欧盟已出台数据保护条例,为什么超级科技大国美国到现在仍无法可依?

x
用微信扫描二维码
分享至好友和朋友圈

  摘要:目前美国既没有专门的数据保护法规,也没有对应的职能部门或委员会,用美国专家的话说,“我们基本上没有国家层面的隐私基础设施可言。”

  

  已生效一个多月的欧盟《通用数据保护条例(GDPR)》,被媒体认为是大数据监管新时代的标志。相比之下,目前美国既没有专门的数据保护法规,也没有对应的职能部门或委员会,用美国专家的话说,“我们基本上没有国家层面的隐私基础设施可言。”

  由于数月前曝出的脸书(Facebook)和剑桥数据分析公司(Cambridge Analytica)丑闻,互联网用户数据隐私现在是美国社会的争论热点,相关政策无不左右着中期选举中的选民和候选官员。究竟是什么导致了这个超级科技大国在数据保护方面无法可依的窘境?

  美国历来“存异不求同”

  实际上,在世界范围内个人数据保护立法短短二十来年的历史中,美国和欧盟还颇具渊源,不过两者的合作只“存异”不“求同”。

  1995年,欧盟发布了严格的《数据保护指令》,规定欧盟以外国家地区若无相关法规提供保护,欧盟公民个人信息“数据不出境”。对于当时方兴未艾的数据处理规则,欧盟注重保护公民个人隐私权,而推动互联网高速发展的美国却从科技和商业的视角看问题。

  于是在2000年,美国和欧盟达成一个“安全港协定”,这就像给严苛的《数据保护指令》开了一个后门,允许美国企业转移和处理欧盟公民的个人数据。2013年斯诺登事件的文件显示,这个“后门”正是美国情报机构开展某些监控的通道之一。

  比照欧盟最新的《通用数据保护条例》明确“数据最小化”原则,媒体指出美国和欧盟最根本的区别在于将大数据战略作为国策鼓励发展。

  已在很多方面丢失领导权

  除了看待大数据的态度不同,美国对数据保护立法还有另一重现实阻力。在近期美国外交关系委员会(CFR)的专题报告会上,曾任白宫管理和预算办公室隐私信息安全高级顾问和美国联邦贸易委员会首席隐私官的马克·格罗曼(Marc Groman)谈到,数年前担任这些政府职务时,最大的挑战是如何把已经存在的林林总总的州法融进新法案,而几十个利益相关的商业公司和管理部门还有各自不同的观念和方法。

  格罗曼感叹美国不像很多其他国家是一张白纸,“我们有健保流通责任法案、金融现代化法案、公平信用报告法、网络儿童隐私保护法规、商业电邮法案、视频隐私保护法……在联邦层面,每项法律的标准和定义都不同。”

  在交流中,美国的数据政策专家们感叹最多的是,他们的国家已经失去在这一领域的领导者角色。“是我们自己放弃了这个角色。”格罗曼说,“GDPR正在推动全球对话。当别的国家想要打造自己的硅谷时,他们更多地关注欧洲模式。”

  “一些小国真的感到沮丧和不安,问题不仅仅是隐私完全。”外交关系委员会数据政策高级研究员凯伦·科恩布鲁(Karen Kornbluh)补充举例,巴布亚新几内亚最近关闭了脸书,因为他们无法控制虚假信息。“脸书在许多国家或地区就是互联网的代表。美国已在很多方面丢失了领导权。”

  “先生,我们该如何规范你”

  相比欧盟拥有一个1200多名专家的技术评估机构,美国在顶层机构设置上缺位已久。设立于1972年的国会技术办公室在1995年被当时掌控两院的共和党废除。此后,包括希拉里·克林顿在内的民主党人多次试图在国会恢复这一机构设置。

  几十年后的今天,“技术”的关注焦点已从太空军备竞赛转变为新兴科技对社会的全方位影响。但就在上个月,重建技术评估办公室的最新修正案仍被众议院投票否决。

  目前唯一和数据技术监管沾点边的顶层机构可能要数联邦贸易委员会。尽管委员会下设隐私监管机构,不过科恩布鲁认为,他们从性质上而言是政府机构,“没有立法权,只能事后评判而已。”他说,“我认为美国已经忘记了如何进行监管。”

  在剑桥分析公司丑闻发酵之后,美国的参议员们已经抛出“同意法案”和“社交媒体隐私和消费者权利法案”等试图寻找监管立法的门道。但由于数据技术领域过于专业,议员们普遍呼吁科技公司的合作,这又带出了既做裁判员又做运动员的悖论——今年4月脸书掌门人马克·扎克伯格的听证会上,参议员的那句“先生,我们该如何规范你”便是注解。

  加州的第一步仍有“让步”

  听证会上这好笑的一幕反映出美国在数据监管立法上的两难境地,但还是有人走出了第一步。本月初,加利福尼亚州州长签署通过“消费者隐私法案”。《华盛顿邮报》称,作为高科技大数据的收集中心,加州开始实行目前美国最强大的隐私保护措施。这一州法对脸书、谷歌和其他科技巨头如何处理加州居民的个人数据设置了新的严格限制。此外,美国超过一半以上上市公司的注册地特拉华州在早些时候推出新数据泄露通知法,提出一系列触发通知用户的数据使用情况。

  加州“消费者隐私法”要到2020年才生效。分析人士认为,其间几乎肯定将面临脸书、AT&T等行业巨头的激进游说,到法案真正生效时可能会有大量微调。目前的法案部分对应了GDPR的一些规定。科技公司将被要求告诉用户他们收集的数据类型,以及数据共享给了谁。法案还允许用户选择拒绝共享他们的数据。不过,相比于GDPR的巨额罚金标准,这项法规的罚款按例计算,违规者可能承担每例最高7500美元的民事罚款。法规还对反对者作出了一些重大让步,例如允许企业在州检察长或个人用户提起法律诉讼之前30天“改正”涉嫌违规行为。

  有数据专家认为,其他州很可能在数据保护立法上跟随这些先驱州的脚步。“联邦政府的不作为看起来是加州采取这一行动的部分原因。”数据安全公司Rapid 7的公共政策主管哈利·盖格(Harley Geiger)对《华盛顿邮报》表示。

  近期内联邦立法几无可能

  事实上,联邦政府层面最近也出现了一些积极变化的迹象,紧迫感促使美国国防机构和行政部门采取行动。据美国媒体Axios报道,特朗普总统的特别助理盖尔·斯莱特(Gail Slater)已在近期与信息技术行业委员会的首席执行官们会面,讨论联邦层面的网络数据隐私法规的雏形。

  不过,在白宫国家经济委员会负责技术、电信和网络政策的斯莱特已经表示美国不会照搬GDPR。她认为欧盟法规里的一些条款,比如用户“被遗忘权”可能与美国法律不符。事实上,斯莱特自己也曾是“业内人士”。在成为总统技术政策顾问之前,她曾担任互联网协会的总法律顾问,该协会代表谷歌和脸书等网络巨头。

  美国互联网安全联盟总裁兼首席执行官拉里·克林顿(Larry Clinton)对《QUARTZ》表示,他希望业界和政府在隐私问题上共同努力,而不是遵循GDPR的“惩罚性”模式,“GDPR的严厉处罚可能会毁掉大公司。”而乐观如格罗曼者则认为,拥有全面性的综合隐私法对美国企业有利。“随着围绕立法监管的各种提案,我们将看到来自行业的阻力日益减少。”

  相比欧盟将数据保护视为一项基本人权,美国在这一领域显然有政商纽带等诸多特殊“国情”。鉴于此,目前大多数专家认为,至少近期内制定相关联邦法规的可能性几乎为零。

  这样的现状可能并不符合民意。今年4月对1000多名美国成年消费者的调查显示,剑桥数据分析公司事件是美国民众对数据隐私问题感受的重大转折点,近七成受访者表示希望看到美国颁布类似欧盟GDPR的法规。

  有意思的是,相比于监管立法的梗阻,美国人的商业创新总是领先一步且无孔不入。

  目前已经出现了一些新的商业工具帮助美国企业管理数据,以符合欧盟法规的监管,例如把自己的功能定位比作税务软件的GDPRsimple。此外,某些个体拥有自己的数据并获得某种商业授权也是一种可能性。GDPRsimple的首席执行官兼创始人林恩·戈德斯泰因(Lynn Goldstein)说:“关于数据的所有权存在不确定性,一些企业正在探索这个问题。”

  格罗曼则期望这能为数据隐私全面监管开出一条新路,“商业模式创新提供了不同的方式来管理数据,”格罗曼说:“这对监管有巨大好处,尤为令人兴奋。”

(编辑邮箱:ylq@jfdaily.com)

  栏目主编:杨立群 文字编辑:杨立群 题图来源:视觉中国 图片编辑:邵竞

  上观 版权所有 所有文章均为上观所有 不得转载 保留所有版权

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。

跟贴 跟贴 1 参与 1
© 1997-2019 网易公司版权所有 About NetEase | 公司简介 | 联系方法 | 招聘信息 | 客户服务 | 隐私政策 | 广告服务 | 网站地图 | 意见反馈 | 不良信息举报

解放日报

中共上海市委机关报

头像

解放日报

中共上海市委机关报

78923

篇文章

147854

人关注

列表加载中...
请登录后再关注
x

用户登录

网易通行证/邮箱用户可以直接登录:
忘记密码