大数据与人工智能在赋予全球经济新的增长动能的同时，也对个人信息（数据）权利的保护带来了前所未有的挑战。从世界范围看，从1970年德国黑森州制定世界上第一部专门性个人数据保护法《黑森州数据法》以来，瑞典、法国、英国等欧洲国家对个人数据保护的立法探索对于欧洲乃至全球的数据保护产生了广泛而深远的影响。2018年5月25日生效的欧盟《通用数据保护条例》被称为史上最严数据保护立法。随后发布并于2020年1月1日生效的《2018加利福利亚消费者隐私法案》回应了近年来美国公众对于各类数据泄露事件的忧虑，成为了美国最严隐私保护先驱。

目前，我国互联网、移动互联网用户规模居全球第一[1]，拥有丰富的数据资源和应用市场优势。与此同时，个人数据保护力度亦亟待提升。继《中华人民共和国网络安全法》、《中华人民共和国民法总则》对于个人信息保护的法律层面确认后，《中华人民共和国民法典》亦在人格编中进一步细化了对个人信息的分类和保护规则。去年年底，全国人大法工委明确将在本届人大届期内制定《个人信息保护法》、《数据安全法》等单项法律，标志着我国对个人信息的保护力度将进一步提升。

有鉴于此，笔者团队在全球范围内，按照政府监管力度和涉数据企业（机构）责任强度的不同，选取了十二个国家和地区的个人数据保护规范，以重点对个人信息保护、数据权属、价值及企业数据合规等制度加以研究。旨在为相关从业者及涉大数据企业进一步了解和把握我国的个人信息保护制度及企业在数据要素市场中的数据合规等事宜提供兼具现实性和前瞻性的参考。

一、立法概况

美国在联邦层面目前没有针对个人信息和隐私保护的专门性法律规范。对于个人信息和隐私的保护，美国采用的依靠行业立法、监管和行业自律相结合的行业监管方式。[2]

在联邦层面，美国制定了涉及金融机构的《格雷姆-里奇-比利雷法》(GLBA)、涉交通行业的《驾驶员隐私保护法》《汽车法规》、涉及个人健康的《健康保险流通和责任法》(HIPAA)、涉及家庭教育的《家庭教育权和隐私权法》(FERPA)、涉及信用信息保护的《公平信用报告法》(FCRA)、涉及未成年保护的《儿童在线隐私保护法》（COPPA）、以及涉及电子信息、市场营销等的《视频隐私保护法》(VPPA)、《电子通信隐私法》（ECPA）、以及《计算机欺诈和滥用法》(CFAA)等等[3]。

在州法律层面，美国50个州和地区拥有数百项隐私和数据安全措施，如保障数据的要求、数据的处理、隐私政策等，仅加州就有25个以上的隐私和数据安全法律[4]，其中最典型的就是2020年1月1日生效的《2018年加州消费者隐私法》(CCPA)[5],该法案不针对特定行业，而是对个人信息和主体权利进行了概括性定义，并对个人信息保护作出了具体的要求和限制。这不仅对于其他各州甚至世界各国来说，都具有重要参考意义。

值得注意的是，美国为了规范境外数据的使用，不仅签订了一系列国际协定，比如欧盟—美国隐私盾框架、瑞士—美国隐私盾框架、和亚太经济合作跨境隐私规则体系（APEC CBPR体系），还特别制定了《澄清境外数据合法使用法案》（CLOUD法案）。这些规定对美国境外数据向境内的流动，甚至全世界的数据规范格局，都具有重大意义。

当然，由于美国联邦及各州涉及个人信息和隐私保护的法律过于多样化，因此很难充分概括美国立法的全貌，在针对具体问题予以研究借鉴时还需要更为深入的探讨。

二、个人信息及主体权利

（一）个人信息

对于个人信息的定义，不同的法律差异很大。但就美国而言，对个人信息的保护框架大致是纳入到隐私权的保护框架下。隐私权是美国个人信息立法保护的法理起源，“从一定意义上来说，美国隐私权的内涵接近大陆法系的人格权”[7]。

《2018年加州消费者隐私法》(CCPA)[8]对“个人信息”的定义非常广泛和细致。其将“个人信息”定义为任何能够识别、关联、描述与特定消费者或其家庭有关的信息，并列明个人信息种类包括但不限于姓名、别名、邮政地址、唯一个人识别码、在线标识码、互联网协议地址、电子邮件地址、帐户名称、社会保障号码、驾驶证号码、护照号码、政府ID、财产记录、购买记录、生物信息、网络活动信息、地理位置数据、电子信息、教育信息、就业信息，以及用于创建反映消费者偏好、智力、能力的用户画像。

CCPA还明确规定了不被认定为个人信息的信息类别，包括公开可得信息（即可以从联邦、州或地方政府记录中合法获取到的信息），和已被去标识化的消费者信息以及消费者综合信息。

“去标识”是指【CCPA 1798.140.（h）】信息不能直接或者间接地合理识别、涉及、描述某一特定消费者，或者与其相关联，只要使用去标识信息的经营者已经：

（1）实施了技术保障措施以禁止重新识别信息所属消费者。

（2）实施了业务流程管理以明确禁止重新识别信息。

（3）实施了业务流程管理以防止无意中发布去识别的信息。

（4）不打算重新识别信息。

“消费者综合信息”是指【CCPA 1798.140.（a）】与消费者群体或者类别有关的信息，其中个体消费者身份信息已经被删除，并且无法（包括通过任何设备）与任何消费者或其家庭进行连结或合理关联。“消费者综合信息”并非指一个或多个已被去标识化的个体消费者记录的集合。

（二）敏感信息

对于敏感信息，美国现在没有统一的定义。

一般来说，财务信息，健康信息，社会安全号码，有关儿童的信息以及精确的地理位置信息等都被认为是敏感信息，例如，阿拉巴马州数据泄露报告法通常适用的敏感信息，就包括医疗信息、保险信息、社会安全号码、信用卡和金融账号、密码和用户凭证、生物签名等。

三、数据主体权利

由于美国各法律关于信息主体权利的规定都不一致，而《2018年加州消费者隐私法》(CCPA)在此方面的规定更成体系，更具借鉴和参考价值，因此，笔者将CCPA项下的数据主体权利列明如下：

（一）知情权

1、公布隐私政策：CCPA规定,如果经营者有在线隐私政策的，则经营者应当在其隐私政策中或者任何关于加州消费者隐私权的具体描述中披露以下信息；或者倘若经营者没有这些政策，则应当其网站上披露以下信息，并且应当至少每12个月更新网站一次：

（1）消费者所享有的权利，以及消费者提交请求的指定方法;

（2）经营者在过去12个月内收集有关消费者个人信息的类别清单；

（3）列出两个单独的清单：

经营者在过去12个月内所出售的消费者个人信息的类别清单，如果该经营者在过去12个月内尚未出售消费者个人信息的，经营者亦应披露该事实。；

‚经营者在过去12个月中出于商业目的而披露的有关消费者个人信息的类别清单，如果经营者在过去12个月内未出于商业目的而披露消费者个人信息的，则经营者亦应披露该事实。

2、收集前告知：【CCPA 1798.100.（b）】收集消费者个人信息的经营者应当在收集时或者收集前告知消费者所收集个人信息的类别以及使用这些个人信息的目的。在未按照本法要求向消费者提供通知的情况下，经营者不得收集其他类别的个人信息，或者将所收集个人信息用于其他目的。

3、要求披露信息：【CCPA 1798.110.（a）】消费者有权要求收集有关消费者个人信息的经营者，向消费者披露以下内容：

（1）该经营者收集的有关该消费者的个人信息类别。

（2）该经营者收集个人信息的来源类别。

（3）收集或出售个人信息的经营者和商业目的。

（4）与该经营者共享个人信息的第三方类别。

（5）该经营者收集的有关该消费者的具体个人信息内容。

但前提是，消费者应向经营者提供相应信息以确认其身份。

4、途径

为了确保消费者知情权的实现，CCPA规定了经营者应当向消费者提供两种以上的方式用于消费者提交披露信息的请求，其中包括至少有一个可以免费拨打的电话号码。

（二）删除权

【CCPA 1798.105.（a)】消费者有权要求经营者删除其从消费者那里收集的有关该消费者的任何个人信息。

删除权例外

【CCPA 1798.105.（d)】如果经营者或服务提供商为了达到以下目的，有必要保存消费者的个人信息，则其不应被要求履行消费者删除其个人信息的请求：

（1）为了继续完成信息收集所为的交易，按照联邦法律履行书面保证或产品召回条款，提供消费者要求的商品或服务，或者符合经营者与消费者之间持续性业务关系范围内的合理预期，或以其他方式履行经营者与消费者之间的合同义务。

（2）检测安全事件，防止恶意的、欺骗的、虚假的或非法活动；或为起诉那些应对前述活动负责的人。

（3）调试以识别和修复那些损害现有预期功能的错误。

（4）行使言论自由，确保其他消费者行使言论自由的权利，或行使法律规定的其他权利。

（5）遵守《刑法》第2部分第12节项下第3.6章（从第1546节开始）《加利福尼亚电子通信隐私法》。

（6）在消费者知情同意的情况下，为了公共利益，遵照所有其他适用的道德和隐私法，从事公开的或供行业评议的科学、历史或统计研究，而如果经营者删除信息可能导致研究成果难以实现或遭到严重损害的。

（7）根据消费者与经营者的关系，仅允许合理地与消费者期望相符的内部使用。

（8）为遵守法定义务。

（9）在符合消费者提供信息场景的情况下，在经营者内部以其他合法方式使用消费者的个人信息。

（三）可携带权

CCPA规定消费者有权要求经营者将其个人信息以易于使用或传输（即可携带）的方式向消费者提供，以便消费者可以无障碍的将信息传输给第三方。

如CCPA要求信息可以通过邮件或电子方式传递，如果以电子方式提供，则信息应采用便携方式并且在技术可行限度内采取便于消费者无障碍地将信息传递给第三方的格式。

（四）选择退出权

【CCPA 1798.120.（a)】消费者有权在任何时候指示一个拟将消费者个人信息出售给第三方的经营者不得出售该消费者的个人信息。这项权利可以被称为“选择退出”权。

操作方式是，在经营者的网站主页、隐私政策页面和/或描述消费者权利的页面上，有一个“谢绝出售信息”的链接，通过这个链接，消费者可以选择不出售他们的信息。

（五）选择加入权

CCPA规定,如果经营者实际明知消费者年龄小于16岁，则经营者不应出售该消费者的个人信息，除非年龄在13至16岁之间的消费者，或者年龄小于13岁的消费者的父母或监护人，已明确授权经营者可以出售个人信息。经营者任何故意忽视消费者年龄的行为应被视为其已明确知晓该消费者年龄。

这一规定是意味着，没有明确同意，经营者不能出售小于16岁消费者的个人信息。这对于保护未成年人具有重要的意义。

（六）诉权

CCPA规定,如果任何消费者的个人信息，由于经营者违反义务而遭受了未经授权的访问和泄露、盗窃或披露，则消费者可为以下任何一项请求而提起民事诉讼要求经营者赔偿每起事件每个消费者不少于一百美元（100美元）且不超过七百五十美元（750美元）的损害赔偿金或实际损害赔偿金，以数额较大者为准。

四、个人信息价值体现

虽然CCPA中不涉及个人信息权属和价值的明确规定，但也开始尝试对个人信息价值的探索。CCPA规定经营者可以为个人信息的收集、出售或者删除提供财务激励措施，包括向消费者支付补偿金。经营者还可以基于消费者向其提供的数据的价值的不同而向消费者提供直接体现数据的价值差异的不同价格、费率、水平或质量的商品或者服务。

五、数据安全

（一）美国数据安全实务指南

大多数美国经营者都被要求采取合理的技术、物理和组织措施来保护敏感个人信息的安全。为了保证经营者能够有效的制定数据安全计划，联邦贸易委员会(FTC)还特意在其官网列明以下数据安全实务指南[10]：

1、清点数据，知道文件和计算机中拥有哪些个人信息

盘点所有计算机（包括员工家用计算机），笔记本电脑，移动设备，闪存驱动器，磁盘，家用计算机，数字复印机和其他设备，以查找经营者存储敏感数据的位置。另外，按类型和位置来清点经营者拥有的信息。

2、仅保存业务所需的东西

不要收集不需要的个人信息。

仅在有合法业务需求时才保留信息。

不需要时不要使用个人信息，包括遵循“最低特权原则”，缩减对数据的使用，即每个员工只能访问完成其特定工作所需的信息。

3、保护保存的信息

物理安全，即防止丢失或盗窃纸质文档。

电子安全，包括维护通用网络安全，使用密码和身份验证，加密数据并保证传输安全，保证笔记本电脑的安全，设置防火墙，限制无线和远程访问，注意数字复印机安全，监视网络活动，检测网络违规行为。

员工培训，包括对雇佣的员工进行背景调查，要求员工签署保密协议，限制员工访问权限，培训员工安全知识，及对违反的员工采取纪律措施。

承包商和服务提供商的安全实践，包括事前调查承包商和服务提供商的数据安全实践，与承包商或服务提供商签订书面合同以明确规定安全标准，要求服务提供商立即告知遇到的任何安全事件，监督承包商和服务提供商的流程。

4、适当处置不再需要的物品

对于纸质文件，在丢弃之前，要经过燃烧或者粉碎处理。

对于存储设备，需要使用软件来擦除数据，而非仅删除文件。

5、制定应对安全事件的计划

制定应对安全事件的计划，并指定高级管理人来协调和实施响应计划。

计算机受到威胁时，立即断开与网络的连接。

立即调查安全事件，并采取措施消除现有漏洞或对个人信息的威胁。

在事件发生时，通知相关方，包括消费者、执法人员、客户、征信机构等。

（二）数据泄露报告

根据美国50个州、哥伦比亚特区、关岛、波多黎各和维尔京群岛通过的数据泄露报告法，经营者必须向州居民通报涉及敏感信息的数据泄露事件。[11]有些州的法律还规定，必须向州检察长甚至征信机构发出某些数据泄露的通知,比如加州规定,如果影响超过500人,必须通知州检察长；肯塔基州规定,如果影响超过1000人，则必须向征信机构发出通知。[12]

在联邦层面，根据联邦贸易委员会（FTC）发布的《健康违规通知规则》，如果个人健康记录（PHR）的供应商和相关实体发生安全漏洞，则必须进行通报每个受影响的美国居民和联邦贸易委员会，特殊情况下，还要通知媒体机构。[13]

（三）数据保护官

虽然除《健康保险流通和责任法》(HIPAA)所监管的实体外，一般不要求委任正式的数据安全官，但是任命首席隐私官和首席信息安全官在大型企业中很常见。研究发现，如果企业在高层管理团队中任命首席信息安全官（或同等职位），并且保证其可以参与董事会，则信息安全受到破坏的可能性就会降低35％。[14]

（四）数据存储地点

事实上，美国不太关注数据存储的地点，除了存储一些政府信息外，其不存在对信息的地域转移限制。

美国更加关注的是对境外数据的访问和控制问题，比如2016年通过的欧盟—美国隐私盾框架、2017年通过的瑞士—美国隐私盾框架和2018年美国国内通过的《澄清境外数据合法使用法案》（CLOUD法案），其都规范的是对境外数据使用事宜。根据隐私盾协议，只要在美国境内的接收者获得了相应隐私盾原则和项目的认证，就可以将个人信息从欧盟和/或瑞士转移到美国境内的接收方。而《澄清境外数据合法使用法案》（CLOUD法案）的目标更加明确，就是为了加强美国执法部门对跨境储存数据的访问能力。[15]

六、特殊隐私规定

（一）营销行为

美国广泛监管营销行为，包括电子邮件营销、短信营销、电话营销和传真营销。

1、电子邮件营销：《反垃圾邮件法》（CAN-SPAM）规范所有的商业电子邮件。该法律通常允许公司向任何收件人发送商业电子邮件，前提是收件人没有选择不接收发件人的此类邮件，电子邮件标识发件人和发件人的联系信息，并且电子邮件包含有关收件人如何轻松、免费地选择不接收发件人今后的商业电子邮件的说明。违反CAN-SPAM法案的每封电子邮件都将受到最高$ 43,280的罚款。故意伪造商业电子邮件消息的来源或路径还会构成犯罪。[16]

2、短信营销：根据联邦层面的《电话消费者保护法》（TCPA），向个人发送短信营销，或者使用自动呼叫电话进行营销，都需要获得消费者明确的书面同意(包括电子书面同意)。

3、电话营销：根据联邦贸易委员会（FTC)发布的《电话销售规则》[17]，美国对电话营销事宜进行了非常详细的规范，包括允许电话营销的时间、必须披露的信息、是否需要授权等等。FTC还特意建立了一个全国性的“禁止来电”注册表，该注册表允许个人免费登记，并且登记后，电话销售就不得在向其进行电话营销。此注册表于2003年开始使用，除一些非营利性机构外，适用于州内和州际的所有营销通话。

4、传真营销：根据联邦层面的《电话消费者保护法》（TCPA）和《防止垃圾传真法》（JFPA），未经接收人事先明确同意，不得通过传真发送未经请求的广告，除非接收人与发送人存在业务关系，接收人没有选择不接收传真广告，并自愿提供传真号码。该法律还要求每个传真广告必须包含以下信息，包括：在传真的第一页写明清楚及明显的选择退出方法；退出信息必须包含免费提交退出请求的联系方式，例如电话号码、网页地址或邮箱地址，并且这些联系方式必须是每周7天、每天24小时可用的；接收人可以要求发送人不要再发送任何传真，并且发送人必须在30天内履行该要求。违法行为会受到民事诉讼，并面临集体诉讼的风险。[18]

（二）在线隐私

在美国，很多州和联邦法律将cookie作为个人信息予以管制,比如加州的CCPA和联邦的《格雷姆-里奇-比利雷法》(GLBA)。[19]此外,有些州的在线隐私法还要求，对在线跟踪和如何选择退出进行通知。例如，加州法律规定，任何企业如果在一段时间内跟踪消费者的任何个人可识别信息，并且跨越多个网站，则必须在其隐私政策中披露该企业是否为用户提供了选择不跟踪的方法，虽然该法律不要求企业向消费者提供“不跟踪”选项。该法还要求网站经营者在其隐私政策中披露是否有第三方可以在他们和其他网站上收集消费者的任何可识别个人身份的信息。[20]

（三）未成年人隐私

《儿童在线隐私保护法》(COPPA)适用于从13岁以下儿童那里收集个人信息的网站和在线服务的运营商，其要求只有事前从父母处获得可证实的同意，这些企业才能收集13岁以下儿童的信息。[22]

加州法律规定，指向未成年人的网站和在线服务运营商，或有意收集未成年人的个人身份信息的运营商，允许其网站的未成年注册用户在网站或在线服务中删除未成年人发布的任何内容。CCPA还要求经营者在出售其应知为16岁以下的数据对象的个人信息之前必须获得明确的同意。

七、法律实施监管

美国没有专门针对个人信息或隐私保护的监管机构，但在联邦和州，有相应的监管执法机构。

在联邦一级，根据《联邦贸易委员会法》美国联邦贸易委员会(FTC)针对商业实体享有执法权，其本主要针对不公平或欺骗性商业行为，但同时也包含了对某些隐私法律、数据安全规定的执行，有权在特定领域发布规则，并采取执法措施保护消费者免受不公平或欺骗性的贸易行为，其中就包括侵犯隐私和数据安全的行为。

而在州一级，州检察长对不公平和欺骗性的商业行为也有类似的执法权，其中也包括未能实施合理的安全措施和侵犯消费者隐私权的行为，比如，加州总检察长有权执行CCPA和大多数加州消费者隐私法。

根据CCPA，如果某经营者在收到涉嫌违规的通知后30天内，未能纠正涉嫌违规的行为，则总检查长可对经营者的违规行为发起民事诉讼；每单个违规行为将可能受到高达2500美元的罚款，若是故意违规行为，则单个行为的罚款金额将可能超过7500美元。

此外，许多特定行业的监管机构，特别是金额、医疗、电信和保险行业的监管机构，有权在管辖范围内，发布隐私和安全规则并采取执法措施。