下载掌阅APP,畅读海量书库
立即打开
由于美国是传统的普通法国家,其法律规则很大部分在判例中得到体现,在此主要介绍美国成文法律中对数据保护的规定,以及个别重要判例确定的数据保护原则。
美国的数据保护讨论起源于联邦最高法院在1991年对全球著作权领域产生了极大引领作用的“费斯特白页电话号码簿”案判决,
尽管法院表示,后续的汇编者仍然可以自由使用其中所收录的事实来帮助准备一个竞争性的作品,只要该竞争作品没有呈现相同的选择和编排,可该案令数据库的著作权保护标准降低,事实上形成了对数据的排他性保护效果。后续电子商务运营者开始谋求立法特殊赋权(sui generis right)的方式对数据库给予保护,只是始终未能获得足够支持,转而采取了与使用者签订合同的“业者”自律方式在本国开展数据库保护。
美国现行数据立法模式是以“数据自由与行业自律为基础”的分散立法模式。在联邦层面,美国没有形成一套全面、统一的数据保护基本法来调整公共和私人两大领域所有行业的数据保护。因此,美国对个人数据和非个人数据保护的立法也分散在行业以及部门立法中。
美国对个人数据的保护是由对隐私权的保护发展而来的,比如在Whalen v.Roe一案中,美国联邦最高法院将隐私权解读为“患者对自己的信息享有的独立做出重要决定的利益”,暗含了隐私权保护支配个人信息的权能。美国对个人数据的保护主要在隐私相关法案中得到体现。
数据上荷载的个人信息在法律上往往会表现为对隐私权的保护,美国对于平衡好个人隐私和企业依赖消费者或使用者的信息进而提供更符合需求的产品或服务间两者关系,采取了具有特色的解决方案。美国对于隐私权的保护在联邦的层级至少由12个不同的法律分别规制,且由于历来的司法实践无法对信息或数据的隐私保护提供一个完整的框架,导致美国区别于大多数国家对个人信息与隐私保护制订综合性、完整的法律,而是政出多门,由政府不同部门在不同领域进行立法规制。
[1]
美国《隐私法案》(Privacy Act,PA)是美国保护个人信息的联邦层面法案,也是美国最重要的个人信息保护法律。《隐私法案》主要规定政府机构应当如何收集个人信息,什么内容的个人信息能够储存,收集到的个人信息如何向公众开放等内容
。
《隐私法案》认为,隐私的保护应被视作大型私营部门、国家以及公民之间的衡平机制,追求主体之间的平等待遇。在这个理念的影响下,确立了法案的五项基本原则,包括:禁止秘密的个人数据档案保存系统;为个人提供保存个人信息的类型以及使用信息的方式;提供方法防止为某一目的而获得的他人信息,防止在未经个人同意的情况下被使用或用于其他目的;提供个人更正或修改关于本人的可识别信息记录的方法;任何创建、维护、使用或传播可识别个人数据记录的组织都必须确保数据在其预期用途中的可靠性,并且必须采取合理的预防措施以防止滥用数据。这些原则在法案的具体规定中都能得到体现。
《隐私法案》规定了其规制的内容为“记录”,“记录”具体指的是“任何由机构掌握的关于个人信息的条目、集合或者组合,包括但不限于个人的教育、财务交易、雇佣历史、识别号码或者其他具有个人可识别特征细节,比如指纹、声纹或者照片”。从保护的客体可以看出,虽然是《隐私法案》,但更聚焦于对个人信息的保护。
《隐私法案》规定了信息主体对个人信息享有权利,主要的权利包括:
(1)个人信息知情权。“机构在收集个人信息时,应当告知个人足够的信息,包括:①机构要求个人提供个人信息的依据,是否是必须提供或是自愿提供;②信息收集的主要目的;③信息的后续使用方式;④如果拒绝提供信息,对个人之后的可能影响”。管理和预算办公室(Office of Management and Budget,OMB)发布的指引对《隐私法案》规定的个人信息知情权做进一步解读:“第(e)(3)款的通知要求旨在向个人提供足够的资料,使他们能够决定是否提供资料。”
(2)个人信息获取权。包含具体三项内容:①个人信息的查阅。“机构应当允许个人提出的获取记录(其他相关的个人信息)的申请,并根据申请允许其对记录的查阅和复制。”②个人信息的修改。“机构应当允许个人提出的对相关记录的修改申请。”③拒绝对个人信息的修改。“机构应当允许个人提出的对记录修改的异议,机构应当在30日内予以回复。”
(3)保护个人信息免受无端侵犯权。这项权利在《隐私法案》的(e)项“对机构的要求”中体现。比如(e)项第一小款,要求机构仅在必要情况下保存个人信息,以及保存个人信息的数量最小化,“机构仅可以在法律规定或者是总统指令要求的情况下保存有关个人的记录”;(e)项第二小款,要求机构尽量直接从个人处收集信息,即“当收集信息可能导致对个人权利、福利和特权不利时,在可行范围内尽量直接从个人处收集信息”。
美国对非个人数据保护的立法并没有采取“规范式”(明确规定数据保护规则和相关主体权利义务)的保护模式,而是更加偏向结果导向,
通过不同的法案为数据遭受侵害的主体提供救济。
比如,美国通过规制数据爬取行为实现对商业数据的保护。《计算机欺诈与滥用法案》( Computer Fraud and Abuse Act ,CFAA)禁止“在明知未经授权或超出授权范围的情况下进入计算机获取信息”的行为。这些受保护信息包括但不限于“金融机构财务记录中包含的信息,或消费者报告机构关于消费者的档案中包含的信息”,“美国政府部门管理的信息”以及“任何受保护的计算机中的信息”。这种保护计算机中的信息不受侵犯的权利被规定为一种民事权利,对于“任何因违反该规定遭受损失者,可以对违法者提起民事诉讼要求损害赔偿、禁令救济以及其他衡平救济”。
《计算机欺诈与滥用法案》虽然对未经许可或者超出许可的数据获取行为进行了规定,但是却并未就“未经授权”以及“超出授权”进行界定,导致了司法实践以及数据爬取应用中的争议。美国司法实践对“未经授权”以及“超出授权”的边界进一步明确。“hiQ诉领英案”确立了美国对于数据爬取行为的限缩认定标准。该案中,hiQ通过对于领英网站中数据的获取以用来预测自身员工的行为。领英公司认为hiQ的数据爬取行为属于未经许可的数据获取行为,构成对于《计算机欺诈与滥用法案》的违反。hiQ公司提出领英数据访问权限的默认状态是允许自由访问的,数据爬取的行为不构成“未经授权”。美国第九巡回上诉法院综合考量《计算机欺诈与滥用法案》防止对计算机非法入侵的立法目的“网络开放理论”
[2]
,认为领英数据访问权限的默认状态是允许自由访问的,即使领英后续禁止hiQ获取领英用户的公开信息,hiQ的行为也不构成“未经授权”。该案表明,法院在认定是否授权以及授权边界时,应当综合考量主体受保护的商业数据利益,同时平衡反不正当竞争法、宪法第一修正案以及开放互联网中的公共利益。
数据库中体现的竞争利益则是由竞争法原则来保护。美国国会在20世纪90年代就开始对数据库的保护提出立法建议并进行讨论。最早在1996年,向国会提交的《数据库投资及反知识产权侵权法》(H.R.3531法案)提出采取特殊权利的保护模式,但是被认为没有在数据库生产者和社会公众之间形成良好的利益平衡而未通过。1997年的《制止盗版信息集合体法》(H.R.2652法案),采用“信息集合体”的概念取代“数据库”,保护“集合体”中的竞争利益。虽然并没有通过,但是相关的内容最后被整合到《千禧年数字版权法》之中。之后1999年的《制止盗版信息集合体法案》(H.R.354法案)是对1997年法的补充,规定了权利以及责任的限制;2003年《数据库与信息集合体反盗用法》(H.R.3261法案),规定未经授权向他人披露数据库内容的民事责任;2004年《消费者信息获取法》(H.R.3872法案)禁止通过不正当竞争方法和不公平或欺骗性商业行为盗用数据库。
这些法案都因不能达成政治共识而没有通过,最终美国放弃了采用单独赋权对数据库进行立法的保护模式,而是将对数据库的保护分散到其他法律之中。虽然美国未能形成统一的数据库保护立法,但从提交国会的议案可见,美国对数据库的保护以反不正当竞争法的禁止侵占行为原则为基础,反对未经许可,以极少的行为成本侵占他人投入大量的时间、技术或者金钱开发的财产。