱私保護(hù)一直是以市場(chǎng)為中心的消費(fèi)者利益保護(hù)模式，而近年聯(lián)邦數(shù)據(jù)隱私法提案在試圖加大對(duì)大型數(shù)字企業(yè)的監(jiān)管力度。因此大型數(shù)字企業(yè)對(duì)提案提出疑問(wèn)：雖然隱私權(quán)法案的目的是保護(hù)消費(fèi)者隱私，但消費(fèi)者隱私保護(hù)過(guò)度可能會(huì)扼殺技術(shù)創(chuàng)新，抑制中小企業(yè)發(fā)展。法案嚴(yán)格的數(shù)據(jù)最小化原則和同意要求可能會(huì)限制可用于開(kāi)發(fā)新技術(shù)和服務(wù)的數(shù)據(jù)使用行為，而當(dāng)前正是新的人工智能和其他數(shù)據(jù)密集型技術(shù)發(fā)展的關(guān)鍵時(shí)刻。尤其是對(duì)于初創(chuàng)公司和小型企業(yè)，法案可能會(huì)造成其沉重的合規(guī)負(fù)擔(dān)，這可能會(huì)減緩美國(guó)的創(chuàng)新和技術(shù)進(jìn)步進(jìn)展。

APRA在過(guò)去十年來(lái)美國(guó)國(guó)會(huì)提出的各種法案的基礎(chǔ)上制定，特別是基于ADPPA，旨在保護(hù)美國(guó)人不受大型科技公司的侵入性監(jiān)控和數(shù)據(jù)侵占。雖然立法者一直希望公民可以掌控自己的數(shù)據(jù)，但是聯(lián)邦隱私法案在過(guò)去十年間一直未能通過(guò)，不斷被修改和爭(zhēng)論。其中很大一部分原因在于美國(guó)經(jīng)濟(jì)依賴于大型數(shù)字企業(yè)，而這些企業(yè)需要收集、分析、傳輸、使用個(gè)人數(shù)據(jù)才能維持?jǐn)?shù)字生態(tài)，為公民生活提供更優(yōu)質(zhì)的服務(wù)。而法案旨在對(duì)大型數(shù)字企業(yè)施加一系列新的義務(wù)，要求他們提供、修改甚至刪除有關(guān)個(gè)人數(shù)據(jù)，并通過(guò)選擇退出、知情同意等機(jī)制將數(shù)據(jù)收集要求降至最低，還制定了透明度規(guī)則和數(shù)據(jù)安全標(biāo)準(zhǔn)。這對(duì)于大型數(shù)字企業(yè)而言打擊力度過(guò)大。IFTF實(shí)證調(diào)研后認(rèn)為類似GDPR的數(shù)據(jù)隱私法將給企業(yè)和經(jīng)濟(jì)帶來(lái)巨大的合規(guī)成本和“隱形”成本，阻礙行業(yè)生產(chǎn)力和創(chuàng)新能力。一部設(shè)置最低隱私保護(hù)標(biāo)準(zhǔn)的聯(lián)邦立法有助于解決實(shí)際的隱私危害，同時(shí)降低企業(yè)成本。

僅就目前而言，APRA有向企業(yè)利益傾斜的趨勢(shì)。大型數(shù)字企業(yè)的游說(shuō)，加上共和黨堅(jiān)決反對(duì)針對(duì)企業(yè)的過(guò)于嚴(yán)苛的保護(hù)措施，APRA在一些條款上作出讓步。與ADPPA相比，APRA對(duì)企業(yè)的忠誠(chéng)義務(wù)規(guī)定僅列舉了四個(gè)方面，并且并未清晰完整地表述企業(yè)怎樣做才算忠誠(chéng)履行受托義務(wù)。這種分歧將是立法進(jìn)程中的爭(zhēng)議焦點(diǎn)之一。此外，APRA對(duì)私人訴訟權(quán)也有很大限制。一是該權(quán)利需在APRA施行后四年才可以行使。二是個(gè)人需將提起訴訟的意圖告知聯(lián)邦貿(mào)易委員會(huì)或所在州的總檢察長(zhǎng)，由他們?cè)?0日內(nèi)決定是否提起訴訟。若在此期間個(gè)人向相關(guān)實(shí)體索取賠償，該行為則將被視為惡意。三是賠償限定為補(bǔ)償性損害賠償金、禁令或聲明性救濟(jì)、合理的律師費(fèi)和訴訟費(fèi)。個(gè)人的訴訟權(quán)過(guò)大將可能導(dǎo)致對(duì)訴訟的濫用，使大型企業(yè)面臨高額賠償，并增加中小企業(yè)的合規(guī)成本，阻礙其數(shù)據(jù)創(chuàng)新。這種有限的私人訴訟權(quán)正是政府對(duì)商業(yè)利益妥協(xié)的結(jié)果。2024年6月底，眾議院能源和商業(yè)委員會(huì)取消了其最新提案《美國(guó)隱私權(quán)法案》的預(yù)定修訂，同時(shí)還刪除了旨在防止數(shù)據(jù)驅(qū)動(dòng)的歧視并允許個(gè)人選擇不參與私營(yíng)公司基于人工智能做出的“重大”決策的條款。APRA立法者后續(xù)撤回了關(guān)于APRA的審議，這被視為是新一輪的立法妥協(xié)。APRA逐漸削減了法案中的幾項(xiàng)強(qiáng)力保護(hù)措施。新的文本刪除了保護(hù)社會(huì)弱勢(shì)群體免受歧視條款、人工智能驅(qū)動(dòng)技術(shù)有害副產(chǎn)品條款、授予用戶的選擇退出條款、公司的算法審計(jì)和檢查條款等。由于非常關(guān)鍵的公民權(quán)利條款已被從提案中刪除，APRA愈發(fā)失去社會(huì)支持。美國(guó)公民自由聯(lián)盟和民主與技術(shù)中心等組織表示，他們不再支持APRA。Access Now、Demand Progress和Free Press Action等數(shù)字權(quán)利組織也加入進(jìn)來(lái)，向民主黨施壓，不認(rèn)可法案的最新變化。

（三）數(shù)據(jù)監(jiān)管的三難選擇

美國(guó)傳統(tǒng)自由主義的數(shù)據(jù)監(jiān)管政策將數(shù)據(jù)隱私保護(hù)和數(shù)據(jù)安全置于次要地位，強(qiáng)調(diào)市場(chǎng)優(yōu)先，以促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展。在對(duì)外政策上，美國(guó)一直強(qiáng)調(diào)數(shù)據(jù)跨境自由流動(dòng)，只設(shè)置最低限度的數(shù)據(jù)隱私和安全保護(hù)措施，在OECD隱私原則、USMCA、UJDTA、CPTPP等諸多區(qū)域經(jīng)貿(mào)協(xié)定中都貫徹了這一政策目標(biāo)。在國(guó)內(nèi)美國(guó)的數(shù)據(jù)監(jiān)管政策也一直較為寬松，《通信規(guī)范法》第230條和《數(shù)字千年版權(quán)法案》（DMCA）避風(fēng)港條款促進(jìn)了科技企業(yè)的繁榮發(fā)展。美國(guó)數(shù)據(jù)監(jiān)管規(guī)則整體上也較為零散，聯(lián)邦層面沒(méi)有制定統(tǒng)一的數(shù)據(jù)保護(hù)法，以各行業(yè)、各州單獨(dú)立法為主。

隨著全球經(jīng)濟(jì)下行和美國(guó)綜合實(shí)力的衰退，美國(guó)開(kāi)始強(qiáng)調(diào)維護(hù)國(guó)家安全，整體法律制度由傳統(tǒng)自由主義模式向安全模式調(diào)整。2023年3月，美國(guó)國(guó)家安全事務(wù)顧問(wèn)杰克·沙利文（Jake Sullivan）在布魯金斯學(xué)會(huì)發(fā)表演講時(shí)提出“新華盛頓共識(shí)”，將推動(dòng)美國(guó)由傳統(tǒng)自由經(jīng)濟(jì)模式轉(zhuǎn)向以“維護(hù)國(guó)家安全”為主導(dǎo)的強(qiáng)政府干預(yù)模式。數(shù)字時(shí)代數(shù)據(jù)安全日漸成為國(guó)家安全的突出問(wèn)題。為維護(hù)數(shù)據(jù)安全，美國(guó)數(shù)據(jù)監(jiān)管法律政策也逐漸從自由主義轉(zhuǎn)向保守主義。首先，美國(guó)跨境數(shù)據(jù)自由流動(dòng)政策日漸限縮，逐漸由數(shù)據(jù)跨境自由流動(dòng)模式過(guò)渡為數(shù)據(jù)安全保護(hù)模式。2023年10月，在瑞士日內(nèi)瓦WTO電子商務(wù)聯(lián)合聲明倡議會(huì)議期間，美國(guó)貿(mào)易代表凱瑟琳申明美國(guó)在WTO電子商務(wù)規(guī)則談判中放棄長(zhǎng)久以來(lái)堅(jiān)持的跨境數(shù)據(jù)自由流動(dòng)主張，為美國(guó)國(guó)會(huì)加強(qiáng)對(duì)大型數(shù)字跨國(guó)公司的監(jiān)管騰出空間。其次，美國(guó)國(guó)內(nèi)與此同時(shí)也在加強(qiáng)數(shù)據(jù)隱私監(jiān)管，針對(duì)中國(guó)等特定國(guó)家采取一系列安全性制裁措施，不斷強(qiáng)化涉及數(shù)據(jù)的國(guó)家安全審查工具。聯(lián)邦數(shù)據(jù)隱私立法進(jìn)一步表明了美國(guó)對(duì)數(shù)據(jù)安全和國(guó)家安全的重視。近年來(lái)美國(guó)逐漸同步對(duì)內(nèi)和對(duì)外數(shù)據(jù)限制措施，意味著美國(guó)國(guó)內(nèi)與涉外數(shù)據(jù)政策趨向一致，以加強(qiáng)國(guó)內(nèi)外數(shù)據(jù)政策的聯(lián)動(dòng)。

然而這也進(jìn)一步帶來(lái)美國(guó)數(shù)據(jù)監(jiān)管法律政策的統(tǒng)籌和協(xié)調(diào)問(wèn)題。數(shù)據(jù)監(jiān)管在數(shù)據(jù)隱私、數(shù)據(jù)自由流動(dòng)、數(shù)據(jù)安全之間存在不可能三角，即三個(gè)目標(biāo)不可能同時(shí)達(dá)成。這意味著美國(guó)數(shù)據(jù)政策轉(zhuǎn)向國(guó)家安全將犧牲數(shù)據(jù)自由流動(dòng)目標(biāo)。進(jìn)一步地，美國(guó)將如何在國(guó)家安全語(yǔ)境下整合和統(tǒng)一數(shù)據(jù)監(jiān)管體系？向內(nèi)收縮的安全化數(shù)據(jù)政策如何與資本市場(chǎng)導(dǎo)向的擴(kuò)張性法律政策協(xié)調(diào)？美國(guó)法律體系是否要經(jīng)歷國(guó)家安全和保守主義的整體轉(zhuǎn)向？一方面，美國(guó)面臨著數(shù)據(jù)監(jiān)管政策在數(shù)據(jù)隱私、數(shù)據(jù)跨境流動(dòng)、數(shù)據(jù)安全之間的價(jià)值選擇和平衡困境；另一方面，美國(guó)也面臨著國(guó)內(nèi)資本主義生產(chǎn)模式下生產(chǎn)關(guān)系和對(duì)外關(guān)系的沖突和挑戰(zhàn)，以及對(duì)外關(guān)系中自由主義的話語(yǔ)重構(gòu)困境。

因此，APRA聚焦了上述矛盾，自由和安全的沖突集中于數(shù)據(jù)隱私之上，數(shù)據(jù)隱私保護(hù)無(wú)法既偏向市場(chǎng)自由化又偏向國(guó)家安全保護(hù)，數(shù)據(jù)規(guī)制的三難困境要求美國(guó)必須在自由主義和安全主義之間做出選擇。當(dāng)自由主義敘事已無(wú)法涵蓋和解釋美國(guó)從“經(jīng)濟(jì)全球化”到“安全全球化”的政策變化時(shí)，美國(guó)需要考量如何構(gòu)建新的話語(yǔ)敘事以延續(xù)資本主義驅(qū)動(dòng)下的國(guó)家利益和全球霸權(quán)地位。當(dāng)自由主義不能作為國(guó)家政策宣傳口號(hào)時(shí)，數(shù)據(jù)隱私、數(shù)據(jù)安全與數(shù)據(jù)跨境流動(dòng)政策應(yīng)當(dāng)如何整合在新的意識(shí)形態(tài)之下？

五、聯(lián)邦數(shù)據(jù)隱私立法規(guī)制的影響

美國(guó)的隱私法不單純是一個(gè)國(guó)內(nèi)問(wèn)題，同時(shí)也是國(guó)際問(wèn)題。美國(guó)的數(shù)據(jù)實(shí)踐不僅影響著其國(guó)內(nèi)的數(shù)字政策，更對(duì)全球數(shù)字貿(mào)易、數(shù)據(jù)隱私規(guī)則等產(chǎn)生一定的影響。

（一）對(duì)國(guó)際數(shù)字貿(mào)易體系的影響：或?qū)⑿纬尚碌臄?shù)字貿(mào)易壁壘

對(duì)全球數(shù)字貿(mào)易而言，美國(guó)數(shù)據(jù)隱私規(guī)制的動(dòng)向?qū)θ驍?shù)字貿(mào)易有著重要影響。根據(jù)國(guó)際貿(mào)易法的內(nèi)容和邏輯，相關(guān)國(guó)際貿(mào)易法的立法和實(shí)踐對(duì)數(shù)據(jù)隱私的規(guī)制大致可以分為兩類：貿(mào)易例外和貿(mào)易事項(xiàng)模式。WTO對(duì)數(shù)字隱私的規(guī)制是貿(mào)易例外模式，出現(xiàn)在《服務(wù)貿(mào)易總協(xié)定》（GATS）第XIV（e）（ii） 條規(guī)定，如果相關(guān)法律或法規(guī)涉及“保護(hù)與個(gè)人數(shù)據(jù)和傳播有關(guān)的個(gè)人隱私，以及保護(hù)個(gè)人記錄和賬戶的機(jī)密性”，即可構(gòu)成與GATS不相抵觸的法律或法規(guī)。這意味著WTO已認(rèn)識(shí)到數(shù)據(jù)處理和傳輸過(guò)程中個(gè)人隱私的重要性。即便成員方相關(guān)措施違反了WTO的相關(guān)貿(mào)易義務(wù)，也可以被允許。然而該例外條款沒(méi)有限定成員方選擇何種保護(hù)制度和標(biāo)準(zhǔn)，只說(shuō)明符合最低貿(mào)易限度即可。這并不能確保所有成員方都采取適當(dāng)?shù)臄?shù)據(jù)隱私保護(hù)措施，可能導(dǎo)致因各國(guó)隱私保護(hù)沖突而產(chǎn)生貿(mào)易壁壘。貿(mào)易事項(xiàng)模式則指的是將數(shù)據(jù)隱私作為數(shù)字貿(mào)易重要關(guān)切事項(xiàng)直接予以規(guī)制。對(duì)此美國(guó)和歐盟之間存在很大差別。歐盟GDPR有著非常之高的數(shù)據(jù)隱私保護(hù)標(biāo)準(zhǔn)和域外管轄效力。因此歐盟在對(duì)外貿(mào)易協(xié)定章節(jié)中普遍缺乏數(shù)據(jù)自由流動(dòng)條款。美國(guó)則與之恰好相反，在能夠簽署的各項(xiàng)貿(mào)易協(xié)定中均納入數(shù)據(jù)自由流動(dòng)條款，對(duì)于采取數(shù)字保護(hù)主義的國(guó)家，則公開(kāi)指責(zé)對(duì)方數(shù)據(jù)本地化的行為。在《跨太平洋伙伴關(guān)系協(xié)定》（TPP）談判過(guò)程中，美國(guó)代表提出應(yīng)當(dāng)將數(shù)據(jù)跨境自由流動(dòng)作為缺省規(guī)則，各締約方不得阻礙數(shù)據(jù)的流入和流出。通過(guò)USMCA、UJDTA、CPTPP等雙邊、多邊貿(mào)易協(xié)定美國(guó)主導(dǎo)了數(shù)據(jù)自由跨境流動(dòng)的數(shù)字貿(mào)易模式。

然而，伴隨地緣政治風(fēng)險(xiǎn)和大國(guó)競(jìng)爭(zhēng)的加劇，為維護(hù)自身科技大國(guó)的主導(dǎo)地位，美國(guó)國(guó)內(nèi)法律政策早已開(kāi)始從市場(chǎng)導(dǎo)向的自由主義規(guī)制模式偏向國(guó)家安全導(dǎo)向的保守主義規(guī)制模式。美國(guó)立場(chǎng)的轉(zhuǎn)變并非突然。近年來(lái)，基于對(duì)國(guó)家安全的重視，美國(guó)國(guó)內(nèi)數(shù)據(jù)安全監(jiān)管趨嚴(yán)，開(kāi)始加大對(duì)數(shù)字跨國(guó)公司規(guī)制力度。反壟斷方面矛頭直指國(guó)內(nèi)數(shù)字跨國(guó)公司，針對(duì)Meta、Facebook、Amazon等科技巨頭加大監(jiān)管力度。對(duì)于外國(guó)大型科技企業(yè)，一方面，美國(guó)以國(guó)家安全審查為核心，由政府行政部門主導(dǎo)審查私人商業(yè)交易帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)，潛移默化地針對(duì)特定對(duì)手國(guó)家推進(jìn)數(shù)據(jù)安全審查。自美國(guó)政策轉(zhuǎn)向國(guó)家安全化以來(lái)，政府創(chuàng)設(shè)了一系列國(guó)家安全審查工具。數(shù)據(jù)也在逐漸納入國(guó)家安全審查范圍。以“國(guó)家安全”為名，借助出口管制、外商投資審查、ICTS監(jiān)管、長(zhǎng)臂管轄等制度工具進(jìn)行各式安全審查，美國(guó)由此可以進(jìn)行各類經(jīng)濟(jì)制裁，包括限制數(shù)據(jù)跨境傳輸。近年針對(duì)中國(guó)已制定了一系列科技、數(shù)據(jù)限制措施。另一方面，美國(guó)構(gòu)建“數(shù)據(jù)同盟”，主導(dǎo)同盟國(guó)跨境數(shù)據(jù)流動(dòng)圈。此次APRA的制定恰好貼合其跨境數(shù)據(jù)監(jiān)管國(guó)際規(guī)則立場(chǎng)的變化，折射出美國(guó)數(shù)據(jù)監(jiān)管思路和方法的全方位轉(zhuǎn)向，監(jiān)管重點(diǎn)從自由貿(mào)易調(diào)整為國(guó)家安全。這一轉(zhuǎn)變背離了美國(guó)自二戰(zhàn)后主導(dǎo)的WTO自由貿(mào)易體系，將會(huì)加劇逆全球化趨勢(shì)。數(shù)據(jù)隱私或?qū)⒊蔀樾碌臄?shù)字貿(mào)易壁壘，阻止全球數(shù)據(jù)自由流動(dòng)。

（二）對(duì)全球隱私規(guī)范的影響：新的全球隱私標(biāo)準(zhǔn)或?qū)⒔?/p>

歐盟自2018年實(shí)施GDPR后，對(duì)全球個(gè)人信息和隱私保護(hù)立法產(chǎn)生了巨大影響，布魯塞爾效應(yīng)席卷全球。許多國(guó)家參考GDPR，制定了較高的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。譬如為個(gè)人制定了廣泛的數(shù)據(jù)權(quán)利、高額罰款制度、個(gè)人信息保護(hù)影響評(píng)估機(jī)制等。歐盟已然成為全球數(shù)據(jù)隱私立法的引領(lǐng)者。然而這一數(shù)據(jù)保護(hù)體系與美國(guó)倡導(dǎo)的市場(chǎng)導(dǎo)向的數(shù)據(jù)保護(hù)模式相異，產(chǎn)生了巨大分歧，非常不利于美國(guó)大型科技企業(yè)的數(shù)據(jù)收集、處理和使用，對(duì)外進(jìn)行市場(chǎng)擴(kuò)張。在數(shù)據(jù)跨境傳輸上，GDPR要求非常嚴(yán)格，明確要求其他國(guó)家應(yīng)當(dāng)提供與歐盟相同水平的隱私保護(hù)，歐盟法院因此認(rèn)定美國(guó)數(shù)據(jù)保護(hù)水平低于歐盟，先后宣告美歐《安全港》《隱私盾》數(shù)據(jù)傳輸協(xié)定無(wú)效。而由于美國(guó)缺少統(tǒng)一的數(shù)據(jù)隱私立法，國(guó)內(nèi)各州立法分散，國(guó)內(nèi)大型企業(yè)容易以歐盟標(biāo)準(zhǔn)為參考制定了較高的數(shù)據(jù)保護(hù)守則。美國(guó)由此難以推廣其數(shù)據(jù)隱私保護(hù)理念，構(gòu)建符合其利益的全球數(shù)據(jù)隱私保護(hù)體系。2018年，特朗普政府就表示希望制定一部可以與GDPR相抗衡的數(shù)據(jù)法，以此抵抗GDPR成為事實(shí)上的全球標(biāo)準(zhǔn)。

因此美國(guó)頒布全面的聯(lián)邦數(shù)據(jù)隱私立法可能會(huì)對(duì)尚未在該領(lǐng)域制定立法的國(guó)家產(chǎn)生重大影響。積極的影響是美國(guó)可能為隱私保護(hù)設(shè)定一個(gè)新的基準(zhǔn)，以方便其他國(guó)家的采用或調(diào)整。GDPR采用更嚴(yán)格的基于同意的模式進(jìn)行數(shù)據(jù)處理，并為個(gè)人提供廣泛的權(quán)利，而此次美國(guó)的APRA則尋求一種更平衡的方法，旨在保護(hù)消費(fèi)者隱私，同時(shí)考慮企業(yè)的運(yùn)營(yíng)現(xiàn)實(shí)。這種方法標(biāo)志著一條與歐盟和其他已制定數(shù)據(jù)保護(hù)法律的地區(qū)截然不同的途徑，有可能為隱私立法開(kāi)創(chuàng)新的先例。然而，也存在一種風(fēng)險(xiǎn)，即不同的標(biāo)準(zhǔn)可能會(huì)使國(guó)際業(yè)務(wù)運(yùn)營(yíng)復(fù)雜化，特別是對(duì)于在有和沒(méi)有隱私法的司法管轄區(qū)開(kāi)展業(yè)務(wù)的公司。全球應(yīng)對(duì)措施可能會(huì)在與美國(guó)模式保持一致或隱私標(biāo)準(zhǔn)進(jìn)一步碎片化之間搖擺不定。

然而，美國(guó)聯(lián)邦數(shù)據(jù)隱私立法動(dòng)向不明，雖然美國(guó)意圖開(kāi)辟可以與GDPR相媲美的新型數(shù)據(jù)治理路徑，但是，一方面，歐盟GDPR對(duì)數(shù)據(jù)的高水平保護(hù)和對(duì)數(shù)據(jù)主體控制權(quán)的加強(qiáng)影響了美國(guó)聯(lián)邦數(shù)據(jù)隱私立法的監(jiān)管模式。APRA借鑒了GDPR的多項(xiàng)條款，兩項(xiàng)立法很多方面都非常類似：相似的目標(biāo)；強(qiáng)化個(gè)人權(quán)利；加強(qiáng)敏感數(shù)據(jù)保護(hù)；企業(yè)“數(shù)據(jù)最小化”義務(wù)等?？梢?jiàn)，APRA無(wú)法擺脫GDPR的影響。另一方面，美國(guó)國(guó)內(nèi)各利益群體沖突不斷，難以協(xié)調(diào)一致，APRA是否最終得以出臺(tái)還存在疑問(wèn)。而且APRA正在偏向企業(yè)利益，實(shí)際的發(fā)展方向在向市場(chǎng)和資本妥協(xié)，刪去了相當(dāng)多的個(gè)人權(quán)利保護(hù)條款，即使最終得以出臺(tái)，保護(hù)程度也都弱于GDPR甚至國(guó)內(nèi)州立法。而當(dāng)前數(shù)據(jù)立法存在逐項(xiàng)競(jìng)爭(zhēng)趨勢(shì)，就企業(yè)而言，為了市場(chǎng)利益最大化，參照的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)就高不就低，最終可能還是會(huì)參照GDPR履行合規(guī)義務(wù)。因此APRA不論最終是與作為國(guó)際數(shù)據(jù)隱私標(biāo)準(zhǔn)的GDPR相背離，還是相一致，是否具有實(shí)際意義還有待觀望。

（三）對(duì)我國(guó)的影響：或?qū)⒊蔀樾滦椭撇霉ぞ?/p>

隨著中美博弈的加劇，美國(guó)開(kāi)始將中國(guó)視為首要的競(jìng)爭(zhēng)對(duì)手，甚至是最主要的國(guó)家安全威脅。2017年美國(guó)就明確宣布國(guó)家安全的最大威脅是大國(guó)競(jìng)爭(zhēng)。2022年，拜登政府發(fā)布新版《國(guó)家安全戰(zhàn)略》，明確列明中國(guó)是美國(guó)“最嚴(yán)重的地緣政治挑戰(zhàn)”和“唯一的競(jìng)爭(zhēng)對(duì)手”。2023年《新版網(wǎng)絡(luò)安全戰(zhàn)略》對(duì)中國(guó)的戰(zhàn)略定位則從“長(zhǎng)期競(jìng)爭(zhēng)對(duì)手”轉(zhuǎn)向“最大威脅”，稱中國(guó)對(duì)美國(guó)的政府和企業(yè)構(gòu)成最廣泛、持久和活躍的威脅。在近幾年的《情報(bào)界年度威脅評(píng)估》中美國(guó)也一直大肆渲染中國(guó)對(duì)美國(guó)的威脅，將中國(guó)定位為唯一有實(shí)力塑造國(guó)際秩序，在各方面也有力量實(shí)現(xiàn)這一目標(biāo)的競(jìng)爭(zhēng)對(duì)手。這充分反映了美國(guó)對(duì)于中國(guó)實(shí)力增強(qiáng)和大國(guó)崛起的焦灼和不安。隨著數(shù)字技術(shù)的發(fā)展，中美數(shù)字競(jìng)爭(zhēng)也愈發(fā)激烈。為與中國(guó)競(jìng)爭(zhēng)，美國(guó)推行一系列技術(shù)發(fā)展措施，高度重視數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)的發(fā)展。通過(guò)增加研發(fā)投入、企業(yè)減稅等政策，重點(diǎn)支持人工智能、5G、量子計(jì)算等領(lǐng)域，同時(shí)對(duì)中國(guó)展開(kāi)全方位的科技制裁。2020年5月，白宮發(fā)布新的《美國(guó)對(duì)華戰(zhàn)略方針》報(bào)告，公然宣稱將采取公開(kāi)施壓辦法以遏制中國(guó)在各領(lǐng)域的擴(kuò)張。通過(guò)對(duì)外投資安全審查、出口管制、總統(tǒng)行政令、ICT安全審查等多重手段和制裁工具針對(duì)中國(guó)科技領(lǐng)域?qū)嵤┲撇么胧?。在?shù)據(jù)監(jiān)管上也是如此，自特朗普時(shí)期美國(guó)開(kāi)始將中國(guó)明確列為首要對(duì)手后，通過(guò)一系列政策法案限制美國(guó)數(shù)據(jù)向中國(guó)流動(dòng)，不同程度地創(chuàng)建各式安全審查工具對(duì)華進(jìn)行數(shù)據(jù)限制。2024年3月出臺(tái)的第14117號(hào)行政令以及司法部《預(yù)通知》的擬定規(guī)則，是美國(guó)首次禁止數(shù)據(jù)流動(dòng)的法令，創(chuàng)設(shè)了第一個(gè)數(shù)據(jù)跨境傳輸審查機(jī)制。美國(guó)也開(kāi)始基于國(guó)家安全理由明確介入商業(yè)數(shù)據(jù)跨境流動(dòng)的國(guó)家。白宮稱其為“美國(guó)總統(tǒng)為保護(hù)美國(guó)人數(shù)據(jù)安全采取的最重要的行政行動(dòng)”。

此次出臺(tái)的聯(lián)邦數(shù)據(jù)隱私統(tǒng)一法案也可能作為美國(guó)對(duì)外國(guó)家的新型制裁工具。APRA保護(hù)模式與國(guó)家安全關(guān)注的焦點(diǎn)不同，它主要側(cè)重于對(duì)個(gè)人數(shù)據(jù)的整體保護(hù)，而不是評(píng)估特定對(duì)手手中數(shù)據(jù)的安全風(fēng)險(xiǎn)。然而，數(shù)據(jù)隱私立法不僅可以解決跨境隱私風(fēng)險(xiǎn)，還可以成為專門限制中國(guó)和其他對(duì)手的武器和工具。2024年6月，美國(guó)聯(lián)邦貿(mào)易委員會(huì)指控TikTok及其母公司字節(jié)跳動(dòng)違反《兒童在線隱私保護(hù)法》（COPPA），司法部收到指控后準(zhǔn)備對(duì)TokTok提起消費(fèi)者保護(hù)訴訟。APRA如若成功出臺(tái)，將對(duì)中國(guó)企業(yè)在美投資帶來(lái)更大的合規(guī)風(fēng)險(xiǎn)和新的挑戰(zhàn)。

六、結(jié)論

盡管多年來(lái)兩院提出許多提案，但美國(guó)至今尚未出臺(tái)綜合性的聯(lián)邦數(shù)據(jù)隱私法案。APRA是美國(guó)在數(shù)字時(shí)代構(gòu)建統(tǒng)一隱私法的新嘗試，然而在最終頒布成為法律之前，該法案仍面臨重重障礙。美國(guó)傳統(tǒng)隱私保護(hù)主要是為防止政府對(duì)公民隱私的侵害。在數(shù)字經(jīng)濟(jì)發(fā)展背景下，美國(guó)將數(shù)據(jù)保護(hù)納入隱私保護(hù)體系中，采取公私分離、上下分層規(guī)制模式，公領(lǐng)域仍然延續(xù)隱私保護(hù)傳統(tǒng)限制政府權(quán)力，私領(lǐng)域鼓勵(lì)市場(chǎng)自治。然而數(shù)字經(jīng)濟(jì)的繁榮大幅擴(kuò)張了數(shù)字企業(yè)的社會(huì)性權(quán)力，政府嘗試制定綜合性的聯(lián)邦數(shù)據(jù)隱私法以約束大型數(shù)字企業(yè)，進(jìn)一步強(qiáng)化個(gè)人數(shù)據(jù)權(quán)利，促進(jìn)數(shù)字經(jīng)濟(jì)安全有序發(fā)展。這無(wú)疑與美國(guó)鼓勵(lì)自由放任的市場(chǎng)自發(fā)秩序傳統(tǒng)相背離。因此，聯(lián)邦數(shù)據(jù)隱私立法不斷遭受大型數(shù)字企業(yè)的質(zhì)疑。另一方面，與數(shù)據(jù)隱私保護(hù)程度較高的州立法相比，聯(lián)邦數(shù)據(jù)隱私立法的有關(guān)條款又被質(zhì)疑缺乏保護(hù)力度，降低州立法的隱私保護(hù)水平。在個(gè)人數(shù)據(jù)保護(hù)、數(shù)據(jù)自由流動(dòng)、數(shù)據(jù)安全之間，聯(lián)邦數(shù)據(jù)隱私立法目標(biāo)面臨三難困境。未來(lái)APRA的出臺(tái)將對(duì)國(guó)內(nèi)利益相關(guān)方以及國(guó)際數(shù)字貿(mào)易體系、全球隱私規(guī)范甚至他國(guó)國(guó)家安全產(chǎn)生至關(guān)重要的影響，我國(guó)政府和企業(yè)應(yīng)當(dāng)提前做好安全布局，應(yīng)對(duì)美國(guó)未來(lái)可能的數(shù)據(jù)隱私規(guī)制風(fēng)險(xiǎn)。

Research on United States Federal Data Privacy Legislative and Regulatory Strategies

Abstract： There has been a concerted call for uniform federal data privacy legislation in the United States， however， to this day， no proposal has successfully been turned into law. The U.S. Privacy Act is the latest legislative proposal that reflects the latest developments in the U.S. federal data privacy regulatory program. The U.S. federal data privacy legislation aims to strengthen national security and promote the rational and orderly development of the digital economy by expanding the rights of individual consumers and restricting the digital power of tech giants. However， based on the tradition of hierarchical regulation at the federal and state levels and self-regulation by the market， federal data privacy legislation faces the legislative dilemma of conflicting central and local legislation， the game of political interest groups， and the paradox of data regulatory goals. On the one hand， the introduction of federal data privacy legislation will likely form a new global privacy standard and set a business model that is different from GDPR. On the other hand， it could also become a new global digital trade barrier and a tool for U.S.-style state sanctions.

Keywords： American Privacy Rights Act; United States Federal Legislation; Data Privacy; Data Protection; Regulatory Strategy