世界各地,不論是家裡、公司裡還是政府裡,隱私問題的關注度不斷上升。近些年,隨著生活的方方面面都從線下轉移到線上,從平民到官員都已認識到數字活動留下“足跡”的歸屬問題。企業長期利用這些數據來進行廣告與新聞的推送和改進。人們也逐漸認識到,如果不圍繞數據構建合適的保護機制,我們將面臨重大危機——新冠肺炎的大流行更是加重了這一問題。由於數據收集的低門檻,以及所有使用互聯網用戶的相關數據都存在洩露風險,立法者早已開始了對隱私洩露問題的干預。
美國,互聯網的出生地,一直對整個互聯網世界有著巨大的影響力,往往也被認為是除歐盟以外的網絡監管先鋒之一。但是和歐盟所採用的GDPR——世界上最嚴格的隱私標準不同,美國沒有統一的聯邦法規來進行約束,相反,各州自行頒布的法律法規對隱私標准進行了約定,也因此各個州的互聯網用戶有著完全不同的體驗。
我們詳細研究了美國目前正在實施的或尚未實施的各種隱私法律法規,以下是簡單介紹:
The California Consumer Privacy Act (CCPA)加利福尼亞州消費者隱私法
由於聯邦政府沒有專門製定任何有關隱私的法律,因此關於隱私法律的指導和落實就落在了各個州政府上。各個州已經開始製定相關法律保護個人的線上隱私。其中第一個,也是最值得關注的便是《加利福尼亞州消費者隱私法》(CCPA),這項法律於2018年通過,並於2020年生效,類似歐盟的GDPR,都是世界範圍內首批落實的隱私法律。其提出了具體的規範、參數和概念,除了為加利福尼亞州以及其它州人們提供數據保護外,也為美國及其他地區設立隱私法提供了參考。
CCPA常常被拿來和GDPR比較,原因也很簡單。這兩部法律都有類似的條款,並且該法律也受到了歐盟的支持。兩者都涵蓋了相關隱私概念和具體的措施,包括對追踪收集個人數據行為進行限制,要求企業告知用戶他們正在收集數據,以及採取措施保障數據安全等。
但CCPA和GDPR也有不同之處,首先就是影響範圍上——GDPR不在乎用戶的所在地或者公民身份,任何與歐盟及其他地區的歐盟公民有關的數據都受到該法律保護。相比之下,CCPA的影響範圍就僅限於加州居民,但也有一些企業試圖將CCPA的影響範圍擴寬至加州以外。
CCPA在美國有著非常重要的地位。究其原因,加利福尼亞州是美國人口最大的州之一,也是美國的經濟核心之一。該州的GDP曾超過了印度、英國及法國等,成為“世界五大經濟體”之一。在Sacramento地區的立法者們也有建立適用於全美國范圍的法律標準之經驗。例如,加州長期以來就有權對汽車排放設定更嚴格的標準,其他州往往也參考加州進行設置,並且汽車企業也會參考加州法律進行修改。考慮到這一點,CCPA可能也會產生類似效果,互聯網公司也會因此對全美國范圍內的用戶提供同加州用戶一樣的隱私保護措施。
世界上許多科技巨頭的總部都設立在加州,例如Facebook、Apple、Netflix、Google、Uber和Twitter。在此地頒布一項法律,很有可能令該法律影響整個行業,就像紐約地區對美國及全世界範圍內金融監管和金融執法活動的影響一樣。
舉個例子,谷歌為所有使用了谷歌軟件的企業提供了CCPA指導:“企業應當同他們的法律顧問合作,決定是否、如何去遵守CCPA。如果遵守,需要在網站和應用中標出'請勿出售個人信息'的相關鏈接,以及在谷歌產品中限制數據處理行為”。許多企業為了避免違反CCPA,他們更傾向於採納並遵守CCPA規定,這樣也能變相影響到非加州用戶。
除此之外,紐約、內華達、哥倫比亞特區等州政府也開始效仿加利福尼亞州,將一些類似於CCPA的條款納入到法律當中。這些地區大部分都是重要職能及產業分工中心——加利福尼亞州是科技產業和媒體,紐約是金融產業和媒體,華盛頓特區是聯邦政府。預計之後,整個美國都會推廣類似於CCPA的數據隱私保護法。
其它州是怎樣效仿加州的,制定了哪些嚴格的數據隱私保護法?
CCPA是美國目前最有名氣的隱私法,但它並不是唯一的一個。從東海岸到西海岸,其它州也推進著自己的隱私法。他們有一部分法規和CCPA重合,但具體的法律法規則是針對各州情況進行了改進,一部分州的法律甚至和CCPA大相徑庭。
紐約州作為世界的金融中心,也是美國最大的城市之一,如果紐約州立法機構通過了NYPA(紐約隱私保護法),那麼紐約在隱私保護上將會領先加利福尼亞州。 NYPA法案目前正在由紐約立法機構進行審核,其不僅包含了CCPA的部分條款,也要求企業成為“數據受託人”,對用戶的數據擔負法律責任,類似於金融機構對投資人擔負責任的關係。除此之外,NYPA也要求數據收集具備“可選擇性”,相比於CCPA,CCPA默認允許服務商收集數據,用戶可以自行退出;而NYPA則是默認禁止數據收集,除非用戶自行同意,這也意味著數據收集標準趨嚴。
其他州也有相應的隱私法案,分別處於不同的階段。馬薩諸塞州近期提交了一項與NYPA類似的隱私法案,但實際進展應當需要等到2021年立法會議期間。值得注意的是,該法案還要求遭到數據洩露的公司需要向受影響客戶提供免費的信用卡監控與信用凍結,這可能會導致巨大的財務負擔。
馬里蘭州和夏威夷州的立法進程尚且開始,大體遵循著GDPR與CCPA等先例。同其他已經頒布的或正在評估的法律一樣,兩州的法案要求企業披露其數據收集行為的相關細節,並為居民提供各種形式的追責權。夏威夷州的法律更進一步,因為其賦予了用戶獲取企業正在收集的數據類型相關信息的權利,以及刪除這些數據的權利。該法律也針對未成年居民提出了“自行退出”的相關要求,其規定,除非經過相關人同意,否則收集16歲以下未成年人的數據是非法的。
其它州的法律又是什麼情況?
除了上述州以外,其他州也有類似的網絡隱私立法行為,尚處於條款設立的不同階段。一部分州可能會走類似於加利福尼亞州CCPA的立法流程。一些州也可能採取和其他州相同的立法流程和條款;另一些州也會參考紐約州,加入更適合自己州的,更具效力的條款;還有一些州可能會基於自身的政治、經濟、文化環境,推出完全不同的隱私法規。
必須指出的是,在美國,州政府這一級別並非都是一心向著隱私保護方向的。某些州,尤其是那些更親近商業的州的立法機構,在進行隱私監管時可能不會設立強硬條款,也可能頒布法律,強制要求政府降低在線隱私保護程度。這並非空穴來風。在北達科他州,一項曾影響深遠的隱私法案在最近被立法機構所廢棄,取而代之的則是立法機構新通過的一項法案,用以指導企業對已公佈的個人數據進行更加全面的研究。
美國的隱私法正經歷著劇烈變化
美國是一個三權分立國家,表現在許多方面,其中一點便是其相互獨立的州政府。各個州有責任就聯邦法律尚未涉及的情況制定相關法律,隱私領域也是如此。在隱私領域,各個州都邁出了構建法律框架的一步,用來管理人們在線數據的使用方法、途徑還有追責。
加利福尼亞州的CCPA顯然是領頭地位,其目標與GDPR類似,並且有很大可能覆蓋更多地區。考慮到加利福尼亞州是美國最大的州之一,州內有大量的金融公司與科技公司總部,該州有能力為更多用戶和企業製定相關法律,並且不只局限在加利福尼亞州範圍內。該州的實力已被其它採納或即將採納CCPA法的州所承認,這也讓CCPA成為了某種意義上類似於“聯邦法律”的法律,尤其是對美國居民而言。
但CCPA並非是美國隱私法律的唯一標準,許多州都在進行著自己的立法進程。如果一些州自行設立的隱私法案通過,將會為人們提供更有力的數據隱私保護。但也有部分人希望走上完全不同的道路——親近商業,制定較低要求的法律。
在聯邦政府層面,是否會、何時會對數據隱私保護採取全面行動仍有待觀察。在以往,各個州的法律常被用作全美國法律法規的模板,隱私方面也存在這種可能。不過就目前而言,美國的隱私法律制定尚未統一標準。
除此之外,我們也不甚了解聯邦最終會採取何種形式的數據收集法規。一些州可能會支持寬鬆的監管,以便商業行為不被限制。因此也不能排除全美國范圍類的立法可能最終不會非常嚴格,讓企業收集用戶數據相對容易。聯邦政府同世界上其他國家的政府一樣,已經通過了《Lawful Access to Encrypted Data Act of 2020》法案,禁止端對端加密。可以想像的是,未來的互聯網將高度中心化,政府雖然會對用戶進行保護,也會因自身享有最終決定權而監控用戶的網絡活動。
不論各州法律法規如何,想要確保更高水平的線上安全,最好的方式就是將隱私瀏覽器和代理相結合。 Orchid是一個去中心化的隱私市場,匯聚了許多業內頂尖的代理供應商為用戶提供服務,也允許用戶配置多躍點網絡,令第三方難以獲取用戶的流量情況,因為流量被多躍點網絡所分割,難以追踪。使用Orchid這樣的去中心化代理網絡,結合一些其它隱私保護工具,互聯網將重回自由與探索的搖籃,不必擔心隱私問題。
Github: https://github.com/orchidprotocol
